طراحان فناوری با ساختن یک محصول و آزمایش آن بر روی کاربران شروع می کنند. محصول اول است؛ ورودی کاربر برای تایید زنده بودن و بهبود آن استفاده می شود. رویکرد منطقی است. مک دونالد و استارباکس هم همین کار را می کنند. مردم نمی توانند محصولات جدید را تصور کنند، همانطور که نمی توانند دستور العمل ها را بدون تجربه آنها تصور کنند.
اما این پارادایم به طراحی فناوریهای امنیتی نیز تعمیم داده شده است، جایی که ما برنامههایی را برای محافظت از کاربر میسازیم و سپس از کاربران میخواهیم آنها را اعمال کنند. و این منطقی نیست
امنیت یک ایده مفهومی نیست. مردم قبلاً از ایمیل استفاده می کنند، قبلاً وب را مرور می کنند، از رسانه های اجتماعی استفاده می کنند و فایل ها و تصاویر را به اشتراک می گذارند. امنیت بهبودی است که بر روی کاری که کاربران قبلاً هنگام ارسال ایمیل، مرور و اشتراکگذاری آنلاین انجام میدهند لایهبندی شده است. این شبیه به درخواست از مردم برای بستن کمربند ایمنی است.
زمان آن است که نگاهی متفاوت به امنیت داشته باشیم
با این حال، رویکرد ما به امنیت مانند آموزش ایمنی راننده است و در عین حال نحوه رانندگی افراد را نادیده می گیرد. انجام این کار فقط تضمین می کند که کاربران یا کورکورانه چیزی را قبول می کنند، با این باور که بهتر است، یا از طرف دیگر، زمانی که مجبور شوند، صرفاً از آن پیروی کنند. در هر صورت، نتایج کمتر از حد مطلوب هستند.
نرم افزار VPN را در نظر بگیرید. اینها به شدت تبلیغ می شوند برای کاربران به عنوان ابزاری ضروری برای امنیت و حفاظت از داده ها، اما اکثر آنها این کار را دارند محدود به عدم اعتبار. آنها کاربرانی را که به محافظت های خود اعتقاد دارند، در معرض خطر بیشتری قرار می دهند، ناگفته نماند که کاربران ریسک بیشتری را متحمل می شوند و به چنین محافظت هایی اعتقاد دارند. همچنین، آموزش آگاهی از امنیت را در نظر بگیرید که اکنون توسط بسیاری از سازمان ها اجباری شده است. کسانی که آموزش را بیربط به موارد استفاده خاص خود میدانند، راهحلهایی پیدا میکنند که اغلب منجر به خطرات امنیتی بیشمار میشود.
همه اینها دلیلی دارد اکثر فرآیندهای امنیتی توسط مهندسین با پیشینه در توسعه محصولات فناوری طراحی شده است. آنها به امنیت به عنوان یک چالش فنی نگاه می کنند. کاربران فقط یک عمل دیگر در سیستم هستند که تفاوتی با نرم افزار و سخت افزاری ندارند که می توانند برای انجام عملکردهای قابل پیش بینی برنامه ریزی شوند. هدف این است که شامل اقدامات مبتنی بر یک الگوی از پیش تعریف شده از ورودی های مناسب باشد، به طوری که نتایج قابل پیش بینی شود. هیچ یک از اینها بر اساس نیازهای کاربر نیست، بلکه منعکس کننده یک برنامه برنامه نویسی است که از قبل تعیین شده است.
نمونه هایی از این را می توان در توابع امنیتی برنامه ریزی شده در بسیاری از نرم افزارهای امروزی یافت. از برنامههای ایمیل استفاده کنید، برخی از آنها به کاربران اجازه میدهند سربرگ منبع ایمیل دریافتی را بررسی کنند، لایه مهمی از اطلاعات که میتواند هویت فرستنده را آشکار کند، در حالی که برخی دیگر این کار را نمیکنند. یا مرورگرهای تلفن همراه را انتخاب کنید، جایی که، دوباره، برخی به کاربران اجازه میدهند کیفیت گواهی SSL را بررسی کنند در حالی که دیگران این کار را نمیکنند، حتی اگر کاربران در مرورگرها نیازهای یکسانی داشته باشند. اینطور نیست که کسی نیاز به تأیید SSL یا هدر منبع فقط زمانی که در یک برنامه خاص است، باشد. آنچه این تفاوت ها منعکس می کند، دیدگاه متمایز هر گروه برنامه نویسی در مورد نحوه استفاده کاربر از محصولشان است - ذهنیت اول محصول.
کاربران با این باور که توسعهدهندگان فناوریهای امنیتی مختلف آنچه را که وعده دادهاند، خرید، نصب یا رعایت میکنند - به همین دلیل است که برخی از کاربران در اقدامات آنلاین خود در هنگام استفاده از چنین فناوریهایی سرسختتر هستند.
زمان برای یک رویکرد امنیتی کاربر اول است
ضروری است که ما پارادایم امنیتی را معکوس کنیم - ابتدا کاربران را قرار دهیم و سپس دفاعی را پیرامون آنها بسازیم. این نه تنها به این دلیل است که ما باید از مردم محافظت کنیم، بلکه به این دلیل است که با تقویت حس کاذب محافظت، خطر را تحریک می کنیم و آنها را آسیب پذیرتر می کنیم. سازمان ها نیز برای کنترل هزینه ها به این نیاز دارند. حتی در شرایطی که اقتصادهای جهان از همهگیریها و جنگها دور شدهاند، هزینههای امنیتی سازمانی در دهه گذشته از نظر هندسی افزایش یافته است.
امنیت کاربر اول باید با درک نحوه استفاده مردم از فناوری محاسباتی آغاز شود. باید بپرسیم: چه چیزی کاربران را در برابر هک از طریق ایمیل، پیامرسانی، رسانههای اجتماعی، مرور، اشتراکگذاری فایل آسیبپذیر میکند؟
ما باید اساس ریسک را از هم جدا کنیم و ریشه های رفتاری، مغزی و فنی آن را پیدا کنیم. این اطلاعاتی بوده است که توسعه دهندگان برای مدت طولانی در هنگام ساخت محصولات امنیتی خود نادیده گرفته شده اند، به همین دلیل است که حتی شرکت هایی که به امنیت فکر می کنند هنوز هم نقض می شوند.
به رفتار آنلاین توجه کنید
بسیاری از این سوالات قبلا پاسخ داده شده است. علم امنیت توضیح داده است که چه چیزی کاربران را در برابر مهندسی اجتماعی آسیب پذیر می کند. از آنجایی که مهندسی اجتماعی انواع مختلفی از اقدامات آنلاین را هدف قرار می دهد، دانش را می توان برای توضیح طیف گسترده ای از رفتارها به کار برد.
از جمله عوامل شناسایی شده هستند باورهای خطر سایبری - ایده هایی که کاربران در مورد خطر اقدامات آنلاین در ذهن خود دارند و استراتژی های پردازش شناختی - چگونه کاربران به صورت شناختی اطلاعات را مورد خطاب قرار می دهند، که میزان توجه متمرکز کاربران را هنگام آنلاین بودن به اطلاعات تعیین می کند. مجموعه دیگری از عوامل هستند عادات و آیین های رسانه ای که بخشی از انواع دستگاه ها و بخشی تحت تأثیر هنجارهای سازمانی است. با هم، باورها، سبکهای پردازش، و عادات بر اینکه یک قطعه از ارتباط آنلاین - ایمیل، پیام، صفحه وب، متن - باعث تحریک سوء ظن.
آموزش، اندازه گیری، و پیگیری سوء ظن کاربران
سوء ظن عبارت است از ناراحتی هنگام مواجهه با چیزی، احساس خاموش بودن چیزی. تقریباً همیشه منجر به جستجوی اطلاعات میشود و اگر فردی به انواع دانش یا تجربههای مناسب مسلح شود، منجر به فریبیابی و اصلاح میشود. با اندازه گیری سوء ظن همراه با عوامل شناختی و رفتاری منجر به آسیب پذیری فیشینگ، سازمان ها می توانند تشخیص دهند که چه چیزی کاربران را آسیب پذیر کرده است. این اطلاعات را می توان کمی سازی کرد و به یک شاخص ریسک تبدیل کرد که آنها می توانند برای شناسایی افراد در معرض خطر استفاده کنند - ضعیف ترین لینک ها - و بهتر از آنها محافظت کنید.
با گرفتن این عوامل، میتوانیم نحوه مشارکت کاربران را از طریق حملات مختلف ردیابی کنیم، بفهمیم چرا آنها فریب میخورند. و راه حل هایی برای کاهش آن ایجاد کنید. ما میتوانیم راهحلهایی را برای حل این مشکل، همانطور که توسط کاربران نهایی تجربه کردهاند، ایجاد کنیم. ما میتوانیم دستورات امنیتی را حذف کنیم و آنها را با راهحلهایی جایگزین کنیم که مربوط به کاربران است.
پس از صرف میلیاردها دلار برای قرار دادن فناوری امنیتی در مقابل کاربران، ما به همان اندازه در برابر حملات سایبری آسیب پذیر هستیم. در دهه 1990 در شبکه AOL ظهور کرد. وقت آن است که این را تغییر دهیم - و امنیت را در اطراف کاربران ایجاد کنیم.