प्रौद्योगिकी डिजाइनर एक उत्पाद का निर्माण और उपयोगकर्ताओं पर उसका परीक्षण करके शुरुआत करते हैं। उत्पाद पहले आता है; उपयोगकर्ता इनपुट का उपयोग इसकी व्यवहार्यता की पुष्टि करने और इसमें सुधार करने के लिए किया जाता है। दृष्टिकोण समझ में आता है. मैकडॉनल्ड्स और स्टारबक्स भी ऐसा ही करते हैं। लोग नए उत्पादों की कल्पना नहीं कर सकते, जैसे वे व्यंजनों का अनुभव किए बिना उनकी कल्पना नहीं कर सकते।
लेकिन प्रतिमान को सुरक्षा प्रौद्योगिकियों के डिजाइन तक भी बढ़ाया गया है, जहां हम उपयोगकर्ता सुरक्षा के लिए कार्यक्रम बनाते हैं और फिर उपयोगकर्ताओं से उन्हें लागू करने के लिए कहते हैं। और इसका कोई मतलब नहीं है.
सुरक्षा कोई वैचारिक विचार नहीं है. लोग पहले से ही ईमेल का उपयोग करते हैं, पहले से ही वेब ब्राउज़ करते हैं, सोशल मीडिया का उपयोग करते हैं, और फ़ाइलें और छवियां साझा करते हैं। सुरक्षा एक ऐसा सुधार है जो ईमेल भेजने, ब्राउज़ करने और ऑनलाइन साझा करने के दौरान उपयोगकर्ताओं द्वारा पहले से ही की जाने वाली चीज़ों पर आधारित है। यह लोगों को सीट बेल्ट पहनने के लिए कहने के समान है।
सुरक्षा को अलग ढंग से देखने का समय
हालाँकि, सुरक्षा के प्रति हमारा दृष्टिकोण लोगों के गाड़ी चलाने के तरीके को नज़रअंदाज करते हुए ड्राइवर सुरक्षा सिखाने जैसा है। यह सब करने से यह सुनिश्चित होता है कि उपयोगकर्ता या तो आँख मूँद कर किसी चीज़ को अपना लेते हैं, यह मानते हुए कि यह बेहतर है, या दूसरी ओर, जब मजबूर किया जाता है, तो बस उसका अनुपालन करते हैं। किसी भी तरह से, परिणाम इष्टतम नहीं हैं।
वीपीएन सॉफ़्टवेयर का मामला लीजिए। इनका जमकर प्रचार-प्रसार किया जाता है उपयोगकर्ताओं के लिए एक आवश्यक सुरक्षा और डेटा-सुरक्षा उपकरण के रूप में, लेकिन अधिकांश के पास है बिना किसी वैधता तक सीमित. वे उन उपयोगकर्ताओं को अधिक जोखिम में डालते हैं जो अपनी सुरक्षा में विश्वास करते हैं, यह उल्लेख करने की आवश्यकता नहीं है कि ऐसी सुरक्षा में विश्वास करने वाले उपयोगकर्ता अधिक जोखिम उठाते हैं। इसके अलावा, सुरक्षा जागरूकता प्रशिक्षण पर भी विचार करें जो अब कई संगठनों द्वारा अनिवार्य है। जो लोग प्रशिक्षण को अपने विशिष्ट उपयोग के मामलों के लिए अप्रासंगिक पाते हैं वे समाधान ढूंढते हैं, जिससे अक्सर अनगिनत सुरक्षा जोखिम पैदा होते हैं।
इस सबका एक कारण है. अधिकांश सुरक्षा प्रक्रियाएँ प्रौद्योगिकी उत्पादों को विकसित करने की पृष्ठभूमि वाले इंजीनियरों द्वारा डिज़ाइन की जाती हैं। वे सुरक्षा को एक तकनीकी चुनौती के रूप में देखते हैं। उपयोगकर्ता सिस्टम में बस एक और क्रिया हैं, सॉफ्टवेयर और हार्डवेयर से अलग नहीं हैं जिन्हें पूर्वानुमानित कार्य करने के लिए प्रोग्राम किया जा सकता है। लक्ष्य यह है कि कौन से इनपुट उपयुक्त हैं, इसके पूर्वनिर्धारित टेम्पलेट के आधार पर कार्रवाई की जाए, ताकि परिणाम पूर्वानुमानित हो सकें। इनमें से कोई भी इस बात पर आधारित नहीं है कि उपयोगकर्ता को क्या चाहिए, बल्कि यह पहले से निर्धारित प्रोग्रामिंग एजेंडा को दर्शाता है।
इसके उदाहरण आज के अधिकांश सॉफ़्टवेयर में प्रोग्राम किए गए सुरक्षा कार्यों में पाए जा सकते हैं। ईमेल ऐप्स लें, जिनमें से कुछ उपयोगकर्ताओं को आने वाले ईमेल के स्रोत हेडर की जांच करने की अनुमति देते हैं, जानकारी की एक महत्वपूर्ण परत जो प्रेषक की पहचान प्रकट कर सकती है, जबकि अन्य नहीं। या मोबाइल ब्राउज़र लें, जहां, फिर से, कुछ उपयोगकर्ताओं को एसएसएल प्रमाणपत्र गुणवत्ता की जांच करने की अनुमति देते हैं जबकि अन्य नहीं, भले ही उपयोगकर्ताओं की सभी ब्राउज़रों में समान आवश्यकताएं हों। ऐसा नहीं है कि किसी को एसएसएल या स्रोत हेडर को केवल तभी सत्यापित करने की आवश्यकता है जब वे किसी विशिष्ट ऐप पर हों। ये अंतर जो प्रतिबिंबित करते हैं वह प्रत्येक प्रोग्रामिंग समूह का विशिष्ट दृष्टिकोण है कि उपयोगकर्ता द्वारा उनके उत्पाद का उपयोग कैसे किया जाना चाहिए - एक उत्पाद-प्रथम मानसिकता।
उपयोगकर्ता यह विश्वास करते हुए सुरक्षा आवश्यकताओं को खरीदते हैं, स्थापित करते हैं या उनका अनुपालन करते हैं कि विभिन्न सुरक्षा प्रौद्योगिकियों के डेवलपर्स जो वादा करते हैं उसे पूरा करते हैं - यही कारण है कि कुछ उपयोगकर्ता ऐसी प्रौद्योगिकियों का उपयोग करते समय अपने ऑनलाइन कार्यों में और भी अधिक सतर्क होते हैं।
उपयोगकर्ता-प्रथम सुरक्षा दृष्टिकोण का समय
यह जरूरी है कि हम सुरक्षा प्रतिमान को उलट दें - उपयोगकर्ताओं को पहले रखें, और फिर उनके चारों ओर सुरक्षा का निर्माण करें। ऐसा केवल इसलिए नहीं है कि हमें लोगों की रक्षा करनी चाहिए, बल्कि इसलिए भी कि सुरक्षा की झूठी भावना को बढ़ावा देकर, हम जोखिम पैदा कर रहे हैं और उन्हें अधिक असुरक्षित बना रहे हैं। लागत को नियंत्रित करने के लिए संगठनों को भी इसकी आवश्यकता है। भले ही दुनिया की अर्थव्यवस्थाएं महामारी और युद्धों से लड़खड़ा रही हों, पिछले दशक में संगठनात्मक सुरक्षा खर्च में ज्यामितीय वृद्धि हुई है।
उपयोगकर्ता-प्रथम सुरक्षा की शुरुआत इस समझ से होनी चाहिए कि लोग कंप्यूटिंग तकनीक का उपयोग कैसे करते हैं। हमें पूछना होगा: ऐसा क्या है जो उपयोगकर्ताओं को ईमेल, मैसेजिंग, सोशल मीडिया, ब्राउज़िंग, फ़ाइल शेयरिंग के माध्यम से हैकिंग के प्रति संवेदनशील बनाता है?
हमें जोखिम के आधार को सुलझाना होगा और इसकी व्यवहारिक, मस्तिष्कीय और तकनीकी जड़ों का पता लगाना होगा। यह वह जानकारी है जिसे डेवलपर्स ने अपने सुरक्षा उत्पाद बनाते समय लंबे समय तक नजरअंदाज किया है, यही कारण है कि सबसे अधिक सुरक्षा-दिमाग वाली कंपनियां अभी भी इसका उल्लंघन करती हैं।
ऑनलाइन व्यवहार पर ध्यान दें
इनमें से कई सवाल उत्तर पहले ही दिया जा चुका है. सुरक्षा के विज्ञान ने समझाया है कि कौन सी चीज़ उपयोगकर्ताओं को सोशल इंजीनियरिंग के प्रति संवेदनशील बनाती है। चूँकि सोशल इंजीनियरिंग विभिन्न प्रकार की ऑनलाइन क्रियाओं को लक्षित करती है, इसलिए ज्ञान को व्यवहारों की एक विस्तृत श्रृंखला को समझाने के लिए लागू किया जा सकता है।
पहचाने गए कारकों में से हैं साइबर जोखिम संबंधी मान्यताएँ - उपयोगकर्ता ऑनलाइन कार्यों के जोखिम के बारे में अपने मन में विचार रखते हैं, और संज्ञानात्मक प्रसंस्करण रणनीतियाँ - उपयोगकर्ता संज्ञानात्मक रूप से जानकारी को कैसे संबोधित करते हैं, जो यह निर्धारित करता है कि उपयोगकर्ता ऑनलाइन होने पर जानकारी पर कितना ध्यान केंद्रित करते हैं। कारकों का एक और सेट है मीडिया की आदतें और रीति-रिवाज जो आंशिक रूप से उपकरणों के प्रकार और आंशिक रूप से संगठनात्मक मानदंडों से प्रभावित होते हैं। साथ में, विश्वास, प्रसंस्करण शैलियाँ और आदतें प्रभावित करती हैं कि क्या ऑनलाइन संचार का एक हिस्सा - ईमेल, संदेश, वेबपेज, पाठ - ट्रिगर होता है संदेह.
उपयोगकर्ता के संदेहों को प्रशिक्षित करें, मापें और ट्रैक करें
संदेह वह बेचैनी है जब किसी चीज़ का सामना करना पड़ता है, यह एहसास होता है कि कुछ गड़बड़ है। यह लगभग हमेशा जानकारी खोजने की ओर ले जाता है और, यदि कोई व्यक्ति सही प्रकार के ज्ञान या अनुभव से लैस है, तो धोखे का पता लगाने और सुधार की ओर ले जाता है। फ़िशिंग भेद्यता के लिए अग्रणी संज्ञानात्मक और व्यवहारिक कारकों के साथ-साथ संदेह को मापकर, संगठन यह निदान कर सकते हैं कि किस चीज़ ने उपयोगकर्ताओं को असुरक्षित बनाया है. इस जानकारी को परिमाणित किया जा सकता है और एक जोखिम सूचकांक में परिवर्तित किया जा सकता है जिसका उपयोग वे सबसे अधिक जोखिम वाले लोगों की पहचान करने के लिए कर सकते हैं - सबसे कमजोर कड़ियाँ - और उनकी बेहतर सुरक्षा करें।
इन कारकों को पकड़कर, हम यह ट्रैक कर सकते हैं कि उपयोगकर्ता विभिन्न हमलों के माध्यम से कैसे सह-चुने जाते हैं, समझ सकते हैं कि वे धोखा क्यों खाते हैं, और इसे कम करने के लिए समाधान विकसित करें. हम अंतिम उपयोगकर्ताओं के अनुभव के अनुसार समस्या का समाधान तैयार कर सकते हैं। हम सुरक्षा अधिदेशों को ख़त्म कर सकते हैं और उनके स्थान पर ऐसे समाधान ला सकते हैं जो उपयोगकर्ताओं के लिए प्रासंगिक हों।
उपयोगकर्ताओं के सामने सुरक्षा प्रौद्योगिकी डालने में अरबों खर्च करने के बाद भी, हम साइबर हमलों के प्रति उतने ही असुरक्षित बने हुए हैं 1990 के दशक में AOL नेटवर्क में उभरा. अब समय आ गया है कि हम इसे बदलें - और उपयोगकर्ताओं के लिए सुरक्षा का निर्माण करें।
