A technológiai tervezők azzal kezdenek, hogy megépítenek egy terméket, és tesztelik azt a felhasználókon. A termék az első; A felhasználói adatok az életképesség megerősítésére és javítására szolgálnak. A megközelítésnek van értelme. A McDonald's és a Starbucks ugyanezt teszi. Az emberek nem tudnak elképzelni új termékeket, ahogyan a recepteket sem, anélkül, hogy megtapasztalnák azokat.
De a paradigmát kiterjesztették a biztonsági technológiák tervezésére is, ahol programokat készítünk a felhasználók védelmére, majd megkérjük a felhasználókat, hogy alkalmazzák azokat. És ennek nincs értelme.
A biztonság nem elvi ötlet. Az emberek már használnak e-mailt, böngésznek az interneten, használják a közösségi médiát, és megosztanak fájlokat és képeket. A biztonság egy olyan fejlesztés, amelyet a felhasználók már e-mailek küldésekor, böngészéskor és online megosztásakor tesznek. Ez olyan, mintha arra kérnénk az embereket, hogy kapcsolják be a biztonsági övet.
Ideje másként tekinteni a biztonságra
A biztonsággal kapcsolatos megközelítésünk azonban olyan, mintha a vezető biztonságát tanítanánk, miközben figyelmen kívül hagyjuk az emberek vezetését. Ezzel mindent megtesz, de biztosítja, hogy a felhasználók vagy vakon elfogadjanak valamit, azt hiszik, hogy jobb, vagy a másik oldalon, ha kényszerítik, egyszerűen betartják azt. Akárhogy is, az eredmények szuboptimálisak.
Vegyük a VPN-szoftver esetét. Ezeket erősen népszerűsítik a felhasználók számára kötelező biztonsági és adatvédelmi eszközként, de a legtöbben igen érvényesség hiányára korlátozódik. Nagyobb kockázatnak teszik ki azokat a felhasználókat, akik hisznek a védelmükben, nem beszélve arról, hogy a felhasználók több kockázatot vállalnak, hisznek az ilyen védelemben. Vegyük fontolóra a biztonságtudatossági tréninget is, amelyet ma már számos szervezet kötelez. Azok, akik úgy találják, hogy a képzés irreleváns az adott használati esetükben, megoldást találnak, ami gyakran számtalan biztonsági kockázathoz vezet.
Mindennek oka van. A legtöbb biztonsági folyamatot technológiai termékek fejlesztésében jártas mérnökök tervezik. Technikai kihívásként közelítik meg a biztonságot. A felhasználók csak egy újabb művelet a rendszerben, nem különböznek a szoftvertől és a hardvertől, amelyek előre látható funkciók végrehajtására programozhatók. A cél az, hogy egy előre meghatározott sablonon alapuló cselekvéseket tartalmazzon arról, hogy milyen inputok alkalmasak, így az eredmények előre láthatóvá válnak. Ezek egyike sem a felhasználó igényein alapul, hanem egy előre meghatározott programozási menetrendet tükröz.
Erre példákat találhatunk a mai szoftverek nagy részébe programozott biztonsági funkciókban. Vegyük az e-mail alkalmazásokat, amelyek némelyike lehetővé teszi a felhasználók számára a bejövő e-mailek forrásfejlécének ellenőrzését, amely egy fontos információréteg, amely felfedheti a feladó személyazonosságát, míg mások nem. Vagy vegyük a mobilböngészőket, ahol egyesek lehetővé teszik a felhasználók számára az SSL-tanúsítvány minőségének ellenőrzését, míg mások nem, még akkor is, ha a felhasználóknak ugyanazok az igényeik a különböző böngészőkben. Nem mintha valakinek csak akkor kell igazolnia az SSL-t vagy a forrásfejlécet, ha egy adott alkalmazást használ. Amit ezek a különbségek tükröznek, az az egyes programozói csoportok sajátos nézete arról, hogyan kell a terméket használni a felhasználónak – ez a termék-első mentalitás.
A felhasználók vásárolnak, telepítenek, vagy megfelelnek a biztonsági követelményeknek, hisz abban, hogy a különböző biztonsági technológiák fejlesztői teljesítik azt, amit ígérnek – ezért egyes felhasználók még vadabbak online tevékenységeikben az ilyen technológiák használata során.
Itt az ideje a felhasználó-első biztonsági megközelítésnek
Elengedhetetlen, hogy megfordítsuk a biztonsági paradigmát – a felhasználókat tegyük az első helyre, majd építsük köréjük a védelmet. Ez nem csak azért van így, mert meg kell védenünk az embereket, hanem azért is, mert a védelem hamis érzésének elősegítésével kockázatot szítunk, és sebezhetőbbé tesszük őket. A szervezeteknek erre is szükségük van a költségek ellenőrzéséhez. Még akkor is, amikor a világ gazdaságai megremegtek a világjárványoktól és háborúktól, a szervezeti biztonságra fordított kiadások az elmúlt évtizedben geometrikusan növekedtek.
A felhasználó-első biztonságnak azzal kell kezdődnie, hogy megértsük, hogyan használják az emberek a számítástechnikát. Meg kell kérdeznünk: Mi az, ami miatt a felhasználók sebezhetővé válnak az e-mailben, üzenetküldésben, közösségi médiában, böngészésben vagy fájlmegosztásban történő feltöréssel szemben?
A kockázat alapját szét kell bontani, és meg kell találnunk viselkedési, agyi és technikai gyökereit. Ez volt az az információ, amelyet a fejlesztők régóta figyelmen kívül hagytak biztonsági termékeik kidolgozása során, ezért még a leginkább biztonságra törekvő vállalatokat is megsértik.
Fordítson figyelmet az online viselkedésre
Sok ilyen kérdés már válaszoltak. A biztonság tudománya megmagyarázta, hogy mi teszi a felhasználókat sebezhetővé a szociális tervezéssel szemben. Mivel a social engineering különféle online műveleteket céloz meg, az ismeretek széles körben alkalmazhatók a viselkedések magyarázatára.
Az azonosított tényezők között szerepel kiberkockázati hiedelmek – a felhasználók gondolatai az online műveletek kockázatával kapcsolatban, és kognitív feldolgozási stratégiák – hogyan kezelik a felhasználók kognitív módon az információkat, ami meghatározza, hogy a felhasználók mennyi összpontosított figyelmet fordítanak az információkra az interneten. A tényezők másik csoportja az médiaszokások és rituálék amelyeket részben az eszközök típusai, részben a szervezeti normák befolyásolnak. A hiedelmek, a feldolgozási stílusok és szokások együttesen befolyásolják, hogy egy online kommunikáció – e-mail, üzenet, weboldal, szöveg – kivált-e gyanú.
A felhasználói gyanúk betanítása, mérése és nyomon követése
A gyanakvás az a nyugtalanság, amikor valamivel találkozunk, az érzés, hogy valami elromlott. Ez szinte mindig információkereséshez vezet, és ha az ember megfelelő típusú tudással vagy tapasztalattal van felvértezve, akkor megtévesztéshez-felderítéshez és korrekcióhoz vezet. A gyanakvást, valamint az adathalászattal kapcsolatos sebezhetőséghez vezető kognitív és viselkedési tényezőket mérve, a szervezetek diagnosztizálhatják, mi tette a felhasználókat sebezhetővé. Ez az információ számszerűsíthető, és kockázati indexsé alakítható, amelyet a leginkább veszélyeztetettek azonosítására használhatnak. a leggyengébb láncszemek - és jobban megvédi őket.
Ezeknek a tényezőknek a rögzítésével nyomon követhetjük, hogy a felhasználók hogyan válnak kooptálódni különféle támadások során, megérthetjük, miért csalják meg őket, és megoldásokat dolgozzon ki annak enyhítésére. A végfelhasználók által tapasztalt megoldásokat a probléma körül kidolgozhatjuk. Megszüntethetjük a biztonsági megbízásokat, és helyettesíthetjük azokat a felhasználók számára releváns megoldásokkal.
Miután milliárdokat költöttünk arra, hogy a biztonsági technológiát a felhasználók elé tárjuk, ugyanolyan kiszolgáltatottak maradunk a kibertámadásokkal szemben, az 1990-es években jelent meg az AOL hálózatában. Itt az ideje, hogy ezen változtassunk – és a felhasználók köré építsük a biztonságot.
