Perancang teknologi memulai dengan membuat produk dan mengujinya pada pengguna. Produk adalah yang utama; masukan pengguna digunakan untuk mengonfirmasi kelayakannya dan memperbaikinya. Pendekatan ini masuk akal. McDonald's dan Starbucks melakukan hal yang sama. Orang tidak bisa membayangkan produk baru, seperti halnya mereka tidak bisa membayangkan resep, tanpa mengalaminya.
Namun paradigma ini juga telah diperluas ke desain teknologi keamanan, di mana kami membangun program untuk perlindungan pengguna dan kemudian meminta pengguna untuk menerapkannya. Dan ini tidak masuk akal.
Keamanan bukanlah ide konseptual. Orang-orang sudah menggunakan email, menjelajahi Web, menggunakan media sosial, dan berbagi file dan gambar. Keamanan adalah peningkatan yang dilakukan secara berlapis pada sesuatu yang sudah dilakukan pengguna saat mengirim email, menjelajah, dan berbagi secara online. Ini mirip dengan meminta orang memakai sabuk pengaman.
Saatnya Melihat Keamanan Secara Berbeda
Pendekatan kami terhadap keamanan, seperti mengajarkan keselamatan kepada pengemudi, namun mengabaikan cara orang mengemudi. Melakukan hal ini akan memastikan bahwa pengguna akan mengadopsi sesuatu secara membabi buta, meyakini bahwa hal tersebut lebih baik, atau sebaliknya, ketika dipaksa, hanya akan mematuhinya. Apa pun yang terjadi, hasilnya tidak optimal.
Ambil contoh perangkat lunak VPN. Ini dipromosikan secara besar-besaran bagi pengguna sebagai alat keamanan dan perlindungan data yang harus dimiliki, namun sebagian besar memilikinya terbatas pada tidak adanya validitas. Mereka menempatkan pengguna yang percaya pada perlindungan mereka pada risiko yang lebih besar, belum lagi pengguna mengambil lebih banyak risiko karena percaya pada perlindungan tersebut. Juga, pertimbangkan pelatihan kesadaran keamanan yang kini diamanatkan oleh banyak organisasi. Mereka yang menganggap pelatihan tersebut tidak relevan dengan kasus penggunaan spesifik mereka akan menemukan solusi, yang sering kali menimbulkan risiko keamanan yang tidak terhitung banyaknya.
Ada alasan untuk semua ini. Sebagian besar proses keamanan dirancang oleh para insinyur dengan latar belakang pengembangan produk teknologi. Mereka menganggap keamanan sebagai tantangan teknis. Pengguna hanyalah tindakan lain dalam sistem, tidak berbeda dengan perangkat lunak dan perangkat keras yang dapat diprogram untuk menjalankan fungsi yang dapat diprediksi. Tujuannya adalah untuk memuat tindakan berdasarkan template yang telah ditentukan mengenai masukan apa yang sesuai, sehingga hasilnya dapat diprediksi. Semua ini tidak didasarkan pada apa yang dibutuhkan pengguna, namun mencerminkan agenda pemrograman yang telah ditetapkan sebelumnya.
Contohnya dapat ditemukan pada fungsi keamanan yang diprogram pada sebagian besar perangkat lunak saat ini. Ambil contoh aplikasi email, beberapa di antaranya memungkinkan pengguna memeriksa header sumber email masuk, lapisan informasi penting yang dapat mengungkapkan identitas pengirim, sementara yang lain tidak. Atau misalnya browser seluler, yang sekali lagi, beberapa browser mengizinkan pengguna untuk memeriksa kualitas sertifikat SSL sementara yang lain tidak, meskipun pengguna memiliki kebutuhan yang sama di seluruh browser. Ini tidak berarti seseorang perlu memverifikasi SSL atau header sumber hanya ketika mereka menggunakan aplikasi tertentu. Apa yang dicerminkan oleh perbedaan-perbedaan ini adalah pandangan berbeda dari masing-masing kelompok pemrograman tentang bagaimana produk mereka harus digunakan oleh pengguna โ sebuah mentalitas yang mengutamakan produk.
Pengguna membeli, menginstal, atau mematuhi persyaratan keamanan dengan keyakinan bahwa pengembang berbagai teknologi keamanan memberikan apa yang mereka janjikan โ itulah sebabnya beberapa pengguna bahkan lebih berani dalam tindakan online mereka saat menggunakan teknologi tersebut.
Saatnya untuk Pendekatan Keamanan yang Mengutamakan Pengguna
Sangat penting bagi kita untuk membalikkan paradigma keamanan โ mengutamakan pengguna, dan kemudian membangun pertahanan di sekitar mereka. Hal ini bukan hanya karena kita harus melindungi masyarakat tetapi juga karena, dengan memupuk rasa perlindungan yang salah, kita menimbulkan risiko dan menjadikan mereka lebih rentan. Organisasi juga memerlukan ini untuk mengendalikan biaya. Bahkan ketika perekonomian dunia tertatih-tatih akibat pandemi dan perang, belanja keamanan organisasi dalam dekade terakhir telah meningkat secara geometris.
Keamanan yang mengutamakan pengguna harus dimulai dengan pemahaman tentang bagaimana orang menggunakan teknologi komputasi. Kita harus bertanya: Apa yang membuat pengguna rentan terhadap peretasan melalui email, pesan, media sosial, browsing, berbagi file?
Kita harus menguraikan dasar risiko dan menemukan akar perilaku, otak, dan teknisnya. Ini adalah informasi yang sudah lama diabaikan oleh pengembang saat mereka membangun produk keamanannya, itulah sebabnya perusahaan yang paling mengutamakan keamanan masih bisa dibobol.
Perhatikan Perilaku Online
Banyak dari pertanyaan ini sudah terjawab. Ilmu keamanan telah menjelaskan apa yang membuat pengguna rentan terhadap rekayasa sosial. Karena rekayasa sosial menargetkan berbagai tindakan online, pengetahuan ini dapat diterapkan untuk menjelaskan berbagai perilaku.
Di antara faktor-faktor yang teridentifikasi adalah keyakinan risiko dunia maya โ gagasan yang diingat pengguna tentang risiko tindakan online, dan strategi pemrosesan kognitif - bagaimana pengguna secara kognitif menyikapi informasi, yang menentukan besarnya perhatian terfokus yang diberikan pengguna terhadap informasi saat online. Faktor lainnya adalah kebiasaan dan ritual media yang sebagian dipengaruhi oleh jenis perangkat dan sebagian lagi oleh norma-norma organisasi. Bersama-sama, keyakinan, gaya pemrosesan, dan kebiasaan memengaruhi apakah suatu komunikasi online โ email, pesan, halaman web, teks โ terpicu. kecurigaan.
Latih, Ukur, dan Lacak Kecurigaan Pengguna
Kecurigaan adalah rasa tidak nyaman saat menghadapi sesuatu, perasaan ada yang tidak beres. Hal ini hampir selalu mengarah pada pencarian informasi dan, jika seseorang dibekali dengan jenis pengetahuan atau pengalaman yang tepat, hal ini mengarah pada deteksi-penipuan dan koreksi. Dengan mengukur kecurigaan serta faktor kognitif dan perilaku yang menyebabkan kerentanan phishing, organisasi dapat mendiagnosis apa yang membuat pengguna rentan. Informasi ini dapat diukur dan diubah menjadi indeks risiko yang dapat mereka gunakan untuk mengidentifikasi kelompok yang paling berisiko โ link terlemah โ dan melindungi mereka dengan lebih baik.
Dengan menangkap faktor-faktor ini, kami dapat melacak bagaimana pengguna terkooptasi melalui berbagai serangan, memahami mengapa mereka tertipu, dan mengembangkan solusi untuk memitigasinya. Kami dapat menyusun solusi seputar masalah seperti yang dialami oleh pengguna akhir. Kita dapat menghilangkan mandat keamanan dan menggantinya dengan solusi yang relevan bagi pengguna.
Setelah miliaran dolar dihabiskan untuk menghadirkan teknologi keamanan kepada pengguna, kita tetap rentan terhadap serangan siber muncul di jaringan AOL pada tahun 1990an. Sudah saatnya kita mengubahnya โ dan membangun keamanan bagi pengguna.
