Technologieontwerpers beginnen met het bouwen van een product en het testen ervan op gebruikers. Het product staat voorop; gebruikersinvoer wordt gebruikt om de levensvatbaarheid ervan te bevestigen en te verbeteren. De aanpak is logisch. McDonaldโs en Starbucks doen hetzelfde. Mensen kunnen zich geen nieuwe producten voorstellen, net zoals ze zich geen recepten kunnen voorstellen, zonder ze te ervaren.
Maar het paradigma is ook uitgebreid naar het ontwerp van beveiligingstechnologieรซn, waarbij we programma's bouwen voor gebruikersbescherming en gebruikers vervolgens vragen deze toe te passen. En dit is niet logisch.
Beveiliging is geen conceptueel idee. Mensen gebruiken al e-mail, surfen al op internet, gebruiken sociale media en delen bestanden en afbeeldingen. Beveiliging is een verbetering die gelaagd is over iets dat gebruikers al doen bij het verzenden van e-mails, browsen en online delen. Het is vergelijkbaar met mensen vragen een veiligheidsgordel te dragen.
Tijd om anders naar veiligheid te kijken
Onze benadering van beveiliging is echter hetzelfde als het aanleren van de veiligheid van bestuurders, terwijl we negeren hoe mensen rijden. Dit zorgt er vrijwel voor dat gebruikers รณf blindelings iets adopteren, in de overtuiging dat het beter is, รณf, aan de andere kant, wanneer ze worden gedwongen, er alleen maar aan voldoen. Hoe dan ook, de uitkomsten zijn suboptimaal.
Neem het geval van VPN-software. Deze worden zwaar gepromoot voor gebruikers als een onmisbare tool voor beveiliging en gegevensbescherming, maar de meeste hebben dat wel beperkt tot geen geldigheid. Ze brengen gebruikers die in hun bescherming geloven een groter risico met zich mee, om nog maar te zwijgen van het feit dat gebruikers meer risico's nemen omdat ze in dergelijke bescherming geloven. Denk ook eens aan de beveiligingsbewustzijnstraining die nu door veel organisaties verplicht wordt gesteld. Degenen die vinden dat de training niet relevant is voor hun specifieke gebruikssituaties, vinden oplossingen, die vaak tot ontelbare veiligheidsrisico's leiden.
Er is een reden voor dit alles. De meeste beveiligingsprocessen zijn ontworpen door ingenieurs met een achtergrond in het ontwikkelen van technologische producten. Zij benaderen beveiliging als een technische uitdaging. Gebruikers zijn slechts een extra actie in het systeem, niet anders dan software en hardware die kunnen worden geprogrammeerd om voorspelbare functies uit te voeren. Het doel is om acties te omvatten op basis van een vooraf gedefinieerd sjabloon van welke input geschikt is, zodat de uitkomsten voorspelbaar worden. Niets van dit alles is gebaseerd op wat de gebruiker nodig heeft, maar weerspiegelt in plaats daarvan een vooraf vastgestelde programmeringsagenda.
Voorbeelden hiervan zijn te vinden in de beveiligingsfuncties die in veel hedendaagse software zijn geprogrammeerd. Neem e-mailapps, waarvan sommige gebruikers in staat stellen de bronkop van een inkomende e-mail te controleren, een belangrijke informatielaag die de identiteit van een afzender kan onthullen, terwijl andere dat niet doen. Of neem mobiele browsers, waar sommige gebruikers de mogelijkheid bieden de kwaliteit van het SSL-certificaat te controleren, terwijl andere dat niet doen, ook al hebben gebruikers in alle browsers dezelfde behoeften. Het is niet zo dat iemand SSL of de bronheader alleen hoeft te verifiรซren als hij of zij een specifieke app gebruikt. Wat deze verschillen weerspiegelen is de verschillende visie van elke programmeergroep op hoe hun product door de gebruiker moet worden gebruikt: een product-eerst-mentaliteit.
Gebruikers kopen, installeren of voldoen aan beveiligingsvereisten in de overtuiging dat de ontwikkelaars van verschillende beveiligingstechnologieรซn leveren wat ze beloven. Daarom zijn sommige gebruikers zelfs nog arroganter in hun online acties wanneer ze dergelijke technologieรซn gebruiken.
Tijd voor een gebruikersgerichte beveiligingsaanpak
Het is absoluut noodzakelijk dat we het beveiligingsparadigma omkeren: gebruikers op de eerste plaats zetten en vervolgens een verdediging om hen heen opbouwen. Dit komt niet alleen omdat we mensen moeten beschermen, maar ook omdat we, door een vals gevoel van bescherming te koesteren, risicoโs aanwakkeren en hen kwetsbaarder maken. Organisaties hebben dit ook nodig om de kosten onder controle te houden. Zelfs nu de economieรซn van de wereld wankelen door pandemieรซn en oorlogen, zijn de uitgaven voor organisatorische veiligheid de afgelopen tien jaar geometrisch toegenomen.
Beveiliging waarbij de gebruiker centraal staat, moet beginnen met inzicht in de manier waarop mensen computertechnologie gebruiken. We moeten ons afvragen: wat maakt gebruikers kwetsbaar voor hacking via e-mail, berichtenuitwisseling, sociale media, browsen en het delen van bestanden?
We moeten de basis voor risico ontwarren en de gedragsmatige, cerebrale en technische wortels ervan lokaliseren. Dit is de informatie die ontwikkelaars lange tijd hebben genegeerd bij het bouwen van hun beveiligingsproducten. Daarom worden zelfs de meest beveiligingsbewuste bedrijven nog steeds gehackt.
Besteed aandacht aan onlinegedrag
Veel van deze vragen zijn al beantwoord. De wetenschap van de beveiliging heeft uitgelegd wat gebruikers kwetsbaar maakt voor social engineering. Omdat social engineering zich richt op een verscheidenheid aan online acties, kan de kennis worden toegepast om een โโbreed scala aan gedragingen te verklaren.
Onder de geรฏdentificeerde factoren zijn overtuigingen over cyberrisico's - ideeรซn die gebruikers in gedachten hebben over het risico van online acties, en cognitieve verwerkingsstrategieรซn โ hoe gebruikers cognitief omgaan met informatie, wat de hoeveelheid gerichte aandacht dicteert die gebruikers aan informatie besteden wanneer ze online zijn. Een andere reeks factoren is dat wel mediagewoonten en rituelen die deels worden beรฏnvloed door het soort apparaten en deels door organisatorische normen. Samen beรฏnvloeden overtuigingen, verwerkingsstijlen en gewoonten de vraag of een stukje online communicatie โ e-mail, bericht, webpagina, tekst โ triggers oplevert. verdenking.
Train, meet en volg vermoedens van gebruikers
Achterdocht is dat onbehagen als je iets tegenkomt, het gevoel dat er iets niet klopt. Het leidt bijna altijd tot het zoeken naar informatie en, als iemand gewapend is met de juiste soorten kennis of ervaring, leidt het tot het opsporen en corrigeren van bedrog. Door achterdocht te meten in combinatie met de cognitieve en gedragsfactoren die tot phishing-kwetsbaarheid leiden, organisaties kunnen diagnosticeren wat gebruikers kwetsbaar maakt. Deze informatie kan worden gekwantificeerd en omgezet in een risico-index die ze kunnen gebruiken om degenen die het meeste risico lopen te identificeren: de zwakste schakels โ en bescherm ze beter.
Door deze factoren vast te leggen, kunnen we volgen hoe gebruikers worden gecoรถpteerd via verschillende aanvallen, begrijpen waarom ze worden misleid, en oplossingen ontwikkelen om deze te verzachten. We kunnen oplossingen bedenken rond het probleem zoals ervaren door eindgebruikers. We kunnen beveiligingsmandaten afschaffen en vervangen door oplossingen die relevant zijn voor gebruikers.
Nadat er miljarden zijn uitgegeven aan het beschikbaar stellen van beveiligingstechnologie aan gebruikers, blijven we net zo kwetsbaar voor cyberaanvallen als dat ontstond in het AOL-netwerk in de jaren negentig. Het wordt tijd dat we dit veranderen en beveiliging rond gebruikers bouwen.
