Teknologidesignere begynner med å bygge et produkt og teste det på brukere. Produktet kommer først; brukerinndata brukes til å bekrefte dens levedyktighet og forbedre den. Tilnærmingen gir mening. McDonald's og Starbucks gjør det samme. Folk kan ikke forestille seg nye produkter, akkurat som de ikke kan forestille seg oppskrifter, uten å oppleve dem.
Men paradigmet har også blitt utvidet til utformingen av sikkerhetsteknologier, der vi bygger programmer for brukerbeskyttelse og deretter ber brukerne om å bruke dem. Og dette gir ikke mening.
Sikkerhet er ikke en konseptuell idé. Folk bruker allerede e-post, surfer allerede på nettet, bruker sosiale medier og deler filer og bilder. Sikkerhet er en forbedring som er lagt over noe brukere allerede gjør når de sender e-post, surfer og deler på nettet. Det ligner på å be folk bruke bilbelte.
På tide å se annerledes på sikkerhet
Vår tilnærming til sikkerhet er imidlertid som å lære sjåførsikkerhet mens vi ignorerer hvordan folk kjører. Å gjøre dette alt annet enn sikrer at brukere enten blindt adopterer noe, tror det er bedre, eller på baksiden, når de blir tvunget, bare overholder det. Uansett er resultatene suboptimale.
Ta tilfellet med VPN-programvare. Disse er sterkt promotert til brukere som et må-ha sikkerhets- og databeskyttelsesverktøy, men de fleste har begrenset til ingen gyldighet. De setter brukere som tror på beskyttelsen deres i større risiko, for ikke å nevne at brukere tar mer risiko, og tror på slike beskyttelser. Vurder også sikkerhetsopplæringen som nå er pålagt av mange organisasjoner. De som synes opplæringen er irrelevant for deres spesifikke brukstilfeller, finner løsninger som ofte fører til utallige sikkerhetsrisikoer.
Det er en grunn til alt dette. De fleste sikkerhetsprosesser er designet av ingeniører med bakgrunn i utvikling av teknologiprodukter. De nærmer seg sikkerhet som en teknisk utfordring. Brukere er bare en annen handling i systemet, ikke annerledes enn programvare og maskinvare som kan programmeres til å utføre forutsigbare funksjoner. Målet er å inneholde handlinger basert på en forhåndsdefinert mal for hvilke input som er egnet, slik at utfallene blir forutsigbare. Ingenting av dette er basert på hva brukeren trenger, men reflekterer i stedet en programmeringsagenda fastsatt på forhånd.
Eksempler på dette finnes i sikkerhetsfunksjonene som er programmert inn i mye av dagens programvare. Ta e-postapper, hvorav noen lar brukere sjekke kildehodet til en innkommende e-post, et viktig lag med informasjon som kan avsløre en avsenderes identitet, mens andre ikke gjør det. Eller ta mobile nettlesere, der, igjen, noen lar brukere sjekke SSL-sertifikatkvaliteten mens andre ikke gjør det, selv om brukere har samme behov på tvers av nettlesere. Det er ikke slik at noen trenger å bekrefte SSL eller kildeoverskriften bare når de er på en bestemt app. Hva disse forskjellene reflekterer er hver programmeringsgruppes distinkte syn på hvordan produktet deres skal brukes av brukeren - en produkt-først-mentalitet.
Brukere kjøper, installerer eller overholder sikkerhetskrav ved å tro at utviklerne av forskjellige sikkerhetsteknologier leverer det de lover – og det er grunnen til at noen brukere er enda mer dyktige i sine onlinehandlinger mens de bruker slike teknologier.
Tid for en bruker-første sikkerhetstilnærming
Det er viktig at vi snur sikkerhetsparadigmet – sett brukerne først, og deretter bygge forsvar rundt dem. Dette er ikke bare fordi vi må beskytte mennesker, men også fordi, ved å fremme en falsk følelse av beskyttelse, fremmer vi risiko og gjør dem mer sårbare. Organisasjoner trenger også dette for å kontrollere kostnadene. Selv om verdens økonomier har vippet fra pandemier og kriger, har organisasjonssikkerhetsutgifter det siste tiåret økt geometrisk.
Bruker-først-sikkerhet må begynne med en forståelse av hvordan folk bruker datateknologi. Vi må spørre: Hva er det som gjør brukere sårbare for hacking via e-post, meldinger, sosiale medier, surfing, fildeling?
Vi må skille ut grunnlaget for risiko og finne dens atferdsmessige, cerebrale og tekniske røtter. Dette har vært informasjonen som utviklere lenge har ignorert mens de bygde sikkerhetsproduktene sine, og det er grunnen til at selv de mest sikkerhetsorienterte selskapene fortsatt blir brutt.
Vær oppmerksom på atferd på nett
Mange av disse spørsmålene har allerede blitt besvart. Vitenskapen om sikkerhet har forklart hva som gjør brukere sårbare for sosial ingeniørkunst. Fordi sosial ingeniørkunst retter seg mot en rekke nettbaserte handlinger, kan kunnskapen brukes til å forklare en lang rekke atferd.
Blant faktorene som er identifisert er cyber-risiko tro – ideer brukere har i tankene om risikoen for online handlinger, og kognitive prosesseringsstrategier - hvordan brukere kognitivt adresserer informasjon, som dikterer mengden fokusert oppmerksomhet brukere gir til informasjon når de er på nett. Et annet sett med faktorer er medievaner og ritualer som delvis er påvirket av typene enheter og delvis av organisatoriske normer. Sammen påvirker tro, behandlingsstiler og vaner om en del av nettkommunikasjon – e-post, melding, nettside, tekst – utløser mistanke.
Lær opp, mål og spor brukermistanker
Mistanke er at uroen når man møter noe, følelsen av at noe er av. Det fører nesten alltid til informasjonssøking, og hvis en person er bevæpnet med den rette typen kunnskap eller erfaring, fører det til bedrag-oppdagelse og korrigering. Ved å måle mistenksomhet sammen med de kognitive og atferdsmessige faktorene som fører til phishing-sårbarhet, organisasjoner kan diagnostisere hva som gjorde brukere sårbare. Denne informasjonen kan kvantifiseres og konverteres til en risikoindeks som de kan bruke til å identifisere de som er mest utsatt - de svakeste leddene – og beskytte dem bedre.
Ved å fange opp disse faktorene, kan vi spore hvordan brukere blir kooperativt gjennom ulike angrep, forstå hvorfor de blir lurt, og utvikle løsninger for å redusere det. Vi kan lage løsninger rundt problemet slik sluttbrukerne opplever det. Vi kan gjøre unna sikkerhetsmandater, og erstatte dem med løsninger som er relevante for brukerne.
Etter milliarder brukt på å sette sikkerhetsteknologi foran brukerne, er vi fortsatt like sårbare for nettangrep som dukket opp i AOL-nettverket på 1990-tallet. Det er på tide at vi endrer dette – og bygger sikkerhet rundt brukere.
