Projektanci technologii zaczynają od zbudowania produktu i przetestowania go na użytkownikach. Produkt jest na pierwszym miejscu; Dane użytkownika służą do potwierdzenia jego wykonalności i ulepszenia. Podejście ma sens. To samo robią McDonald's i Starbucks. Ludzie nie są w stanie wyobrazić sobie nowych produktów, tak jak nie są w stanie wyobrazić sobie przepisów kulinarnych, jeśli ich nie doświadczą.
Ale paradygmat został również rozszerzony na projektowanie technologii bezpieczeństwa, w ramach którego tworzymy programy chroniące użytkowników, a następnie prosimy ich o ich zastosowanie. I to nie ma sensu.
Bezpieczeństwo nie jest pomysłem koncepcyjnym. Ludzie już korzystają z poczty e-mail, przeglądają Internet, korzystają z mediów społecznościowych oraz udostępniają pliki i obrazy. Bezpieczeństwo to ulepszenie, które nakłada się na to, co użytkownicy już robią podczas wysyłania e-maili, przeglądania i udostępniania online. To jakby prosić ludzi o zapięcie pasów bezpieczeństwa.
Czas inaczej spojrzeć na bezpieczeństwo
Nasze podejście do bezpieczeństwa przypomina jednak uczenie kierowców bezpieczeństwa, ignorując sposób, w jaki jeżdżą ludzie. Dzięki temu użytkownicy albo na ślepo przyjmą coś, wierząc, że jest to lepsze, albo z drugiej strony, gdy zostaną zmuszeni, po prostu się do tego zastosują. Tak czy inaczej, wyniki są suboptymalne.
Weźmy przypadek oprogramowania VPN. Są one mocno promowane użytkownikom jako niezbędne narzędzie bezpieczeństwa i ochrony danych, choć większość je ma ograniczone do braku ważności. Narażają na większe ryzyko użytkowników, którzy wierzą w ich zabezpieczenia, nie wspominając już o tym, że użytkownicy podejmują większe ryzyko, wierząc w takie zabezpieczenia. Weź także pod uwagę szkolenie w zakresie świadomości bezpieczeństwa, które jest obecnie wymagane przez wiele organizacji. Ci, którzy uważają, że szkolenie nie ma związku z ich konkretnymi przypadkami użycia, znajdują obejścia, często prowadzące do niezliczonych zagrożeń bezpieczeństwa.
Jest ku temu powód. Większość procesów bezpieczeństwa jest projektowana przez inżynierów z doświadczeniem w opracowywaniu produktów technologicznych. Traktują bezpieczeństwo jak wyzwanie techniczne. Użytkownicy są po prostu kolejną czynnością w systemie, nie różniącą się od oprogramowania i sprzętu, które można zaprogramować do wykonywania przewidywalnych funkcji. Celem jest zawarcie działań opartych na wcześniej zdefiniowanym szablonie odpowiednich danych wejściowych, tak aby wyniki stały się przewidywalne. Żadne z nich nie opiera się na potrzebach użytkownika, lecz odzwierciedla ustalony z góry program programowy.
Przykłady tego można znaleźć w funkcjach bezpieczeństwa zaprogramowanych w większości dzisiejszego oprogramowania. Weźmy na przykład aplikacje pocztowe, z których niektóre umożliwiają użytkownikom sprawdzanie nagłówka źródłowego przychodzącej wiadomości e-mail, co stanowi ważną warstwę informacji mogących ujawnić tożsamość nadawcy, a inne nie. Lub weźmy przeglądarki mobilne, gdzie znowu niektóre pozwalają użytkownikom sprawdzić jakość certyfikatu SSL, a inne nie, mimo że użytkownicy mają te same potrzeby w różnych przeglądarkach. To nie jest tak, że ktoś musi weryfikować SSL lub nagłówek źródłowy tylko wtedy, gdy korzysta z określonej aplikacji. Różnice te odzwierciedlają odmienny pogląd każdej grupy programistów na temat tego, jak użytkownik powinien używać ich produktu – mentalność „produkt na pierwszym miejscu”.
Użytkownicy kupują, instalują lub przestrzegają wymogów bezpieczeństwa, wierząc, że twórcy różnych technologii bezpieczeństwa zapewniają to, co obiecują — dlatego niektórzy użytkownicy są jeszcze bardziej bezczelni w swoich działaniach online podczas korzystania z takich technologii.
Czas na podejście do bezpieczeństwa zorientowane na użytkownika
Konieczne jest odwrócenie paradygmatu bezpieczeństwa — na pierwszym miejscu postaw użytkowników, a następnie zbuduj wokół nich ochronę. Dzieje się tak nie tylko dlatego, że musimy chronić ludzi, ale także dlatego, że wzmacniając fałszywe poczucie ochrony, zwiększamy ryzyko i czynimy ich bardziej bezbronnymi. Organizacje potrzebują tego również do kontrolowania kosztów. Nawet gdy gospodarki świata balansowały na krawędzi pandemii i wojen, wydatki na bezpieczeństwo organizacyjne w ostatniej dekadzie rosły geometrycznie.
Bezpieczeństwo użytkownika musi zaczynać się od zrozumienia, w jaki sposób ludzie korzystają z technologii komputerowej. Musimy zadać sobie pytanie: co sprawia, że użytkownicy są podatni na ataki hakerskie za pośrednictwem poczty elektronicznej, wiadomości, mediów społecznościowych, przeglądania i udostępniania plików?
Musimy rozwikłać podstawę ryzyka i zlokalizować jego korzenie behawioralne, mózgowe i techniczne. Są to informacje, które programiści od dawna ignorowali podczas tworzenia swoich produktów zabezpieczających, dlatego nawet firmy najbardziej dbające o bezpieczeństwo wciąż padają ofiarą naruszeń.
Zwróć uwagę na zachowanie w Internecie
Dużo tych pytań już udzielono odpowiedzi. Nauka o bezpieczeństwie wyjaśniła, co czyni użytkowników podatnymi na socjotechnikę. Ponieważ inżynieria społeczna koncentruje się na różnorodnych działaniach online, wiedzę tę można zastosować do wyjaśnienia szerokiego zakresu zachowań.
Wśród zidentyfikowanych czynników znajdują się m.in przekonania o ryzyku cybernetycznym — pomysły, które użytkownicy mają w głowie na temat ryzyka działań online, oraz strategie przetwarzania poznawczego — sposób, w jaki użytkownicy poznawczo odnoszą się do informacji, co decyduje o tym, ile uwagi użytkownicy poświęcają informacjom w trybie online. Innym zestawem czynników są zwyczaje i rytuały medialne na które częściowo wpływają rodzaje urządzeń, a częściowo normy organizacyjne. Wspólnie przekonania, style przetwarzania i nawyki wpływają na to, czy element komunikacji online – e-mail, wiadomość, strona internetowa, tekst – wywołuje podejrzenie.
Trenuj, mierz i śledź podejrzenia użytkowników
Podejrzenie to niepokój w obliczu napotkania czegoś, poczucie, że coś jest nie tak. Prawie zawsze prowadzi to do poszukiwania informacji i, jeśli dana osoba jest uzbrojona w odpowiedni rodzaj wiedzy lub doświadczenia, prowadzi do wykrycia oszustwa i skorygowania go. Mierząc podejrzenia wraz z czynnikami poznawczymi i behawioralnymi prowadzącymi do podatności na phishing, organizacje mogą zdiagnozować, co narażało użytkowników na ataki. Informacje te można określić ilościowo i przekształcić w wskaźnik ryzyka, który można wykorzystać do zidentyfikowania osób najbardziej zagrożonych: najsłabsze ogniwa — i lepiej je chronić.
Wychwytując te czynniki, możemy śledzić, w jaki sposób użytkownicy padają ofiarą różnych ataków, zrozumieć, dlaczego dają się oszukać, i opracować rozwiązania, które je łagodzą. Możemy opracować rozwiązania wokół problemu, jakiego doświadczają użytkownicy końcowi. Możemy zrezygnować z wymogów bezpieczeństwa i zastąpić je rozwiązaniami istotnymi dla użytkowników.
Po wydaniu miliardów na udostępnienie użytkownikom technologii bezpieczeństwa, jesteśmy tak samo podatni na cyberataki pojawiły się w sieci AOL w latach 1990. Nadszedł czas, aby to zmienić i zbudować bezpieczeństwo wokół użytkowników.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
