Разработчики технологий начинают с создания продукта и его тестирования на пользователях. Продукт на первом месте; Ввод пользователя используется для подтверждения его жизнеспособности и улучшения. Такой подход имеет смысл. Макдональдс и Старбакс делают то же самое. Люди не могут представить новые продукты, как не могут представить рецепты, не испытав их на себе.
Но эта парадигма также была распространена на разработку технологий безопасности, когда мы создаем программы для защиты пользователей, а затем просим пользователей их применять. И это не имеет смысла.
Безопасность — это не концептуальная идея. Люди уже используют электронную почту, уже просматривают Интернет, используют социальные сети и обмениваются файлами и изображениями. Безопасность — это усовершенствование, которое накладывается на то, что пользователи уже делают при отправке электронной почты, просмотре страниц и обмене информацией в Интернете. Это все равно, что просить людей пристегнуться ремнем безопасности.
Время взглянуть на безопасность по-другому
Однако наш подход к безопасности подобен обучению водителей безопасности, игнорируя при этом то, как люди водят машину. Это почти гарантирует, что пользователи либо слепо примут что-то, полагая, что это лучше, либо, с другой стороны, когда их заставят, просто подчинятся этому. В любом случае, результаты неоптимальны.
Возьмем, к примеру, программное обеспечение VPN. Они активно продвигаются пользователям как обязательный инструмент безопасности и защиты данных, но большинство из них имеют ограничено до недействительности. Они подвергают пользователей, которые верят в их защиту, большему риску, не говоря уже о том, что пользователи идут на больший риск, веря в такую защиту. Также рассмотрите возможность обучения по вопросам безопасности, которое сейчас требуется во многих организациях. Те, кто считает, что обучение не имеет отношения к их конкретным случаям использования, находят обходные пути, что часто приводит к неисчислимым рискам безопасности.
Для всего этого есть причина. Большинство процессов безопасности разрабатываются инженерами, имеющими опыт разработки технологических продуктов. Они подходят к безопасности как к технической проблеме. Пользователи — это всего лишь еще одно действие в системе, ничем не отличающееся от программного и аппаратного обеспечения, которое можно запрограммировать на выполнение предсказуемых функций. Цель состоит в том, чтобы содержать действия, основанные на заранее определенном шаблоне того, какие входные данные подходят, чтобы результаты стали предсказуемыми. Ничто из этого не основано на том, что нужно пользователю, а вместо этого отражает заранее изложенную программу программирования.
Примеры этого можно найти в функциях безопасности, запрограммированных в большую часть современного программного обеспечения. Возьмем, к примеру, почтовые приложения, некоторые из которых позволяют пользователям проверять исходный заголовок входящего электронного письма — важный уровень информации, который может раскрыть личность отправителя, а другие — нет. Или возьмем мобильные браузеры, где, опять же, некоторые позволяют пользователям проверять качество сертификата SSL, а другие нет, хотя потребности пользователей во всех браузерах одинаковы. Это не значит, что кому-то нужно проверять SSL или заголовок источника только тогда, когда он находится в определенном приложении. Эти различия отражают особое мнение каждой группы программистов о том, как их продукт должен использоваться пользователем — менталитет, ориентированный на продукт.
Пользователи покупают, устанавливают или соблюдают требования безопасности, полагая, что разработчики различных технологий безопасности выполняют то, что обещают, — поэтому некоторые пользователи еще более бесцеремонны в своих действиях в Интернете при использовании таких технологий.
Пришло время для подхода к обеспечению безопасности, ориентированного на пользователя
Крайне важно перевернуть парадигму безопасности — поставить на первое место пользователей, а затем строить вокруг них защиту. Это происходит не только потому, что мы должны защищать людей, но и потому, что, воспитывая ложное чувство защищенности, мы увеличиваем риск и делаем их более уязвимыми. Это также необходимо организациям для контроля расходов. Несмотря на то, что экономики мира балансируют от пандемий и войн, расходы на организационную безопасность за последнее десятилетие выросли в геометрической прогрессии.
Безопасность, ориентированная на пользователя, должна начинаться с понимания того, как люди используют компьютерные технологии. Мы должны задаться вопросом: что делает пользователей уязвимыми для взлома через электронную почту, обмен сообщениями, социальные сети, просмотр веб-страниц, обмен файлами?
Нам необходимо распутать основу риска и определить его поведенческие, церебральные и технические корни. Эту информацию разработчики долгое время игнорировали при создании своих продуктов безопасности, поэтому даже самые заботящиеся о безопасности компании все еще подвергаются взлому.
Обратите внимание на поведение в Интернете
Многие из этих вопросов уже ответили. Наука о безопасности объяснила, что делает пользователей уязвимыми для социальной инженерии. Поскольку социальная инженерия нацелена на различные действия в Интернете, эти знания можно применить для объяснения широкого спектра моделей поведения.
Среди выявленных факторов можно выделить убеждения о кибер-рисках — идеи, которые пользователи думают о риске действий в Интернете, и стратегии когнитивной обработки — то, как пользователи когнитивно обращаются с информацией, что определяет количество сосредоточенного внимания, которое пользователи уделяют информации в сети. Еще один набор факторов: медиа-привычки и ритуалы которые частично зависят от типов устройств, а частично от организационных норм. Убеждения, стили обработки и привычки вместе влияют на то, вызывает ли та или иная часть онлайн-коммуникации — электронная почта, сообщение, веб-страница, текст — триггеры. подозрение.
Обучайте, измеряйте и отслеживайте подозрения пользователей
Подозрительность – это беспокойство при встрече с чем-то, ощущение, что что-то не так. Это почти всегда приводит к поиску информации и, если человек вооружен нужными видами знаний или опыта, приводит к обману-обнаружению и исправлению. Измеряя подозрительность, а также когнитивные и поведенческие факторы, ведущие к уязвимости к фишингу, организации могут диагностировать, что сделало пользователей уязвимыми. Эту информацию можно выразить количественно и преобразовать в индекс риска, который можно использовать для выявления тех, кто подвергается наибольшему риску. самые слабые звенья — и защищать их лучше.
Улавливая эти факторы, мы можем отслеживать, как пользователи подвергаются различным атакам, понимать, почему их обманывают, и разработать решения для его смягчения. Мы можем разработать решения проблемы, с которой столкнулись конечные пользователи. Мы можем отказаться от требований безопасности и заменить их решениями, актуальными для пользователей.
После миллиардов долларов, потраченных на предоставление пользователям технологий безопасности, мы остаемся столь же уязвимыми для кибератак, которые появился в сети AOL в 1990-х годах.. Пришло время изменить это и обеспечить безопасность пользователей.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
