Teknikdesigners börjar med att bygga en produkt och testa den på användare. Produkten kommer först; användarinmatning används för att bekräfta dess lönsamhet och förbättra den. Tillvägagångssättet är vettigt. McDonalds och Starbucks gör samma sak. Människor kan inte föreställa sig nya produkter, precis som de inte kan föreställa sig recept, utan att uppleva dem.
Men paradigmet har också utvidgats till utformningen av säkerhetsteknologier, där vi bygger program för användarskydd och sedan ber användarna att tillämpa dem. Och det här är inte vettigt.
Säkerhet är inte en konceptuell idé. Människor använder redan e-post, surfar redan på webben, använder sociala medier och delar filer och bilder. Säkerhet är en förbättring som ligger över något som användare redan gör när de skickar e-post, surfar och delar online. Det liknar att be folk att använda säkerhetsbälte.
Dags att se på säkerheten annorlunda
Vår inställning till säkerhet är dock som att lära förarens säkerhet samtidigt som vi ignorerar hur människor kör. Genom att göra allt detta säkerställer du att användare antingen blint adopterar något, tror att det är bättre, eller på baksidan, när de tvingas, bara följer det. Hur som helst är resultaten suboptimala.
Ta fallet med VPN-programvara. Dessa är kraftigt befordrade till användare som ett måste-ha säkerhets- och dataskyddsverktyg, men de flesta har begränsad till ingen giltighet. De utsätter användare som tror på deras skydd för större risk, för att inte tala om att användare tar fler risker, eftersom de tror på sådana skydd. Tänk också på utbildningen i säkerhetsmedvetenhet som nu är på uppdrag av många organisationer. De som tycker att utbildningen är irrelevant för deras specifika användningsfall hittar lösningar som ofta leder till otaliga säkerhetsrisker.
Det finns en anledning till allt detta. De flesta säkerhetsprocesser är designade av ingenjörer med bakgrund i att utveckla tekniska produkter. De närmar sig säkerhet som en teknisk utmaning. Användare är bara ytterligare en åtgärd i systemet, inte annorlunda än mjukvara och hårdvara som kan programmeras för att utföra förutsägbara funktioner. Målet är att innehålla åtgärder utifrån en fördefinierad mall över vilka insatser som är lämpliga, så att utfallen blir förutsägbara. Inget av detta baseras på vad användaren behöver, utan speglar istället en programmeringsagenda som fastställts i förväg.
Exempel på detta finns i säkerhetsfunktionerna som är programmerade i mycket av dagens mjukvara. Ta e-postappar, av vilka vissa låter användare kontrollera ett inkommande e-postmeddelandes källhuvud, ett viktigt lager av information som kan avslöja en avsändares identitet, medan andra inte gör det. Eller ta mobila webbläsare, där, återigen, vissa tillåter användare att kontrollera SSL-certifikatets kvalitet medan andra inte gör det, även om användare har samma behov i alla webbläsare. Det är inte som att någon bara behöver verifiera SSL eller källhuvudet när de är på en specifik app. Vad dessa skillnader återspeglar är varje programmeringsgrupps distinkta syn på hur deras produkt ska användas av användaren - en produkt-först-mentalitet.
Användare köper, installerar eller följer säkerhetskraven och tror att utvecklarna av olika säkerhetsteknologier levererar vad de lovar – vilket är anledningen till att vissa användare är ännu mer lyhörda i sina onlinehandlingar när de använder sådan teknik.
Dags för en användar-första säkerhetsstrategi
Det är absolut nödvändigt att vi inverterar säkerhetsparadigmet – sätt användarna först och sedan bygga försvar runt dem. Detta beror inte bara på att vi måste skydda människor utan också för att vi, genom att främja en falsk känsla av skydd, underblåser risker och gör dem mer sårbara. Organisationer behöver också detta för att kontrollera kostnaderna. Även när världens ekonomier har visats från pandemier och krig, har organisatoriska säkerhetsutgifter under det senaste decenniet ökat geometriskt.
Användarens första säkerhet måste börja med en förståelse för hur människor använder datorteknik. Vi måste fråga: Vad är det som gör användare sårbara för hackning via e-post, meddelanden, sociala medier, surfning, fildelning?
Vi måste reda ut grunden för risk och lokalisera dess beteendemässiga, cerebrala och tekniska rötter. Detta har varit den information som utvecklare länge har ignorerat när de byggt sina säkerhetsprodukter, vilket är anledningen till att även de mest säkerhetsinriktade företagen fortfarande blir kränkta.
Var uppmärksam på onlinebeteende
Många av dessa frågor har redan besvarats. Vetenskapen om säkerhet har förklarat vad som gör användare sårbara för social ingenjörskonst. Eftersom social ingenjörskonst inriktar sig på en mängd olika onlineåtgärder kan kunskapen användas för att förklara ett brett spektrum av beteenden.
Bland de faktorer som identifierats är övertygelser om cyberrisk – idéer som användare har i tankarna om risken för onlinehandlingar, och kognitiva bearbetningsstrategier — hur användare kognitivt adresserar information, vilket dikterar mängden fokuserad uppmärksamhet användare ägnar åt information när de är online. En annan uppsättning faktorer är medievanor och ritualer som dels påverkas av typerna av enheter och dels av organisatoriska normer. Tillsammans påverkar övertygelser, bearbetningsstilar och vanor huruvida en del av onlinekommunikation – e-post, meddelande, webbsida, text – utlöser misstanke.
Träna, mät och spåra användarmisstankar
Misstanke är att oro när man möter något, känslan av att något är avstängt. Det leder nästan alltid till informationssökning och, om en person är beväpnad med rätt typ av kunskap eller erfarenhet, leder det till bedrägeriupptäckande och rättelse. Genom att mäta misstänksamhet tillsammans med kognitiva och beteendemässiga faktorer som leder till sårbarhet för nätfiske, organisationer kan diagnostisera vad som gjorde användare sårbara. Denna information kan kvantifieras och omvandlas till ett riskindex som de kan använda för att identifiera de som löper störst risk — de svagaste länkarna – och skydda dem bättre.
Genom att fånga dessa faktorer kan vi spåra hur användare blir adjungerade genom olika attacker, förstå varför de blir lurade, och utveckla lösningar för att mildra det. Vi kan skapa lösningar kring problemet som slutanvändarna upplever. Vi kan göra av med säkerhetsmandaten och ersätta dem med lösningar som är relevanta för användarna.
Efter att miljarder spenderat på att sätta säkerhetsteknik framför användarna är vi fortfarande lika sårbara för cyberattacker som uppstod i AOL-nätverket på 1990-talet. Det är dags att vi ändrar detta – och bygger säkerhet kring användare.
