สร้างความปลอดภัยรอบตัวผู้ใช้: แนวทางแรกของมนุษย์เพื่อความยืดหยุ่นทางไซเบอร์

นักออกแบบเทคโนโลยีเริ่มต้นด้วยการสร้างผลิตภัณฑ์และทดสอบกับผู้ใช้ สินค้าต้องมาก่อน ข้อมูลของผู้ใช้ใช้เพื่อยืนยันความมีชีวิตและปรับปรุงให้ดีขึ้น แนวทางนี้สมเหตุสมผล McDonald's และ Starbucks ก็ทำเช่นเดียวกัน ผู้คนไม่สามารถจินตนาการถึงผลิตภัณฑ์ใหม่ๆ ได้ เช่นเดียวกับที่พวกเขาไม่สามารถจินตนาการถึงสูตรอาหารต่างๆ โดยไม่ได้สัมผัสประสบการณ์เหล่านั้น

แต่กระบวนทัศน์ยังได้รับการขยายไปสู่การออกแบบเทคโนโลยีความปลอดภัย โดยที่เราสร้างโปรแกรมสำหรับการปกป้องผู้ใช้ จากนั้นขอให้ผู้ใช้นำไปใช้ และนี่ไม่สมเหตุสมผลเลย

การรักษาความปลอดภัยไม่ใช่แนวคิดเชิงแนวคิด ผู้คนใช้อีเมลอยู่แล้ว ท่องเว็บ ใช้โซเชียลมีเดีย และแบ่งปันไฟล์และรูปภาพ การรักษาความปลอดภัยคือการปรับปรุงที่ซ้อนเหนือสิ่งที่ผู้ใช้ทำอยู่แล้วเมื่อส่งอีเมล เรียกดู และแชร์ออนไลน์ ก็เหมือนกับการขอให้ผู้คนคาดเข็มขัดนิรภัย

ถึงเวลาที่จะมองความปลอดภัยให้แตกต่างออกไป

อย่างไรก็ตาม แนวทางการรักษาความปลอดภัยของเราก็เหมือนกับการสอนเรื่องความปลอดภัยของผู้ขับขี่โดยไม่สนใจวิธีขับขี่ของผู้คน การทำเช่นนี้ทั้งหมดแต่ทำให้แน่ใจได้ว่าผู้ใช้จะรับบางอย่างโดยสุ่มสี่สุ่มห้าโดยเชื่อว่าดีกว่า หรือในทางกลับกัน เมื่อถูกบังคับ ก็แค่ปฏิบัติตามเท่านั้น ไม่ว่าจะด้วยวิธีใด ผลลัพธ์ที่ได้จะไม่ค่อยดีนัก

ใช้กรณีของซอฟต์แวร์ VPN สิ่งเหล่านี้ได้รับการส่งเสริมอย่างมาก ให้กับผู้ใช้ในฐานะเครื่องมือรักษาความปลอดภัยและการปกป้องข้อมูลที่ต้องมี แต่ส่วนใหญ่ก็มี จำกัดว่าไม่มีความถูกต้อง. พวกเขาทำให้ผู้ใช้ที่เชื่อในการป้องกันของตนมีความเสี่ยงมากขึ้น ไม่ต้องพูดถึงว่าผู้ใช้รับความเสี่ยงมากขึ้นโดยเชื่อในการป้องกันดังกล่าว นอกจากนี้ ให้พิจารณาการฝึกอบรมเรื่องความตระหนักรู้ด้านความปลอดภัยที่ปัจจุบันได้รับคำสั่งจากองค์กรหลายแห่ง ผู้ที่พบว่าการฝึกอบรมไม่เกี่ยวข้องกับกรณีการใช้งานเฉพาะของตนจะพบวิธีแก้ปัญหา ซึ่งมักจะนำไปสู่ความเสี่ยงด้านความปลอดภัยนับไม่ถ้วน

มีเหตุผลทั้งหมดนี้ กระบวนการรักษาความปลอดภัยส่วนใหญ่ได้รับการออกแบบโดยวิศวกรที่มีพื้นฐานในการพัฒนาผลิตภัณฑ์เทคโนโลยี พวกเขามองว่าการรักษาความปลอดภัยถือเป็นความท้าทายทางเทคนิค ผู้ใช้เป็นเพียงการกระทำอีกอย่างหนึ่งในระบบ ไม่ต่างจากซอฟต์แวร์และฮาร์ดแวร์ที่สามารถตั้งโปรแกรมให้ทำหน้าที่ที่คาดเดาได้ เป้าหมายคือให้มีการดำเนินการตามเทมเพลตที่กำหนดไว้ล่วงหน้าว่าข้อมูลใดเหมาะสม เพื่อให้สามารถคาดเดาผลลัพธ์ได้ สิ่งเหล่านี้ไม่ได้ขึ้นอยู่กับสิ่งที่ผู้ใช้ต้องการ แต่กลับสะท้อนถึงวาระการเขียนโปรแกรมที่กำหนดไว้ล่วงหน้าแทน

ตัวอย่างนี้สามารถพบได้ในฟังก์ชันความปลอดภัยที่ตั้งโปรแกรมไว้ในซอฟต์แวร์ส่วนใหญ่ในปัจจุบัน ใช้แอปอีเมล ซึ่งบางแอปอนุญาตให้ผู้ใช้ตรวจสอบส่วนหัวแหล่งที่มาของอีเมลขาเข้า ซึ่งเป็นชั้นข้อมูลสำคัญที่สามารถเปิดเผยตัวตนของผู้ส่งได้ ในขณะที่แอปอื่นไม่ทำ หรือใช้เบราว์เซอร์มือถือ ซึ่งบางเบราว์เซอร์อนุญาตให้ผู้ใช้ตรวจสอบคุณภาพใบรับรอง SSL ในขณะที่เบราว์เซอร์อื่นๆ ไม่ทำ แม้ว่าผู้ใช้จะมีความต้องการเหมือนกันในเบราว์เซอร์ต่างๆ ก็ตาม ไม่ใช่ว่าจะต้องมีคนยืนยัน SSL หรือส่วนหัวของแหล่งที่มาเฉพาะเมื่อพวกเขาอยู่ในแอปใดแอปหนึ่งเท่านั้น ความแตกต่างเหล่านี้สะท้อนให้เห็นคือมุมมองที่แตกต่างกันของกลุ่มการเขียนโปรแกรมแต่ละกลุ่มว่าผู้ใช้ควรใช้ผลิตภัณฑ์ของตนอย่างไร — ความคิดที่คำนึงถึงผลิตภัณฑ์เป็นอันดับแรก

ผู้ใช้ซื้อ ติดตั้ง หรือปฏิบัติตามข้อกำหนดด้านความปลอดภัยโดยเชื่อว่านักพัฒนาเทคโนโลยีความปลอดภัยต่างๆ ส่งมอบสิ่งที่พวกเขาสัญญาไว้ ซึ่งเป็นเหตุผลว่าทำไมผู้ใช้บางคนถึงกล้าที่จะกระทำการออนไลน์ของตนในขณะที่ใช้เทคโนโลยีดังกล่าว

ถึงเวลาสำหรับแนวทางการรักษาความปลอดภัยที่คำนึงถึงผู้ใช้เป็นอันดับแรก

จำเป็นอย่างยิ่งที่เราจะพลิกกลับกระบวนทัศน์ด้านความปลอดภัย โดยให้ความสำคัญกับผู้ใช้เป็นอันดับแรก จากนั้นจึงสร้างการป้องกันรอบตัวพวกเขา นี่ไม่ใช่แค่เพราะเราต้องปกป้องผู้คนเท่านั้น แต่ยังเพราะด้วยการส่งเสริมความรู้สึกผิด ๆ ในการปกป้อง เรากำลังกระตุ้นให้เกิดความเสี่ยงและทำให้พวกเขาอ่อนแอมากขึ้น องค์กรต่างๆ ยังต้องการสิ่งนี้เพื่อควบคุมต้นทุน แม้ว่าเศรษฐกิจของโลกจะสั่นคลอนจากโรคระบาดและสงคราม การใช้จ่ายด้านความมั่นคงขององค์กรในทศวรรษที่ผ่านมาก็เพิ่มขึ้นทางเรขาคณิต

การรักษาความปลอดภัยที่คำนึงถึงผู้ใช้เป็นอันดับแรกต้องเริ่มต้นด้วยความเข้าใจว่าผู้คนใช้เทคโนโลยีคอมพิวเตอร์อย่างไร เราต้องถาม: อะไรที่ทำให้ผู้ใช้เสี่ยงต่อการถูกแฮ็กผ่านอีเมล การส่งข้อความ โซเชียลมีเดีย การท่องเว็บ การแชร์ไฟล์

เราต้องแยกพื้นฐานของความเสี่ยงออก และค้นหารากเหง้าของพฤติกรรม สมอง และทางเทคนิค นี่เป็นข้อมูลที่นักพัฒนาละเลยมานานแล้วในขณะที่พวกเขาสร้างผลิตภัณฑ์รักษาความปลอดภัย ซึ่งเป็นเหตุผลว่าทำไมแม้แต่บริษัทที่คำนึงถึงความปลอดภัยส่วนใหญ่ก็ยังถูกละเมิด

ให้ความสนใจกับพฤติกรรมออนไลน์

คำถามเหล่านี้มากมาย ได้รับคำตอบแล้ว. ศาสตร์แห่งความปลอดภัยได้อธิบายสิ่งที่ทำให้ผู้ใช้เสี่ยงต่อวิศวกรรมสังคม เนื่องจากวิศวกรรมสังคมกำหนดเป้าหมายไปที่การกระทำออนไลน์ที่หลากหลาย ความรู้นี้จึงสามารถนำไปใช้เพื่ออธิบายพฤติกรรมที่หลากหลายได้

ในบรรดาปัจจัยที่ระบุได้แก่ ความเชื่อเรื่องความเสี่ยงทางไซเบอร์ — แนวคิดที่ผู้ใช้คำนึงถึงความเสี่ยงของการดำเนินการออนไลน์ และ กลยุทธ์การประมวลผลทางปัญญา — วิธีที่ผู้ใช้จัดการกับข้อมูลโดยการรับรู้ ซึ่งกำหนดปริมาณความสนใจที่ผู้ใช้จ่ายให้กับข้อมูลเมื่อออนไลน์ ปัจจัยอีกชุดหนึ่งก็คือ นิสัยและพิธีกรรมของสื่อ ซึ่งส่วนหนึ่งได้รับอิทธิพลจากประเภทของอุปกรณ์และส่วนหนึ่งจากบรรทัดฐานขององค์กร ความเชื่อ รูปแบบการประมวลผล และนิสัย เมื่อรวมกันแล้วจะมีอิทธิพลต่อการสื่อสารออนไลน์ เช่น อีเมล ข้อความ หน้าเว็บ ข้อความ เป็นต้น ความสงสัย.

ฝึกอบรม วัด และติดตามความสงสัยของผู้ใช้

ความสงสัยคือความไม่สบายใจเมื่อเผชิญกับบางสิ่งบางอย่าง ความรู้สึกว่ามีบางอย่างผิดปกติ มักจะนำไปสู่การแสวงหาข้อมูล และหากบุคคลมีความรู้หรือประสบการณ์ที่เหมาะสม ก็จะนำไปสู่การตรวจจับการหลอกลวงและการแก้ไข โดยการวัดความสงสัยควบคู่ไปกับปัจจัยด้านความรู้ความเข้าใจและพฤติกรรมที่นำไปสู่ช่องโหว่ของฟิชชิ่ง องค์กรสามารถวินิจฉัยสิ่งที่ทำให้ผู้ใช้มีความเสี่ยงได้. ข้อมูลนี้สามารถวัดปริมาณและแปลงเป็นดัชนีความเสี่ยงซึ่งสามารถใช้เพื่อระบุผู้ที่มีความเสี่ยงมากที่สุด — ลิงค์ที่อ่อนแอที่สุด — และปกป้องพวกเขาได้ดีขึ้น

ด้วยการจับปัจจัยเหล่านี้ เราสามารถติดตามวิธีที่ผู้ใช้ถูกเลือกร่วมผ่านการโจมตีต่างๆ เข้าใจว่าทำไมพวกเขาถึงถูกหลอก และพัฒนาแนวทางแก้ไขเพื่อลดปัญหาดังกล่าว. เราสามารถสร้างวิธีแก้ปัญหาตามที่ผู้ใช้ปลายทางประสบ เราสามารถยกเลิกข้อกำหนดด้านความปลอดภัย และแทนที่ด้วยโซลูชันที่เกี่ยวข้องกับผู้ใช้

หลังจากทุ่มเงินหลายพันล้านเพื่อนำเสนอเทคโนโลยีความปลอดภัยต่อหน้าผู้ใช้ เราก็ยังคงเสี่ยงต่อการโจมตีทางไซเบอร์เช่นเดียวกัน เกิดขึ้นในเครือข่าย AOL ในปี 1990. ถึงเวลาที่เราจะต้องเปลี่ยนแปลงสิ่งนี้ — และสร้างความปลอดภัยให้กับผู้ใช้