Розробники технологій починають зі створення продукту та тестування його на користувачах. Продукт на першому місці; введення користувача використовується для підтвердження його життєздатності та покращення. Підхід має сенс. McDonald’s і Starbucks роблять те саме. Люди не можуть уявити нові продукти, так само як вони не можуть уявити рецепти, не випробувавши їх.
Але парадигму також поширили на розробку технологій безпеки, де ми створюємо програми для захисту користувачів, а потім просимо користувачів застосувати їх. І це не має сенсу.
Безпека – це не концептуальна ідея. Люди вже користуються електронною поштою, уже переглядають веб-сторінки, користуються соціальними мережами та обмінюються файлами та зображеннями. Безпека – це вдосконалення, яке накладається на те, що користувачі вже роблять під час надсилання електронних листів, перегляду та обміну інформацією в Інтернеті. Це схоже на те, щоб просити людей пристебнути ремінь безпеки.
Час поглянути на безпеку інакше
Однак наш підхід до безпеки схожий на навчання водіїв безпеці, ігноруючи те, як люди їздять. Це гарантує, що користувачі або сліпо приймуть щось, вважаючи, що це краще, або, з іншого боку, якщо будуть змушені, просто підкоряться цьому. У будь-якому випадку результати неоптимальні.
Візьмемо програмне забезпечення VPN. Вони активно рекламуються для користувачів як обов’язковий інструмент безпеки та захисту даних, але більшість має обмежено без чинності. Вони піддають більшому ризику користувачів, які вірять у їх захист, не кажучи вже про те, що користувачі більше ризикують, вірячи в такий захист. Крім того, розглянемо навчання з питань безпеки, яке зараз вимагається багатьма організаціями. Ті, хто вважає навчання невідповідним для конкретних випадків використання, знаходять обхідні шляхи, що часто призводить до незліченних ризиків безпеці.
На все це є причина. Більшість процесів безпеки розроблено інженерами, які мають досвід розробки технологічних продуктів. Вони підходять до безпеки як до технічної проблеми. Користувачі — це лише ще одна дія в системі, яка нічим не відрізняється від програмного та апаратного забезпечення, яке можна запрограмувати для виконання передбачуваних функцій. Мета полягає в тому, щоб містити дії на основі попередньо визначеного шаблону відповідних вхідних даних, щоб результати стали передбачуваними. Усе це не залежить від того, що потрібно користувачеві, натомість відображає план програмування, визначений заздалегідь.
Приклади цього можна знайти у функціях безпеки, запрограмованих у більшість сучасних програм. Візьмемо програми електронної пошти, деякі з яких дозволяють користувачам перевіряти заголовок джерела вхідного електронного листа, важливий рівень інформації, який може розкрити особу відправника, а інші ні. Або візьмемо мобільні браузери, де, знову ж таки, одні дозволяють користувачам перевіряти якість сертифіката SSL, а інші ні, навіть якщо користувачі мають однакові потреби в усіх браузерах. Це не те, що комусь потрібно перевіряти SSL або вихідний заголовок лише тоді, коли вони використовують певну програму. Ці відмінності відображають особливий погляд кожної групи програмістів на те, як їхній продукт повинен використовуватися користувачем — менталітет перш за все продукту.
Користувачі купують, встановлюють або дотримуються вимог безпеки, вірячи, що розробники різних технологій безпеки забезпечують те, що вони обіцяють, — тому деякі користувачі ще більш розбещено діють в Інтернеті, використовуючи такі технології.
Час для підходу до безпеки на першому місці для користувача
Вкрай важливо змінити парадигму безпеки — поставити користувачів на перше місце, а потім створювати захист навколо них. Це відбувається не лише тому, що ми повинні захищати людей, а й тому, що, плекаючи помилкове відчуття захищеності, ми створюємо ризик і робимо їх більш уразливими. Це також потрібно організаціям, щоб контролювати витрати. Незважаючи на те, що світові економіки відступили від пандемій і воєн, витрати на організаційну безпеку за останнє десятиліття геометрично зросли.
Безпека користувача на першому місці має починатися з розуміння того, як люди використовують обчислювальні технології. Ми повинні запитати: що робить користувачів уразливими до злому через електронну пошту, обмін повідомленнями, соціальні мережі, перегляд веб-сторінок, обмін файлами?
Ми повинні розкрити основу ризику та знайти його поведінкові, церебральні та технічні корені. Це була інформація, яку розробники довго ігнорували, коли створювали свої продукти безпеки, тому навіть компанії, які найбільше піклуються про безпеку, досі зазнають зламу.
Зверніть увагу на поведінку в Інтернеті
Багато таких питань вже відповіли. Наука безпеки пояснила, що робить користувачів вразливими до соціальної інженерії. Оскільки соціальна інженерія спрямована на різноманітні дії в Інтернеті, знання можна застосувати для пояснення широкого діапазону поведінки.
Серед визначених факторів є переконання щодо кіберризику — думки користувачів про ризик дій в Інтернеті та когнітивні стратегії обробки — як користувачі когнітивно звертаються до інформації, що визначає кількість зосередженої уваги, яку користувачі приділяють інформації в Інтернеті. Ще один набір факторів медійні звички та ритуали на які частково впливають типи пристроїв і частково організаційні норми. Разом вірування, стилі обробки та звички впливають на те, чи спрацьовує частина онлайн-комунікації — електронна пошта, повідомлення, веб-сторінка, текст підозра.
Навчання, вимірювання та відстеження підозр користувачів
Підозра — це неспокій при зустрічі з чимось, відчуття, що щось не так. Це майже завжди призводить до пошуку інформації та, якщо людина озброєна потрібними типами знань або досвіду, призводить до виявлення обману та виправлення. Вимірюючи підозру разом із когнітивними та поведінковими факторами, що призводять до вразливості до фішингу, організації можуть діагностувати, що робить користувачів уразливими. Цю інформацію можна кількісно визначити та перетворити на індекс ризику, який вони можуть використати для визначення тих, хто найбільше піддається ризику — найслабші ланки — і краще їх захищати.
Враховуючи ці фактори, ми можемо відстежувати, як користувачів кооптують через різні атаки, зрозуміти, чому їх обманюють, і розробити рішення для її пом’якшення. Ми можемо розробити рішення, пов’язані з проблемою на основі досвіду кінцевих користувачів. Ми можемо відмовитися від вимог безпеки та замінити їх рішеннями, відповідними користувачам.
Після мільярдів, витрачених на надання технологій безпеки користувачам, ми залишаємося настільки ж вразливими до кібератак, які з’явився в мережі AOL у 1990-х роках. Настав час це змінити — і захистити користувачів.
