Các nhà thiết kế công nghệ bắt đầu bằng việc xây dựng một sản phẩm và thử nghiệm nó trên người dùng. Sản phẩm có trước; đầu vào của người dùng được sử dụng để xác nhận khả năng tồn tại của nó và cải thiện nó. Cách tiếp cận này có ý nghĩa. McDonald's và Starbucks cũng làm như vậy. Mọi người không thể tưởng tượng ra những sản phẩm mới, giống như họ không thể tưởng tượng ra các công thức nấu ăn nếu không trải nghiệm chúng.
Nhưng mô hình này cũng đã được mở rộng sang việc thiết kế các công nghệ bảo mật, nơi chúng tôi xây dựng các chương trình để bảo vệ người dùng và sau đó yêu cầu người dùng áp dụng chúng. Và điều này không có ý nghĩa.
Bảo mật không phải là một ý tưởng mang tính khái niệm. Mọi người đã sử dụng email, duyệt Web, sử dụng mạng xã hội cũng như chia sẻ tệp và hình ảnh. Bảo mật là một cải tiến được áp dụng cho những việc mà người dùng đã thực hiện khi gửi email, duyệt và chia sẻ trực tuyến. Nó tương tự như việc yêu cầu mọi người thắt dây an toàn.
Đã đến lúc nhìn nhận bảo mật theo cách khác
Tuy nhiên, cách tiếp cận an ninh của chúng tôi cũng giống như dạy lái xe về an toàn trong khi phớt lờ cách mọi người lái xe. Làm tất cả những điều này nhưng đảm bảo rằng người dùng hoặc áp dụng một cách mù quáng thứ gì đó, tin rằng nó tốt hơn hoặc mặt khác, khi bị ép buộc, chỉ tuân theo nó. Dù bằng cách nào, kết quả là không tối ưu.
Lấy trường hợp của phần mềm VPN. Chúng được quảng cáo rầm rộ cho người dùng như một công cụ bảo mật và bảo vệ dữ liệu bắt buộc, nhưng hầu hết đều có giới hạn không có hiệu lực. Chúng khiến những người dùng tin tưởng vào các biện pháp bảo vệ của họ gặp rủi ro cao hơn, chưa kể đến việc người dùng gặp nhiều rủi ro hơn khi tin vào các biện pháp bảo vệ đó. Ngoài ra, hãy xem xét việc đào tạo nâng cao nhận thức bảo mật hiện đang được nhiều tổ chức bắt buộc. Những người nhận thấy việc đào tạo không liên quan đến các trường hợp sử dụng cụ thể của họ sẽ tìm cách giải quyết, thường dẫn đến những rủi ro bảo mật không đếm được.
Có lý do cho tất cả điều này. Hầu hết các quy trình bảo mật đều được thiết kế bởi các kỹ sư có nền tảng về phát triển sản phẩm công nghệ. Họ tiếp cận vấn đề bảo mật như một thách thức kỹ thuật. Người dùng chỉ là một hành động khác trong hệ thống, không khác gì phần mềm và phần cứng có thể được lập trình để thực hiện các chức năng có thể dự đoán được. Mục tiêu là bao gồm các hành động dựa trên mẫu được xác định trước về những đầu vào phù hợp để kết quả có thể dự đoán được. Không có điều nào trong số này dựa trên những gì người dùng cần, mà thay vào đó phản ánh một chương trình lập trình đã được đặt ra trước.
Ví dụ về điều này có thể được tìm thấy trong các chức năng bảo mật được lập trình trong phần lớn các phần mềm ngày nay. Lấy các ứng dụng email, một số ứng dụng cho phép người dùng kiểm tra tiêu đề nguồn của email đến, một lớp thông tin quan trọng có thể tiết lộ danh tính của người gửi, trong khi những ứng dụng khác thì không. Hoặc lấy các trình duyệt di động, một lần nữa, một số cho phép người dùng kiểm tra chất lượng chứng chỉ SSL trong khi những trình duyệt khác thì không, mặc dù người dùng có cùng nhu cầu trên các trình duyệt. Không giống như ai đó chỉ cần xác minh SSL hoặc tiêu đề nguồn khi họ đang sử dụng một ứng dụng cụ thể. Những khác biệt này phản ánh quan điểm riêng biệt của mỗi nhóm lập trình về cách người dùng nên sử dụng sản phẩm của họ - tâm lý ưu tiên sản phẩm.
Người dùng mua, cài đặt hoặc tuân thủ các yêu cầu bảo mật tin rằng các nhà phát triển của các công nghệ bảo mật khác nhau sẽ thực hiện những gì họ hứa — đó là lý do tại sao một số người dùng thậm chí còn ung dung hơn trong các hành động trực tuyến của họ khi sử dụng các công nghệ đó.
Đã đến lúc áp dụng phương pháp tiếp cận bảo mật ưu tiên người dùng
Điều bắt buộc là chúng ta phải đảo ngược mô hình bảo mật — đặt người dùng lên hàng đầu, sau đó xây dựng hệ thống phòng thủ xung quanh họ. Điều này không chỉ vì chúng ta phải bảo vệ mọi người mà còn bởi vì, bằng cách nuôi dưỡng cảm giác bảo vệ sai lầm, chúng ta đang tạo ra rủi ro và khiến họ dễ bị tổn thương hơn. Các tổ chức cũng cần điều này để kiểm soát chi phí. Ngay cả khi các nền kinh tế trên thế giới chao đảo vì đại dịch và chiến tranh, chi tiêu cho an ninh của các tổ chức trong thập kỷ qua vẫn tăng lên theo cấp số nhân.
Bảo mật ưu tiên người dùng phải bắt đầu bằng sự hiểu biết về cách mọi người sử dụng công nghệ điện toán. Chúng ta phải đặt câu hỏi: Điều gì khiến người dùng dễ bị tấn công qua email, tin nhắn, mạng xã hội, duyệt web, chia sẻ tệp?
Chúng ta phải gỡ rối cơ sở cho rủi ro và xác định gốc rễ hành vi, não bộ và kỹ thuật của nó. Đây là thông tin mà các nhà phát triển từ lâu đã bỏ qua khi họ xây dựng các sản phẩm bảo mật của mình, đó là lý do tại sao ngay cả những công ty quan tâm đến bảo mật nhất vẫn bị xâm phạm.
Chú ý đến hành vi trực tuyến
Nhiều câu hỏi trong số này đã được trả lời. Khoa học về bảo mật đã giải thích điều gì khiến người dùng dễ bị tấn công bởi kỹ thuật xã hội. Bởi vì kỹ thuật xã hội nhắm mục tiêu vào nhiều hành động trực tuyến, kiến thức có thể được áp dụng để giải thích một loạt các hành vi.
Trong số các yếu tố được xác định là niềm tin về rủi ro mạng — ý tưởng mà người dùng lưu giữ trong đầu về rủi ro của các hành động trực tuyến và chiến lược xử lý nhận thức - cách người dùng xử lý thông tin một cách nhận thức, điều này quyết định mức độ tập trung chú ý của người dùng đối với thông tin khi trực tuyến. Một tập hợp các yếu tố khác là thói quen và nghi thức truyền thông bị ảnh hưởng một phần bởi các loại thiết bị và một phần bởi các quy tắc tổ chức. Cùng với nhau, niềm tin, phong cách xử lý và thói quen ảnh hưởng đến việc liệu một phần của giao tiếp trực tuyến - email, tin nhắn, trang web, văn bản - có kích hoạt hay không nghi ngờ.
Đào tạo, đo lường và theo dõi những nghi ngờ của người dùng
Nghi ngờ là cảm giác không thoải mái khi gặp phải điều gì đó, cảm giác rằng điều gì đó không ổn. Nó hầu như luôn dẫn đến việc tìm kiếm thông tin và, nếu một người được trang bị loại kiến thức hoặc kinh nghiệm phù hợp, sẽ dẫn đến việc phát hiện và sửa lỗi lừa dối. Bằng cách đo lường sự nghi ngờ cùng với các yếu tố nhận thức và hành vi dẫn đến lỗ hổng lừa đảo, các tổ chức có thể chẩn đoán điều gì khiến người dùng dễ bị tổn thương. Thông tin này có thể được định lượng và chuyển đổi thành chỉ số rủi ro mà họ có thể sử dụng để xác định những người có nguy cơ cao nhất — liên kết yếu nhất — và bảo vệ chúng tốt hơn.
Bằng cách nắm bắt các yếu tố này, chúng tôi có thể theo dõi cách người dùng được đồng chọn thông qua các cuộc tấn công khác nhau, hiểu lý do tại sao họ bị lừa, và phát triển các giải pháp để giảm thiểu nó. Chúng tôi có thể tạo ra các giải pháp xung quanh vấn đề theo kinh nghiệm của người dùng cuối. Chúng tôi có thể loại bỏ các nhiệm vụ bảo mật và thay thế chúng bằng các giải pháp phù hợp với người dùng.
Sau khi chi hàng tỷ đô la để đưa công nghệ bảo mật đến với người dùng, chúng ta vẫn dễ bị tấn công mạng. xuất hiện trong mạng AOL vào những năm 1990. Đã đến lúc chúng ta thay đổi điều này — và xây dựng tính bảo mật cho người dùng.
