Обвинить пользователя легко, но лучше этого не делать
Обвинение пострадавшего довольно распространено в IT: пользователи виноваты, потому что они не обновляют свои системы, выбирают «плохие» пароли, попадаются на интернет-мошенничества, и так далее. Но, хотя пользователи были, есть и будут главным источником проблем безопасности – это не повод обвинять их во всех смертных грехах.
Люди регулярно не делают многих важных вещей: замена масла в автомобилях, походы к дантисту, замену батареек в детекторах дыма. Почему? Да потому что люди учатся лишь на собственных ошибках. Все зависит от времени осознания опасности. Если что-либо опасное воздействует немедленно, например прикосновение к горячей плите, люди быстро учатся не делать этого. Но если кто-то пропустит замену масла, проигнорирует обновление компьютера или выберет «плохой» пароль, то это вряд ли будет иметь мгновенные последствия. А если нет последствий, то не на чем и учиться.
Мы пытаемся решить эти проблемы разными способами. Мы даем людям простые правила: масло необходимо заменяеть каждые 5 000 миль; инструкцию по выбору безопасного пароля. Или, например, посылаем уведомления: детектор дыма подает нам сигнал, дантисты посылают открытки, Google предупреждает нас, если мы собираемся посетить веб-сайт, подозреваемый в содержании «малвари». Но, снова, последствия игнорирования данных правил обычно не ощущаются немедленно.
Это делает безопасность, прежде всего, помехой для пользователя. Она является периодически возникающим препятствием, вмешивается своим выполнением в задачи пользователя. Человеческая натура, связанная с нашим умением мыслить, подсказывает нам избавиться от периодически возникающей преграды. Таким образом, если последствия обхода безопасности не будут очевидны, то люди попросту проигнорируют или удалят как мешающее им препятствие.
Аналогичная проблема связана с User Account Control (UAC) от Microsoft. UAC был введен в Vista, его идея состоит в том, чтобы улучшить безопасность, ограничивая во время запуска привилегии, выдаваемые приложениям. Но подсказки безопасности выскакивают настолько часто, и редко происходит какое-либо действительно вредное воздействие от игнорирования их. Таким образом, люди попросту слепо игнорируют их. Привыкают…
Пользователь – важная часть любой корпоративной системы безопасности. Чем лучше пользователи понимают угрозы безопасности и тактику хакера, тем вероятнее, что их системы будут более безопасными. Однако мало лишь научить пользователя. Необходимо также лучше проектировать системы безопасности, которые рассчитывают на неопытных пользователей: препятствовать тому, чтобы они изменяли параметры настройки безопасности, которые подвергли бы их неуместному риску, или – еще лучше – полностью забрать управление безопасностью из их рук.
Например, все мы знаем, что резервные копии – хорошая вещь. Но если вы забудете сделать резервную копию на этой неделе, то ничего ужасного не случится. Фактически, ничего ужасного не произойдет, даже если в течение многих лет подряд вы будете забывать делать их. Так, несмотря на то, что вы знаете о пользе резервного копирования, вы начинаете полагать, что резервные копии не так уж и важны. Apple принял правильное решение в этом вопросе, предложив своим пользователям утилиту резервного копирования Time Machine. Установите её, подключите внешний жесткий диск, и вы получите автоматическую поддержку против отказа аппаратных средств и человеческих ошибок. Легче использовать ее, чем не использовать, а затем кусать локти.
Что касается Microsoft, то она сделала большие успехи в обеспечении безопасности своей операционной системы, предоставляя параметры настройки безопасности по умолчанию в Windows XP, Windows Vista, чтобы гарантировать, что, когда неопытный пользователь включает компьютер, он не был бы беззащитным.
К сожалению, обвинение пользователя во всех смертных грехах может быть хорошо для бизнеса. Телефонные компании экономят деньги, когда они могут обвинить своих клиентов в мошенничестве при краже у них телефонов. Британские банки экономят деньги, обвиняя пользователей, когда те становятся жертвами мошенничества с карточками chip-and-pin.
Законодательство должно решить кто прав, а кто виноват, а проектировщики системы должны проработать технические аспекты. Они должны признать, что системы безопасности, которые требуют от пользователя лишь «правильных» действий, обречены на провал.
Confido Security
Люди регулярно не делают многих важных вещей: замена масла в автомобилях, походы к дантисту, замену батареек в детекторах дыма. Почему? Да потому что люди учатся лишь на собственных ошибках. Все зависит от времени осознания опасности. Если что-либо опасное воздействует немедленно, например прикосновение к горячей плите, люди быстро учатся не делать этого. Но если кто-то пропустит замену масла, проигнорирует обновление компьютера или выберет «плохой» пароль, то это вряд ли будет иметь мгновенные последствия. А если нет последствий, то не на чем и учиться.
Мы пытаемся решить эти проблемы разными способами. Мы даем людям простые правила: масло необходимо заменяеть каждые 5 000 миль; инструкцию по выбору безопасного пароля. Или, например, посылаем уведомления: детектор дыма подает нам сигнал, дантисты посылают открытки, Google предупреждает нас, если мы собираемся посетить веб-сайт, подозреваемый в содержании «малвари». Но, снова, последствия игнорирования данных правил обычно не ощущаются немедленно.
Это делает безопасность, прежде всего, помехой для пользователя. Она является периодически возникающим препятствием, вмешивается своим выполнением в задачи пользователя. Человеческая натура, связанная с нашим умением мыслить, подсказывает нам избавиться от периодически возникающей преграды. Таким образом, если последствия обхода безопасности не будут очевидны, то люди попросту проигнорируют или удалят как мешающее им препятствие.
Аналогичная проблема связана с User Account Control (UAC) от Microsoft. UAC был введен в Vista, его идея состоит в том, чтобы улучшить безопасность, ограничивая во время запуска привилегии, выдаваемые приложениям. Но подсказки безопасности выскакивают настолько часто, и редко происходит какое-либо действительно вредное воздействие от игнорирования их. Таким образом, люди попросту слепо игнорируют их. Привыкают…
Пользователь – важная часть любой корпоративной системы безопасности. Чем лучше пользователи понимают угрозы безопасности и тактику хакера, тем вероятнее, что их системы будут более безопасными. Однако мало лишь научить пользователя. Необходимо также лучше проектировать системы безопасности, которые рассчитывают на неопытных пользователей: препятствовать тому, чтобы они изменяли параметры настройки безопасности, которые подвергли бы их неуместному риску, или – еще лучше – полностью забрать управление безопасностью из их рук.
Например, все мы знаем, что резервные копии – хорошая вещь. Но если вы забудете сделать резервную копию на этой неделе, то ничего ужасного не случится. Фактически, ничего ужасного не произойдет, даже если в течение многих лет подряд вы будете забывать делать их. Так, несмотря на то, что вы знаете о пользе резервного копирования, вы начинаете полагать, что резервные копии не так уж и важны. Apple принял правильное решение в этом вопросе, предложив своим пользователям утилиту резервного копирования Time Machine. Установите её, подключите внешний жесткий диск, и вы получите автоматическую поддержку против отказа аппаратных средств и человеческих ошибок. Легче использовать ее, чем не использовать, а затем кусать локти.
Что касается Microsoft, то она сделала большие успехи в обеспечении безопасности своей операционной системы, предоставляя параметры настройки безопасности по умолчанию в Windows XP, Windows Vista, чтобы гарантировать, что, когда неопытный пользователь включает компьютер, он не был бы беззащитным.
К сожалению, обвинение пользователя во всех смертных грехах может быть хорошо для бизнеса. Телефонные компании экономят деньги, когда они могут обвинить своих клиентов в мошенничестве при краже у них телефонов. Британские банки экономят деньги, обвиняя пользователей, когда те становятся жертвами мошенничества с карточками chip-and-pin.
Законодательство должно решить кто прав, а кто виноват, а проектировщики системы должны проработать технические аспекты. Они должны признать, что системы безопасности, которые требуют от пользователя лишь «правильных» действий, обречены на провал.
Confido Security
комментарии (13)