Hi-Tech

Защитить пользователя и повысить безопасность продукта с помощью дизайн-мышления

Конспект материала продуктового дизайнера Серены Чен.

В закладки

Чем выше уровень безопасности продукта, тем сложнее его использовать. В сфере высоких технологий широко распространён миф о том, что удобство в использовании и безопасность взаимоисключают друг друга. И наоборот: простой в применении означает менее защищённый.

Безопасная система должна быть управляемой, надёжной и удобной для использования. По мнению Серены Чен, хорошо проработанный UX-дизайн и безопасность неотъемлемы друг от друга.

Удобная для использования система уменьшает недопонимание между человеком и продуктом, она уменьшает вероятность непредвиденного поведения, что ведёт к более высокому уровню безопасности.

Что удерживает нас от создания систем безопасности, которые понятны и просты в использовании? Почему нам кажется, что эти вещи несовместимы?

Серена Чен

Дело в культуре

Поэтому нужно перестать ждать от всех, что они станут экспертами по безопасности, чтобы выполнять простые действия в интернете. По мнению Чен, каждый имеет право на безопасность — независимо от уровня технических знаний.

Мы стыдим пользователей за повторное использование одного и того же пароля для всех учётных записей.

Мы будем смеяться над людьми, которые размещают фотографии своих кредитных карт в интернете (и сделаем репост такой записи, что ещё больше ухудшит их положение).

Мы скажем несведущим людям пользоваться программами вроде PGP и рассмеёмся, когда они не смогут в них разобраться.

Серена Чен

Он утверждает, что дизайнеры продуктов сами провалились как специалисты, потому что не смогли создать одновременно безопасную и простую систему. Когда пользователь совершает много ошибок, это расстраивает, но «применять метод “вины и стыда” бесполезно», — пишет Серена Чен.

Дизайн как инструмент

Это не так: никто не задумывается о безопасности. Чен считает, что, возможно, дизайнеры продуктов так спокойно реагируют на неудачные решения в области безопасности, потому что измеряют пользователей по себе и считают, что они сами о себе заботятся. Это волнует всех только на словах.

Если пользователям дать выбор между пляшущими свиньями и безопасностью, они всегда выберут свиней.

Гэри Макгро и Эдвард Фельтен

авторы книги “Securing Java: Getting Down to Business with Mobile Code”

Например, создать и запомнить хороший пароль, который тяжело взломать, очень трудно. Чен пишет, что зачастую людей не заботит безопасность по рациональным причинам. Кроме того, большинство крупных финансовых учреждений сами несут ответственность за взлом системы.

Простой анализ затрат и доходов стимулирует приложить все усилия для создания и запоминания десятков уникальных надёжных паролей. Другие компании часто отслеживают и блокируют подозрительное поведение.

Потому что они не должны этого делать. Как итог — никто не заботится о безопасности, но это нормально. Чен пишет, что этим должны заняться дизайнеры продуктов.

Которой сможет пользоваться каждый, будь он экспертом по безопасности, разработчиком, дизайнером или потенциальным пользователем. Задача — создать доступную, эффективную и безопасную систему для всех.

Здесь начинает работать дизайн. Для Серены Чен одним ценным уроком стало то, что неважно, насколько красиво, правильно или «идеально» что-то выполнено, если никто не хочет этим пользоваться.

Чен призывает думать о дизайне как об инструменте, который способен помочь решить совершенно иные проблемы, инструменте, который позволяет перестать говорить «нет» и узнать, как, когда и чему сказать «да». Дизайн касается не только визуальной красоты, но и удобства использования.

Сказать «да»: как, чему и почему

Автор рассматривает четыре подхода к осмыслению проблем безопасности через призму поведенческого дизайна:

  • пути наименьшего сопротивления;
  • определение намерения;
  • снижение недопонимания;
  • соответствие ментальным моделям.

В целом эти подходы предназначены для того, чтобы помочь сосредоточиться на технических аспектах и поставить себя на место потенциальных пользователей.

В статье предлагается начать с упражнения, которое переключит мышление с того, что можно сделать в ваших системах, на то, что будет сделано.

Пути наименьшего сопротивления

Чен пишет, что дизайнеры продуктов привыкли ставить преграды.

Как пользователи реагируют на предупреждения: «Соединение может быть небезопасным» — «Окей, но оно мне нужно для работы»

Но это неэффективно. А также о том, что привыкли уведомлять о возможных проблемах и ставить пользователя перед выбором: что делать.

Чен считает, что можно направлять людей таким образом, чтобы путь наименьшего сопротивления соответствовал пути наибольшей безопасности. Если посмотреть на безопасность через призму дизайн-мышления, можно перестать ставить им преграды.

Нулевой путь: не делать ничего

Принцип «безопасный по умолчанию» — это путь наименьшего сопротивления.

Но это не самый безопасный путь. Чен пишет, что проще и удобнее начать использовать новое устройство или программу с настройками по умолчанию. Использование настроек по умолчанию без проверки того, что в них установлено, может представлять опасность для конфиденциальной информации.

Путь первый: сделать что-нибудь

Никто не любит, когда ему задают домашнее задание, особенно когда у него есть более важные дела. Автор считает необходимым, чтобы действия, касающиеся обеспечения безопасности, стали естественной частью любого процесса.

Когда человек планирует, он, вероятно, пытается сгруппировать задачи по признакам, объединять похожие. Чен предлагает провести аналогию с планированием задач на день.

Например, если нужно, чтобы потенциальный пользователь настроил MFA, то можно включить этот этап в процесс регистрации. Автор советует подходить к безопасности с тем же организованным мышлением. Чен пишет, что не нужно рассчитывать на то, что пользователи зайдут в меню настроек позже ради этого.

Если человек уже решил посвятить время долгому процессу установки, то выполнение ещё одной задачи, скорее всего, никак его не обременит.

Чтобы пользователи не пренебрегали безопасностью, мы должны согласовывать наши цели и задачи с запросами пользователей и планировать свои действия соответствующим образом.

Сделайте процесс проще, сгруппировав схожие между собой задачи, которые требуют одинакового набора действий.
Когда эти цели расходятся между собой, люди начинают игнорировать меры безопасности.

Серена Чен

Путь второй: эффект ложной тревоги

Когда безопасность представляет собой то, что создаёт препятствия, а не возможности, люди закрывают глаза на предупреждения.

Чен пишет, что даже если дизайнеры продуктов делают всё возможное, чтобы защитить пользователей, иногда кажется, что они намеренно пренебрегают предупреждениями. Самоатаки XSS — яркий пример этого. Эффект ложной тревоги — это явление, при котором каждая ложная тревога снижает доверие к системе предупреждения.

Почему предупреждения не работают, даже когда угроза риска достаточно высока? Даже «учебная» тревога усиливает влияние ложного сигнала тревоги. Речь идёт не только о путях наименьшего сопротивления — речь о путях наименьшего воспринимаемого сопротивления.

Самоатаки XSS распространены, но люди всё равно игнорируют большое красное предупреждение об угрозе в консоли Facebook и переходят по ссылкам, которые ведут на незнакомые или подозрительные сайты

Чем больше люди встречают эти предупреждения, тем меньше они обращают на них внимание. Если пользователь отклоняет десять предупреждений безопасности подряд, он привыкает к этому и будет делать так каждый раз.

«Как полиморфные предупреждения уменьшают процесс привыкания в мозге: идеи из исследования фМРТ». Материалы 33-й ежегодной конференции ACM по человеческому фактору в вычислительных системах Аль Андерсон

Они обнаружили, что зрительная активность участников снизилась уже после второго просмотра сообщений. Автор приводит результаты исследования группы из Университета Бригама Янга, которая наблюдала за участниками при помощи функциональной магнитно-резонансной томографии (фМРТ), когда те просматривали повторяющиеся предупреждения системы безопасности.

Это исследование показало, что проблема заключается не только в пользователях, которые игнорируют предупреждения безопасности, но и в нас самих. С каждой следующей попыткой показатели становились хуже.

Работодатели часто делают выбор в пользу теневых ИТ, потому что считают, что искать одобренные ИТ-средства слишком сложно, или не понимают, зачем это нужно. Теневые ИТ — это ИТ-системы, которые используются компанией, но не стоят на балансе её ИТ-отдела.

В то же время теневая ИТ представляет серьёзную угрозу для корпоративной безопасности.

Если вы когда-либо работали в компании с политикой постоянной смены паролей, то вы знаете, чем это может закончиться.

Если вы сделаете продукт слишком сложным и неудобным в использовании, пользователи найдут альтернативу и обойдут препятствия стороной.

Серена Чен

Как избавиться от неверных путей и выбрать правильные

Например, компания может заблокировать YouTube, чтобы сотрудники не пользовались им в течение рабочего дня. Одна из самых распространённых проблем корпоративных офисов — использование инструментов для обеспечения безопасности для вещей, которые не имеют ничего общего с безопасностью.

Чен пишет, что если блокировать потенциально неопасные вещи, то люди найдут способ обойти брандмауэр и даже не подумают, что сделали что-то неправильное. Но если сотрудник проводит весь день за просмотром видео на YouTube, а не за работой, это проблема управления, а не безопасности.

Чтобы средства безопасности были эффективными, используйте их по назначению и сделайте безопасный путь самым простым для пользователей.

Серена Чен

Традиционно существуют границы безопасности, такие как «в сети» и «вне сети», где всё внутри сети считается надёжным, а всё за её пределами — нет. Автор приводит пример — модель безопасности BeyondCorp, разработанную Google в ответ на возрастающую угрозу в 2008 году. Согласно этой модели всё размещается в интернете. Модель BeyondCorp разрушила эти границы.

Нужно надёжно аутентифицировать пользователей и спланировать разумное использование приложений и доступ к данным. В этом случае обеспечить безопасность становится сложнее, чем просто назвать некоторые вещи абсолютно безопасными, а другие — абсолютно небезопасными.

Главное — надо сделать процесс удобным для сотрудников, чтобы они не обходили стороной ни одну из новых политик безопасности.

Это были не только технические аспекты того, как всё работает, — был сильный акцент на пользовательский опыт, когда дело доходило до реализации. Именно это сделало эту модель такой успешной.

Для подавляющего большинства пользователей BeyondCorp полностью незаметна. Мы разработали наши инструменты таким образом, чтобы компоненты, обращённые к пользователю, были понятными и простыми в использовании.

Виктор Мануэль Эскобедо, Филип Зизневски, Бетси Бейер и Макс Солтонстолл

авторы публикации “BeyondCorp: The User Experience”

Ясно, легко и незаметно. Чен считает, что так и должна работать безопасность.

Создавать ориентиры, а не препятствия. Нужно соотнести свои цели с целями пользователя.

Определение намерения

Статья постулирует: проблемы, связанные с удобством использования и безопасностью обычно возникают, когда мы не можем точно определить цель.

Чен призывает убедиться, есть ли чёткое представление о целях и намерениях пользователей. Нужно понять, какие уровень и разновидность безопасности больше всего подходят для этого случая или пользователя, потому что универсального решения безопасности не существует. Это поможет заложить прочную основу для подхода проблемам и каждому шагу создания приложения или продукта.

Например: «Я дизайнер, и я несу ответственность за юзабилити, поэтому мне нужно сделать всё максимально простым» или «Я эксперт по безопасности, моя задача — обеспечить безопасность, поэтому мне нужно всё заблокировать». Но определить цель трудно, поэтому, по мнению Чен, дизайнеры продуктов обычно возвращаются к знакомым шаблонам.

Чен пишет, что дизайнеры продуктов часто фокусируются на своих целях и задачах, забывая, с чем столкнётся в итоге потенциальный пользователь.

Серена Чен считает, что цель работы — сделать всё лёгким: На самом деле задача не в том, чтобы сделать всё простым.

  • конкретное действие;
  • его хочет выполнить конкретный пользователь;
  • в определённое время;
  • в определённом месте.

Поэтому усиление безопасности без нанесения ущерба практичности требует понимания цели. Всё остальное можно заблокировать.

Можно получить подсказки о намерениях пользователя так же просто, как сделать наши системы аутентификации надёжными и заслуживающими доверия, стоит лишь задать себе несколько вопросов. Безусловно, легче сказать, чем сделать, но мы можем начать с простых эвристик.

  • Кто является потенциальным пользователем?
  • Когда пользователь выполняет определённое действие?
  • Можем ли мы лучше смоделировать поведение пользователей в определённое время и в определённом месте?
  • Легко ли подделать источники данных?
  • Действительно ли нужны эти данные?
  • Какой минимум необходим для работы?

Чен пишет, что можно пойти ещё дальше.

  • Какие действия пользователь выполняет регулярно?
  • Что необычного в их поведении?
  • Ожидаем ли мы, что пользователь предпримет конкретные действия? Если нет, можем ли мы установить пароль? А двухфакторную аутентификацию?

Чен пишет, что дизайнеры продуктов должны сделать всё возможное, чтобы предугадать намерения потенциального пользователя и реализовать их, но также не менее важно допускать, что предположения могут быть ошибочными.

Скорее всего, пользователи знают о рисках, и модели угроз в сети даже больше, чем мы, и нам важно это признать.

В следующий раз, когда вы столкнётесь с проблемой выбора между безопасностью и удобством использования, вернитесь на шаг назад и убедитесь, что у вас есть чёткое представление о целях выполняемой работы.
В области безопасности мы часто думаем о решениях для наихудших случаев, а не актуальных для пользователя.

Серена Чен

Недопонимание

Недопонимание создаёт уязвимости для безопасности человека. Автор предлагает взглянуть на коммуникацию с другой стороны. Социальные инженеры и фишинговые злоумышленники используют области двусмысленности, а недопонимание — лучшее её проявление.

Спросите себя: в чём мы не понимаем своих пользователей?

Несколько месяцев назад Google объявила, что компания больше не будет отображать зелёные «безопасные» замочки в браузере Chrome, а вместо этого будет выделять веб-сайты с недействительными сертификатами SSL или без них. Серена Чен привела пример из жизни. Это хорошо: безопасность должна быть в значительной степени невидимой и привлекать внимание только тогда, когда что-то не так.

Люди, которые работают в сфере технологий, как правило, знают, что означает этот «безопасный» замочек: сообщения с отображаемым доменным именем зашифрованы, а отображаемый домен — это то, чем он себя называет (согласно какому-то таинственному сертифицирующему центру).

Но если не знать всех деталей, разве можно предположить, что означает зелёный замок?

Но эти «безопасные» страницы не обязательно такими являются; вот точка, где возникает недопонимание. Чен пишет, что нельзя винить человека, если он подумает, что этот замок обозначает безопасность. И всякий раз, когда возникает недопонимание, безопасность человека находится под угрозой.

Если бы у меня было достаточно мотивации, я могла бы купить законно звучащее доменное имя, получить бесплатный SSL-сертификат. Допустим, однажды ночью мне стало скучно, я решила совершить преступление.

И с моими навыками в HTML, CSS и копировании серверных имён я могла бы создать очень убедительный фишинговый сайт, который браузер явно пометит как «безопасный».

Серена Чен

Один из них — тестирование. Серена Чен считает, что есть способы сделать всё намного лучше.

Это важный шаг перед выпуском чего-либо существенного, и это инвестиции, которые стоит сделать. Время от времени проводится тестирование приложения на наличие уязвимостей. Серена призывает уделять столько же внимания юзабилити, сколько уделяется тестированию пользователей.

Тестирование пользователей (не следует путать с исследованиями пользователей) — это более поздняя стадия UX-упражнения, где дизайнеры продуктов представляют клиентам почти готовый дизайн, прототип или рабочее приложение и наблюдают, как они взаимодействуют с ним.

Это может помочь понять, насколько эффективен дизайн, точно ли интерфейсы, которые вы сделали, передают то, что происходит в системе, и обнаружить уязвимость в системе безопасности.

Тестирование может помочь выявить эти недопонимания и предотвратить их превращение в масштабные инциденты. Даже незначительное недопонимание может привести к плохим результатам в плане безопасности.

Соответствие ментальным моделям

Ожидания потенциального пользователя определяют безопасность системы.

«Телефон» — это цепочка атак «человек посередине», и это не инцидент с безопасностью, это детская игра. В статье приводится пример с атакой посредника, или атакой «человека посередине», которая по своей сути не является небезопасной.

Злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом, передавая данные между пользователем и сетью, пассивно наблюдая за всем, что он отправляет и получает. Атака «человек посередине» — это способ подслушать общение пользователя с сайтом или веб-службой.

Чен призывает убедиться, что сайты зашифрованы, это хороший способ защитить ваших пользователей от такой атаки (хотя это не защитит от таких вещей, как прокси-серверы компании)

Автор пишет, что атаки типа «человек посередине» опасны тем, что пользователи уверены, что их данные и сообщения будут доступны только ожидаемым сторонам, и участие в коммуникации злоумышленника бывает неожиданно.

Система безопасна с точки зрения конкретного пользователя, если набор действий, которые может сделать каждый субъект, ограничен самим пользователем.

Ка-Пинг Йи

автор книги «Дизайн взаимодействия с пользователем для защищённых систем»

Автор пишет, что для проектирования безопасных систем необходимо знать цель, понимать ментальную модель пользователя системы, представить ожидания пользователя о том, как будет работать система.

Поиск модели потенциального пользователя

За пределами офиса есть целый мир, мир полный людей, которые используют то, что дизайнеры продуктов создают.

Для нас технология может быть и хобби, и работой, но для большинства технология — это средство достижения цели.

Если мы забываем посмотреть на вопрос глазами реального пользователя, то можем проиграть.

Серена Чен

Автор призывает присутствовать на собеседованиях с клиентами и сеансах тестирования пользователей. Чен предлагает наблюдать за пользовательским опытом, практиковать его. Невозможно преувеличить ценность этих сессий.

Влияние на модель потенциального пользователя

Когда дизайнеры продуктов не думают о том, как их действия влияют на модель потенциального пользователя, они создают возможность для атак. Чен пишет, что когда дизайнеры продуктов творят, они учат.

iOS просто спрашивает у пользователей их пароль

Если мы постоянно показываем им всплывающие окна ввода пароля, учим ли мы их вводить пароли всегда и везде, как только они видят подобное окно? Спросите себя: чему вы непреднамеренно учите пользователей?

Учим ли мы их, что безопасность — это препятствие?
Если они могут обойти функцию безопасности, отменив её десять раз, учим ли мы их игнорировать предупреждения?

Серена Чен

«Это безопасно?» — бессмысленный вопрос без предварительного определения того, для кого это безопасно, в каких контекстах это работает, что пользователь ожидает от безопасности.

Чен призывает попытаться понять ментальную модель пользователя приложения или продукта и действовать в соответствии с этой моделью, а не руководствоваться только собственным пониманием.

Итоги

Сотрудничество очень важно для этой сферы. Когда нет чётких правил, касающихся безопасности, совместная работа дизайнеров и экспертов по безопасности по сути отсутствует, и это огромное упущение.

Чен пишет, что работа дизайнеров продуктов в конечном счёте зависит от результатов.

Когда мы выходим за пределы зон комфорта, мы можем выйти за рамки наших повседневных моделей и двигаться к созданию программного обеспечения, оборудования и процессов, которые решают реальные проблемы.

В следующий раз, когда вы попадёте в перетягивание каната между удобством использования и безопасностью, автор предлагает задать себе такие вопросы:

Серена Чен

  • Как сделать самый простой путь наиболее безопасным?
  • Каковы цели пользователя?
  • В чём есть двусмысленности и недопонимания?
  • Какова у пользователя ментальная модель того, что сейчас происходит?

В заключение Серена приводит анекдот из своей жизни: «В моем кабинете есть выключатель со стикером, на котором написано: “Нет”

Догадываетесь, что я сделала первым делом?».

Помните: создавайте ориентиры, а не препятствия.

Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть