Защитить пользователя и повысить безопасность продукта с помощью дизайн-мышления Статьи редакции

Конспект материала продуктового дизайнера Серены Чен.

В сфере высоких технологий широко распространён миф о том, что удобство в использовании и безопасность взаимоисключают друг друга. Чем выше уровень безопасности продукта, тем сложнее его использовать. И наоборот: простой в применении означает менее защищённый.

По мнению Серены Чен, хорошо проработанный UX-дизайн и безопасность неотъемлемы друг от друга. Безопасная система должна быть управляемой, надёжной и удобной для использования.

Удобная для использования система уменьшает недопонимание между человеком и продуктом, она уменьшает вероятность непредвиденного поведения, что ведёт к более высокому уровню безопасности.

Почему нам кажется, что эти вещи несовместимы? Что удерживает нас от создания систем безопасности, которые понятны и просты в использовании?

Серена Чен

Дело в культуре

По мнению Чен, каждый имеет право на безопасность — независимо от уровня технических знаний. Поэтому нужно перестать ждать от всех, что они станут экспертами по безопасности, чтобы выполнять простые действия в интернете.

Мы стыдим пользователей за повторное использование одного и того же пароля для всех учётных записей.

Мы будем смеяться над людьми, которые размещают фотографии своих кредитных карт в интернете (и сделаем репост такой записи, что ещё больше ухудшит их положение).

Мы скажем несведущим людям пользоваться программами вроде PGP и рассмеёмся, когда они не смогут в них разобраться.

Серена Чен

Когда пользователь совершает много ошибок, это расстраивает, но «применять метод “вины и стыда” бесполезно», — пишет Серена Чен. Он утверждает, что дизайнеры продуктов сами провалились как специалисты, потому что не смогли создать одновременно безопасную и простую систему.

Дизайн как инструмент

Чен считает, что, возможно, дизайнеры продуктов так спокойно реагируют на неудачные решения в области безопасности, потому что измеряют пользователей по себе и считают, что они сами о себе заботятся. Это не так: никто не задумывается о безопасности. Это волнует всех только на словах.

Если пользователям дать выбор между пляшущими свиньями и безопасностью, они всегда выберут свиней.

Гэри Макгро и Эдвард Фельтен, авторы книги “Securing Java: Getting Down to Business with Mobile Code”

Чен пишет, что зачастую людей не заботит безопасность по рациональным причинам. Например, создать и запомнить хороший пароль, который тяжело взломать, очень трудно. Кроме того, большинство крупных финансовых учреждений сами несут ответственность за взлом системы.

Другие компании часто отслеживают и блокируют подозрительное поведение. Простой анализ затрат и доходов стимулирует приложить все усилия для создания и запоминания десятков уникальных надёжных паролей.

Как итог — никто не заботится о безопасности, но это нормально. Потому что они не должны этого делать. Чен пишет, что этим должны заняться дизайнеры продуктов.

Задача — создать доступную, эффективную и безопасную систему для всех. Которой сможет пользоваться каждый, будь он экспертом по безопасности, разработчиком, дизайнером или потенциальным пользователем.

Для Серены Чен одним ценным уроком стало то, что неважно, насколько красиво, правильно или «идеально» что-то выполнено, если никто не хочет этим пользоваться. Здесь начинает работать дизайн.

Дизайн касается не только визуальной красоты, но и удобства использования. Чен призывает думать о дизайне как об инструменте, который способен помочь решить совершенно иные проблемы, инструменте, который позволяет перестать говорить «нет» и узнать, как, когда и чему сказать «да».

Сказать «да»: как, чему и почему

Автор рассматривает четыре подхода к осмыслению проблем безопасности через призму поведенческого дизайна:

  • пути наименьшего сопротивления;
  • определение намерения;
  • снижение недопонимания;
  • соответствие ментальным моделям.

В целом эти подходы предназначены для того, чтобы помочь сосредоточиться на технических аспектах и поставить себя на место потенциальных пользователей.

В статье предлагается начать с упражнения, которое переключит мышление с того, что можно сделать в ваших системах, на то, что будет сделано.

Пути наименьшего сопротивления

Чен пишет, что дизайнеры продуктов привыкли ставить преграды.

Как пользователи реагируют на предупреждения: «Соединение может быть небезопасным» — «Окей, но оно мне нужно для работы»

А также о том, что привыкли уведомлять о возможных проблемах и ставить пользователя перед выбором: что делать. Но это неэффективно.

Если посмотреть на безопасность через призму дизайн-мышления, можно перестать ставить им преграды. Чен считает, что можно направлять людей таким образом, чтобы путь наименьшего сопротивления соответствовал пути наибольшей безопасности.

Нулевой путь: не делать ничего

Принцип «безопасный по умолчанию» — это путь наименьшего сопротивления.

Чен пишет, что проще и удобнее начать использовать новое устройство или программу с настройками по умолчанию. Но это не самый безопасный путь. Использование настроек по умолчанию без проверки того, что в них установлено, может представлять опасность для конфиденциальной информации.

Путь первый: сделать что-нибудь

Автор считает необходимым, чтобы действия, касающиеся обеспечения безопасности, стали естественной частью любого процесса. Никто не любит, когда ему задают домашнее задание, особенно когда у него есть более важные дела.

Чен предлагает провести аналогию с планированием задач на день. Когда человек планирует, он, вероятно, пытается сгруппировать задачи по признакам, объединять похожие.

Автор советует подходить к безопасности с тем же организованным мышлением. Например, если нужно, чтобы потенциальный пользователь настроил MFA, то можно включить этот этап в процесс регистрации. Чен пишет, что не нужно рассчитывать на то, что пользователи зайдут в меню настроек позже ради этого.

Если человек уже решил посвятить время долгому процессу установки, то выполнение ещё одной задачи, скорее всего, никак его не обременит.

Чтобы пользователи не пренебрегали безопасностью, мы должны согласовывать наши цели и задачи с запросами пользователей и планировать свои действия соответствующим образом.

Когда эти цели расходятся между собой, люди начинают игнорировать меры безопасности. Сделайте процесс проще, сгруппировав схожие между собой задачи, которые требуют одинакового набора действий.

Серена Чен

Путь второй: эффект ложной тревоги

Когда безопасность представляет собой то, что создаёт препятствия, а не возможности, люди закрывают глаза на предупреждения.

Самоатаки XSS — яркий пример этого. Чен пишет, что даже если дизайнеры продуктов делают всё возможное, чтобы защитить пользователей, иногда кажется, что они намеренно пренебрегают предупреждениями. Эффект ложной тревоги — это явление, при котором каждая ложная тревога снижает доверие к системе предупреждения.

Даже «учебная» тревога усиливает влияние ложного сигнала тревоги. Почему предупреждения не работают, даже когда угроза риска достаточно высока? Речь идёт не только о путях наименьшего сопротивления — речь о путях наименьшего воспринимаемого сопротивления.

Самоатаки XSS распространены, но люди всё равно игнорируют большое красное предупреждение об угрозе в консоли Facebook и переходят по ссылкам, которые ведут на незнакомые или подозрительные сайты

Если пользователь отклоняет десять предупреждений безопасности подряд, он привыкает к этому и будет делать так каждый раз. Чем больше люди встречают эти предупреждения, тем меньше они обращают на них внимание.

«Как полиморфные предупреждения уменьшают процесс привыкания в мозге: идеи из исследования фМРТ». Материалы 33-й ежегодной конференции ACM по человеческому фактору в вычислительных системах Аль Андерсон

Автор приводит результаты исследования группы из Университета Бригама Янга, которая наблюдала за участниками при помощи функциональной магнитно-резонансной томографии (фМРТ), когда те просматривали повторяющиеся предупреждения системы безопасности. Они обнаружили, что зрительная активность участников снизилась уже после второго просмотра сообщений.

С каждой следующей попыткой показатели становились хуже. Это исследование показало, что проблема заключается не только в пользователях, которые игнорируют предупреждения безопасности, но и в нас самих.

Теневые ИТ — это ИТ-системы, которые используются компанией, но не стоят на балансе её ИТ-отдела. Работодатели часто делают выбор в пользу теневых ИТ, потому что считают, что искать одобренные ИТ-средства слишком сложно, или не понимают, зачем это нужно.

В то же время теневая ИТ представляет серьёзную угрозу для корпоративной безопасности.

Если вы когда-либо работали в компании с политикой постоянной смены паролей, то вы знаете, чем это может закончиться.

Если вы сделаете продукт слишком сложным и неудобным в использовании, пользователи найдут альтернативу и обойдут препятствия стороной.

Серена Чен

Как избавиться от неверных путей и выбрать правильные

Одна из самых распространённых проблем корпоративных офисов — использование инструментов для обеспечения безопасности для вещей, которые не имеют ничего общего с безопасностью. Например, компания может заблокировать YouTube, чтобы сотрудники не пользовались им в течение рабочего дня.

Но если сотрудник проводит весь день за просмотром видео на YouTube, а не за работой, это проблема управления, а не безопасности. Чен пишет, что если блокировать потенциально неопасные вещи, то люди найдут способ обойти брандмауэр и даже не подумают, что сделали что-то неправильное.

Чтобы средства безопасности были эффективными, используйте их по назначению и сделайте безопасный путь самым простым для пользователей.

Серена Чен

Автор приводит пример — модель безопасности BeyondCorp, разработанную Google в ответ на возрастающую угрозу в 2008 году. Традиционно существуют границы безопасности, такие как «в сети» и «вне сети», где всё внутри сети считается надёжным, а всё за её пределами — нет. Модель BeyondCorp разрушила эти границы. Согласно этой модели всё размещается в интернете.

В этом случае обеспечить безопасность становится сложнее, чем просто назвать некоторые вещи абсолютно безопасными, а другие — абсолютно небезопасными. Нужно надёжно аутентифицировать пользователей и спланировать разумное использование приложений и доступ к данным.

Главное — надо сделать процесс удобным для сотрудников, чтобы они не обходили стороной ни одну из новых политик безопасности.

Именно это сделало эту модель такой успешной. Это были не только технические аспекты того, как всё работает, — был сильный акцент на пользовательский опыт, когда дело доходило до реализации.

Мы разработали наши инструменты таким образом, чтобы компоненты, обращённые к пользователю, были понятными и простыми в использовании. Для подавляющего большинства пользователей BeyondCorp полностью незаметна.

Виктор Мануэль Эскобедо, Филип Зизневски, Бетси Бейер и Макс Солтонстолл, авторы публикации “BeyondCorp: The User Experience”

Чен считает, что так и должна работать безопасность. Ясно, легко и незаметно.

Нужно соотнести свои цели с целями пользователя. Создавать ориентиры, а не препятствия.

Определение намерения

Статья постулирует: проблемы, связанные с удобством использования и безопасностью обычно возникают, когда мы не можем точно определить цель.

Нужно понять, какие уровень и разновидность безопасности больше всего подходят для этого случая или пользователя, потому что универсального решения безопасности не существует. Чен призывает убедиться, есть ли чёткое представление о целях и намерениях пользователей. Это поможет заложить прочную основу для подхода проблемам и каждому шагу создания приложения или продукта.

Но определить цель трудно, поэтому, по мнению Чен, дизайнеры продуктов обычно возвращаются к знакомым шаблонам. Например: «Я дизайнер, и я несу ответственность за юзабилити, поэтому мне нужно сделать всё максимально простым» или «Я эксперт по безопасности, моя задача — обеспечить безопасность, поэтому мне нужно всё заблокировать».

Чен пишет, что дизайнеры продуктов часто фокусируются на своих целях и задачах, забывая, с чем столкнётся в итоге потенциальный пользователь.

На самом деле задача не в том, чтобы сделать всё простым. Серена Чен считает, что цель работы — сделать всё лёгким:

  • конкретное действие;
  • его хочет выполнить конкретный пользователь;
  • в определённое время;
  • в определённом месте.

Всё остальное можно заблокировать. Поэтому усиление безопасности без нанесения ущерба практичности требует понимания цели.

Безусловно, легче сказать, чем сделать, но мы можем начать с простых эвристик. Можно получить подсказки о намерениях пользователя так же просто, как сделать наши системы аутентификации надёжными и заслуживающими доверия, стоит лишь задать себе несколько вопросов.

  • Кто является потенциальным пользователем?
  • Когда пользователь выполняет определённое действие?
  • Можем ли мы лучше смоделировать поведение пользователей в определённое время и в определённом месте?
  • Легко ли подделать источники данных?
  • Действительно ли нужны эти данные?
  • Какой минимум необходим для работы?

Чен пишет, что можно пойти ещё дальше.

  • Какие действия пользователь выполняет регулярно?
  • Что необычного в их поведении?
  • Ожидаем ли мы, что пользователь предпримет конкретные действия? Если нет, можем ли мы установить пароль? А двухфакторную аутентификацию?

Чен пишет, что дизайнеры продуктов должны сделать всё возможное, чтобы предугадать намерения потенциального пользователя и реализовать их, но также не менее важно допускать, что предположения могут быть ошибочными.

Скорее всего, пользователи знают о рисках, и модели угроз в сети даже больше, чем мы, и нам важно это признать.

В области безопасности мы часто думаем о решениях для наихудших случаев, а не актуальных для пользователя. В следующий раз, когда вы столкнётесь с проблемой выбора между безопасностью и удобством использования, вернитесь на шаг назад и убедитесь, что у вас есть чёткое представление о целях выполняемой работы.

Серена Чен

Недопонимание

Автор предлагает взглянуть на коммуникацию с другой стороны. Недопонимание создаёт уязвимости для безопасности человека. Социальные инженеры и фишинговые злоумышленники используют области двусмысленности, а недопонимание — лучшее её проявление.

Спросите себя: в чём мы не понимаем своих пользователей?

Серена Чен привела пример из жизни. Несколько месяцев назад Google объявила, что компания больше не будет отображать зелёные «безопасные» замочки в браузере Chrome, а вместо этого будет выделять веб-сайты с недействительными сертификатами SSL или без них. Это хорошо: безопасность должна быть в значительной степени невидимой и привлекать внимание только тогда, когда что-то не так.

Люди, которые работают в сфере технологий, как правило, знают, что означает этот «безопасный» замочек: сообщения с отображаемым доменным именем зашифрованы, а отображаемый домен — это то, чем он себя называет (согласно какому-то таинственному сертифицирующему центру).

Но если не знать всех деталей, разве можно предположить, что означает зелёный замок?

Чен пишет, что нельзя винить человека, если он подумает, что этот замок обозначает безопасность. Но эти «безопасные» страницы не обязательно такими являются; вот точка, где возникает недопонимание. И всякий раз, когда возникает недопонимание, безопасность человека находится под угрозой.

Допустим, однажды ночью мне стало скучно, я решила совершить преступление. Если бы у меня было достаточно мотивации, я могла бы купить законно звучащее доменное имя, получить бесплатный SSL-сертификат.

И с моими навыками в HTML, CSS и копировании серверных имён я могла бы создать очень убедительный фишинговый сайт, который браузер явно пометит как «безопасный».

Серена Чен

Серена Чен считает, что есть способы сделать всё намного лучше. Один из них — тестирование.

Время от времени проводится тестирование приложения на наличие уязвимостей. Это важный шаг перед выпуском чего-либо существенного, и это инвестиции, которые стоит сделать. Серена призывает уделять столько же внимания юзабилити, сколько уделяется тестированию пользователей.

Тестирование пользователей (не следует путать с исследованиями пользователей) — это более поздняя стадия UX-упражнения, где дизайнеры продуктов представляют клиентам почти готовый дизайн, прототип или рабочее приложение и наблюдают, как они взаимодействуют с ним.

Это может помочь понять, насколько эффективен дизайн, точно ли интерфейсы, которые вы сделали, передают то, что происходит в системе, и обнаружить уязвимость в системе безопасности.

Даже незначительное недопонимание может привести к плохим результатам в плане безопасности. Тестирование может помочь выявить эти недопонимания и предотвратить их превращение в масштабные инциденты.

Соответствие ментальным моделям

Ожидания потенциального пользователя определяют безопасность системы.

В статье приводится пример с атакой посредника, или атакой «человека посередине», которая по своей сути не является небезопасной. «Телефон» — это цепочка атак «человек посередине», и это не инцидент с безопасностью, это детская игра.

Атака «человек посередине» — это способ подслушать общение пользователя с сайтом или веб-службой. Злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом, передавая данные между пользователем и сетью, пассивно наблюдая за всем, что он отправляет и получает.

Чен призывает убедиться, что сайты зашифрованы, это хороший способ защитить ваших пользователей от такой атаки (хотя это не защитит от таких вещей, как прокси-серверы компании)

Автор пишет, что атаки типа «человек посередине» опасны тем, что пользователи уверены, что их данные и сообщения будут доступны только ожидаемым сторонам, и участие в коммуникации злоумышленника бывает неожиданно.

Система безопасна с точки зрения конкретного пользователя, если набор действий, которые может сделать каждый субъект, ограничен самим пользователем.

Ка-Пинг Йи, автор книги «Дизайн взаимодействия с пользователем для защищённых систем»

Автор пишет, что для проектирования безопасных систем необходимо знать цель, понимать ментальную модель пользователя системы, представить ожидания пользователя о том, как будет работать система.

Поиск модели потенциального пользователя

За пределами офиса есть целый мир, мир полный людей, которые используют то, что дизайнеры продуктов создают.

Для нас технология может быть и хобби, и работой, но для большинства технология — это средство достижения цели.

Если мы забываем посмотреть на вопрос глазами реального пользователя, то можем проиграть.

Серена Чен

Чен предлагает наблюдать за пользовательским опытом, практиковать его. Автор призывает присутствовать на собеседованиях с клиентами и сеансах тестирования пользователей. Невозможно преувеличить ценность этих сессий.

Влияние на модель потенциального пользователя

Чен пишет, что когда дизайнеры продуктов творят, они учат. Когда дизайнеры продуктов не думают о том, как их действия влияют на модель потенциального пользователя, они создают возможность для атак.

iOS просто спрашивает у пользователей их пароль

Спросите себя: чему вы непреднамеренно учите пользователей? Если мы постоянно показываем им всплывающие окна ввода пароля, учим ли мы их вводить пароли всегда и везде, как только они видят подобное окно?

Если они могут обойти функцию безопасности, отменив её десять раз, учим ли мы их игнорировать предупреждения? Учим ли мы их, что безопасность — это препятствие?

Серена Чен

«Это безопасно?» — бессмысленный вопрос без предварительного определения того, для кого это безопасно, в каких контекстах это работает, что пользователь ожидает от безопасности.

Чен призывает попытаться понять ментальную модель пользователя приложения или продукта и действовать в соответствии с этой моделью, а не руководствоваться только собственным пониманием.

Итоги

Когда нет чётких правил, касающихся безопасности, совместная работа дизайнеров и экспертов по безопасности по сути отсутствует, и это огромное упущение. Сотрудничество очень важно для этой сферы.

Чен пишет, что работа дизайнеров продуктов в конечном счёте зависит от результатов.

Когда мы выходим за пределы зон комфорта, мы можем выйти за рамки наших повседневных моделей и двигаться к созданию программного обеспечения, оборудования и процессов, которые решают реальные проблемы.

В следующий раз, когда вы попадёте в перетягивание каната между удобством использования и безопасностью, автор предлагает задать себе такие вопросы:

Серена Чен
  • Как сделать самый простой путь наиболее безопасным?
  • Каковы цели пользователя?
  • В чём есть двусмысленности и недопонимания?
  • Какова у пользователя ментальная модель того, что сейчас происходит?

В заключение Серена приводит анекдот из своей жизни: «В моем кабинете есть выключатель со стикером, на котором написано: “Нет”

Догадываетесь, что я сделала первым делом?».

Помните: создавайте ориентиры, а не препятствия.

0
2 комментария
Ivan Vishnyakov

Изо всех сил пытался понять текст и вынести какую-то полезую информацию. Ничего, в следующий раз повезет

Ответить
Развернуть ветку
Максим Ростокин

Саммари: СПГС пробил очередное дно

Ответить
Развернуть ветку
-1 комментариев
Раскрывать всегда