Психология безопасности
АрхивВ самый разгар лета в Массачусетском технологическом институте состоялось необычное мероприятие - "Первый междисциплинарный семинар по безопасности и человеческому поведению" (Interdisciplinary Workshop on Security and Human Behavior[www.cl.cam.ac.uk/~rja14/ shb08/agenda.html.]).
В самый разгар лета в Массачусетском технологическом институте состоялось необычное мероприятие - "Первый междисциплинарный семинар по безопасности и человеческому поведению" (Interdisciplinary Workshop on Security and Human Behavior[www.cl.cam.ac.uk/~rja14/ shb08/agenda.html.]). Участников было немного, меньше полусотни. Да и широкой публике стало известно о семинаре лишь после его проведения - из блогов организаторов да нескольких статей специально приглашенных журналистов. Но примечательно это мероприятие, конечно же, вовсе не "секретностью".
Предыстория
Организовать мероприятие задумали два известных криптографа и эксперта по компьютерной безопасности, англичанин Росс Андерсон и американец Брюс Шнайер. Посовещавшись, они решили, что это наилучший способ собрать в одном месте специалистов по защите информации, психологов, поведенческих экономистов, социологов, философов и других профессионалов - короче, всех тех, кто так или иначе изучает человеческие аспекты безопасности.
В последние годы кембриджскому профессору Россу Андерсону довелось немало общаться и работать с поведенческими экономистами. Иначе говоря, с учеными, которые исследуют те грани экономики и психологии, где люди делают весьма рискованные шаги и зачастую принимают рационально необъяснимые решения. Брюсу Шнайеру, в свою очередь, тоже доводилось проводить исследования и писать на темы психологии и безопасности. Как аналитик, он не раз поражался тому, что некоторые работы - казалось бы, на совершенно иные темы - при более внимательном рассмотрении оказываются тесно связаны с компьютерной безопасностью.
Шнайеру и Андерсону удалось убедить Алессандро Аккуисти и Джорджа Левенстейна (Alessandro Acquisti, George Loewenstein), поведенческих экономистов из Университета Карнеги-Меллона, помочь в организации семинара. Параллельно стали приглашать тех людей, чьи работы организаторы с интересом читали, заодно спрашивая у них, кого еще можно было бы позвать. В результате 42 участника встречи представили 35 докладов. Помимо экономистов и специалистов по компьютерной безопасности, в семинаре приняли участие представители серьезных государственных структур, а также иллюзионист[Нужно уточнить, что это был не просто иллюзионист, а Джеймс Рэнди, сегодня известный прежде всего как борец с мошенниками, спекулирующими на интересе к паранормальным явлениям. - Прим. ред.], профессиональный фотограф и архитектор[www.cl.cam.ac.uk/~rja14/]!
Ощущение и реальность
Тон встрече, вряд ли сам того желая, задал один из первых докладчиков, профессор информатики Пенсильванского университета Мэтт Блэйз (Matt Blaze). Свою речь о состоянии компьютерной безопасности он начал примерно такими словами: "В инфотехнологической области, которая за последние несколько десятилетий была отмечена грандиозными человеческими свершениями, наше направление не назовешь иначе как провалом".
Произнесенное устами авторитетного специалиста, такое признание невольно вызвало у собравшихся нервный смех. Однако в словах этих никакой шутки в общем-то не было. Несмотря на впечатляющие достижения технологий, подавляющее большинство компьютерных пользователей по сию пору довольствуется теми же неуклюжими процедурами безопасности, которые были в ходу несколько десятилетий назад. При этом многие чувствуют себя менее защищенными, чем прежде.
Безопасность (как подчеркнул во вступительной речи Брюс Шнайер) - это одновременно ощущение и реальность. Следует четко понимать, что чувствовать себя в безопасности и быть в безопасности - далеко не одно и то же. Давным-давно, когда язык только начинал развиваться, оба этих понятия, возможно, обозначали одну и ту же вещь. Однако в современных языках так и не появилось, к примеру, слова, означающего "быть в безопасности, но при этом не чувствовать себя безопасно".
Из-за существенных расхождений между реальной ситуацией и ее восприятием возникает масса проблем, потому что люди принимают решения на основе своих ощущений, а не реальности.
В теории уже имеется понимание, что всякое проектирование безопасности - по природе своей дело психологическое. Однако очень многие разработчики систем безопасности этот факт игнорируют. А укоренившиеся в сознании людей когнитивные предрассудки и предубеждения ведут к неверной оценке рисков. Хорошо известно, скажем, что в автомобили практически все люди садятся без страха, хотя жертв на дорогах гораздо больше, чем в небе. Напротив, в салоне авиалайнера многие чувствуют себя менее безопасно, чем это есть на самом деле. Другой созвучный пример - из Интернета. Знакомая всем пиктограмма ключика или замка в углу окошка браузера, обозначающая защищенный сеанс, заставляет людей чувствовать себя в большей безопасности, хотя сама по себе никакой гарантией она не является.
Беда в том, что подобного рода предрассудки успешно используются злоумышленниками. Многие атаки на информационные системы эксплуатируют психологию в большей степени, нежели технологию. Все уже, наверное, наслышаны о фишинг-атаках, обманом завлекающих людей на фальшивые веб-сайты, которые выглядят как подлинные, но в действительности воруют пароли.
Технические меры, конечно, могут предотвратить часть фишинг-атак, однако важнейшим звеном тут являются люди, предостеречь которых от глупых действий и неверных решений гораздо труднее. И сегодня атаки, базирующиеся на обмане, представляют самую большую угрозу для онлайновой безопасности.
Чтобы быть эффективными, системы защиты должны быть удобны в использовании и понятны не только компьютерным асам, но и самым обыкновенным людям. А всякое исследование о практичной и удобной безопасности - не только в сети, но и в быту, в жизни, повсюду - неизбежно должно иметь психологический компонент. Ныне, к счастью, диалог между исследователями в областях безопасности и психологии начал быстро расширяться. Здесь сходятся все больше и больше дисциплин - от практической безопасности в инжиниринге, дизайне протоколов, приватности и политике с одной стороны, до социальной психологии, эволюционной биологии и поведенческой экономики - с другой.
Личность как пароль
Пользователям Интернета наверняка доводилось сталкиваться с вебсайтами, которые желают знать о посетителе примерно такие вещи: имя первой учительницы, или имя любимого домашнего животного, или девичью фамилии матери, или, скажем, год окончания школы.
Это лишь некоторые из типичных "контрольных вопросов" регистрации, которые сайты зададут клиентам, если те вдруг забыли пароль доступа к своему аккаунту и хотели бы его восстановить. Как показывает практика, многим людям вспомнить через несколько лет свой собственный ответ на контрольный вопрос почти так же трудно, как вспомнить забытый пароль.
С другой стороны, эта же технология чрезвычайно облегчает несанкционированный владельцем доступ к аккаунту, поскольку радикально сокращает количество опробуемых вариантов пароля. Например, вариантов с годом окончания школы раз-два и обчелся. Что же касается других вопросов, то в Сети известны места, где собраны типичные клички домашних животных, распространенные имена людей и тому подобные списки.
Понятно, что для алгоритма восстановления пароля хотелось бы иметь нечто более надежное и эффективное. Об одном из новых альтернативных решений на конференции в Бостоне рассказал Маркус Джекобсон (Markus Jakobsson), ведущий ученый PARC, Исследовательского центра Пало-Альто. В новом методе, поэтично названном Blue Moon Authentication, при регистрации нового пользователя программа просит дать ответы типа "да/нет" на довольно длинный список вопросов о личных предпочтениях: нравится или нет вам музыка стиля панк-рок, игра гольф, блюда южной кухни и т. п. И если вдруг случится конфуз с позабытым паролем, то клиенту предъявляется уже известный перечень вопросов. Но тут для восстановления пароля не надо ничего вспоминать - надо просто быть самим собой.
Исследования на полутысяче добровольцев-студентов показали, что у людей обычно нет никаких проблем с тем, чтобы "вспомнить, кто они есть". Для злоумышленников же новый тест стал гораздо более сложной задачей - без тщательной специальной подготовки вероятность правильного ответа на все вопросы оказывается заметно меньше одного процента.
Правда, пока не очень ясно, насколько существенными для этого алгоритма могут быть изменяющиеся за несколько лет предпочтения людей.
Идеи и вопросы
В краткой статье, конечно, не расскажешь обо всех докладах, сделанных на бостонском семинаре. Однако несколько заметных выступлений - для общего впечатления - упомянуть следует.
Джин Кэмп (Jean Camp), исследовательница из Университета Индианы, рассказала о ментальных моделях, которые используют опытные и неопытные компьютерные пользователи при оценке возможных рисков в онлайне. Как правило, отметила Кэмп, люди довольно легко могут оценивать риски, если располагают физическими ключами к ситуации. Например, при поиске стоянки для автомашины водители склонны избегать темные и безлюдные площадки. Беда в том, что в онлайне почти нет физических ключей подобного рода для оценки потенциальной опасности сайта. Из-за этого, в частности, пожилые люди не чувствуют себя безопасно в Интернете. Конкретные проблемы доверия к Сети Кэмп изучает вместе с обитателями находящегося по соседству с нею дома престарелых. Как вариант решения, она изготовила большой, мерцающий разными цветами бокс, который расположен рядом с дисплеем и управляется специальной программой. На основе множества характеристик алгоритм программы оценивает каждый из посещаемых сайтов, а сигнальный бокс, соответственно, светит зеленым, когда сайт рекомендован как безопасный, и красным, когда рискованным. В таких условиях дедушки-бабушки чувствуют себя комфортнее и более склонны воспользоваться преимуществами Интернета для регулярных связей со своей семьей.
С другой стороны, интенсивная борьба за то, чтобы люди чувствовали себя более безопасно, порой может приводить и к прямо противоположному эффекту.
Фрэнк Фьюреди (Frank Furedi), известный британский автор по проблематике рисков и страхов в обществе, описал в своем докладе нарастающую истерию, как он это называет, по поводу педофилии в Великобритании. К следующему году, говорит Фьюреди, треть всех британских граждан будет обязана пройти на сей счет проверку в полиции. В результате некоторые родители запретят своим детям играть с теми детьми, чьи родители такую проверку не проходили. То есть, отмечает докладчик, нас тревожат уже не педофилы - мы беспокоимся по поводу людей, которых полиция не проверила. Иначе говоря, в ответ на небезопасность общество порождает еще больше источников небезопасности. Довольно часто, отмечает Фьюреди, властям проще создавать видимость безопасности, нежели реальность безопасности.
Среди свежих и нестандартных идей, обсуждавшихся на семинаре, прозвучала, к примеру, такая. Компьютеры получились чересчур доброжелательными к человеку. Сенсоры опасности, данные людям от природы, неплохо работают, скажем, при употреблении несвежей пищи. Или предупреждая о том, что поблизости может быть опасное животное. Однако эти сенсоры никуда не годятся для предупреждения о киберугрозах.
А разработчики программ и железа затратили массу усилий, чтобы сделать компьютер максимально дружелюбным к пользователю. Быть может, это была ошибка.
Так, по крайне мере, считает Николас Хэмфри (Nicholas Humphrey) из Лондонской школы экономики. Порой здоровый "первобытный" страх мог бы очень помочь осторожности в онлайне. Например, на экране могла бы неожиданно появляться здоровенная акула - дабы "пробить" человека до примитивных страхов и разбудить его дремлющую бдительность.
Эксперт по приватности Алессандро Аккуисти извлек похожую концепцию из педагогики - идею "момента научения". Сотрудники фирм, как известно, с большой неохотой читают или конспектируют инструкции по безопасности. Однако если устроить им нечто вроде живых противопожарных учений, поведение и реакция могут измениться очень существенно. Представим, что раз в месяц ИТ-департамент без предупреждения рассылает всем вполне благонамеренного вида электронное письмо, к которому, однако, прицеплен какой-нибудь ложный вирус. Те сотрудники, что попадутся на эту уловку и откроют приложение, тут же получат нагоняй от начальства и грозное напоминание не кликать те файлы, которые не были заказаны. В более критических обстоятельствах подобный прокол может найти отражение в ежегодной характеристике или помешать карьерному росту. В условиях контролируемого теста, говорит Аккуисти, компьютерные пользователи гораздо быстрее обучаются принципам безопасного поведения, нежели при традиционном изучении инструкций.
Некоторые итоги
Разумеется, нельзя сказать, что бостонская встреча завершилась революционным прорывом в понимании того, как решать психологические проблемы безопасности. Все докладчики, по сути, сделали обзоры своих областей исследования или рассказали об уже опубликованных работах. Но в этом и была цель конференции - собрать под одной крышей людей с общими интересами и очень широким профессиональным охватом, чтобы они продуктивно побеседовали друг с другом. А еще лучше - сумели бы наладить регулярные контакты для сотрудничества. По общему мнению, этот замысел удалось реализовать на редкость удачно.
К концу встречи не раз можно было услышать следующую мысль. Идеи, факты и суждения того рода, что звучали здесь с трибуны или за дискуссионным столом, на других конференциях можно услышать лишь в холлах или барах. Важнейшую роль в достижении столь доверительной атмосферы сыграла форма организации встречи. Один из участников объясняет это так.
Успех этого междисциплинарного семинара обусловлен тем, что людей на сессиях и дискуссиях перемешали, так что каждый имел возможность пообщаться практически со всеми остальными, а не кучковаться, как обычно бывает, с коллегами-специалистами своего же направления. Остроумным ходом организаторов было оставить в аудиториях минимальное количество стульев. Из-за этого каждый закончивший выступление докладчик должен был меняться местами со следующим докладчиком. Поскольку расписание докладов было весьма насыщенным, эта схема принудительно перемешивала людей. А многочисленные перерывы давали массу возможностей для знакомства и свободного общения.
Одна из главных надежд - что эта встреча даст толчок междисциплинарным дискуссиям и работам. Появилась даже идея об организации своеобразной "службы знакомств", которая поможет исследователям из разных областей найти друг друга. Примерно по такой схеме: "Я экономист, изучающий затраты на антивирусное программное обеспечение, ищу психолога, специалиста по первичным страхам перед хищниками".
И кто знает, быть может, на наших глазах рождается совсем новая исследовательская дисциплина, названия для которой пока не придумано…
Парадоксы приватности
Цифровые коммуникации очень выпукло продемонстрировали, сколь противоречиво люди воспринимают тайну личной жизни. С одной стороны, право личности на приватность по-прежнему никем всерьез не оспаривается и считается одной из основ современной цивилизации. С другой же стороны, и молодежь, и народ постарше с энтузиазмом и массой подробностей расписывают свою личную жизнь в социальных сетях типа Facebook или "В контакте", без колебаний раздают свои паспортные данные и реквизиты других важных документов, охотно используют доступные возможности по отслеживанию перемещений с помощью сотовых телефонов или GPS-навигаторов.
Некоторые ученые всерьез занялись изучением этого парадокса с восприятием приватности. На семинаре в Бостоне было рассказано об одном из таких исследований, проведенном группой поведенческих экономистов в Университете Карнеги-Меллона (George Loewenstein, Leslie John, Alessandro Acquisti). Главный вывод работы: принципы приватности очень неустойчивы, и люди им следуют (или, напротив, не следуют) в сильнейшей зависимости от того, кто интересуется их личной жизнью, как именно это делается и в каком контексте. Причем зависимости эти зачастую оказываются далеко не очевидными.
Конкретные исследования проводились над несколькими группами студентов на предмет, к примеру, их участия в противозаконных действиях. В одном случае испытуемым гарантировали конфиденциальность опроса, заверив, что никакая информация из их ответов дальше не пойдет. Казалось бы, это должно сделать людей более откровенными. Вышло же с точностью до наоборот - студенты замкнулись. Лишь 25% признали, что списывали чужие работы. С другой стороны, когда опрашиваемых никто ни в чем не уверял, в списывании признались больше половины.
Как сформулировали этот парадокс теоретики, "чем меньше человек задумывается о приватности, тем более низкие ограничительные барьеры он выставляет".
В другом эксперименте студентам предлагалось ответить в онлайне на вопросы о своем неблаговидном поведении - сперва на одном сайте, потом на другом. Первый сайт был оформлен строго официально, в соответствии с канонами научно-исследовательских работ, второй - неформального вида, с изображением ухмыляющегося беса и заголовком типа "Ну, колитесь, чуваки…". Так вот опрашиваемые с куда большей готовностью признавались в своих грешках (вплоть до баловства с кокаином) в "несерьезной" обстановке.