Автор: Киви Берд

В самый разгар лета в Массачусетском технологическом институте состоялось необычное мероприятие — "Первый междисциплинарный семинар по безопасности и человеческому поведению" (Interdisciplinary Workshop on Security and Human Behavior[www.cl.cam.ac.uk/~rja14/ shb08/agenda.html.]). Участников было немного, меньше полусотни. Да и широкой публике стало известно о семинаре лишь после его проведения — из блогов организаторов да нескольких статей специально приглашенных журналистов. Но примечательно это мероприятие, конечно же, вовсе не "секретностью".

Организовать мероприятие задумали два известных криптографа и эксперта по компьютерной безопасности, англичанин Росс Андерсон и американец Брюс Шнайер. Посовещавшись, они решили, что это наилучший способ собрать в одном месте специалистов по защите информации, психологов, поведенческих экономистов, социологов, философов и других профессионалов — короче, всех тех, кто так или иначе изучает человеческие аспекты безопасности.

В последние годы кембриджскому профессору Россу Андерсону довелось немало общаться и работать с поведенческими экономистами. Иначе говоря, с учеными, которые исследуют те грани экономики и психологии, где люди делают весьма рискованные шаги и зачастую принимают рационально необъяснимые решения. Брюсу Шнайеру, в свою очередь, тоже доводилось проводить исследования и писать на темы психологии и безопасности. Как аналитик, он не раз поражался тому, что некоторые работы — казалось бы, на совершенно иные темы — при более внимательном рассмотрении оказываются тесно связаны с компьютерной безопасностью.

Шнайеру и Андерсону удалось убедить Алессандро Аккуисти и Джорджа Левенстейна (Alessandro Acquisti, George Loewenstein), поведенческих экономистов из Университета Карнеги-Меллона, помочь в организации семинара. Параллельно стали приглашать тех людей, чьи работы организаторы с интересом читали, заодно спрашивая у них, кого еще можно было бы позвать. В результате 42 участника встречи представили 35 докладов. Помимо экономистов и специалистов по компьютерной безопасности, в семинаре приняли участие представители серьезных государственных структур, а также иллюзионист[Нужно уточнить, что это был не просто иллюзионист, а Джеймс Рэнди, сегодня известный прежде всего как борец с мошенниками, спекулирующими на интересе к паранормальным явлениям. — Прим. ред.], профессиональный фотограф и архитектор[www.cl.cam.ac.uk/~rja14/]!

Тон встрече, вряд ли сам того желая, задал один из первых докладчиков, профессор информатики Пенсильванского университета Мэтт Блэйз (Matt Blaze). Свою речь о состоянии компьютерной безопасности он начал примерно такими словами: "В инфотехнологической области, которая за последние несколько десятилетий была отмечена грандиозными человеческими свершениями, наше направление не назовешь иначе как провалом".

Произнесенное устами авторитетного специалиста, такое признание невольно вызвало у собравшихся нервный смех. Однако в словах этих никакой шутки в общем-то не было. Несмотря на впечатляющие достижения технологий, подавляющее большинство компьютерных пользователей по сию пору довольствуется теми же неуклюжими процедурами безопасности, которые были в ходу несколько десятилетий назад. При этом многие чувствуют себя менее защищенными, чем прежде.

Безопасность (как подчеркнул во вступительной речи Брюс Шнайер) — это одновременно ощущение и реальность. Следует четко понимать, что чувствовать себя в безопасности и быть в безопасности — далеко не одно и то же. Давным-давно, когда язык только начинал развиваться, оба этих понятия, возможно, обозначали одну и ту же вещь. Однако в современных языках так и не появилось, к примеру, слова, означающего "быть в безопасности, но при этом не чувствовать себя безопасно".

Из-за существенных расхождений между реальной ситуацией и ее восприятием возникает масса проблем, потому что люди принимают решения на основе своих ощущений, а не реальности.

В теории уже имеется понимание, что всякое проектирование безопасности — по природе своей дело психологическое. Однако очень многие разработчики систем безопасности этот факт игнорируют. А укоренившиеся в сознании людей когнитивные предрассудки и предубеждения ведут к неверной оценке рисков. Хорошо известно, скажем, что в автомобили практически все люди садятся без страха, хотя жертв на дорогах гораздо больше, чем в небе. Напротив, в салоне авиалайнера многие чувствуют себя менее безопасно, чем это есть на самом деле. Другой созвучный пример — из Интернета. Знакомая всем пиктограмма ключика или замка в углу окошка браузера, обозначающая защищенный сеанс, заставляет людей чувствовать себя в большей безопасности, хотя сама по себе никакой гарантией она не является.

Беда в том, что подобного рода предрассудки успешно используются злоумышленниками. Многие атаки на информационные системы эксплуатируют психологию в большей степени, нежели технологию. Все уже, наверное, наслышаны о фишинг-атаках, обманом завлекающих людей на фальшивые веб-сайты, которые выглядят как подлинные, но в действительности воруют пароли.

Технические меры, конечно, могут предотвратить часть фишинг-атак, однако важнейшим звеном тут являются люди, предостеречь которых от глупых действий и неверных решений гораздо труднее. И сегодня атаки, базирующиеся на обмане, представляют самую большую угрозу для онлайновой безопасности.

Чтобы быть эффективными, системы защиты должны быть удобны в использовании и понятны не только компьютерным асам, но и самым обыкновенным людям. А всякое исследование о практичной и удобной безопасности — не только в сети, но и в быту, в жизни, повсюду — неизбежно должно иметь психологический компонент. Ныне, к счастью, диалог между исследователями в областях безопасности и психологии начал быстро расширяться. Здесь сходятся все больше и больше дисциплин — от практической безопасности в инжиниринге, дизайне протоколов, приватности и политике с одной стороны, до социальной психологии, эволюционной биологии и поведенческой экономики — с другой.