Полезная безопасность — это область информатики , взаимодействия человека с компьютером и кибербезопасности , связанная с разработкой пользовательского интерфейса систем кибербезопасности. [1] В частности, полезная безопасность направлена на обеспечение того, чтобы последствия взаимодействия с компьютерными системами, например, через диалоговые окна предупреждений , были доступны и понятны пользователям-человекам. Это отличается от метода разработки программного обеспечения , обеспечивающего безопасность по дизайну , тем, что он подчеркивает человеческие аспекты кибербезопасности, а не технические. Полезная безопасность также противоречит идее безопасности через неясность , стремясь гарантировать, что пользователи знают о последствиях своих решений для безопасности. [2] [3]
Полезная безопасность была впервые установлена учеными-компьютерщиками Джерри Зальцером и Майклом Шредером в их работе 1975 года « Защита информации в компьютерных системах» [4] , которую сейчас в просторечии называют принципами проектирования Зальцера и Шредера . Эти принципы привлекают внимание к «психологической приемлемости», утверждая, что дизайн интерфейса должен соответствовать мысленной модели системы пользователя. Авторы отмечают, что ошибки безопасности могут возникнуть, когда ментальная модель пользователя и базовая работа системы не совпадают.
Несмотря на работу Зальцера и Шредера, широко распространено мнение, что безопасность и удобство использования по своей сути находятся в противоречии; либо безопасность посредством неясности была предпочтительным подходом, либо дискомфорт и замешательство пользователя были просто требованием для обеспечения хорошей безопасности. [5] Одним из таких примеров являются системы входа пользователей. Когда пользователь вводит неверные данные для входа, система должна ответить, что имя пользователя и/или логин неверны, не уточняя, какой из них содержит неверное значение. Указав, какие из входных данных неверны (имя пользователя или пароль), злоумышленник может использовать это для определения действительных пользователей в системе, которые затем могут стать объектом атак с подбором пароля или аналогичных атак. [6] Хотя это может вызвать некоторое раздражение у пользователя, такой подход действительно обеспечивает повышенный уровень безопасности.
Лишь в 1995 году, после публикации книги Мэри Эллен Зурко и Ричарда Т. Саймона «Безопасность, ориентированная на пользователя» [7] , то, что сейчас называется полезной безопасностью, стало отдельной областью исследований и разработок. Этот сдвиг во многом связан с уделением большего внимания тестированию удобства использования и обеспечением того, чтобы аспекты безопасности были понятны в процессе проектирования и разработки, а не добавлялись второстепенно.
Хотя исследования в области полезной безопасности широко принимаются на многих конференциях по HCI и кибербезопасности , специальные места для такой работы включают:
{{cite book}}
: |journal=
игнорируется ( помощь )