Insecure in Security – ”Är vi biologiskt programmerade att strunta i säkerhet?”

Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på Intel Security i Sverige.

Veckans sammandrag handlar om hur vi är immuna mot säkerhetsvarningar

Är vi biologiskt programmerade att strunta i säkerhet?
De flesta som arbetat med säkerhet ett tag vet att den övervägande majoriteten av användare fullkomligt struntar i säkerhetsnotiser när de dyker upp på skärmen. Speciellt om de är dagliga små meddelanden om någon uppdatering, genomsökning som bör utföras eller något som fladdrar förbi när man ska öppna ett program. Jag har ett flertal gånger suttit med en kund när en säkerhetsincident skett och frågat - hur gick det här till. Ofta har inte ens kunden ett minne av att en notis dykt upp och ny forskning visar på att så kanske är fallet – för kanske stänger vi av hjärnan när vi ser återkommande säkerhetsnotiser. Det menar i alla fall forskare vid Brigham Young University, University of Pittsburgh och Google.

De utförde ett experiment på 25 deltagare där de placerade dem i en magnetröntgen för att spåra aktivitet i deras hjärna. För varje gång som ett säkerhetsmeddelande dök upp så sjönk hjärnaktiviteten drastiskt. När samma meddelande visats ett flertal gånger så fanns det ingen spårbar reaktion över huvudtaget. Vad som händer är att hjärnan aktivt sorterar bort en varning som dyker upp för ofta och slutar att se det som en viktig varning. Detta är en biologisk funktion som har dokumenterats hos allt från sniglar till människor så det är en relativt erkänd reaktion. Det här var dock första gången som ett experiment gjordes i relation till säkerhetsvarningar. Detta är självklart problematiskt då säkerhetsvarningens hela funktion är att få dig att stanna upp och fundera, eller åtminstone läsa varningen. Ett liknande test på SSL-varningar gjordes för några år sedan och då visade det sig att en användare i genomsnitt tar mindre än 2 sekunder på sig att välja handling och klicka förbi varningen.

Så problemet är att vi allt oftare möts av fler säkerhetsvarningar allt eftersom vi använder fler program, flera typer av enheter och att vi spenderar mer och mer tid framför skärmar. I artikeln på ARS Technica menar man att det har blivit en ond cirkel som leder till att användare tar allt sämre säkerhetsbeslut.

Jag brukar jämföra den här typen av autopilot med min morgonpendling, tänk på din egen. Kommer du ihåg resan, vilka människor som var där eller vilken musik du lyssnade på? Något relativt uppseendeväckande måste hända för att man ska komma ihåg sin morgonpendling och chansen att du inte kommer ihåg är rätt så stor. Det är något du gör varje dag och du tar nästan inga medvetna beslut – jag har själv ett flertal gånger missat mitt stopp och varit tvungen att vända tillbaka igen. Den här typen av automation eller muskelminne om du så vill – är precis vad vi vill att våra användare har. Säkerhet ska inte vara en barriär, så om våra användare inte behöver bry sig om säkerhetsvarningar och kan fokusera på sitt arbete istället så gör vi något rätt. Men vi vill framförallt att våra användare ska göra säkra val.

Jag arbetade för ett tag sedan med ett företag som lärde ut en viss typ av effektivitet till sin anställda och användare. De fick användare att agera nästan automatiskt till säkerhetspromptar och samtidigt välja rätt alternativ. Detta tog mycket tid, energi och framförallt så var det en hög kostnad för företaget i fråga och med en snabbt föränderlig hotbild så måste träningen bli mer intensiv och allt oftare. För allt eftersom såväl hot som våra verktyg förändras blir det uppenbart att vi måste göra en tydligare distinktion för användaren vilka säkerhetsnotiser de bör lägga märke till och vilka de kan bortse från.

Så vad man vill åstadkomma är färre repetitiva säkerhetsnotiser för användaren och när de ska lägga lite mer tid på det måste det märkas. Jag tror på ett intelligentare skydd av verksamheten där användaren inte behöver ta ställning till vartenda säkerhetshot som dyker upp. Dessa ska sorteras bort och hanteras av säkerhetsskyddet. Det andra är att använda vad som kallas polymorfiska varningar – varningar som byter form, färg och animation för att undvika att de blir bakgrundsbrus. Polymorfiska varningar har man redan börjat göra test med och skillnaderna i hjärnaktivitet har varit slående. Är du extra intresserad så kan du läsa den här rapporten som just avhandlar den här typen av varningar.

Kritiker kan självklart kritisera urvalsgruppen på 25 personer vilket är en väldigt liten grupp för en seriös vetenskaplig rapport. Jag är dock övertygad om att ni som läser min blogg har mängder av subjektiv data som styrker vad rapporten visade. Jag tror inte att någon som arbetar med säkerhet idag är överraskad över rapportens slutsatser. Vad det hela egentligen handlar om är att inte dränka en användare i säkerhetsmeddelanden. Speciellt inte generiska då det blir allt svårare att särskilja de mer allvarliga hoten från det som inte är ett hot alls.