V rámci třetího semestru studia Designu informačních služeb (DIS) jsem se v Praxi III věnoval iteraci předmětu ISKM97 Kyberbezpečnost, design a lidé, který jsme vytvořili a učím společně s kolegyní Pavlou Vizváry na KISK (FF MU). Zde je shrnutí toho, co jsem dělal a co bych si rád zapamatoval.
I. Výchozí situace
První kolo výuky předmětu ISKM97 proběhlo v jarním semestru. Hodnocení od studentů i od vedení bylo pozitivní. Přesto jsem věděl, že je co zlepšovat.
Před prvním během jsem provedl rozhovory se stakeholdery a konzultoval s experty z několika kyberbezpečnostních týmů, včetně zástupců Národního úřadu pro kybernetickou a informační bezpečnost. Tyto rozhovory mi pomohly zarámovat obsah předmětu a ověřit jeho relevanci. Symbolickým uzavřením byla Letní školy kyberbezpečnosti KISK, kde jsem se mohl setkat a načerpat know-how od řady expertů z praxe.
Nicméně samotné přednášky jsem během semestru připravoval v určitém spěchu – primárně na základě svých zkušeností a aktuálních znalostí. Dokázal jsem přinést to podstatné, ale cítil jsem, že mi chybí hlubší teoretické ukotvení. Konkrétně jsem potřeboval věnovat více času sekundárnímu výzkumu – prostudovat odborné články a zorientovat se ve state of the art v oblasti human-centred security.
II. Co jsem dělal
Třetí semestr byl proto zaměřený na dvě hlavní aktivity: hlubší rešerši a práci se zpětnou vazbou.
Sekundární výzkum
Systematicky jsem procházel odborné zdroje zaměřené na human-centred security a security user experience. Cílem bylo identifikovat klíčové principy, frameworky a výzkumné poznatky, které mohou obohatit obsah předmětu.
Klíčové zdroje:
Knihy:
- Human-Centered Security
- Re-Thinking the Human Factor
- Transformational Security Awareness
- Design for Privacy
- Deliberate Intervention
Akademické zdroje:
- Práce Karen Renaud – klíčová autorka v oblasti usable security
- USENIX SOUPS (Symposium on Usable Privacy and Security)
- SCP (Sociotechnical Cybersecurity and Privacy)
- HAISA (Human Aspects of Information Security & Assurance)
- IEEE Security & Privacy Magazine
- Behaviour & Information Technology
Kurzy a vzdělávací platformy:
- KnowBe4
- SANS Institute – zejména kurzy Managing Human Risk a Security Culture for Leaders
Nelze opomenout ani zpětnou vazbu od studentů i od expertů, šlo o velmi cenné vstupy.
Nakonec jsem se vrátil i ke své staré diplomové práci „Management informační bezpečnosti v organizaci zaměřený na člověka“, kterou vedla Pavla Vizváry. Čímž se to celé pěkně uzavřelo.
Restrukturace kurzu
Výsledkem je kurz, který má nyní jinou podobu. Některé přednášky jsou stejné, některé byly upraveny a některé vznikly zcela nově. Změny vychází jak z reflexe zpětné vazby, tak z poznatků získaných během rešerše.
Kurz je nyní rozdělen do tří bloků:
I. Východiska
1. Organizace – základní informace o předmětu, ukončení, zdroje. Human-centered security, designéři ve světě kyberbezpečnosti – motivace, základní koncepty.
2. Hrozby zaměřené na člověka – typologie, sociální inženýrství, příběhy úspěšných útoků.
3. Bezpečné chování a praxe jednotlivců – vysvětlení základních opatření digitální hygieny, jejich nastavení. Kyberkompas.
4. Lidé a kyberbezpečnost – aspekty ovlivňující lidské myšlení a chování.
5. Systémový pohled na kyberbezpečnost – systémový přístup, kontext a souvislosti, právo, ISMS principy. Kyberbezpečnost v organizaci.
II. Filozofie a praxe ovlivňování lidského chování
6. Designové výzvy v kyberbezpečnosti – možnost využití designového myšlení a představení konkrétních use cases.
7. Osvěta a komunikace jako základní opatření – jak fungují ISA programy, kde brát inspiraci a jaké jsou jejich problémy.
8. Didaktika, andragogika – modely a principy vzdělávání, které je dobré znát.
9. Praxe vzdělávání uživatelů – design vzdělávacího procesu.
10. Behaviorální design – nástroje k ovlivňování chování a myšlení..
11. Usability & Security – hosté: Martin Ukrop, Martin Horá
III. Přesahy
12. Kultura a kyberbezpečnost – přístupy k budování bezpečné kultury v organizaci, změnové řízení, přesahy do úrovně společnosti.
13. Security Fictions, trendy a etika – diskuze inspirovaná metodou spekulativního designu.
Logika struktury vede od pochopení kontextu (co je human-centred security, jaké jsou hrozby, jak fungují lidé), přes konkrétní nástroje a metody ovlivňování chování, až k širším přesahům do kultury a etiky. Zapojení externího hosta Martina Ukropa přináší studentům pohled informatika a výzkumníka v oboru usable security.
Vznikají také kvazi-skripta, která budou sloužit jako podkladový materiál pro studenty. Zatím jsou nedopracovaná a budu se jim věnovat i v dalším semestru. Aktuální verze je dostupná zde.
III. Principy human-centred security
Ze všech prostudovaných zdrojů jsem vydestiloval (také s pomocí Claude) následující principy, které tvoří teoretický základ předmětu (s finální formulací nejsem spokojen a budu ji přepracovávat):
Povaha hrozby
1. Lidská psychologie je konstantní, technologie ne
Útočníci volí cestu nejmenšího odporu. Zatímco technické zabezpečení se neustále zlepšuje, lidská psychologie zůstává stejná po tisíce let. Zneužít člověka je téměř vždy jednodušší než prolomit firewall.
2. Zneužitá důvěry a rychlého myšlení jsou klíčové faktory sociálního inženýrství
Většina útoků sociálního inženýrství se snaží navodit dojem důvery, a to různými způsoby. Využívané manipulativní techniky se zároveň snaží o to, aby člověk k situaci nepřistupoval pomocí racionálního myšlení, které by D. Kahneman označil jako pomalé.
Povaha člověka
3. Většina rozhodnutí probíhá bez vědomého myšlení
Systém 1 (rychlý, automatický, intuitivní) řídí více než 90 % našich rozhodnutí. Systém 2 (pomalý, analytický) je „drahý“ a mozek se ho snaží minimalizovat. Útočníci záměrně vytvářejí podmínky (stres, urgence, přetížení), které udržují oběť v režimu Systému 1.
4. Znalost není chování, je mezi nimi propast
Lidé čast ovědí, co mají dělat – problém není v nedostatku znalostí, ale v motivaci, prostředí a návycích. Školení zaměřené pouze na předávání informací často selhává.
5. Chování nastane pouze při souběhu tří podmínek
Chování = Motivace × Schopnost × Podnět. Chybí-li jediná složka, chování nastane méně pravděpodobně. Často je efektivnější zjednodušit chování (schopnost) než se snažit „pumpovat“ motivaci.
6. Riziko je koncentrované
Plošný přístup „jedna velikost pro všechny“ je neefektivní. Identifikace a cílená intervence u vysoce rizikových jedinců a rolí má vyšší dopad.
Povaha systému
7. Jednotlivec vždy selže – odolnost musí být v systému
Spoléhat na to, že člověk udělá správnou věc, je chyba designu. Odolnost vzniká z propojení lidí, procesů a technologií – když jedna vrstva selže, ostatní musí zafungovat. Single point of failure na lidské úrovni je stejně nebezpečný jako na technické.
8. Navrhujte pro realitu, ne pro ideální chování
Work-as-Done ≠ Work-as-Imagined. Lidé improvizují, hledají zkratky, obcházejí to, co jim překáží. Zkoumejte, jak se lidé skutečně chovají v reálném provozu – ne jak předpokládáte, že by se měli chovat. Politiky napsané pro ideální svět selhávají v reálném.
9. Nejlepší bezpečnost je ta, kterou uživatel nemusí řešit
Bezpečné chování musí být nejsnadnější cestou. Kombinujte: defaults (bezpečné nastavení automaticky), seamless (neviditelná bezpečnost v pozadí) a strategic friction (zpomalení pouze u vysoce rizikových akcí). Bezpečnost, která vyžaduje aktivní úsilí, prohrává s pohodlím.
10. Pro stres navrhujte návyky, ne rozhodování
Obecné rady („buďte opatrní“) nefungují pod tlakem. Navrhujte IF-THEN pravidla: konkrétní spojení mezi situací a akcí. IF vidím urgentní žádost o platbu → THEN ověřím jiným kanálem. Pod stresem lidé spoléhají na automatické reakce – ty musí být předem natrénované.
Povaha kultury
11. Kultura je silnější než pravidla
Kultura jsou sdílené postoje, přesvědčení a normy – určuje, co lidé dělají, když se nikdo nedívá. Sebelepší politiky selžou, pokud kultura nepodporuje jejich dodržování. Organizace již kulturu má – otázka je, zda je to ta, kterou chce.
12. Strach z trestu vytváří kulturu skrývání
Psychologická bezpečnost – možnost hlásit chyby bez strachu z postihu – je předpokladem včasné detekce incidentů. Organizace, které trestají zaměstnance za způsobení incidentu, dosahují přesného opaku toho, co potřebují.
13. Smysl předchází pravidlům
Komunikace začínající od „Proč“ (účel, hodnoty) oslovuje limbický systém a vytváří motivaci. Komunikace začínající od „Co“ (pravidla, příkazy) oslovuje pouze neokortex a vytváří odpor. Lidé následují to, čemu věří, ne to, co jim bylo nařízeno.
Povaha změny
14. Kontext a timing determinují efektivitu
Školení v momentě chyby (point-of-error) je výrazně efektivnější než separované školení. Školení bez předchozího vybudování povědomí a touhy je plýtvání zdroji. Správný podnět ve správný čas mění chování; špatný timing ho nezasáhne.
15. Změna kultury vyžaduje čas a konzistenci
Roční školení je nedostatečné – znalosti vyprchávají, návyky se nevytvoří. Kulturní transformace trvá roky. Kontinuální, konzistentní engagement je nutnou podmínkou trvalé změny.
16. Měříte-li aktivitu místo výsledků, řídíte iluzi
Dokončené školení není změněné chování. Click rate není kulturní transformace. Metriky musí odpovídat tomu, co skutečně chcete ovlivnit – a to se mění s vyspělostí programu.
IV. Rozšíření doplňkových materiálů
Součástí praxe bylo také rozšíření interaktivního příběhu ve Twine, který vznikl v předmětu Online vzdělávání: od designu k praxi.
Původní „Příběh sociálního inženýra“ popisuje, jak mohou útoky sociálního inženýrství prostřednictvím různých vektorů ohrozit organizaci. V rámci Praxe III jsem přidal třetí část, která se zaměřuje na principy resilientního designu – tedy na opatření a přístupy, které mohou organizace přijmout, aby zvýšily svou odolnost vůči těmto útokům.
Tento materiál bude dostupný jako doplňkový zdroj pro studenty předmětu ISKM97.
Vděčnost
Jsem vděčný všem, kdo mi pomohli – kolegyni Pavle za její nasazení a zkušenosti, expertům, kteří byli ochotni sdílet své poznatky, a našim studentům z prvního běhu, kteří poskytli upřímnou zpětnou vazbu a pomohli nám kurz vylepšit.