Bezpieczne z założenia: przegląd bezpieczeństwa UX

Czas do łóżka, ale najpierw kilka rutynowych zadań:

• Załóż piżamę.
• Myć zęby.
• Otwórz okna.
• Otwórz drzwi.
• Umieść portfel, dokumenty osobiste i informacje bankowe w wygodnym stosie na blacie kuchennym.

Słodkie sny.

Jeśli ten scenariusz jest niepokojący, zastanów się, jak często te same poufne informacje są wprowadzane do naszych urządzeń cyfrowych. Bez odpowiednich protokołów bezpieczeństwa nasze aktywa i tożsamości są łatwą zdobyczą. Co gorsza, jako projektantów interfejsów cyfrowych lekceważenie bezpieczeństwa naraża użytkowników na ryzyko – finansowe, zawodowe, relacyjne i emocjonalne.

Bezpieczeństwo nie jest trendem ani taktyką promocyjną, jest kluczowym aspektem doświadczenia użytkownika i projektowania interfejsu.

Idealny interfejs jest prosty w obsłudze i zabezpieczony przed próbami kradzieży prywatnych informacji użytkowników. Dostarczenie takiego projektu jest zwykle traktowane jako kompromis między użytecznością a bezpieczeństwem:

• Jeśli interfejs jest łatwy w użyciu, jest mniej bezpieczny.
• Jeśli jest bezpieczny, jest trudniejszy w użyciu.

Ten kompromis to mit. Możemy zaprojektować interfejsy, które są proste i bezpieczne , bez uszczerbku dla ich jakości. Tutaj projektanci UX odgrywają kluczową rolę, zapewniając spełnienie zarówno wymagań technicznych, jak i potrzeb użytkowników.

Pod wieloma względami projektanci UX są tłumaczami. Rozszyfrowują wymagania techniczne i czynią je zrozumiałymi dla użytkowników. Ćwiczą również świadomość sytuacyjną, decydując, kiedy skupić się na prostocie, a kiedy zastosować wyrafinowane środki bezpieczeństwa. Równowaga jest kluczowa, ale można ją osiągnąć tylko poprzez włączenie wszystkich interesariuszy od najwcześniejszych etapów projektowania.

Zaangażuj wcześnie interesariuszy w bezpieczeństwo UX

Istnieje wiele stron, z którymi należy się skonsultować, aby zaprojektować bezpieczny i udany produkt cyfrowy. Na przykład zespoły projektowe muszą zapewnić, że ich produkty są zgodne z odpowiednimi przepisami, takimi jak HIPAA dla branży opieki zdrowotnej i PCI DSS dla usług bankowych i finansowych. Ponadto funkcje bezpieczeństwa wdrożone przez zespoły projektowe muszą spełniać standardy wyznaczone przez zespoły techniczne odpowiedzialne za produkty cyfrowe.

Jeśli chodzi o bezpieczeństwo, często zdarza się, że dane wprowadzane przez użytkownika są ignorowane. Jednak aby naprawdę zaspokoić potrzeby użytkowników w zakresie bezpieczeństwa, projektanci muszą zrozumieć ich motywacje, zachowania i oczekiwania. Często użytkownicy wiedzą bardzo niewiele o bezpieczeństwie cyfrowym, więc projektanci powinni nauczyć się przewidywać poziomy ryzyka, z jakimi będą musieli się zmierzyć użytkownicy, gdy będą poruszać się po różnych ekranach i funkcjach. Im wcześniej ryzyko można zidentyfikować w procesie projektowania, tym lepiej.

Ignorowanie interesariuszy lub uwzględnianie ich wkładu na późnym etapie procesu projektowania podwaja ryzyko. Może otwierać luki w zabezpieczeniach produktów, którym w innym przypadku można by zapobiec, lub może prowadzić do produktów, które są tak bezpieczne, że ledwo nadają się do użytku.

Metody projektowania dla bezpieczeństwa produktu

Szyfrowanie

Szyfrowanie to metoda przekształcania poufnych informacji w kod, który wydaje się być losowy. Jest to ważny aspekt projektowania produktów cyfrowych z funkcjami komunikacyjnymi. W aplikacjach, w których często wymieniane są połączenia, teksty, filmy, obrazy i dokumenty (pomyśl o WhatsApp), szyfrowanie typu end-to-end zapewnia, że ​​tylko użytkownicy biorący udział w rozmowie widzą wymieniane dane.

Oznacza to, że nikt, ani firma stojąca za aplikacją, ani przestępcy danych, ani nawet rząd, nie mogą zobaczyć treści wiadomości. Gdy użytkownicy wiedzą, że ich informacje są chronione takimi środkami, znacznie chętniej pokładają zaufanie.

Uwierzytelnianie

Niezbędne jest sprawdzenie, czy tylko właściciel konta może się zalogować – i czy wszyscy intruzi są zablokowani. Uwierzytelnianie to najskuteczniejszy sposób zabezpieczenia produktów cyfrowych przed nieautoryzowanym dostępem. Funkcje, takie jak nazwy użytkowników i wymagania dotyczące haseł, należy zidentyfikować i przetestować na wczesnym etapie procesu projektowania.

Dla dodatkowego bezpieczeństwa można dodać uwierzytelnianie dwuskładnikowe (2FA). W przypadku 2FA wprowadza się nazwę użytkownika i hasło, a kod logowania wysyłany jest na telefon komórkowy lub adres e-mail.

Prywatność danych

Ostatecznie prywatność danych jest kwestią etyczną dla projektantów i firm. Kiedy użytkownicy wymieniają swoje dane osobowe w zamian za dostęp do produktu cyfrowego, decydują się wierzyć, że firma nadzorująca produkt będzie traktować ich informacje w sposób uczciwy. Ufają również, że funkcje zaimplementowane przez projektantów i programistów są w stanie wytrzymać ataki na dane.

Zwiększ prywatność użytkownika i prywatność danych

Warto powtórzyć, produkty cyfrowe są tworzone dla użytkowników, a nie odwrotnie. Interakcje użytkowników z produktami nigdy nie powinny wiązać się z ryzykiem wycieku lub kradzieży ich danych. Niestety nie zawsze tak jest.

Większość cyberprzestępczości ma na celu pozyskanie danych osobowych użytkowników, ale projektanci UX mogą w tym pomóc. Jak to? Wdrażając funkcje, które zachęcają użytkowników do wybierania silniejszych haseł i unikania umieszczania w Internecie nadmiernych danych osobowych.

Na przykład interfejs uwierzytelniania produktu może zawierać przyjazny komunikat informujący użytkowników o tym, dlaczego ważne jest posiadanie silniejszych haseł. Zamiast zmuszać użytkowników do tworzenia hasła składającego się z 12 znaków, małych i wielkich liter, cyfry i symbolu, wiadomość może po prostu mówić: „Potrzebujesz silniejszego hasła. Oto dlaczego jest to ważne”. W ten sposób użytkownicy lepiej rozumieją konieczność zabezpieczenia swoich danych i prywatności.

Usuń niepotrzebne przeszkody bezpieczeństwa

Jeśli bezpieczeństwo produktu zależy od włączenia wszystkich interesariuszy, projektanci muszą poświęcić czas na konsultację z programistami i specjalistami ds. cyberbezpieczeństwa. Deweloperzy zazwyczaj mają ograniczenia, które wpływają na projekt i mogą być w stanie zaoferować wgląd w skuteczność funkcji bezpieczeństwa UX wdrożonych przez projektantów. Specjaliści ds. cyberbezpieczeństwa mogą edukować projektantów w zakresie najbardziej aktualnych strategii, narzędzi i przepisów dotyczących bezpieczeństwa.

Słowo ostrzeżenia: konsultowanie się z ekspertami ds. bezpieczeństwa jest dobre, ale przesadzanie ze środkami bezpieczeństwa sprawia, że ​​produkty cyfrowe są uciążliwe i zachęca użytkowników do szukania gdzie indziej. Niejasne komunikaty, takie jak „Twoje połączenie internetowe nie jest bezpieczne”, prowadzą użytkowników do obchodzenia funkcji zabezpieczających, które mają na celu ich ochronę.

Ostatecznie odbija się to słabo na firmach, gdy legalni użytkownicy nie mogą wykonywać zadań lub są zablokowani na swoich kontach z powodu nadmiernie skomplikowanych zabezpieczeń cyfrowych.

Zabezpiecz się przed socjotechniką

Ze wszystkich ataków na bezpieczeństwo cyfrowe, które mają miejsce, jeden schemat jest znacznie bardziej powszechny niż jakikolwiek inny. Stanowi prawie 90% naruszeń na całym świecie i opiera się bardziej na sztuce oszustwa niż na zaawansowanych zdolnościach technicznych. Co to za nikczemna taktyka?

Wyłudzanie informacji.

Podobnie jak dawni oszuści, phishing (występujący najczęściej w wiadomościach e-mail) w dużej mierze opiera się na strategiach socjotechniki, aby straszyć, wywierać presję i skłaniać użytkowników do przekazywania poufnych informacji i ciężko zarobionych pieniędzy. Aby chronić się przed atakami typu phishing, projektanci mogą tworzyć fora bezpieczeństwa, które pozwalają użytkownikom zgłaszać spam i publikować ostrzeżenia innym użytkownikom. Mogą również wykorzystywać wyskakujące okienka lub wiadomości w swoich aplikacjach, aby ostrzegać użytkowników o znanych próbach phishingu.

Projektanci również potrzebują zabezpieczeń cyfrowych

Mimo całego wysiłku włożonego w bezpieczeństwo, jedna przeoczona luka może poważnie zagrozić integralności produktów cyfrowych. Ma niewiele wspólnego z technologią — to sami projektanci.

Dla każdego stworzonego produktu generowane są setki (nawet tysiące) artefaktów projektowych. Wykorzystywane są dziesiątki kanałów komunikacji. Linki do dokumentów strategicznych są wysyłane do wielu stron. Ponadto rozproszone zespoły są coraz bardziej zależne od narzędzi projektowych opartych na chmurze.

Jeśli projektanci nie podejmą środków ostrożności, aby chronić swoją pracę i komunikację, napastnicy znajdą sposoby na infiltrację słabych punktów organizacji. Może to oznaczać ustanowienie sieci VPN, przejście szkolenia w zakresie cyberbezpieczeństwa oraz wprowadzenie w życie wytycznych dotyczących zarządzania zasobami i komunikacji, aby zapobiec luźnym sprawom.

Projekt dla bezpieczeństwa

Bezpieczne i użyteczne interfejsy nie są przypadkowe. Są wynikiem pracy projektantów, którzy poświęcają czas na zidentyfikowanie punktów podatności danych i angażują interesariuszy na wczesnym etapie procesu twórczego. Bezpieczeństwo nie różni się od innych krytycznych funkcji — nie można ignorować potrzeb użytkowników końcowych.

Gdy projektanci znajdą pomocne sposoby komunikowania wartości bezpieczeństwa i zapewnienia skutecznego działania funkcji bezpieczeństwa, użytkownicy nagrodzą firmy, które nadzorują produkty cyfrowe, swoim zaufaniem i nieustannym zaangażowaniem.

• • •

Dalsza lektura na blogu Toptal Design:

• Wyższy grunt – przewodnik po etyce projektowania
• Age Before Beauty – przewodnik po projektowaniu interfejsu dla osób starszych
• Koniec formularzy internetowych
• Kompletny przewodnik po projektowaniu witryn eCommerce
• Strona główna Inteligentny dom IoT: oswajanie Internetu rzeczy