Safe by Design: обзор безопасности UX

Пора спать, но сначала несколько рутинных дел:

• Наденьте пижаму.
• Чистить зубы.
• Откройте окна.
• Разблокируйте двери.
• Положите бумажник, личные документы и банковскую информацию в удобную стопку на кухонном столе.

Сладкие сны.

Если этот сценарий вызывает беспокойство, подумайте, как часто одна и та же конфиденциальная информация вводится в наши цифровые устройства. Без надлежащих протоколов безопасности наши активы и личности становятся легкой добычей. Хуже того, как разработчики цифровых интерфейсов, пренебрежение безопасностью подвергает пользователей риску — финансовому, профессиональному, реляционному и эмоциональному.

Безопасность — это не тенденция или рекламная тактика, это важнейший аспект пользовательского опыта и дизайна интерфейса.

Идеальный интерфейс прост в эксплуатации и защищен от попыток кражи личной информации пользователей. Предоставление такого дизайна обычно представляет собой компромисс между удобством использования и безопасностью:

• Если интерфейс прост в использовании, он менее безопасен.
• Если он безопасен, его сложнее использовать.

Этот компромисс — миф. Мы можем создавать простые и безопасные интерфейсы без ущерба для их качества. Здесь дизайнеры UX играют решающую роль, обеспечивая соблюдение как технических требований, так и потребностей пользователей.

Во многих отношениях дизайнеры UX являются интерпретаторами. Они расшифровывают технические требования и делают их понятными для пользователей. Они также проявляют ситуационную осведомленность, решая, когда сосредоточиться на простоте или когда использовать сложные меры безопасности. Баланс является ключевым фактором, но его можно достичь только путем включения всех заинтересованных сторон на самых ранних этапах проектирования.

Заранее вовлеките заинтересованные стороны в безопасность UX

Есть несколько сторон, с которыми необходимо проконсультироваться, чтобы разработать безопасный и успешный цифровой продукт. Например, проектные группы должны гарантировать, что их продукты соответствуют соответствующим нормам, таким как HIPAA для отрасли здравоохранения и PCI DSS для банковских и финансовых услуг. Кроме того, функции безопасности, реализуемые проектными группами, должны соответствовать стандартам, установленным техническими группами цифровых продуктов.

Когда дело доходит до безопасности, нередко игнорируется ввод данных пользователем. Но чтобы действительно удовлетворить потребности пользователей в безопасности, разработчики должны понять их мотивы, поведение и ожидания. Часто пользователи очень мало знают о цифровой безопасности, поэтому дизайнеры должны научиться предвидеть уровни риска, с которыми пользователи столкнутся при навигации по различным экранам и функциям. Чем раньше риски могут быть выявлены в процессе проектирования, тем лучше.

Игнорирование заинтересованных сторон или включение их вклада на поздних этапах процесса проектирования удваивает риск. Это может открыть дыры в безопасности продуктов, которые в противном случае можно было бы предотвратить, или привести к продуктам, настолько безопасным, что их едва ли можно использовать.

Методы проектирования для обеспечения безопасности продукта

Шифрование

Шифрование — это метод преобразования конфиденциальной информации в код, который кажется случайным. Это важное соображение при проектировании цифровых продуктов с коммуникационными функциями. В приложениях, где часто происходит обмен звонками, текстами, видео, изображениями и документами (например, WhatsApp), сквозное шифрование гарантирует, что только пользователи, участвующие в разговоре, могут видеть обмениваемые данные.

Это означает, что никто, ни компания, разработавшая приложение, ни злоумышленники, ни даже правительство, не может видеть содержание сообщений. Когда пользователи знают, что их информация защищена такими мерами, они гораздо охотнее доверяют.

Аутентификация

Важно убедиться, что только владелец учетной записи может войти в систему и что все злоумышленники заблокированы. Аутентификация является наиболее эффективным способом защиты цифровых продуктов от несанкционированного доступа. Такие функции, как требования к имени пользователя и паролю, должны быть идентифицированы и протестированы на ранней стадии процесса проектирования.

Для дополнительной безопасности можно добавить двухфакторную аутентификацию (2FA). При двухфакторной аутентификации вводятся имя пользователя и пароль, а код входа отправляется на мобильный телефон или адрес электронной почты.

Конфиденциальность данных

В конечном счете, конфиденциальность данных является этическим соображением для дизайнеров и компаний. Когда пользователи торгуют своими личными данными в обмен на доступ к цифровому продукту, они предпочитают верить, что компания, которая наблюдает за продуктом, будет честно обращаться с их информацией. Они также верят, что функции, реализованные дизайнерами и разработчиками, способны противостоять атакам на данные.

Повышение конфиденциальности пользователей и конфиденциальности данных

Стоит повторить, цифровые продукты создаются для пользователей, а не наоборот. Взаимодействие пользователей с продуктами никогда не должно сопровождаться риском утечки или кражи их данных. К сожалению, это не всегда так.

Большинство киберпреступлений совершаются с целью получения личных данных пользователей, но UX-дизайнеры могут помочь. Как же так? Внедряя функции, которые побуждают пользователей выбирать более надежные пароли и избегать размещения чрезмерных личных данных в Интернете.

Например, интерфейс аутентификации продукта может использовать дружественное сообщение, чтобы информировать пользователей о том, почему важно иметь более надежные пароли. Вместо того, чтобы заставлять пользователей создавать пароль с 12 символами, строчными и прописными буквами, цифрой и символом, в сообщении можно было бы просто сказать: «Вам нужен более надежный пароль. Вот почему это важно». Таким образом, пользователи лучше понимают необходимость защиты своих данных и конфиденциальности.

Удалите ненужные препятствия безопасности

Если безопасность продукта зависит от вовлечения всех заинтересованных сторон, дизайнеры должны уделить время консультациям с разработчиками и специалистами по кибербезопасности. У разработчиков обычно есть ограничения, влияющие на дизайн, и они могут предложить информацию об эффективности функций безопасности UX, реализованных дизайнерами. Специалисты по кибербезопасности могут обучать дизайнеров самым современным стратегиям, инструментам и нормам обеспечения безопасности.

Небольшое предостережение: консультироваться с экспертами по безопасности — это хорошо, но чрезмерное усердие в мерах безопасности делает цифровые продукты громоздкими и побуждает пользователей искать что-то еще. Расплывчатые сообщения, такие как «Ваше подключение к Интернету не защищено», побуждают пользователей обходить функции безопасности, предназначенные для их защиты.

В конечном счете, это плохо отражается на бизнесе, когда законные пользователи не могут выполнять задачи или оказываются заблокированными в своих учетных записях из-за чрезмерно сложной цифровой безопасности.

Защита от социальной инженерии

Из всех существующих атак на цифровую безопасность одна схема встречается значительно чаще, чем любая другая. На его долю приходится почти 90% взломов во всем мире, и он больше полагается на искусство обмана, чем на сложные технические возможности. Что это за гнусная тактика?

Фишинг.

Подобно аферистам прошлого, фишинг (который чаще всего встречается в электронных письмах) в значительной степени опирается на стратегии социальной инженерии, чтобы запугать, оказать давление и запутать пользователей, заставив их передать конфиденциальную информацию и с трудом заработанные деньги. Для защиты от фишинговых атак разработчики могут создавать форумы безопасности, на которых пользователи могут сообщать о спаме и публиковать предупреждения для других пользователей. Они также могут использовать всплывающие окна или сообщения в своих приложениях, чтобы предупредить пользователей об известных попытках фишинга.

Дизайнерам тоже нужна цифровая безопасность

Несмотря на все усилия, направленные на обеспечение безопасности, одна упущенная из виду уязвимость может серьезно подорвать целостность цифровых продуктов. Это не имеет ничего общего с технологиями — это сами дизайнеры.

На каждый созданный продукт приходится сотни (даже тысячи) дизайнерских артефактов. Используются десятки каналов связи. Ссылки на стратегические документы рассылаются нескольким сторонам. Кроме того, распределенные команды все больше зависят от облачных инструментов проектирования.

Если разработчики не примут меры предосторожности для защиты своей работы и связи, злоумышленники найдут способы проникнуть в слабые места организации. Это может означать создание VPN, прохождение обучения по кибербезопасности и принятие руководящих принципов управления активами и связи, чтобы предотвратить незавершенные дела.

Дизайн для безопасности

Безопасные и удобные интерфейсы не появляются случайно. Они являются результатом усилий дизайнеров, которые тратят время на выявление точек уязвимости данных и вовлекают заинтересованные стороны на ранних стадиях творческого процесса. Безопасность ничем не отличается от любой другой важной функции — нельзя игнорировать потребности конечных пользователей.

Когда дизайнеры найдут полезные способы сообщить о ценности безопасности и убедиться, что функции безопасности работают эффективно, пользователи будут вознаграждать компании, которые контролируют цифровые продукты, своим доверием и постоянным участием.

• • •

Дальнейшее чтение в блоге Toptal Design:

• The Higher Ground — руководство по этике дизайна
• Age Before Beauty — руководство по дизайну интерфейсов для пожилых людей
• Конец веб-форм
• Полное руководство по дизайну веб-сайта электронной коммерции
• Главная Умный дом IoT: одомашнивание Интернета вещей