CC BY
9
го компонента, как сообщенные инциденты, оценивается размещение конфиденциальных материалов и степень их защищенности.
Результаты исследования по тестированию гипотез 1-5, пишут авторы, показали поддержку этих гипотез. В целом была продемонстрирована умеренная положительная связь между организационной культурой информационной безопасности и рядом аспектов информационного обеспечения принятия решений работниками. Это предполагает, что улучшение организационной культуры информационной безопасности должно повышать согласие работников с организационной политикой и организационными процедурами информационной безопасности, что в свою очередь будет работать на снижение рисков человеческих ошибок в информационном обеспечении принятия решений.
«В последнее время, - отмечают авторы в заключение, - в области информационной безопасности все больше признается важность исследования и человеческого фактора, и технико-технологической стороны информационной безопасности. Предлагаемая статья высвечивает некоторые сложные проблемы, которые могут влиять на взаимодействие человека и техники. И требуются дальнейшие исследования для адекватного понимания этого взаимодействия - фундаментальной основы современной жизни общества» (с. 127).
А.А. Али-заде
2016.01.007. НЕМАДИ Л., МЕЙЕР И. ВЛИЯНИЕ МЕТОДА И СВОЙСТВ ИДЕНТИФИКАЦИИ НА ИДЕНТИФИКАЦИОННЫЕ РЕШЕНИЯ И ДЕЙСТВИЯ.
NEHMADI L., MEYER J. Effects of authentication method and system properties on authentication decision and performance // Journal of cognitive engineering and decision making. - 2015. - Vol. 9, N 2. - P. 130148. - D0I:10.1177/1555343415581687. - Mode of access: http://edm. sagepub. com/ content/9/2/130/
Ключевые слова: идентификация; принятие решений; информационная безопасность; мобильная безопасность; модель безопасности.
Отмечая, что старейшая и широко используемая форма идентификации, основанной на знании, тем не менее до сих пор про-
блематична, авторы из Израиля предлагают решение идентификационной проблемы в своей модели переменных осуществления идентификации.
Легкий доступ в современную информационную систему, пишут авторы, - главная проблема компьютерной / информационной безопасности с тех пор, как впервые были введены терминалы дистанционного доступа. Еще в 1979 г. было опубликовано исследование по истории безопасности, обеспечиваемой паролями, в котором описывалась борьба за улучшение системы безопасности с помощью усложнения доступа в систему, защищаемую паролями. Идея этого исследования состояла в необходимости найти компромисс между максимально высоким уровнем безопасности и легкостью использования защищенной системы. Головоломка нахождения подобного компромисса до сих пор так и не решена, поскольку компьютерная работа в организациях теряет производительность из-за того, что работники вынуждены непроизводительно тратить свои усилия на многочисленные необходимые для работы пароли.
Проблема идентификации - специальный случай общего типа проблем, когда люди выбирают, повышать ли безопасность своих действий или предпочесть свободу и эффективность. В контексте идентификации подобный выбор очевиден. Пользователи современных информационных систем часто решают, нужно ли им осуществлять идентификацию. Они выбирают защиту своего мобильного устройства (МУ) либо с помощью пароля, либо, что обычно делается, - персонального идентификационного номера (ПИН). Даже когда система вынуждает пользователя употребить идентификацию, он будет взвешивать это свое усилие, решая, насколько пароль усложнит работу с системой. Если система предписывает определенный уровень сложности паролей или частое их изменение, пользователи решают, фиксировать ли и где фиксировать пароль или лучше просто запомнить его. Наконец, люди задумываются над усилиями идентификации, когда решают, нужно ли вообще вовлекаться в деятельность, требующую идентификации.
Идентификация стала «головной болью» для пользователей мобильных устройств. Этим устройствам все больше и больше доверяют конфиденциальную информацию, например связанную с финансами, бизнесом. Через такие устройства осуществляется доступ в компьютерные системы, и они (устройства) уязвимы для атак,
поскольку находятся в постоянном употреблении, их местонахождение изменчиво, доступ к ним возможен с помощью разных технологий, например с помощью wi-fi. И несмотря на такую уязвимость, мобильные устройства часто недостаточно защищены. В исследовании по мобильной безопасности, в котором было 465 участников из Германии и Израиля, 75% респондентов, использующих мобильные устройства, заявили, что редко обращаются к ПИН для защиты МУ, а 66% - что не обращаются к ПИН никогда. Даже то меньшинство, которое использует ПИН, защищено плохо - 76% этого меньшинства сообщили, что никогда не меняли ПИН. Учитывая подобную информацию, можно понять, почему исследователи констатируют слабую защищенность мобильных телефонов.
Решение о том, использовать или не использовать идентификацию, может быть проанализировано как выбор между двумя альтернативами, когда, выражаясь экономическим языком, пользователь взвешивает ожидаемые выгоды и издержки использования идентификации. Отсюда - предлагаемая авторами модель решения использовать идентификацию, включающая в себя метод идентификации и берущая в расчет условия, в которых идентификация требуется.
С помощью идентификации, основанной на знании (knowledge based authentication) (ИЗ), пользователи входят в информационную систему, проявляя знание, которое должно быть известно только им. Осуществляется ИЗ с помощью, например, паролей, ПИН и графических паролей (ГП). Поскольку ИЗ представляет процесс припоминания (remembering) данных пользователем, для анализа процесса идентификации может быть уместна модель информационного процесса, происходящего в мозге человека. Например, в случае использования ГП пользователь должен сначала воспринять представленный ГП образ, затем - понять текущее состояние своего мобильного устройства и выбрать подходящее действие и наконец - произвести ответ. Словом, пользователь вынужден проводить специфическую аналитическую работу, требующую вложения определенных когнитивных ресурсов.
Методы идентификации различаются по объему когнитивных ресурсов, вкладываемых пользователем сначала в свое обучение этим методам, а затем в их применение. Человек обычно стара-
ется минимизировать свои усилия, даже когда такая минимизация может дорого обойтись, - владельцы мобильных устройств склонны использовать незамысловатые коды или держать коды вместе с МУ. Главный определитель уровня когнитивных усилий - нагрузка памяти (memory load) (НП), т.е. объем информации, который нужно пользователю МУ помнить, чтобы произвести идентификацию. НП зависит от длины цепочки идентификации (ПИН может включать четыре цифры, а может - девять) и пути шифровки данных (порядок символов шифровки может запоминаться легче или труднее). Во многих смартфонах теперь можно заменить традиционную (с помощью ПИН) идентификацию на идентификацию посредством ГП, и тогда пользователи должны запоминать код из визуальных элементов, а не из чисел. Множество исследований посвящено сегодня теме графических паролей, и многие исследователи полагают, что идентификация посредством ГП легче и более защищена, чем идентификация с помощью ПИН. Впрочем, есть и исследования, где утверждается, что у ГП нет перед ПИН никаких преимуществ и, более того, что графические пароли создают трудности, когда требуется запоминать больше одного пароля.
Помимо когнитивных усилий идентификация может элементарно требовать и двигательных усилий - когда пользуются экранами осязания, причем малоразмерными экранами, где множество картинок располагается на малом пространстве, что увеличивает чисто физические усилия пользователя, требуя от него повышенной мануальной точности. Операционные системы, которые требуют от операторов высокого уровня точности, не терпят большой вариантности в ответах пользователей и подталкивают к поспешной безальтернативности, увеличивая вероятность ошибок.
Необходимость использовать методы идентификации может вступить в конфликт с назначением МУ. Процедура идентификации по своей природе выполняет поддерживающую задачу - периферийную в отношении цели использования МУ. И когда происходит конфликт между периферийной и главной задачами МУ или просто требуется слишком много времени для решения периферийной задачи, пользователи будут пытаться работать с периферийной задачей приблизительно, либо полностью ее игнорировать. Понимание этого должно помочь в создании таких систем безопас-
ности, которые повышали бы шансы своего применения у пользователей МУ.
Многочисленные исследования посвящены подобным издержкам работы мобильных устройств. Например, изучается спрос пользователей на системы идентификации, а также то, насколько он продиктован соображениями именно информационной безопасности. Есть социально-когнитивные (social-cognitive) исследования, изучающие осознание пользователями связанной с информационной безопасностью ситуации и риски / выгоды пользователей, работающих с системами информационной безопасности.
Авторы предлагают «модель вычисления готовности пользователей МУ работать с системами ИЗ» (с. 133). Согласно этой модели, пишут они, система ИЗ оценивается на основе своих характеристик и контекста своего использования. Такие элементы системы ИЗ, как длина кода и методы идентификации, а также элементы контекста использования системы (усталость пользователя, цейтнот) - ключевые в определении степени, в какой система будет востребована пользователями. Причем эти элементы - не прямого действия на пользователя, они не прямые детерминанты его решения по использованию / неиспользованию и вообще восприятия системы информационной безопасности. Они влияют на его когнитивную готовность использовать систему безопасности, и уже звено когнитивной готовности включает механизм самого этого использования / неиспользования. В рамках предлагаемой модели оценивается влияние когнитивной переменной на другие наблюдаемые переменные. Когнитивная переменная в данном случае -это память пользователя МУ об информации, необходимой для работы с мобильным устройством. Всегда существует некая трудность активации когнитивной переменной - просто потому, что человек забывчив, и ему всегда требуется именно вспомнить актуальную информацию, т.е. сделать определенное когнитивное усилие. И ясно, что чем труднее запоминается нужная информация, тем с большей вероятностью она забывается. Собственно поэтому идентификационная информация должна быть такой, чтобы пользователь мог легко вызвать ее в памяти, но при этом, конечно, без ущерба для конфиденциальности этой информации. Обычно люди стараются избегать когнитивных усилий, и потому наличие значительных когнитивных трудностей в работе с процедурой иденти-
фикации будет вызывать естественное желание отказаться от такой процедуры.
В своем исследовании авторы сравнивают идентификацию с помощью ПИН и идентификацию посредством ГП, обращая внимание на то обстоятельство, что такое сравнение усложняется фактом существования 25 различных форм ГП. Авторы поэтому выбрали форму ГП, позволяющую сравнение с ПИН при минимуме ставящих в тупик эффектов, и провели два эксперимента, в которых менялись длина кода, метод идентификации и требуемая точность (низкая / высокая) операций с ГП. В отличие от эксперимента 1, где для респондентов не вводился фактор цейтнота, в эксперименте 2 ограничение времени на выполнение респондентами задачи было введено.
Участниками эксперимента 1 стали 48 студентов (26 мужчин и 22 женщины), распределенные случайным образом между группой ПИН и группой ГП. Эксперимент был задуман так, чтобы исследовать идентификацию как часть инвестиционной игры, которая заключалась в сериях инвестиционных шагов, представленных в виде недель. В каждую неделю участники игры располагали максимумом денежных средств, которые они могли инвестировать в каждый из некоторого числа объектов при ожидаемых выгодах и рисках такого инвестирования. Когда респонденты пожелали бы поменять объекты распределения инвестиционных денег, им, прежде всего, потребовалось бы произвести идентификацию. Присуждение штрафа произойдет, если у респондента будет неудачная идентификация, например не сработает вызов пароля. После распределения респондентами инвестиционных денег экспериментальная система производит расчет выгоды / рисков для каждого объекта инвестирования. Число попыток осуществить успешную идентификацию может варьироваться, поскольку каждая очередная попытка может оказаться неудачной. На каждую такую попытку дается 15 сек., и если в течение этого времени респонденту не удается удачно завершить идентификацию, он платит штраф в размере 33 долл. из имеющихся у него инвестиционных средств и начинает очередную попытку. Если респондент не знает пароль и вынужден просить открыть его, то штраф составит уже 100 долл. Респонденты изначально имели 5,5 тыс. долл. для инвестиций и 100 инвестиционных шагов - инвестирования этих денег так, как они хотели
бы. По соображениям информационной безопасности при прохождении половины игры деньги, аккумулированные респондентами свыше суммы в 5,5 тыс. долл., должны были отправиться в сейф, а респонденты - вернуться к изначальной сумме, и должен быть задан новый код (по условиям игры - длинный и короткий). Респондентов попросили не записывать коды и оставить все свои вещи, в том числе телефоны, вне комнаты эксперимента. Наконец, респондентов постарались мотивировать «заработать» максимально возможную сумму денег. Им внушали, что прибыль в игре - это лотерейные билеты, открывающие возможность получить в конце эксперимента приз наличными деньгами. Каждый респондент мог совершить 100 инвестиционных шагов: 50 при использовании короткого кода и 50 - длинного.
Эксперимент 1 показал, что длина кода, требуемая точность ответа и метод идентификации влияют на то, как люди используют и воспринимают идентификационные системы. На частоту идентификации особо не оказывали влияние различные факторы, возможно, потому, что идентификация была интегральной частью игры. Поведение респондентов с очевидностью засвидетельствовало, что издержки осуществления идентификации оказались меньше ожидаемых от нее выгод. Но можно предположить, что возрастание сложности процедуры идентификации привело бы к обратной ситуации - когда ожидаемые от идентификации выгоды перестали бы перекрывать ее издержки с отказом респондентов от идентификационной процедуры. Для проверки этой гипотезы и был проведен эксперимент 2, в котором издержки идентификации были повышены посредством более сложного для респондентов сценария.
Издержки совершения действий по безопасности могут возрастать, когда время у пользователя МУ ограничено. Цейтнот увеличивает когнитивную нагрузку, что ведет к снижению качества выполнения когнитивной задачи и старанию сосредоточиться на ее выполнении, не тратя время на обеспечение безопасности. Эксперимент 2, в котором новой вводной в сравнении с экспериментом 1 стало ограничение действий респондентов по времени, был призван протестировать следующие прогнозы. Прогноз 1: рост требований (лимитированное время) экспериментальной ситуации увеличит вероятность неудач идентификации, забывчивость в отношении идентификационных кодов и удлинит требуемое для
идентификации время. Прогноз 2: при повышении когнитивной нагрузки (например, при переходе от коротких идентификационных кодов к длинным) ситуационные требования будут снижать использование системы безопасности. Прогноз 3: в условиях ограниченного времени будет расти негативное субъективное восприятие системы безопасности.
Для проверки в эксперименте 2 этих прогнозов 48 респондентов (27 мужчин и 21 женщина) произвели каждый в среднем 62 инвестиционных шага, в то время как в эксперименте 1 каждый участник произвел 100 инвестиционных шагов. При этом в эксперименте 2 меньше использовали систему безопасности (0,47 раз на шаг), чем в эксперименте 1 (0,58). Из-за более низкого, чем в эксперименте 1, числа инвестиционных шагов и, соответственно, меньшего числа попыток было решено не разделять эксперимент 2 на две половины.
Как и в эксперименте 1, длина кода (длинный / короткий код) не влияла на частоту использования процедуры идентификации. Однако эксперимент 2 показал важное различие между двумя методами идентификации - посредством ПИН и ГП: частота использования ПИН была выше частоты использования ГП. Эксперимент 2 повторил результат эксперимента 1 в отношении того, что число неудачных попыток идентификации оказалось больше, когда использовались длинные коды, в сравнении с попытками идентификации, использовавшими короткие коды. Эксперимент 2 также повторил эксперимент 1 в отношении влияния длины кода на легкость / трудность запоминания кода респондентами.
Хотя эксперимент 2 в основном повторил результаты эксперимента 1, он показал и два новшества - значительное повышение нормы ошибок и времени идентификации. Люди с разными уровнями ментальной нагрузки (mental load) способны сохранять адекватное поведение, мобилизуя ментальные ресурсы. Однако когда требования ситуации слишком велики, происходит снижение качества поведения. В эксперименте 2 ситуационные требования для респондентов повысились в виде таких вводных, как длинные коды, высокая точность ответов и ограниченное время на ответы. Все это создало для респондентов значительную дополнительную когнитивную нагрузку. В эксперименте 1 ментальная нагрузка респондентов компенсировалась отсутствием лимита времени, но в
эксперименте 2, когда вводные точности ответов, длинных кодов и лимита времени сошлись вместе, требования к респондентам превысили человеческую способность компенсации чрезмерной ментальной нагрузки, компенсации, сохраняющей адекватное поведение, что и привело к наблюдаемому в эксперименте 2 значительному снижению качества поведения респондентов.
Таким образом, оба эксперимента показали, что различные характеристики системы информационной безопасности могут влиять на то, как такая система используется, и на ее восприятие. Нужно только иметь в виду, что в реальной жизни издержки, которые понесли респонденты в экспериментах 1 и 2, вполне способны стать причиной отказа от использования систем информационной защиты или поиска путей минимизации их использования. «В принципе, - пишут авторы в заключение, - результаты экспериментов 1 и 2 показывают, что субъективные оценки методов идентификации лишь отчасти коррелируют с фактическим поведением людей в отношении вероятности использования ими процедуры идентификации» (с. 147).
А.А. Али-заде
2016.01.008. ДРЮС Ф., СИБЕНЕК Л., КОВА Т. ПОИСК ИНФОРМАЦИИ И ПРИНЯТИЕ РЕШЕНИЙ В ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЯХ: КОМПЬЮТЕРНЫЕ МОДЕЛИ.
DREWS F., SIEBENECK L., COVA T. Information search and décision making in computer-based wildfire simulations // Journal of cognitive engineering and decision making. - 2015. - Vol. 9, N 3. - P. 229240. - D0I:10.1177/1555343415586478. - Mode of access: http://edm. sagepub.com/content/9/3/229/
Ключевые слова: чрезвычайные ситуации; поиск информации; принятие решений; моделирование.
Авторы из США исследуют влияние экспертизы на использование информации для принятия решений ответственными операторами в чрезвычайных ситуациях (incident commanders) (ООЧС), а также то, как именно полученная ООЧС экспертная информация преобразуется в ходе развития смоделированных на компьютере чрезвычайных ситуаций.
