La sicurezza informatica ha bisogno di più psicologia?

Il modo in cui il cervello umano affronta la sicurezza informatica è stato spiegato dal famoso informatico Peter Gutmann in occasione dell'incontro con il Presidente della Commissione Europea. FH Campus Vienna. Chiede più psicologia nella sicurezza informatica. Per Gutmann, una cosa è certa: "La mente delle persone 'normali' funziona in modo completamente diverso da quella di chi sviluppa software per computer. Questa differenza porta spesso gli sviluppatori a classificare gli utenti e il loro approccio alla sicurezza come "irrazionali" e "non logici". Gli sviluppatori considerano ancora la logica e la probabilità più importanti della psicologia del cervello umano quando sviluppano software. Eppure è proprio la psicologia che offre modelli e spiegazioni su come gli utenti pensano e sul perché non riescono a gestire le funzioni e gli avvisi di sicurezza.

Da geek per geek

Le applicazioni di sicurezza sono sviluppate "dai geek per i geek". "Gli sviluppatori sono troppo poco consapevoli del fatto che l'utente medio non è in grado di gestire la loro logica", afferma Peter Gutmann. Come informatico, da ben dieci anni si occupa dell'importanza della psicologia nello sviluppo di software di sicurezza. Secondo la sua esperienza, educare gli utenti non funziona. Gli sviluppatori devono invece imparare quanto sia importante includere la psicologia del pensiero e dell'azione umana nello sviluppo del software di sicurezza.

La psicologia incontra la sicurezza

Utilizzando diversi modelli psicologici, Peter Gutmann ha spiegato nella sua conferenza perché gli utenti spesso non riescono a gestire il software di sicurezza: Le persone non prendono decisioni economiche scegliendo l'opzione migliore tra una moltitudine di possibilità basate su considerazioni logiche. Piuttosto, sotto pressione e con obiettivi poco chiari, sviluppano una soluzione possibile dopo l'altra e poi prendono la prima che funziona (modello di valutazione singolare). Preferiscono procedure semplici per risolvere i problemi e non applicano processi decisionali molto complessi. Pertanto, gli utenti non sono in grado di prendere decisioni di sicurezza "logiche" dal punto di vista dello sviluppatore.

Le persone reagiscono alle situazioni in modo controllato, lento e deliberato, oppure in modo automatico, rapido, senza riflettere e senza percepire realmente ciò che stanno facendo. Per questo motivo, gli utenti cliccano automaticamente sugli avvisi senza pensarci troppo. Le persone possono trovare spiegazioni plausibili e continuare a crederci anche quando sanno da tempo che le loro conclusioni sono sbagliate. In questo modo gli utenti trovano spiegazioni plausibili per i siti di phishing.

Le persone possono elaborare le informazioni negative in modo più limitato rispetto a quelle positive. E percepiscono oggetti e dettagli solo quando la loro attenzione è concentrata su di essi (cecità da disattenzione). Di conseguenza, le avvertenze e le istruzioni di sicurezza formulate in modo negativo sono difficili da elaborare per gli utenti e tutti i tipi di istruzioni di sicurezza (dialoghi, barre, kit di strumenti) spesso non sono percepibili.

Imparare dagli utenti

Peter Gutmann vede il suo approccio come un contributo alla sensibilizzazione degli sviluppatori. Raccomanda di coinvolgere un maggior numero di non addetti ai lavori nello sviluppo di software di sicurezza: "Per scoprire come le persone 'normali' pensano e affrontano i consigli sulla sicurezza, gli sviluppatori dovrebbero osservare cosa fanno effettivamente gli utenti e come utilizzano le funzioni di sicurezza. Dovrebbero chiedere agli utenti di cosa hanno bisogno. Questo sarebbe un primo importante passo verso una maggiore usabilità nel campo della sicurezza informatica.

Peter Gutmann è un informatico e ricercatore presso il Dipartimento di Informatica dell'Università di Auckland in Nuova Zelanda. Si occupa di sicurezza informatica e di metodi di crittografia. La sua ricerca si concentra sulla progettazione e sull'analisi dei sistemi di sicurezza. Peter Gutmann ha sviluppato cryptlib, un software di crittografia open-source multipiattaforma, ed è co-sviluppatore del programma di crittografia PGP2.0. È autore di numerose pubblicazioni tecniche di rilievo. Peter Gutmann è l'inventore del metodo Gutmann per la cancellazione completa dei dati sui supporti di memorizzazione elettronici, pubblicato per la prima volta nel 1996 e a lui intitolato.

Peter Gutmann è stato recentemente ospite del Centro di competenza per la sicurezza informatica del FH Campus Wien e ha tenuto una conferenza su "La psicologia dell'insicurezza informatica" nell'ambito della serie di eventi "Campus Lectures".

Sicurezza informatica presso il Campus FH di Vienna

Il Centro di competenza per la sicurezza informatica del FH Campus Wien ricerca e sviluppa, in collaborazione con le aziende, nuovi approcci per la trasmissione di dati a prova di intercettazione e manomissione. La ricerca si concentra sulla crittografia su dispositivi a vincolo e sistemi embedded, sulla crittografia ricercabile e sulla sicurezza dei protocolli crittografici.

Anche i programmi di studio del Dipartimento di Tecnologie dell'Informazione e Telecomunicazioni beneficiano direttamente dei risultati della ricerca del Centro di Competenza per la Sicurezza Informatica, in particolare il programma di Master part-time in Sicurezza Informatica. In quattro semestri forma gli studenti a diventare specialisti negli aspetti tecnici della sicurezza o nel "fattore umano della sicurezza". La scadenza per la presentazione delle domande è il 31 luglio 2016. Per saperne di più qui