Docendo discimus [2]: Człowiekiem jestem

O ostatecznej granicy cyberbezpieczeństwa – zaufaniu do ludzkiej natury w kontekście współczesnego zniecierpliwienia. O mocy przykładu osobistego i tworzeniu kultury współczesnej komunikacji dookoła swojego świata.


Ten tekst pierwotnie ukazał się w trzecim kwartale 2016 roku na łamach biuletynu Polskiego Towarzystwa Informatycznego (http://biuletyn.pti.org.pl/BiuletynPTI-2016-03.pdf)


"Homo sum; humani nihil a me alienum puto." Nie da się zaprzeczyć, z definicji jestem człowiekiem i w zasadzie, nic co ludzkie, nie jest mi obce. Prawdopodobnie każdy jest w stanie przywołać z pamięci sytuacje, w których zachowanie bliźnich wymusza refleksję nad tą sentencją.



Ryzykowne zachowania

Moje doświadczenia dotyczą tegorocznego urlopu nad Bałtykiem. 

Pogoda dopisała, gdyby nie sinice. Ich obecność uniemożliwiała kąpiel z uwagi na istotne zagrożenie toksykologiczne, z szeregiem poważnych skutków zdrowotnych. Kontakt człowieka ze skażoną toksynami wodą mógł prowadzić do nasilonej reakcji alergicznej dla skóry, a spożycie wody - do upośledzenia funkcji organów wewnętrznych włącznie z porażeniem mięśni i - w najgorszym wypadku - śmierci wskutek uduszenia. Tyle teorii. Publiczne ostrzeżenia były łagodniejsze, choć wskazywały na wysokie ryzyko dla zdrowia.

Na plaży sytuacja znacznie odbiegała od oczekiwanej wobec opisanych skutków. Co prawda, ratownicy WOPR nie dopuścili do kąpieli ludzi w obrębie strzeżonego kąpieliska, nie stanowiło to jednak przeszkody poza nim – kąpiących się było prawie tylu, ilu pozostających jednak na brzegu. Było gorąco jak na polskie warunki, a spieniona woda jadowicie zielona. Zarówno ci w wodzie doskonale widzieli czerwoną flagę, jak i ratownicy pływających poza kąpieliskiem.

Pobieżna analiza fenomenu masowego łamania zakazu kąpieli doprowadziła (w przybliżeniu) do następujących wniosków:
  1. Jeśli widzimy brak konsekwencji przy łamaniu zakazów, skłaniamy się do wygodniejszego (mniej bezpiecznego) rozwiązania.
  2. Jeśli nasza potrzeba jest pilniejsza niż niejasne konsekwencje, jesteśmy skłonni zaakceptować ryzyko.
  3. Jeśli nasza analiza ryzyka jest dokonywana przy braku wiedzy o realnych konsekwencjach, prowadzi do błędnych wniosków.
  4. Jeśli ktoś umożliwia nam działanie "na własne ryzyko", skłonni jesteśmy je zaakceptować przy wystąpieniu sytuacji 1-3.
Czy można tych ludzi w wodzie winić za ich zachowanie? Czy można potępić ratowników? W mojej ocenie nie. W pierwszym wypadku mamy do czynienia z ludzką naturą i „zachowaniem stadnym”, w drugim z transferem ryzyka w formie „na własną odpowiedzialność w niechronionej strefie”.

Ten przykład transponuje się w całości na cyberprzestrzeń. Użytkownicy akceptują ryzyko, często nie dysponując narzędziami do jego oceny, jak i wiedzy dotyczącej potencjalnych konsekwencji niestosowania dobrych (bezpiecznych) praktyk. 

A strażnicy? Stawiają nacisk na obszar chroniony, a poza nim to „na własną odpowiedzialność”.


Niepodzielna uwaga

Problem ryzykownego zachowania w cyberprzestrzeni wzmocniony jest współczesnym sposobem prezentacji informacji w ramach nowoczesnych portali internetowych, technologii mobilnych czy nawet telewizji. W obrębie jednego medium, strumienie informacji są zwielokrotnione, tak abyśmy jednocześnie wielowątkowo konsumowali treści. Ten zabieg prowadzi do zmniejszenia uwagi poświęconej każdemu ze strumieni indywidualnie, co w sposób naturalny prowadzi do konkurencji pomiędzy nimi. W przypadku telewizora, poruszający się pasek tekstowy potrafi przykuć uwagę, w technologiach mobilnych – wyskakujące powiadomienia, a na stronach internetowych - pływające ramki czy wyskakujące okienka.

Realizacja złotej zasady dotyczącej dominacji i uzyskanie niepodzielnej uwagi jest ostatecznie destrukcyjna dla użytkownika i samego dostawcy treści. Wycieńczony lub uzależniony użytkownik myśli tylko o odzyskaniu kontroli nad własnym czasem a nie prezentowanej treści. Jednak zanim ten moment nastąpi, cel biznesowy jest zrealizowany.

Ten model - obecnie powszechnie stosowany - przekroczył już poziom akceptowalny przez użytkownika. W imię maksymalizacji zysków, doprowadził do powstania i panowania „kultury niecierpliwości”, roszczenia natychmiastowego dostępu. Kto nie jest zirytowany opóźnieniami w ładowaniu filmów z Internetu? Powszechnie uważa się to za stratę czasu i uwagi. Zadajmy sobie pytanie: czy rzeczywiście ten czas jest tak ograniczony? Jeśli tak jest, czy warto go marnować na treść, której opóźnienie w dostarczeniu nas irytuje? Kiedyś panowało przekonanie, że na wartościowe rzeczy warto poczekać.

Niestety, ten problem ma istotny wpływ na edukację dotyczącą cyberbezpieczeństwa. Powszechnie jest ona traktowana przez użytkowników jako strata czasu, a przynajmniej - w obecnie prezentowanej formie, np. długich firmowych prezentacji czy też umiarkowanie angażujących stron szkoleniowych ale z „przestarzałym” poczuciem humoru. Co więcej, poprzez analogię do sytuacji na plaży, większość użytkowników nie ma kontaktu z ofiarami cyberprzestępstw, przyjmuje ostrzeżenia jako ryzyko o małej szansie wystąpienia w ich przypadku. Ważniejsze dla nich jest co można zrobić szybko (szkoda czasu) i wygodnie (po to są technologie). Jeśli szybko i wygodnie nie oznacza bezpiecznie, to trudno. Do tej pory się udawało…


Przykład osobisty

Co można zmienić w realizacji szkoleń z cyberbezpieczeństwa aby zwiększyć ich efektywność? Przede wszystkim należy zdać sobie sprawę z potrzeb wynikających z ludzkiej natury i je wykorzystać. Jedną z najsilniejszych jest ciekawość, która może dostarczać bodźce do działania silniejsze niż strach. Przestępcy wykorzystują ten fakt w swoich metodach działania - np. w phishingu lub infekcjach ransomware. Pierwsza wyłudza cenne informacje (np. dane dostępowe), druga - blokuje dostęp do danych i wyłudza pieniądze, w zamian za rzekome odblokowanie tych danych.

Ciekawość z kolei wymaga niepodzielnej uwagi. Jak to zrobić?

Jako Inicjatywa Kultury Bezpieczeństwa (w skrócie IKB), zachęcamy do samodzielnego zapoznawania się z poradami dotyczącymi cyberbezpieczeństwa. Są one darmowe, powszechnie dostępne (w języku polskim i angielskim), publikowane w każdy dzień roboczy. W wydaniu IKB nazywają się „O bezpieczeństwie do porannej kawy” i mają na celu zachęcenie użytkownika do skupienia uwagi i poświęcenia kilkudziesięciu sekund na przeczytanie kilku zdań, dzięki którym można pozyskać wiedzę o dobrych praktykach cyberbezpieczeństwa. Zbudowanie z tej praktyki codziennego nawyku, jest celem zarówno realnym do osiągnięcia, jak i przynoszącym większy skutek niż (czasem żmudne) szkolenie raz w roku.

Porady - poradami, ale bez ich osobistego stosowania, są jedynie kolejną informacją przeczytaną danego dnia. Dlatego konieczne jest dawanie dobrego przykładu właściwego zachowania w Internecie. Stąd ponownie potrzebujemy netykiety - może bardziej wymagającej - ale i łatwiejszej do zrozumienia, zapamiętania i … stosowania.

Myśląc o bezpiecznej cyberprzestrzeni, powinniśmy zawsze pamiętać, że tworzy i wypełnia ją danymi każdy z nas. Jaka ona będzie, zależy od stylu jej wykorzystywania do kontaktu z innymi ludźmi.

Każdy ma swój moment i miejsce, w którym uświadamia sobie swoją rolę w społeczeństwie. Warto zdać sobie sprawę, że dbając o cyberprzestrzeń – jako coś bliskiego (wokół nas) i coraz bardziej naturalnego, osobiście zmieniamy całość Internetu na lepszy.

To jest najtrudniejszy, ale i najskuteczniejszy sposób budowania świadomości cyberbezpieczeństwa: zacząć od siebie i dać przykład innym.

O poruszonych powyżej tematach, o tym jak zrobić pierwszy krok i o pomocnych narzędziach, można przeczytać więcej na blogu Inicjatywy Kultury Bezpieczeństwa – https://sci-ikb.blogspot.com


Popularne posty