В отличие от мошенников, которые в ВК постоянно публикуют посты на тему «Государство прощает долги», государство в очень ограниченных случаях действительно может возвращать вам деньги. Например, когда речь идет о налоговом вычете при покупке квартиры, строительстве дачи, оплате обучения, медицинской помощи и т.п. Вроде как офигенная история — государство готов вам вернуть до 200 с чем-то тысяч рублей (но это максимум). Но… парадокс, но не все люди готовы эти деньги получить, даже если они для них представляют ценность.
Часто между искренним намерением что-то сделать и самим действием оказывается огромная пропасть. В нашем сознании и жизни все устроено куда сложнее, чем просто взвешивание «за» и «против». Даже если польза очевидно превышает затраты, мы все равно можем не решиться на шаг. Чтобы разорвать этот замкнутый круг и научиться действовать тогда, когда это действительно нужно, сначала важно понять, как устроен наш разум. Об этом часто забывают многие, считая, что они делают жизнь вокруг себя или для кого-то только лучше (и это не только про мессенджер MAX 🤣).
Мы хорошо понимаем это, когда речь идет о нас самих. Но почему-то забываем об этом, когда думаем о своих пользователях. Нам кажется: если продукт/система/решение им нравится — они будут ими пользоваться. Если они чего-то захотят — найдут способ сделать это. На практике все иначе. Часто дело вовсе не в отсутствии желания или мотивации. Люди, как и я, прекрасно понимают, что им следовало бы сделать, и даже хотят это сделать — но на пути появляются другие барьеры.
И вот тут стоит обратиться к безопасности. Мы очень часто пытаемся решать проблемы с ИБ техническими мерами, не понимая, что многие проблемы так не решить в принципе. Кибербезопасность — это в большой степени про изменение привычек и моделей поведения. Наши решения, сервисы и продукты должны помогать людям менять их поведение в нужную, читай, безопасную, сторону. Но мы редко признаемся себе, что фактически манипулируем или навязываем кому-то свою точку зрения. В результате мы стесняемся говорить об этом открыто, хотя на самом деле именно понимание этого всеми сторонами помогает добиваться результата. Когда мы прячем свою реальную цель — сделать поведение пользователя безопасным, — наши попытки оказываются куда менее эффективными. Но влияние все равно есть, только не такое, как мы хотели бы.
Надо помнить, что у людей ограничены внимание, сила воли, время. Не хочу пересказывать Канемана и других исследователей, но коротко напишу. Мы думаем и действуем в двух режимах: осознанно и автоматически — за счет привычек и упрощенных решений. Чтобы сэкономить усилия, мозг ищет короткие пути. В итоге контекст, в котором человек находится, сильно влияет на то, что он решит и как поступит: он может либо усиливать разрыв между намерением и действием, либо наоборот — сглаживать его. И именно этот контекст можно спроектировать так, чтобы помогать людям выбирать лучше и действовать сразу, а не откладывать.
Если среда вокруг человека создана грамотно и с учетом знания психологии, она может подтолкнуть его к осознанному выбору и помочь сделать правильный шаг. Это называется архитектура выбора или дизайн поведения. Хорошо это или плохо — вопрос философский (зависит, как в Уголовном Кодексе, от умысла), но факт в том, что это работает.
Наши когнитивные ограничения делают нас уязвимыми: даже если есть вариант, который полностью им подходит, пользователь может сделать не самый лучший выбор. И дело тут не в лени или «плохих» нас — просто мы все люди. Можно отвлечься, забыть, перегрузиться мыслями. Это не повод обвинять пользователя в том, что он не хочет хорошего для себя. Наоборот, важно так проектировать продукты, чтобы взаимодействие с ними не усложняло жизнь и не требовало лишних усилий там, где можно их сэкономить.
Я хочу дописать книгу. Давно. Понимаю, что это важно и нужно. И многие спрашивают, ну когда же?.. Но я не могу сесть за рукопись. Хоть ты тресни. Это как раз доказывает вышенаписанное.
Возьмем в качестве примера банальные пароли. Все знают, что пароли должны быть не менее 8 символов, содержать символы в верхнем и нижнем регистре, спецсимволы, буквы и цифры, регулярно меняться… И этому правилу уже сто лет в обед. Но кто-либо задавался себе вопросом, а почему требование именно такое и когда оно возникло? А все просто, такое правило появилось во времена первых компьютеров, когда и скорости были иные (важно для перебора), и интерфейсы ввода были ограничены только клавиатурой больших компьютеров. Но с тех пор ситуация кардинально поменялась.
Тогда почему мы до сих пор придерживаемся этих устаревших условий?
Ответ дает нам психология, а точнее набор эвристик или когнитивных искажений, которые влияют на наше поведение:
- Предвзятость в пользу статус-кво, которая говорит нам, что при наличии выбора, который требует от нас затрат времени и энергии лучше вообще ничего не менять, так как любое изменение у нас в голове сопряжено с риском.
- Социальные нормы или эффект толпы, которые подсказывают нам, что «миллиард китайцев не может ошибаться». Иными словами, если все продолжают требовать сложных паролей, то почему мы должны ставить это правило под сомнение?
- Предвзятость, которая заставляет нас в огромных объемах поступающей информации выбирать только то, что подтверждает нашу точку зрения и отбрасывать все остальное. А ведь давно существуют исследования, которые доказывают, что в пароле главное — его длина и ничего более. Все остальные требования (спецсимволы, регистр и т.п.) никак не влияют на стойкость пароля. На эту тему даже NIST высказывался в своих обновленных стандартах.
И таких примеров можно приводить достаточно много — без учета психологии (или что точнее, когнитивной науки, поведенческой экономики и социальной психологии) мы просто будем делать либо лишние телодвижения, либо вообще не будем достигать результата. Жаль, что ФГОС по информационной безопасности не включает эту тему на должном уровне. Приходится копать тему самостоятельно и набивать шишки, пока дойдешь до простой мысли:
Если самое слабое звено в ИБ — это человек, то и бороться с ним можно с помощью психологии, а технологии только помогают компенсировать то, что нельзя решить с помощью науки о душе, как переводится с греческого «психология».
