Nädal 14: Manipulatsiooni kui turvariski maandamine "Mitnicki valemi" järgi

Tehnoloogia

Mitnicki valemi kolmest komponendist (tehnoloogia, koolitus, reeglid) on manipulatsiooni vältimisel kindlasti kõige vähem kasu tehnoloogiast - manipulatsiooni kogu mõte on ju see, et kasutatakse ära haavatavusi inimloomuses, mitte tehnoloogias.

Muidugi, mõned üldisemad tehnoloogilised turvakombed aitavad leevendada ka manipulatsiooni tõenäosust. Näiteks ametlikus keskkonnas igale inimesele vaid nende privileegide andmine, mida neil tingimata vaja on, või ükskõik millises olukorras potentsiaalselt ohtlike ja tagasipööramatute tegevuste korral tähelepanupüüdva ja kinnitust nõudva hoiatussõnumi näitamine. Samuti leidub eksootilisemaid vahendeid - näiteks üleõlapiilumise vältimiseks väga väikese vaatenurgaga ekraan.

Siiski katavad sellised tehnoloogilised meetmed vaid väikese arvu võimalikest manipulatsioonirünnetest ning ei pruugi isegi siis eriti efektiivsed olla... (Kui paljud kasutajad vajutaksid mõtlematult jah-nupule? Siinkohal tuleb pähe hiljuti asetleidnud sündmus, kus tuntud internetitegelane tehnoloogiavaldkonnas kirjutas taolise hoiatuse peale terminali "Yes, do as I say" ja kustutas seega kogemata ära olulise komponendi oma operatsioonisüsteemist.)

Reeglid

Reeglid on minu arvates mõnevõrra kindlam viis takistada manipulatsiooni (ametlikus keskkonnas). Kui on paigas kindlad juhised, mille järgi teatud olukordades käituda, on oluliselt raskem ära kasutada inimeste ebakindlust, kaastunnet vms. Nädalatekstis toodud näite puhul võiks loota, et korralike reeglite olemasolu korral oleks kõne “Tere, siin Marta Kask 116-st. Mul on arvuti katki, mis on palgakulude kontonumber?” vastuseks vaid “Vabandage, me ei tohi väljastada sellist informatsiooni üle telefoni.”, mitte “Ah, need neetud arvutid. Oodake, kohe otsin selle numbri üles.”

Samas on oht, et kui proovida katta kõikvõimalikke olukordi reeglitega, kasvab nende hulk üle pea ja neid ei suudeta järgida. Samuti ei pruugi inimesed mõista nende reeglite olulisust ning võivad neid ignoreerida nii mugavusest ja harjumusest kui ka tüdimusest. Inimeste tegevuse liialt range kontrollimine reeglitega võib ka halvendada nende meeleolu, suhtumist ja töövõimet.

Viimaks pole selliste reeglite rakendamine pea üldse võimalik vähem formaalsetes olukordades - kas ähvardad vanaema vallandamisega, kui ta su ohutusreegleid ei järgi?

Koolitus

Arvan, et koolitus on parim viis manipulatsiooni vastu võitlemiseks. Kui tehnoloogilised lahendused kaitsevad vaid väga piiratud arvu olukordade vastu ning reeglid on ignoreeritavad, pole alati rakendatavad ja ei suuda samuti katta kõiki olukordi, siis koolitus peaks kõigis neis aspektides edukam olema.

Kui tõsta inimeste teadlikkust potentsiaalsetest ohtudest, teavad nad ise kindlates olukordades ettevaatlikud olla. Turvalisuse koolituse saanud töötaja ei pruugigi vajada reegleid, et mitte suvalisele heast näitlejast helistajale palgakulude kontonumbrit teatada.
Siiski, halb koolitus võib osutuda lihtsalt mitteametlike reeglite loeteluks. Parem koolitus annaks inimestele ülevaatliku arusaama võimalikest ohtudest ning õige suhtumise turvalisusesse, mitte ainult täpseid juhiseid konkreetses olukorras käitumiseks.

Samuti võiks hea koolitus anda inimestele suutlikkuse tuvastada iseendas potentsiaalseid haavatavusi manipulatsioonile ning vajadusel mõelda nende turvaaukude paikamiseks välja reeglid. Näiteks võid endale teha reegli, et kui sõber sõnumitsi palub sul tema uut mängu järgi proovida, küsid talt enne faili jooksutamist kindla näoilmega pilti, tõestamaks, et ta konto pole kellegi teise poolt kaaperdatud.

Nagu kipub tihti olema, on parim lahendus arvatavasti mingisugune segu kõigist kolmest aspektist. Ma arvan aga, et tõeliselt kvaliteetne koolitus võib oluliselt vähendada ülejäänud kahe vajalikkust (liiasus pole aga turvalisusega seoses tingimata halb asi) ning on igal juhul põhimõtteliselt parem lähenemine manipulatsiooni vastu võitlemiseks - manipulatsioon sihib inimesi, niisiis suurendame inimeste endi võimekust sellele vastu seista.