96/
Security Fictions
Vypátrejte bezpečnostní rizika systému.
Vžijte se do role neeticky smýšlejícího klienta, který vyzvídá od vývojáře, jak váš produkt zneužít k podvodu nebo manipulaci. Bez pokročilých znalostí tak odhalíte bezpečnostní mezery vašeho systému, které byste ještě měli zacelit.
Potřebujete
Čas: 60 minut
Lidé: 1 výzkumník, 1 vývojářka
Nástroje: zápisník, zaznamenávací zařízení
Postup
- Přemýšlejte nad aspekty vašeho technického řešení, které mohou být náchylné ke zneužití.
- Určete si oblasti, které chcete otestovat.
- Připravte si scénář testování jako scénku, kterou budete hrát.
- Sejděte se s vývojářem, který systému dobře rozumí.
- Objasněte, že platformu otestujete pomocí fiktivních scénářů.
- Vžijte se do své role a zahajte testování.
- Vývojáři se např. představte jako významný klient, který chce technické řešení zneužít pro neetické účely (např. získat citlivé údaje o uživatelích, skrytě manipulovat, šířit dezinformace).
- Vývojář vám musí prozradit, jakými způsoby vám (klientovi) může vyjít vstříc.
- Doptávejte se a nechte si podrobně vysvětlit mechanismy a designové principy, které by mohly přispět ke zneužití systému.
- Identifikujte bezpečnostní rizika a navrhněte za pomocí odborníka na bezpečnost, jak jim předejít.
Tipy
Autor metody navrhuje tři základní směry scénářů – vydávání se za uživatele platformy (např. pro účely trollingu), stalking uživatelů a detekce jejich politických preferencí (např. pro zacílení kampaně).
Jestli se chcete ujistit, že vám neuniká žádný kritický aspekt designu, přizvěte si odborníka na bezpečnost již k samotné tvorbě scénářů.
Na IT bezpečnost můžete zacílit také další metody expertní evaluace, např. designovou kritiku.
Příklady a inspirace
Autor metody Nick Merill ve svém článku podrobněji popisuje, jak s metodou pracovat a v čem vyniká oproti běžnějším technikám na odhalování bezpečnostních rizik. Metodu testoval v malých i velkých firmách, které shromažďují data od svých uživatelů. Zjistil, že se skvěle hodí i pro vývojáře bez expertizy v IT bezpečnosti – místo čistě technických rizik si všímali řady příležitostí pro sociální inženýrství.
Podívejte se na krátký videozáznam z konference Designing Interactive System, ve kterém autor Nick Merill metodu představuje.
Více informací
- ACM SIGHCI. (2020). Security Fictions: Bridging Speculative Design and Computer Security [video]. Youtube. https://www.youtube.com/watch?v=kZP2RP9UWCo
- Kolouch, J., & Bašta, P. (2019). Cybersecurity. CZ.NIC.
- Merrill, N. (2020). Security Fictions: Bridging Speculative Design and Computer Security. Proceedings of the 2020 ACM Designing Interactive Systems Conference, 1727–1735. https://doi.org/10.1145/3357236.3395451
- Můčka, J. (2020). Vývoj software: jaké jsou základní bezpečnostní principy?. Master DC. https://www.master.cz/blog/vyvoj-software-zakladni-bezpecnostni-principy/