https://event.flydove.net/edm/web/infosecurity01/311626
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

資安心理學:感覺安全與實際安全兼顧

2009 / 09 / 22
張維君
資安心理學:感覺安全與實際安全兼顧
某些做法也許只讓人感覺安全,但久而久之,確實真正降低了問題事件的發生率。

  當網路已成為生活不可或缺的使用工具,安全更是必須關注的重要課題。成大資通安全研究與教學中心主任賴溪松認為,唯有認識資安與心理的關連,與生活的密切,才能瞭解資安與自身的連結並非只是電腦與滑鼠而已,它是關係到一生的學問。

  四月,享譽國際的安全技術專家Bruce Schneier受邀來台訪問,他由研究資安技術,到後來探索出安全與人性心理息息相關,因此掌握人性心理與安全的關連,將有助於安全措施的推動。Bruce Schneier以「資安心理與生活」為主題發表演說,以下為重點摘要。

改變對安全的想法

  我們對安全的看法,將會決定我們所拋出的問題,以及所得到的答案。(意指所採取的行動措施)

安全可分為感覺上安全,或者是實際安全。

  有時我們覺得安全,但其實不然;然而有時你是真正處於安全,但卻沒任何察覺。因此需要了解感覺安全與實際安全之間,在何時有何差別。

權衡得失

  我們在得到安全的同時,卻失去某種東西,例如金錢、便利、時間或自由。我們人腦不是電腦,能立刻計算衡量出風險數值,我們腦中會有捷徑、刻板想法,而這才是我們衡量風險決定得失的方式。例如,某人明知美國全年汽車事故的死亡人數比全球飛機失事的死亡人數還多,但他就是比較怕坐飛機。與實際情形相比,如果你感覺自己更安全,那就是做了很無聊的安全措施;如果你覺得不太安全,但其實你是安全的,那代表你可能有點不理性。安全產品訴求能感覺安全,但卻非真正帶來實際安全,只是空有個”Security theater”(安全性劇場)。如果是靠外在經濟環境或市場來驅動安全需求,這時人們將只會感覺安全,而非真正安全。靠金錢上投資,可讓人感覺安全。

感覺、實際與模式 三者間的關係

  我們常需要依靠某個模式(model)做判斷,才會感覺安全。例如,當我們不知道某種藥物是否安全時,醫生會倚賴美國食品及藥物管理局(FDA, Food &Drug Administration)的檢測結果;又或者在開發系統時,我們唯有靠著規則處理、支援、架構建立…等這樣的模式來運作,才會安全。

  包括宗教、文化、傳統等都是模式的一種。可以從你的文化角度來思考。也許有人覺得會有衝突,例如在藥物治療領域也建立了許多的模式,但有些病人還是回天乏術,那是因為模式不符合實際情形。

  靠著政府專家、產業標準、科學研究建立了越來越多的模式,但一個好的模式需要能夠考量人類的實際情感在其中。

  同時需要是人們能熟悉的系統才能夠接受模式。我們擔心感覺安全與實際安全有著不同意義。某些作法,短期可先改變人們感覺,讓人覺得有比較安全;但長期下來,則可以改變行為模式,可以讓人獲得較正確的資訊,儘管此類改變是很緩慢的。例如,我們花了好幾十年的時間,才逐漸在開車時繫上安全帶。

  現在科技快速改變,因此也改變了實際環境。甚至現實環境其實跟不上新技術的推陳出新。例如以前我們學的安全模式,是有防火牆就足夠,但現在卻需要層層堆疊,一直不斷有新東西推出。因此,兼顧感覺安全或實際安全,兩者都很重要。且還需加入模式,三者一併思考。

  設計安全政策或安全系統的人,需要同時去強調這兩者。長期而言,是為大家建立起可信賴的模式,但短期而言,則是可先讓人感覺安全。

  1982年間,美國發生飲料下毒事件,罪犯隨機在開架式飲料中下毒,造成人們恐慌。後來開發出「易開罐」,這種設計讓人覺得安全多了。又例如,之前美國醫院曾發生剛出生的嬰兒被偷抱事件,後來許多醫院在嬰兒身上綁著RFID標籤,也同樣綁在母親身上,我去調查後發現,這樣做之後就沒再發生嬰兒偷抱事件了。其實如果真想抱走,醫護人員只要換個場地還是能抱走,還是有漏洞可鑽。但這就說明了,某些做法也許沒解決真正問題,但卻能讓人感覺安全,而這也多少避免了問題。因此,感覺安全與實際安全之間有何不同,又如何相同。我們應該去思考如何讓這兩者一起併存。