Bezpieczeństwo w kontekście korzystania z aplikacji i urządzeń mobilnych

Urządzenia mobilne zastępują coraz częściej komputery osobiste, a ich rola w ostatnim czasie zyskała bardzo na znaczeniu. Użytkownicy wykorzystują urządzenia mobilne jako przenośne centra dowodzenia, zarówno w ich życiu prywatnym, jak i zawodowym. Smartfony i tablety są użytkowane w trybie ciągłego podłączenia do sieci, umożliwiając odbieranie i wysyłanie poczty elektronicznej, podejmowanie rozmów nie tylko w formie głosowej, ale także hangoutów tekstowych i wizualnych. Dokonywane są przez nie także operacje finansowe, wykorzystywane portale społecznościowe czy tworzone i edytowane dokumenty. Każdego dnia miliony ludzi na całym świecie używa urządzeń mobilnych. Relatywnie nie dawno, bo w 2014 roku liczba użytkowników urządzeń mobilnych przerosła liczbę tradycyjnych użytkowników laptopów, czy komputerów stacjonarnych. Taka zmiana sposobu wykorzystania urządzeń mobilnych generuje nowe zagrożenia w obszarze bezpieczeństwa danych i prywatności.

Wymiar dyskutowanej zmiany jest globalny i nie ulega wątpliwości, że się nie cofnie, a wręcz przeciwnie - nabierze na znaczeniu. Mówiąc o bezpieczeństwie, mamy na myśli zarówno tożsamość elektroniczną użytkownika, przeniesioną niejako do sfery elektronicznej i dającą olbrzymie możliwości funkcjonalne, jak i same dane przechowywane na urządzeniu czy serwerach w chmurze. Sytuacja staje się jeszcze poważniejsza, jeśli uzmysłowimy sobie jak skonstruowane są obecne aplikacje mobilne oraz jakie mechanizmy zabezpieczeń oferują urządzenia mobilne.
Większość aplikacji do obsługi poczty elektronicznej (np. Gmail) czy systemów społecznościowych (np. Facebook) daje natychmiastowy dostęp do konta użytkownika (bez konieczności dodatkowego uwierzytelniania), wystarczy jedynie uruchomić taką aplikację na urządzeniu mobilnym – koncepcja bezpieczeństwa opiera się jedynie o bezpieczeństwo dostępu do samego urządzenia mobilnego. Oczywiście takie rozwiązanie jest niezwykle wygodne dla użytkownika: będąc wciąż w stanie zalogowania do systemów otrzymuje się na bieżąco wszystkie notyfikacje i bez jakichkolwiek utrudnień wykonuje wszystkie czynności. Taki komfort trwa do momentu utraty kontroli nad urządzeniem mobilnym w wyniku jego kradzieży bądź po prostu zgubienia. Wtedy te same przywileje zyskuje znalazca urządzenia, jeśli tylko uda mu się je odblokować, co wcale nie jest trudne.

Jak zabezpieczasz dostęp do danych zapisanych w twoim urządzeniu?

Standardowe zabezpieczenia urządzeń mobilnych opierają się na odblokowywaniu ekranu dotykowego poprzez nakreślenie określonej sekwencji punktów na ekranie, bądź podanie po prostu hasła nazywanego PIN. Niektórzy użytkownicy wyłączają te mechanizmy całkowicie bądź ustawiają trywialne wzory czy hasła, jest to proces stawiający wygodę ponad jakiekolwiek wartości bezpieczeństwa.

Przytoczone wzorce zachowań użytkowników wskazują jednoznacznie na brak świadomości o konsekwencjach wynikających z przechwycenia dostępu do urządzenia mobilnego przez osoby trzecie. Okazuje się, że coraz więcej kradzieży urządzeń mobilnych nie jest powodowane chęcią pozyskania samego urządzenia (tj. tabletu czy telefonu), a właśnie tożsamości i danych użytkownika oraz dalszych możliwości nadużyć wynikających z ich użycia.
Naszym celem jest uczulenie użytkowników na kwestie bezpieczeństwa ich danych, tożsamości oraz prywatności, związanych z wykorzystywaniem urządzeń mobilnych na szeroką skalę. Pragniemy wskazać najczęstsze grzechy użytkowników, a także zaproponować alternatywne rozwiązania zapewniające pewien poziom bezpieczeństwa, który jednocześnie uwzględnia ergonomię rozwiązania. W naszej opinii systemy oparte o biometrię łączą te dwa aspekty, stąd chcemy poddać je badaniom w różnych konfiguracjach (tj. różne biometrie w zastosowaniach mieszanych) z uwzględnieniem opinii użytkowników.

Badania świadomości użytkowników

Przed przystąpieniem do fazy analizy sytuacji w obszarze technologii bezpieczeństwa urządzeń mobilnych przeprowadzono badania eksploracyjne rynku użytkowników urządzeń mobilnych
z wykorzystaniem metodyki Design Thinking. Jest to metoda tworzenia innowacyjnych produktów i usług w oparciu o głębokie zrozumienie problemów i potrzeb użytkowników. Design Thinking to usystematyzowane podejście do procesu innowacji opracowanego na Uniwersytecie Stanforda w Kalifornii.

Badania eksploracyjne realizowane w ramach procesu Design Thinking opierają się na wywiadach pogłębionych, są to zdecydowanie badania jakościowe, wykonywane na niezbyt szerokim zbiorze ludzi. W naszym przypadku przebadaliśmy 60 użytkowników z przedziału wiekowego 14 – 84 lat, o zrównoważonej strukturze płciowej. Przygotowany został skrypt rozmowy z uczestnikiem badania, w którym szczególny nacisk położony został na dociekanie przyczyn zaistniałych stanów faktycznych, ich emocjonalne tło, zachowanie osoby poddanej badaniu oraz próbie zrozumienia podejmowanych decyzji, a przede wszystkim identyfikacji obaw i lęków użytkownika wobec różnych aspektów wykorzystywania urządzeń mobilnych. Wywiad składał się z 14 otwartych pytań, których celem była eksploracja obszaru użytkowania urządzeń mobilnych i poglądów dotyczących kwestii bezpieczeństwa.
Edukacja użytkownika jest jednym z ważniejszych elementów wdrażania nowych produktów i usług na rynek. Niejednokrotnie wymaga ona olbrzymich nakładów zarówno finansowych jak
i organizacyjnych. Przeprowadzone badania wykazały jednoznacznie, że w obszarze technologii mobilnych, a w szczególności w aspekcie ich bezpieczeństwa istnieje olbrzymia luka świadomościowa użytkowników.

Podczas przeprowadzania badań można zauważyć wiele poziomów świadomości korzystania z urządzeń mobilnych, a co za tym idzie zróżnicowanej wiedzy z zakresu funkcjonalności czy bezpieczeństwa użytkowania smartfonów i tabletów. W trakcie wywiadów badacze mieli okazję rozmawiać z ludźmi, którzy nie potrafili korzystać z funkcji, jakie dają smartfony, poza tymi najbardziej podstawowymi, w ogóle nie utożsamiali się w jakikolwiek sposób z zagrożeniami względem użytkowania tzw. „mobile devices”. Jednocześnie grupa badawcza rozmawiała również z osobami o dużej świadomości użytkowania tychże urządzeń. Niestety takie osoby stanowiły mniejszość próby badawczej. Przeprowadzone badania wykazały brak podstawowej edukacji w zakresie bezpieczeństwa i prywatności danych na urządzeniach mobilnych oraz świadomości zagrożeń płynących z ryzykownych zachowań. Respondenci nie odczuwali również potrzeby autoryzacji w dostępach do poszczególnych aplikacji czy programów. Z drugiej strony, można było jednak zauważyć otwarte postawy użytkowników, którzy chętnie nabyliby taką wiedzę, jednak okazało się, że potrzebują do tego swojego rodzaju „autorytetu” – kogoś, kto w sposób jasny i klarowny wytłumaczy i przedstawi różne funkcjonalności telefonu, aplikacji, czy w końcu istoty systemów zabezpieczeń. W takim przypadku jest bardzo prawdopodobnym, że użytkownicy tacy zaczęliby najpierw testować, a potem korzystać z poszerzonych funkcjonalności telefonu, nieodkrytych przez nich do tej pory. Przy omawianiu wyników badań okazało się również, że większość udzielających wywiadu korzysta z domyślnych funkcji zabezpieczeń telefonu i nie myśli o tym, by je zmienić i dostosować do swoich potrzeb. Odpowiednia edukacja w tym zakresie mogłaby przynieść odpowiednie rezultaty.

Czytaj więcej - Raport: "Bezpieczeństwo i biometria urządzeń mobilnych w Polsce. Badanie użytkowników 2016"

Polecam również opublikowany przez Tomasza Zielińskiego z PGS Software w listopadzie 2016 raport dotyczący bezpieczeństwa aplikacji bankowych.



Wojciech Wodo

Politechnika Wrocławska
absolwent Programu Top 500 Innovators
Trwa ładowanie komentarzy...