Gyakori tévhit, hogy minél biztonságosabb egy felület, annál bonyolultabb és annál kevésbé felhasználóbarát. Máig sokan áldozzák fel látogatóik biztonságát a jobb felhasználói élmény oltárán, pedig a két szempont összeegyeztethető. Ráadásul a rossz biztonság nem valamiféle extra szolgáltatás vagy feladat kéne hogy legyen, hanem olyan alapvetés, ami semmi esetre sem kérdőjelezhető meg. A UX tervezők szerepe ebben a kérdésben megkerülhetetlen.

A UX tervezők szerepe a weboldaltervezés során gyakran olyasmi, mint egy fordítóé: a technikai információkat olyan könnyen emészthető formában kell a felhasználók felé kommunikálniuk, amiket szinte észrevétlenül képesek értelmezni és

A biztonsággal kapcsolatban nem ritka, hogy a felhasználói visszajelzéseket figyelmen kívül hagyják. De ahhoz, hogy valóban megfeleljen a felhasználók biztonsági igényeinek, a tervezőknek meg kell ragadniuk motivációikat, viselkedésüket és elvárásaikat. Az oldalra tévedő vagy a szolgáltatást használni akaró személyek gyakran nagyon keveset tudnak a digitális biztonságról, így a tervezőknek meg kell tanulniuk előre látni a kockázatok szintjét, amelyekkel a felhasználók szembesülnek, amikor a különféle képernyőkön és szolgáltatásokban navigálnak. Minél korábban lehet a kockázatokat a tervezési folyamatban azonosítani, annál jobb.

A stakeholderek (banki rendszerek szabványai, egészségügyi szabványok stb.) figyelmen kívül hagyása vagy a véleményük késői beépítése a tervezési folyamatba megkétszerezi a kockázatot. Biztonsági réseket nyithat meg olyan termékekben, amelyeket egyébként meg lehetett volna akadályozni, vagy olyan termékeket eredményezhet, amelyek annyira nem biztonságosak, hogy alig használhatók.

Szempontok, melyeket érdemes figyelembe venni a tervezés során

Titkosítás

A titkosítás olyan módszer, amellyel az érzékeny információkat oly módon lehet továbbítani, hogy az csak egy véletlenszerű karakterhalmaznak tűnik. Fontos tervezési szempont a kommunikációs funkciókkal rendelkező digitális termékekben. Az olyan alkalmazásokban, amelyekben gyakran hívásokat, szövegeket, videókat, képeket és dokumentumokat cserélnek a felhasználók (gondolhatunk itt pl. a WhatsApp-ra), a végpontok közötti titkosítás biztosítja, hogy csak a beszélgetésben részt vevő felhasználók láthassák a kicserélt adatokat.

Ez azt jelenti, hogy senki, sem az alkalmazás mögött álló vállalkozás, sem bűnözők nem láthatják az üzenetek tartalmát. Amikor a felhasználók tudják, hogy információjukat ilyen intézkedések védik, sokkal inkább hajlandók bízni a vállalat egyéb alkalmazásaiban, termékeiben is.

Hitelesítés

Fontos ellenőrizni, hogy csak a fiók tulajdonosai tudnak-e bejelentkezni – és hogy minden betolakodó blokkol -e a rendszer. A hitelesítés a leghatékonyabb módja a digitális termékek jogosulatlan hozzáférés elleni védelmének. Az olyan funkciókat, mint a felhasználónevek bekérése és a jelszóigények, a tervezési folyamat elején azonosítani és tesztelni kell.

A további biztonság érdekében kétfaktoros hitelesítés (2FA) adható hozzá. A 2FA segítségével elérhető hogy a felhasználók egyrészt beírják a felhasználónevet és a jelszót, majd egy bejelentkezési kódot is kapjanak a mobiltelefonjukra vagy e-mail címükre és így még biztosabban kizárhatók a jogosulatlan belépések.

Adatvédelem

Végső soron az adatvédelem etikai szempontot jelent a tervezők és a vállalkozások számára. Amikor a felhasználók a személyes adataikat digitális termékhez való hozzáférésért cserébe megadják, akkor a döntéshozatalnál egyúttal bizalmat szavaznak az adott adatkezelő vállalatnak, hiszen azt feltételezik, hogy az megvédi őket. Bíznak abban is, hogy a tervezők és a fejlesztők által bevezetett szolgáltatások képesek ellenállni az adattámadásoknak.

A digitális termékeket a felhasználók számára készítik a vállalatok, nem lehet tehát elvárni, hogy a felhasználó áldozza fel vagy kockáztassa az adatait a termék megszerzéséért. A felhasználók termékkel való interakciója soha nem járhat azzal a kockázattal, hogy adataikat kiszivárogtatják vagy ellopják. Sajnos nem mindig ez a helyzet.

A legtöbb számítógépes bűncselekményt a felhasználók személyes adatainak megszerzése céljából hajtják végre, ám az UX tervezői segíthetnek ezen. Ez olyan funkciók bevezetésével érhető el, amelyek pl. arra ösztönzik a felhasználókat, hogy válasszanak erősebb jelszavakat, és kerüljék a személyes adatok megosztását az online felületeken.

Például egy termék hitelesítési felületén elhelyezhető egy barátságos hangvételű üzenet, amely tájékoztatja a felhasználókat arról, hogy miért fontos erősebb jelszavakat alkalmazni. Ahelyett, hogy arra kényszerítenénk őket, hogy 12 karakterből, kis- és nagybetűkből, számból és szimbólumból álló jelszavakat hozzanak létre, az üzenet egyszerűen azt mondhatja: „Erősebb jelszóra van szüksége ahhoz, hogy adatait biztonságosan tárolhassuk”, majd akár hosszabb tájékoztatás is adható a folyamatról. Így a felhasználók jobban megértik az adatok és a magánélet védelmének szükségességét.

A felesleges biztonsági akadályok eltávolítása

Ha a termékbiztonság az összes érdekelt fél bevonásától függ, akkor a tervezőknek időt kell fordítaniuk a fejlesztőkkel és a kiberbiztonsági szakemberekkel folytatott konzultációra. A fejlesztők általában sok olyan korláttal szembesülnek, amelyek befolyásolják a tervezést. A kiberbiztonsági szakemberek segíthetnek a tervezőknek a legfrissebb biztonsági stratégiákkal, eszközökkel és a megfelelőségi előírásokkal kapcsolatban.

A biztonsági szakértőkkel folytatott konzultáció, és a biztonsági intézkedések során össze nem egyeztetett túl sok elvárás végül azt is eredményezheti, hogy a termék túl nehezen hozzáférhető és emiatt a felhasználók inkább máshova fordulnak. Az olyan homályos üzenetek, mint például: „Az internetkapcsolat nem biztonságos”, nem segítenek a helyzeten, mert csak arra motiválják a felhasználóknak, hogy megkerüljék a védelmükre szolgáló biztonsági funkciókat.

Social engineering

Az összes digitális biztonsági támadás közül a social engineering, a személyek figyelmetlenségének, információhiányának vagy más gyengeségének kihasználása az egyik leggyakoribb formája. Ez a világszerte elkövetett jogsértések közel 90% -át teszi ki, és inkább a megtévesztés művészetére támaszkodik, mint a kifinomult technikai képességekre.

Az adathalászat (ami leggyakrabban az e-mailekben fordul elő) erősen támaszkodik a social engineering stratégiákra, hogy megijessze, nyomást gyakoroljon és megzavarja a felhasználókat érzékeny információk és nehezen megkeresett pénz átadására bírva őket. Az adathalász támadások elleni védelem érdekében a tervezők biztonsági fórumokat hozhatnak létre, amelyek lehetővé teszik a felhasználók számára, hogy értesítsék a weboldal vagy hírlevél tulajdonosát, ha valami szokatlan dolgot észlelnek, vagy akár figyelmeztetéseket tehessenek közzé más felhasználók számára.

A tervezőknek is figyelniük kell a biztonságra

A biztonságba fordított összes erőfeszítésre ellenére is adódhat probléma, egy figyelmen kívül hagyott biztonsági rés komolyan veszélyeztetheti a digitális termékek biztonsági integritását.

Minden létrehozott termékhez száz (akár több ezer) tervezési elemből áll. A tervezés és fejlesztés során pedig tucat kommunikációs csatornát használnak a projektben résztvevő szakemberek. A stratégiai dokumentumokhoz kapcsolódó linkeket több félnek is elküldjük, legyen szó külsős szakemberekről, egy kapcsolódó szolgáltatás tulajdonosairól vagy bárkiről, aki a tervezésben részt vesz. Az elosztott csapatok egyre inkább a felhőalapú tervezőeszközöktől függenek.

Ha a tervezők nem tesznek óvintézkedéseket munkájuk és kommunikációjuk védelme érdekében, a támadók megtalálják a szervezeti gyenge pontokon való beszivárgás módját.

Ez többféle védelmi réteg együttes alkalmazásával védhető ki, például saját VPN létrehozásával, kiberbiztonsági képzésen való részvétellel, valamint az eszközkezelési és kommunikációs irányelvek bevezetésével.