取得適當平衡
Stephan Somogyi 任職於 Google 的安全性和隱私權產品管理部門。他認為我們必須開始更慎重思考自己的線上行為。
Somogyi 先生,我們德國人在車上必定繫好安全帶、辦妥各種保險方案,操作 ATM 時也會遮住 PIN 碼鍵盤。為什麼我們上網時反而這麼不小心?
不只德國人,世界各地都有這種現象。這是因為人類在心理上更善於因應肉眼可見的具體危機,但網路風險不具備這種特性。這也是為什麼對 Google 這類科技公司來說,確保使用者線上安全特別重要。為了做到這點,我們近年來投入大量心力。
你最近在忙些什麼呢?
我們花了大量的時間和資金,希望更瞭解我們的使用者。舉例來說,我們發現系統發出太多安全性警示,導致使用者輕忽這些風險。問題在於:應該發出多少警示才能達到應有的功效?要取得適當的平衡並不容易。我們通常都低估了人的因素。
這是什麼意思?
如果使用者主動點選電子郵件中的連結或輕率給出個資,這時旁人大概也沒有辦法阻止。大部分線上攻擊都仰賴人容易相信別人的特性。
「信任別人是人的天性。不法之徒深知這點。」
Stephan Somogyi
結果呢?
信任別人是人的天性。不法之徒深知這點,因此有時他們才能讓我們相信來自陌生地址的電子郵件,或單純試圖嚇唬我們。無論是哪種情況,都一樣會導致我們做出糟糕的決定。
可以舉個例子嗎?
假設你喜愛的電視影集推出新集數,你正打算用影視串流服務追劇,卻收到一封電子郵件,通知你這項服務即將遭到停用,如果想繼續看劇,你必須點選下方連結,確認自己的銀行詳細資料,這時候許多人都會誤信這類通知,並按指示操作,銀行帳戶就這樣落入不法之徒手中。
攻擊者都會試圖誘導使用者不加思索就做出反應嗎?
是的。不過在許多情況下,使用者也會因缺乏知識或安於現況而忽略安全性警示。因此,我們正努力在安全性警示中加入更直接明瞭的指示。我們不想規定使用者應該採取哪些行動,但希望使用者瞭解可能面臨的危險。我們會盡量提供所有必要資訊,讓使用者做出明智決定。我們不提供非必要資訊,也不會遺漏任何必要資訊。
桌上型電腦不再是進入網路世界的唯一媒介。其他裝置的安全性需求也和桌上型電腦一樣嗎?
這是我們的一大挑戰。我們往往需要額外交換資料才能確保線上安全,例如加密程序。這對桌上型電腦來說不是問題,不過可能會影響智慧型手機,因為智慧型手機要考量數據用量,表示我們必須建立僅使用必要資料的安全性措施。我們投入許多心力減少行動裝置傳輸的數據量,現在的數據用量只有過去的四分之一。畢竟,我們不希望客戶為了節省數據用量而關閉安全性設定。此時,人的因素再度成為關鍵。
假如我會按照每項安全性建議操作,也會謹慎使用個人資料,那我可以不使用外部防毒程式嗎?
這麼說好了:現在如果你會持續更新系統,你的安全就會受到相當完善的保障。但還是會有例外狀況。過去許多公司都不夠重視這個問題。近年來,這種情況已大幅改善,風險也連帶大幅下降。
我們簡單聊一下未來發展。你的下一個目標是什麼?
我們希望讓 HTTPS 成為網路的標準通訊協定,讓所有內容都經過加密處理。Google 許多服務都已經採用安全的 HTTPS 加密技術傳輸資料,例如 Google 搜尋和 Gmail。
你們希望能夠安全傳輸所有線上資料嗎?
是的。到目前為止,網址列都會標示安全連線。我們希望未來可以反過來,改為標示不安全的連線
.
相片:Felix Brüggemann