der menschliche Fehler ist nicht dem Benutzer innewohnend

In Bezug auf die Cyber-Überwachung wird der menschliche Fehler – vom Benutzer impliziert – sehr oft herausgegriffen. Manchmal aus gutem Grund. Dabei soll aber ein wenig schnell vergessen werden, dass menschliches Versagen auch vom Design der Infrastruktur selbst herrühren kann. Die Arbeit an seiner Robustheit im Upstream ist mindestens genauso wichtig wie die Evangelisierung der Benutzer für die Cybersicherheit.

Cyberspace, Gefahrenverstärker?

Im wirklichen Leben (“IRL”, dh “Im wirklichen Leben”) ist die Beziehung zu Risikobereitschaft und Adrenalin für jeden spezifisch. Manche leben gerne gefährlich, andere ziehen es vor, sich nicht in unbekannte Gewässer zu wagen. Diese komplexen psychologischen Mechanismen hängen offensichtlich vom angeborenen und erworbenen Wissen jedes Einzelnen ab.

In vielen Fällen sind es die Verhaltensweisen, die die Gefahren verursachen, und die Aufklärung aller über diese Risiken würde eine Reihe von Fallstricken vermeiden.

Im Cyberspace ist das Prinzip ziemlich nahe. Einige besuchte Orte sind riskanter als andere, und schlimme Begegnungen (sogar Übergriffe) können leider jedem passieren: Betrug, gefälschte E-Mails, gezielte Angriffe (Social Engineering oder Social Engineering; Manipulationspraktiken, die darauf abzielen, Informationen von Menschen zu extrahieren, ohne dass sie es merken) usw. In vielen Fällen sind es die Verhaltensweisen, die die Gefahren verursachen, und die Aufklärung aller über diese Risiken würde eine Reihe von Fallstricken vermeiden.

Doch auch wenn Technologie im Dienste des Menschen stehen soll, kann es aufgrund von Fehlern, Fehlern oder zu viel Freizügigkeit manchmal knifflig sein. In diesem Fall kann der Benutzer trotz beispielhaftem Verhalten Opfer einer böswilligen Absicht werden, die eine oder mehrere bereits vorhandene Schwachstellen ausnutzen und ausnutzen würde.

Der menschliche Fehler bei der Empfängnis

Wenn unter diesen Schwachstellen einige vom Benutzer selbst (oder zum Beispiel von seinem Browser) ausgebremst werden können, wie dies beim ungesicherten Webprotokoll (das “s” von https und das zugehörige Vorhängeschloss) der Fall ist, sind andere viel weniger offensichtlich. Daher ist Cross-Site-Scripting (oder XSS-Fehler) ein Fehler einer völlig legitimen Site, der jede Aktion im Browser ausführen kann, der die Seite anzeigt.

In einem solchen Fall ist der menschliche Fehler nicht dem Benutzer, sondern dem Designer zuzuschreiben. Es ist die Infrastruktur, Software und/oder Hardware, die nicht mit einem ausreichenden Maß an Qualität – und Sicherheit – konzipiert wurde. Der Schimpf kann jedoch nicht systematisch auf die Designer selbst ausgeübt werden.

Angesichts immer komplexer werdender Infrastrukturen ist deren maximale Sicherheit immer schwieriger zu gewährleisten. Umgekehrt ermöglicht es die harte und dauerhafte Arbeit von Menschen mit schlechten Absichten, im Laufe der Zeit Fehler zu entdecken und auszunutzen, die zum Zeitpunkt der Empfängnis unbekannt waren.

Sicherheit durch Design

Ist die Sicherheit von Systemen dazu verdammt, ein ewiger Ansturm zu bleiben, gepaart mit der Hoffnung, nie (oder nicht allzu schlimm) dem Ansturm von Cyberkriminellen ausgesetzt zu sein? Glücklicherweise nicht, und es ist außerdem die Technologie selbst, die die Designer in ihrem tugendhaften Ansatz unterstützt, insbesondere unter Verwendung von Werkzeugen zur Überprüfung von Eigenschaften, Nichtregression, formaler Äquivalenz auf der Ebene der Zusammenstellung usw. Es ist natürlich erforderlich, dass sie korrekt konfiguriert sind, ohne Fehler in den Spezifikationen oder im Quellcode zu verhindern.

Achten Sie jedoch darauf, keine Abkürzung zu setzen: Wenn der Mensch während der Designphase die Sicherheitslücke sein kann, ist er vor allem (und vor allem) ihr größtes Kapital.

Achten Sie jedoch darauf, keine Abkürzung zu schaffen: Wenn der Mensch in der Entwurfsphase die Sicherheitslücke sein kann, ist er vor allem (und vor allem) ihr größtes Kapital, wie die meisten Zertifizierungssysteme erkennen, die Verfahren beinhalten. dokumentiert (daher für den Menschen bestimmt). In der Automobilindustrie beispielsweise geht die Standardisierung (ISO / SAE 21434, veröffentlicht im August 2021) noch weiter, indem sie das Top-Management einbezieht, das wissen muss, wie man die Probleme misst, einen Sicherheitsbeauftragten ernennt usw.

Mit anderen Worten, es ist das Verständnis von Standards und deren strikte, sogar verstärkte Anwendung in der Designphase, die in der Lage sein wird, Qualität und Sicherheit für Infrastrukturen und andere Systeme vom Halbleiter bis zur Cloud zu gewährleisten. Verbunden mit dem fortschreitenden Erlernen von Cybersicherheitsthemen von möglichst vielen Menschen, ermöglicht dieser immer auf den Menschen ausgerichtete Ansatz, die Risiken und damit die nachgewiesene Ausnutzung von Schwachstellen im Einsatz so weit wie möglich zu begrenzen.

Von Sylvain Guilley, Technischer Direktor von Secure-IC und Senior Editor bei ISO

Expertenmeinungen werden unter der vollen Verantwortung ihrer Verfasser veröffentlicht und binden die Redaktion von L’Usine Nouvelle in keiner Weise.


Source: UsineNouvelle – Actualités A la une by www.usinenouvelle.com.

*The article has been translated based on the content of UsineNouvelle – Actualités A la une by www.usinenouvelle.com. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!