Säkerhet kontra användbarhet

tripwires blog finns en postning om 15 olika vanliga myter inom IT-säkerhet. En av myterna är att säkerhet står i motsatsförhållande till användbarhet. Ju säkrare en tjänst, produkt, funktion är desto svårare är den att använda. Och visst, en dator ingjuten i ett betongblock utan några externa anslutningar är väldigt säker, men samtidigt väldigt svår att använda. Men är detta motsatsförhållande verkligen en generell sanning? Följande film från postningen ger ett ypperligt argument att det inte är så:

Dvs, säkerhet påverkar design och funktion. Men om säkerheten designas in och får påverka hur designen ser ut kan säkerhet och användbarhet kombineras.

Några andra myter som tas upp i postningen är att användaren alltid är problemet och den största svagheten, att säkerhet inte är något som kommer i en låda (exempelvis ett extra dörrlås). Jag tycker kanske inte att alla argument mot de olika myterna är fantastiskt bra. Men filmen ovan gillade jag skarpt. Sedan är det iofs tveksamt hur säker en dörr med glasrutor är oavsett hur många lås och bleck det finns.

2 reaktioner på ”Säkerhet kontra användbarhet

  1. På ett sätt var filmen bra – den visar på hur man ofta lägger till säkerhet i efterhand med en massa extra saker… men annars haltar analogier med andra områden.

    Det är helt klart så att en dörr med ett lås på är besvärligare än en dörr utan, eller hur?

    Och vad är hotmodellen? För glasdörren verkar det vara att man rycker loss dörren eller petar undan låskolven… och då är den ett bra sätt att lägga in fler saker som håller fast. Men om hotet är att någon kopierar nyckeln eller dyrkar upp låset, då vill man gärna ha lite olika lås. ”Defence in depth” talar för lösningen med många lås – och gärna en låst innerdörr också. Så det är nog tyvärr inte så enkelt.

    Sedan tror jag på att man göra hög säkerhet lätt att använda med bra design, men jag kommer inte på något riktigt bra exempel på rak hand. Kanske att skydda sig mot datorintrång genom att helt enkelt koppla bort sig från nätet istf en massa komplicerade brandväggar? Å andra sidan kan man hävda att det är lägre användbarhet…

  2. Aloha!

    Visst, det saknas en massa i filmen – hotbild, försvar på djupet, sätt att går runt (attackvägar) och mycket mer. Men jag upplever att det är många som kör med ett påstående om ett ganska strikt motsatsförhållande mellan säkerhet och användbarhet, och att filmen ger ett bra exempel på att det inte alls är en generell sanning. Och, precis som du säger att designar man med säkerheten med i kraven från början är chansen större att lösningen blir både säker och användbar.

    Några andra bra exempel är hur Microsoft arbetar med sin Security Design Lifecycle-metodik där säkerhet är med hela tiden, men att man ändå får fram applikationer och tjänster som upplevs användbara. Där är ofta säkerheten saker du inte ser eller ens upplever. Jämför ex Vista med Windows 7 där säkerheten ökat samtidigt som antalet modala rutor som tvingar användaren att fatta beslut (vilket upplevs krångligt) minskat.

    Men som sagt, liknelsen med dörrar och IT-säkerhet sträcker sig inte speciellt långt. Speciellt inte om man samtidigt vill få med säkerhet på djupet etc.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *