Кибербезопасность против цифровой доступности (или за?)

2025-01-28 07:05:21 Время чтения 14 мин 47

Цифровой мир стремительно растёт, и вместе с ним растут риски. Хакеры совершенствуют свои методы, компании усиливают защиту, пользователи стараются не отставать. Но в этой гонке безопасности мы часто забываем, ради кого создаются системы: ради людей. А люди бывают разными — с разным опытом, возможностями и ограничениями возможностей здоровья.

Системы, не учитывающие разнообразие пользователей, не особо пользователям нравятся

Сегодня, большинство решений проектируется для идеального пользователя, у которого 20/20 зрение (по популярной таблице Снеллена), приличный уровень владения технологиями и много свободного времени. Но реальный пользователь — это сотрудник компании с артритом, который не может набрать сложный пароль, клиент интернет-банка с ослабленным зрением или ваш пожилой сосед, который не смог настроить двухфакторную аутентификацию.

Или кейс платформы UC Berkeley, в которой система идентификации и экзаменационного контроля блокировала студентов с нарушениями зрения. Система требовала от пользователя держать удостоверение личности под определённым углом, что для некоторых студентов было невыполнимо. 

Кажется, эти примеры — исключение? Статистика говорит об обратном. Только в России около 11,2 миллиона людей с инвалидностью и более 40 миллионов пожилых пользователей, которые могут сталкиваться с аналогичными проблемами каждый день. Это миллионы людей, которые могли бы пользоваться вашими сервисами.

Пароли: защита или ловушка для пользователей?

Пароли давно стали символом безопасности, но как часто мы задумываемся об их реальной эффективности? Возьмём статистику. По данным LastPass, 59% людей используют один и тот же пароль для нескольких аккаунтов. Почему? Потому что запомнить 10–15 сложных комбинаций практически невозможно.

И это не единственная проблема:

  1. Люди записывают пароли на бумаге. Всё чаще мы видим «секретные» заметки на рабочих столах или стикеры с паролями, приклеенные к мониторам.
  2. Использование простых паролей. Из-за сложных требований пользователи выбирают самый простой путь — пароли вроде «password123» или «qwerty», что облегчает задачу хакерам.
  3. Сброс пароля через почту. Большинство людей не задумываются, что доступ к их электронной почте часто становится ключом ко всем остальным сервисам.

Больше статистики

Исследования показывают, что пользователи с когнитивными нарушениями (например, дислексией) предпочитают использовать предсказуемые пароли и испытывают сложности при попытке создать сложный пароль. Это делает их лёгкой мишенью для хакеров.Примерно один из 18 когнитивно здоровых пожилых людей, ежегодно становится жертвой мошенничества и финансовых афер. Большинству из них более 70 лет, сообщает New York Times, и они теряют в среднем около 42 000 долларов. Исследования показывают, что людям старше 65 лет может быть сложнее отличить законные электронные письма от фишинговых. Только в 2022 году в США около 88 000 человек в возрасте 60 лет и старше стали жертвами мошенничества или аферы на общую сумму 3,1 миллиарда долларов, по данным Национального совета по проблемам старения.

Если система требует от пользователя пройти десятки сложных проверок на каждом шаге, то её безопасность оборачивается против него. А взломанные аккаунты — лишь вопрос времени.

Многофакторная аутентификация: дополнительная защита или барьер?

Многофакторная аутентификация (MFA) — мощный инструмент, но даже он не универсален. Представьте молодого специалиста Никиту, который в спешке пытается войти в корпоративную систему с домашнего компьютера. MFA запрашивает одноразовый код из приложения. Никита открывает телефон, а там — два десятка похожих уведомлений от разных сервисов. В спешке он вводит неверный код несколько раз, блокирует учётную запись и теряет доступ к проекту.

Если такая ситуация ставит в тупик даже технически подкованных людей, то что говорить о пользователях, которые не понимают, как работает двухфакторная аутентификация? Например:

  1. Пожилые люди или люди с ОВЗ. Для слабовидящих пользователей приложения MFA нередко оказываются недоступными из-за отсутствия интеграции со скринридерами.
  2. Пользователи с ограниченным доступом к устройствам. У кого-то до сих пор кнопочный телефон, а у кого-то — слабый интернет.

Опросы показывают, что 1 из 3 потребителей (33%) не будет использовать традиционную MFA, потому что это раздражает. Другие частые причины включают в себя: MFA «слишком сложна» (23%), MFA «слишком медленная» (23%), проверка MFA часто теряется в спаме или не доставляется вообще (22%)

Это означает, что компании могут терять клиентов только из-за неудобства системы защиты.

CAPTCHA: спасение от ботов или наказание для людей?

CAPTCHA — это инструмент, который должен отличать людей от ботов, но часто он становится непреодолимым барьером для добросовестных пользователей. 

Представим другую ситуацию. Иван, бухгалтер с ограниченным зрением, пытается войти в корпоративный портал для отправки отчёта. Ему показывают CAPTCHA с размытыми изображениями, где нужно выбрать все "пешеходные переходы". Иван подключает программу экранного чтения, но она не может распознать содержимое изображения. После нескольких безуспешных попыток Иван вынужден звонить в службу поддержки, где ему предлагают "ещё раз попробовать". В итоге он тратит полдня, чтобы выполнить задачу, которая в нормальных условиях заняла бы 15 минут.

Этот случай иллюстрирует проблему: инструменты защиты нередко исключают пользователей, которым требуется дополнительная поддержка. Такие барьеры, как CAPTCHA, теряют свою эффективность, так как современные боты справляются с ними лучше, чем люди, для которых они предназначены.

Другие примеры:

  1. Люди с когнитивными нарушениями. Для них разбор искажённых символов на экране — это настоящий стресс.
  2. Дальтоники и слабовидящие. Для этих групп пользователей даже базовые визуальные CAPTCHA могут стать непреодолимым барьером.

Например, согласно исследованию W3C, около 20% слабовидящих пользователей не могут пройти стандартные CAPTCHA. Это приводит к оттоку клиентов, не завершивших регистрацию, и вызывает дополнительные расходы на техподдержку для устранения проблем.

Каждый случай, когда человек не может пройти CAPTCHA, — это не просто неудобство, это потерянный клиент.

Корпоративные системы: безопасность, подрывающая эффективность

Теперь перенесёмся в корпоративную среду, где ошибки в доступности и безопасности не просто раздражают, а снижают продуктивность сотрудников и приводят к сбоям в работе целых команд.

Представьте системного администратора Анну, которая вынуждена ежедневно восстанавливать доступ сотрудникам, забывшим пароли к ERP-системе. Её время уходит на рутинные задачи, вместо того чтобы внедрять улучшения в инфраструктуру. Почему? Потому что сама система была разработана без учёта человеческого фактора.

Какие уязвимости чаще всего встречаются в корпоративных системах:

  1. Недоступные интерфейсы. Системы ERP, CRM и внутренние порталы зачастую не адаптированы для работы с ассистивными технологиями. Например, слабовидящий сотрудник не может настроить шрифты или увеличить контрастность текста, что снижает его продуктивность.
  2. Сложные проверки безопасности. Постоянные многофакторные аутентификации или повторные проверки создают нагрузку на сотрудников и повышают вероятность ошибок.
  3. Неудобные процессы восстановления доступа. Сотрудники, забывшие пароли, начинают использовать небезопасные обходные пути, например, передавать доступы коллегам или хранить пароли в общедоступных файлах.

В результате компания теряет эффективность. Согласно исследованиям Forrester, недоступность корпоративных систем может снижать производительность на 20–30%, что напрямую влияет на прибыль.

Когда недоступность стоит миллиарды

Недоступность — это не только социальная проблема, но и прямой финансовый риск. Вот несколько фактов:

  1. Согласно WebAIM, 98% сайтов не соответствуют стандартам WCAG 2.1. Это означает, что миллионы пользователей ежедневно сталкиваются с барьерами.
  2. В 2022 году компании потеряли около 3 миллиардов долларов из-за недоступных интерфейсов, оттока клиентов и штрафов за несоблюдение стандартов.

А теперь перенесёмся в Россию, где законодательство о цифровой доступности только набирает обороты. Согласно приказу Минцифры №953, все государственные веб-сайты должны быть адаптированы для пользователей с инвалидностью. Нарушение этого требования может привести к штрафам и судебным разбирательствам, а также серьёзным репутационным потерям.

Что делать? Как строить доступные и безопасные системы

Создание умной, инклюзивной системы безопасности требует подхода, при котором защита пользователей и доступность становятся взаимодополняющими элементами. Рассмотрим шаги, которые помогут достичь этого баланса:

1. Внедрение доступности на этапе проектирования

Принцип "Shift-Left" предполагает, что доступность и безопасность встраиваются в процесс разработки с самого начала. Это не просто снижает расходы на доработки, но и предотвращает появление критических уязвимостей.

Что можно сделать:

  1. Анализ требований. Учитывайте разнообразие пользователей на этапе проектирования. Включите их в сценарии использования. Например, проверяйте, как слабовидящий человек сможет настроить личный кабинет или пройти аутентификацию.
  2. Прототипирование с учётом доступности. Используйте прототипы, которые заранее учитывают требования стандартов WCAG. Тестируйте удобство работы с интерфейсами ещё до начала основной разработки.
  3. Универсальные стандарты. Обратите внимание на локальные (например, ГОСТ Р 52872-2019) и международные стандарты доступности, которые могут стать основой для системного подхода.

2. Тестирование с участием реальных пользователей

Один из ключевых шагов к созданию инклюзивной системы — привлечение людей с разными потребностями для оценки работы.

Как реализовать:

  1. Проведите тестирование на разных этапах разработки. Убедитесь, что интерфейсы понятны и удобны для слабовидящих, пользователей скринридеров и других групп пользователей с ОВЗ.
  2. Оценивайте скорость выполнения задач. Например, насколько быстро слабовидящий пользователь может найти и нажать на кнопку "Отправить"? Это поможет выявить реальные проблемы.
  3. Вовлекайте тестировщиков с опытом работы с ОВЗ. Их комментарии помогут учесть аспекты, о которых разработчики могли не подумать.

3. Автоматизация проверок доступности

Инструменты автоматической проверки позволяют оперативно находить ошибки и уязвимости в интерфейсах.

Инструменты, которые стоит использовать:

  1. Assistapp Checker. Анализирует сайт и выявляет проблемы в разметке, контрасте, навигации и других аспектах.
  2. Accessibility Insights. Помогает проводить автоматизированное и ручное тестирование, фокусируясь на реальных потребностях пользователей.
  3. axe DevTools. Удобный инструмент для быстрого аудита страниц, который позволяет увидеть проблемные элементы на сайте.

4. Обучение и формирование культуры безопасности

Технологии не решают всех проблем. Без образования сотрудников даже самые продвинутые системы не будут работать эффективно.

Что важно:

  1. Проводите регулярные тренинги по доступности и безопасности для всех сотрудников, а не только для технических специалистов.
  2. Создайте инструкции для пользователей. Объясните, как работать с системой, почему важна доступность и как она влияет на безопасность.
  3. Внедрите культуру обратной связи. Поощряйте сотрудников сообщать о проблемах и предлагать решения.

5. Использование современных решений

Применение готовых технологий значительно ускоряет процесс. Например:

  1. Assistapp Widget. Позволяет пользователям настраивать интерфейс под свои нужды: менять шрифты, увеличивать текст, включать высококонтрастные режимы. Это делает систему доступнее для широкой аудитории.
  2. reCAPTCHA v3. Избавляет от необходимости вводить текст или выбирать картинки. Она работает в фоновом режиме, оценивая поведение пользователя.
  3. ARIA-атрибуты. Делают интерфейсы доступными для пользователей с ассистивными технологиями, такими как скринридеры.

Заключение: будущее за инклюзивной безопасностью

Цифровая доступность — это не "социальная опция", а стратегический инструмент, повышающий надёжность систем. Удобные и безопасные решения привлекают пользователей, увеличивают лояльность и уменьшают операционные риски.

Отказ от жёстких, но недоступных решений в пользу гибкости и инклюзии — путь к успеху в цифровом мире. Давайте строить системы, которые будут доступны и безопасны для всех, чтобы каждый мог стать их частью.