Pechowa dwunastka pojawia się na naszym życiu w sposób jawny, gdy oprócz symptomów naszego „pecha” mniej lub bardziej świadomie docieramy do prawdziwej przyczyny problemu, jak brak: zasobów, wiedzy, współpracy, komunikacji, świadomości i asertywności.
Gdybyśmy jednak mieli nieco więcej czasu oraz zdystansowaną perspektywę na badany problem, dostrzec możemy elementy mające dużo większy wpływ niż te wymienione, jak: presja, stres, zmęczenie, zwyczaje, samozadowolenie i dzisiejszy temat – utrata uwagi.
Jeśli kogoś dziwi taki, a nie inny wybór tych grup, niech spojrzy na problem z punktu widzenia czasu. Problemy zidentyfikowane w grupie pierwszej opisują zdarzenia dłuższe, dostrzegalne, te z grupy drugiej mają charakter tymczasowy, ulotny, przez co dużo trudniejszy do zrozumienia i docenienia ich prawdziwego znaczenia.
Ale dość teoretyzowania, czas na przykłady. Utrata uwagi nie wydaje się czymś szczególnie istotnym w przypadku bezpieczeństwa informacji, gdzie nikogo nie rozjedziemy (jeszcze) lub nie przygnieciemy jakimś żelastwem. Jak to jednak w życiu bywa, wszyscy możemy być ugotowani, jak ta żaba, o ile tylko temperaturę „wody” ktoś podnosi powoli. Takim najpowszechniejszym przykładem dewastacyjnego efektu utraty uwagi jest… proces logowania. Każdy z nas, prawdopodobnie kilka razy dziennie wprowadza jakieś hasło lub pin, czasami to samo, kilkukrotnie. Często w wielu sytuacjach, prowadząc rozmowę, myśląc o czymś intensywnie, idąc ulicą (na smartfonie), czy zaraz przed, lub chwilę po aktywności, która pochłonęła nas w całości (jak ważne spotkanie lub presja czasu). Ile razy zdarzyło nam się „o mały włos” nie zablokować konta? Polityki kontroli dostępu zazwyczaj zakładają 3 błędne próby, w sytuacji rozproszenia uwagi, to o jakieś 20 za mało.
Dla haseł, które wprowadzamy często, które mamy „w palcach” (a tak naprawdę wspierane są pamięcią sensoryczną) i dla których nie musimy się zastanawiać, tylko zwyczajnie je wpisujemy – utrata uwagi jedynie w przypadku silnych bodźców może mieć istotne znaczenie. Jednak wymóg zmiany hasła co 30 dni i praktyczne podejście do NIE blokowania ekranu prowadzi, w skutkach do sporego wysiłku i skupienia w celu nie tylko przypomnienia hasła, ale i jego wprowadzenia (tak, znaki specjalne, cyfry i generalnie losowe hasło jest trudne do wpisania). Poziom trudności rośnie, gdy klawiatura jest inna niż zazwyczaj używamy, gdy klawisze (ekranowe) są za małe, gdy robimy to jedną ręką (a nie dwiema jak zazwyczaj). Wtedy zwykłe dźwięki, dostrzeżenie czegoś kątem oka, czy nawet powiadomienie na „ekranie” utrudnia i często uniemożliwia poprawne wprowadzenie hasła.
Zablokowanie konta, w wyniku wielokrotnego wprowadzenia hasła wydaje się małym problemem, jednak w przypadku presji czasu, lub długiego procesu odblokowania (czy to czasowego, czy złożonego z wielu czynności) prowadzi do frustracji, wzrostu stresu, niekontrolowanej konsumpcji zasobów, poczucia winy, ograniczenia świadomości kontekstu i wielu innych negatywnych efektów, które bezpośrednio mogą doprowadzić do incydentu.
Nie trzeba daleko szukać. Czas utracony na odblokowaniu konta (lub dłuższy związany z resetem hasła i jego zapamiętaniem) może wywołać na nas presję, która ograniczy naszą zdolność poznawczą oraz czujność, pod pretekstem skupienia na zwiększeniu wydajności, co znowu prowadzi do bezpośredniego wykonywania poleceń, bez ich kwestionowania, co jest efektem oczekiwanym przez atakujących za pomocą phishingu i pretekstu. Warto również pamiętać, że utrata uwagi zostaje na dłużej i najczęściej prowadzi do lawinowego efektu wzmacniania kolejnych czynników Pechowej Dwunastki.
Innym przykładem dewastacyjnej roli utraty uwagi jest praca na dwóch środowiskach, produkcyjnym i testowym (czy też oficjalnej i roboczej wersji pliku), gdzie różnice graficzne pomiędzy oboma środowiskami są minimalne i wymagają skupienia oraz zwracania uwagi na szczegóły. To jest sytuacja „dojrzała” do incydentu bezpieczeństwa informacji.
Kolejnym przykładem negatywnych skutków utraty uwagi jest wykonywanie poleceń zgodnie z listą kontrolną. Rozproszenie uwagi, czy to przez rozmowę, czy inną czynność, prowadzi do powrotu do pracy, z założeniem „dokończonego” zadania, nad którym pracowaliśmy i przejścia do kolejnego kroku. Jest to naturalna strategia mózgu związana z identyfikacją „widzianych” już dzisiaj sytuacji. To, że zadania te nie zostały dokończone, nie jest tutaj kluczowe w procesie poznawczym. Dlatego jednym z tak efektywnych sposobów na przeciwdziałanie błędom wynikającym z utraty uwagi jest posiadanie szczegółowej listy kontrolnej (rozróżnialne zadania na pierwszy rzut oka), stosowanej wraz ze strategią cofnięcia się o kilka kroków w celu zweryfikowania czy przed utratą uwagi, wszystko zostało poprawnie wykonane.
Ostatecznie, tym co działa w pokonywaniu czynnika utraty uwagi jest zrobienie sobie przerwy. A jeśli sytuacja zdarza się za często, wdrożenie zmiany okoliczności, które wprowadzają czynnik rozproszenia uwagi. Warto przy tym wziąć pod uwagę nasze zdolności poznawcze i uwzględnić zarówno funkcjonowanie naszych zmysłów (tak, hałas i oświetlenie ma znaczenie), jak i interfejs narzędzi z jakimi pracujemy. Dlatego tak ważne jest również dobre zrozumienie i zapoznanie się z narzędziami, jak i dbanie o ich stan. Ciągłe ignorowanie monitów o aktualizację, czy błędów wspiera czynnik utraty uwagi, rozpraszając nas i utrudniając pracę.
Podsumowując, utrata uwagi zdarza się każdemu, niestety równie powszechne jest nietraktowanie jej poważnie. Jako, że zarówno sama, jak i chętnie z innymi elementami Pechowej dwunastki prowadzi do błędów ludzkich, stanowiących symptomy poważnych incydentów bezpieczeństwa organizacji – warto:
Na sam koniec, w ramach powiązania doświadczeń życiowych z bezpieczeństwem informacji, pamiętajmy, że najpoważniejszym i najczęściej występującym wyciekiem danych jest ten, który ma miejsce w związku z zagubieniem, kradzieżą lub uszkodzeniem urządzeń z danymi. Zdecydowana większość tych sytuacji ma miejsce z powodu utraty uwagi. Warto zatem o nią dbać. Dla bezpieczeństwa naszych danych i interesów.
Spokojnego dnia!
Artur Marek Maciąg
Inicjatywa Kultury Bezpieczeństwa, doświadczony expert i pasjonat bezpieczeństwa informacji.
