插图:一小张纸从一本非常大的书中撕裂,带有一些眼镜,书签,以及附近有美味的东西。
插图的

安全设计,节选

编辑们的评论:我们很高兴分享伊娃·彭泽·穆格第五章的节选设计的安全,从除了一本书

反种族主义经济学家金·克雷顿(Kim Crayton)说,“没有战略的意图是混乱的。”我们已经讨论了我们的偏见、假设和对边缘化和弱势群体的忽视是如何导致危险和不道德的技术的——但什么,具体来说,我们需要做什么来修复它?仅仅想让我们的技术更安全是不够的;我们需要一个策略。

继续下面的条

本章将配备这项行动计划。它涵盖了如何安全原则融入用户的设计工作,以创建高科技这是安全的,如何让利益相关者,这项工作是必要的,如何应对批判什么我们实际上需要的是更具多样性。(剧透:我们做的,但仅靠多样性是没有解药固定不道德,不安全的技术。)

全面安全的过程# section2

当你为安全而设计时,你的目标是:

  • 确定以何种方式你的产品,可用于虐待,
  • 设计防止滥用的方法,并且
  • 为易受攻击的用户提供支持,以收回权力和控制权。

包容性安全程序是帮助您实现这些目标的工具(图5.1).这是我在2018年创建的一种方法,用来捕捉我在设计产品时考虑到安全性时使用的各种技术。无论您是创建一个全新的产品还是添加到现有的功能,流程都可以帮助您使产品安全且具有包容性。该进程包括五个一般行动领域:

  • 进行研究
  • 创建原型
  • 头脑风暴的问题
  • 设计解决方案
  • 安全测试
图5.1:包容性安全流程的每个方面都可以纳入您的设计流程,以使其对您最有意义。给出的时间是用来帮助您将各个阶段合并到设计计划中的估计时间。

过程应该是灵活的——对于团队来说,在某些情况下实现每个步骤是没有意义的。使用与你独特的工作和环境相关的部分;这意味着你可以将其插入到现有的设计实践中。

一旦你使用了它,如果你有让它更好的想法,或者只是想提供它如何帮助你的团队的背景,请与我联系。它是一个活文档,我希望它能继续成为技术人员在日常工作中使用的有用和现实的工具。

如果你正在开发一款专门针对弱势群体或某种创伤幸存者的产品,比如针对家庭暴力、性侵犯或毒瘾幸存者的应用,请务必阅读第7章,其中明确涵盖了这种情况,应该以稍微不同的方式处理。这里的指导方针是,当设计一个更普遍的产品,将有一个广泛的用户基础(我们已经从统计数据中知道,其中将包括某些应该保护免受伤害的群体)时,优先考虑安全性。第7章重点介绍了产品专为弱势群体和谁经历过创伤的人。

第一步:进行研究# section3

设计研究应该包括广泛的分析你的技术可能会如何被武器化,以及对这类虐待的幸存者和施暴者的经历的具体见解。在这个阶段,你和你的团队将调查人际伤害和虐待的问题,并探索任何其他安全、安全性或包容性问题,可能是你的产品或服务的担忧,如数据安全、种族主义算法和骚扰。

广泛的研究#第四单元

你的项目应该从广泛的、一般性的研究开始,研究类似的产品以及已经报道过的安全和伦理问题。例如,一个开发智能家居设备的团队会很好地理解现有智能家居设备被用作虐待工具的多种方式。如果您的产品将涉及人工智能,请设法了解现有人工智能产品中存在的种族歧视和其他问题的可能性。几乎所有类型的技术都有一些潜在的或实际的危害,这些都已经在新闻或学者的文章中报道过了。谷歌学术搜索是寻找这些研究的有用工具。

具体研究:幸存者# section5

在可能和适当的情况下,包括直接研究(调查和采访)专家的形式的危害,你已经发现。理想情况下,你应该首先采访在你的研究领域工作的倡导者,这样你就能对这个主题有一个更坚实的理解,并更好地准备不让幸存者再次受到创伤。例如,如果你发现了可能的家庭暴力问题,你想要交谈的专家是幸存者本身,以及家庭暴力热线、庇护所、其他相关非营利组织和律师。

特别是在采访任何创伤的幸存者时,为他们的知识和生活经历付钱是很重要的。不要要求幸存者免费分享他们的创伤,因为这是剥削。虽然有些幸存者可能不想得到报酬,但你应该在最初的要求中就提出。付款的另一种选择是向一个组织捐款,该组织致力于打击受访者所经历的暴力类型。我们将在第6章讨论如何适当地采访幸存者。

具体研究:施虐者# section6

以安全设计为目标的团队不太可能采访自称滥用者或在黑客行为等方面违反法律的人。不要以此为目标;相反,在你的总体研究中,试着从这个角度入手。目的是了解施虐者或不良行为者如何将技术武器化以用于对付他人,他们如何掩盖自己的踪迹,以及他们如何解释或合理化虐待行为。

步骤2:创建原型# section7

一旦你完成开展你的研究,用你的见解创建施虐者和幸存者原型。原型是没有的人物角色,因为他们不是基于真实的人,你采访和调查。Instead, they’re based on your research into likely safety issues, much like when we design for accessibility: we don’t need to have found a group of blind or low-vision users in our interview pool to create a design that’s inclusive of them. Instead, we base those designs on existing research into what this group needs. Personas typically represent real users and include many details, while archetypes are broader and can be more generalized.

施虐者原型是将产品视为实施伤害的工具的人(图5.2).他们可能试图通过监视或匿名骚扰来伤害他们不认识的人,或者他们可能试图控制、监视、虐待或折磨他们认识的人。

图5.2:哈里·奥尔森(Harry Oleson)是健身产品的典型施暴者,他正在想方设法通过前女友使用的健身应用跟踪她。

幸存者原型是被产品虐待的人。有各种情况考虑滥用的原型的理解以及如何结束:滥用他们需要证明他们已经怀疑正在发生,或者他们不知道他们已经有针对性的在第一时间,需要提醒(图5.3)?

图5.3当前位置幸存者原型Lisa Zwaan怀疑她的丈夫将家里的物联网设备武器化,但面对丈夫坚称她根本不知道如何使用这些产品,她还是不确定。她需要一些虐待的证据。

您可能想要制作多个幸存者原型来捕捉一系列不同的体验。他们可能知道滥用正在发生,但无法阻止它,比如当滥用者将他们锁在物联网设备之外时;或者他们知道正在发生,但不知道是如何发生的,比如当跟踪者不断找出他们的位置(图5.4).在幸存者原型中包含尽可能多的这些场景。在以后设计解决方案时,您将使用这些方法来帮助您的幸存者原型实现防止和结束虐待的目标。

图5.4:幸存者原型埃里克米切尔知道他被他的前男友罗伯跟踪,但不知道罗伯是如何学习他的位置信息。

为原型创建类似人物角色的工件可能对您有用,例如所示的三个示例。与其关注我们在人物角色中经常看到的人口统计信息,不如关注他们的目标。施虐者的目标是实施你已经确定的特定的虐待,而幸存者的目标是防止虐待,了解虐待正在发生,停止持续的虐待,或者重新控制用于虐待的技术。稍后,您将讨论如何防止施虐者的目标和帮助幸存者的目标。

虽然“施虐者/幸存者”模型适用于大多数情况,但并不适用于所有情况,所以根据需要修改它。例如,如果你发现了一个安全问题,比如有人能够侵入家庭摄像头系统并与儿童交谈,恶意黑客就会得到施虐者原型,而孩子的父母则会得到幸存者原型。

步骤3:头脑风暴# section8

在创建原型之后,头脑风暴新的滥用案例和安全问题。“新奇”是指你在研究中没有发现的东西;你试图完全确定您的产品或服务特有的安全问题。这一步的目标是尽一切努力识别您的产品可能造成的危害。你现在还不担心如何预防伤害——这是接下来的步骤。

除了你已经在研究中发现的,你的产品怎么会被滥用呢?我建议你至少花几个小时和你的团队一起完成这个过程。

如果你正在寻找开始的地方,试试《黑镜》的头脑风暴。这个练习是根据节目进行的黑镜子,其特点有关技术的黑暗可能性的故事。揣摩你的产品将在展会 - 最百搭的,可怕的,外的控制方面,它可用于危害情节中。当我带领黑镜的奇思妙想,参与者通常最终有乐趣一个很好的协议(我认为这是伟大的,它的好设计的安全时,有乐趣!)。我建议时间盒一个黑镜灵机一动想到一个半小时,然后拨回以及使用的危害更为现实的形式时思维的其余部分。

在你确定了尽可能多的被虐待的机会之后,你可能仍然没有信心发现每一种潜在的伤害形式。当你在做这种工作时,适度的焦虑是正常的。为安全而设计的团队通常会担心,“我们真的确定了每一个可能的危害吗?”如果我们错过了什么怎么办?”如果你已经花了至少4个小时想出了可能对你的产品造成伤害的方法,但已经没有了想法,那么就进入下一步。

你不可能保证考虑到了所有的事情;不要以百分之百的保证为目标,认识到你已经花了这段时间,并尽了最大努力,并承诺在未来继续优先考虑安全问题。一旦你的产品发布,你的用户可能会发现你遗漏的新问题;目标是优雅地接受反馈,并迅速纠正航向。

第四步:设计解决方案# section9

此时,你应该有一个列表,列出你的产品可以用于伤害的方式,以及描述相反用户目标的幸存者和滥用者原型。下一步是确定针对被确定的施虐者目标的设计方法,并支持幸存者的目标。这一步很适合插入到设计过程的现有部分中,在这些部分中,您正在为研究中发现的各种问题提出解决方案。

为了防止伤害和支持你的原型,你可以问自己以下几个问题:

  • 你可以设计你的产品以这样的方式所识别的危害不能在第一时间发生的呢?如果没有,你可以放什么路障,以防止危害的发生?
  • 你如何让受害者知道,滥用通过你的产品发生了什么?
  • 你如何帮助受害者理解他们需要做什么才能让问题停止?
  • 你能确定任何类型的用户活动,表明某种形式的伤害或滥用?你的产品可以帮助用户访问支持吗?

在一些产品中,人们可以主动意识到危害正在发生。例如,一款怀孕应用程序可能会经过修改,允许用户报告自己是袭击的受害者,这可能会引发当地和国家组织提供资源的提议。这种主动性并非总是可行的,但花半个小时讨论用户的任何活动是否意味着某种形式的伤害或滥用,以及您的产品如何以安全的方式帮助用户接受帮助是值得的。

也就是说,要小心:如果用户的设备被监控,你不希望做任何可能让用户陷入危险的事情。如果你确实提供了一些主动的帮助,一定要让它自愿,并考虑其他安全问题,如需要将用户留在应用中,以防滥用者查看他们的搜索历史。我们将在下一章中介绍一个很好的例子。

第五步:测试安全性# section10

最后一步是从看你的原型点测试原型:谁愿意将其武器危害的产品,谁需要恢复对技术的控制危害的受害者的人。Just like any other kind of product testing, at this point you’ll aim to rigorously test out your safety solutions so that you can identify gaps and correct them, validate that your designs will help keep your users safe, and feel more confident releasing your product into the world.

理想情况下,安全性测试与可用性测试同时进行。如果你所在的公司不做可用性测试,你或许可以通过安全测试巧妙地完成这两项测试;如果用户通过你的设计试图将产品武器化,也可以鼓励他们指出对他们没有意义的交互或其他设计元素。

你需要对你的最终原型或者已经发布的实际产品进行安全测试。测试一款从一开始就没有考虑到安全目标的现有产品并没有什么错——为了安全而“改造”它是一件好事。

请记住,安全性测试包括从施虐者和幸存者的角度进行测试,尽管对你来说同时做这两件事可能没有意义。或者,如果您创建了多个幸存者原型来捕获多个场景,那么您将希望从每个场景的角度进行测试。

与其他类型的可用性测试一样,作为设计师的你很可能因为过于接近产品及其设计而无法成为一名有价值的测试人员;你对产品太了解了。与其自己做测试,不如像做其他可用性测试一样进行测试:找到不熟悉产品及其设计的人,设定场景,给他们一个任务,鼓励他们大声思考,并观察他们如何完成测试。

施虐者的测试# section11

这个测试的目的是了解它的人将其武器产品的危害多么容易。不像可用性测试,你想要让他们不可能,或者至少很难实现他们的目标。参考你之前创建的滥用者原型中的目标,并使用你的产品试图实现它们。

例如,对于一个带有gps定位功能的健身应用,我们可以想象施虐者原型的目标是弄清楚他的前女友现在住在哪里。有了这个目标,您将尝试一切可能的方法来确定另一个启用了隐私设置的用户的位置。你可以尝试查看她的跑步路线,查看她个人资料上的任何可用信息,查看关于她位置的任何可用信息(她已将其设置为私密),并调查与她账户有某种联系的任何其他用户的个人资料,比如她的追随者。

如果这个你已经成功地发现一些她的位置的数据,尽管她已经把她的个人资料,以私人结束,现在你知道你的产品使跟踪。下一步是回到第4步,并找出如何防止这种情况的发生。您可能需要重复设计解决方案,并不止一次地测试他们的过程。

幸存者测试# section12

幸存者测试包括确定如何提供信息和权力的幸存者。它可能不总是基于产品或上下文意识。阻碍滥用者原型的尝试秸秆有人还满足幸存者原型不被缠扰的目标,也不会从幸存者的角度来看,需要这样单独的测试。

然而,在某些情况下,它是有意义的。例如,对于智能恒温器来说,幸存者原型的目标是了解是谁或什么在他们自己不做的情况下改变了温度。您可以通过查找恒温器的历史日志并检查用户名、动作和时间来测试这一点;如果你找不到这些信息,那么在步骤4中你需要做更多的工作。

另一个目标可能是,一旦幸存者意识到施虐者正在远程改变恒温器的设置,就能重新控制恒温器。您的测试将包括试图弄清楚如何做到这一点:是否有说明如何删除另一个用户和更改密码的说明,以及这些说明是否容易找到?这可能再次表明,需要做更多的工作,让用户明白他们如何重新控制设备或账户。

压力测试# section13

为了让你的产品更具包容性和同情心,可以考虑添加压力测试。这个概念来源于面向现实生活的设计由Eric Meyer和萨拉·沃切特 - 谢恩。作者指出,角色谁是有一个很好的一天,但真正的用户通常中心的人往往焦虑,压力太大了,有一个糟糕的一天,甚至经历的悲剧。这些被称为“应激情况下,”和测试自己的产品在压力情况下的情况下用户可以帮助您确定地方,你的设计缺乏同情心。面向现实生活的设计有更多的细节,它看起来像把压力情况纳入你的设计,以及许多其他伟大的富有同情心的设计策略。

关于作者

伊娃PenzeyMoog的照片

伊娃PenzeyMoog

伊娃PenzeyMoog是用户体验和安全的设计者和创始人包容性安全项目.在加入科技领域之前,她曾在非营利领域工作,并自愿担任家庭暴力教育者和强奸危机咨询师。她的安全设计工作结合了她在家庭暴力和技术方面的专业知识,帮助技术专家了解他们的创作如何促进人际伤害,以及如何通过有意优先考虑最脆弱的用户来预防它。她致力于使安全设计成为规范,并鼓励技术同行将科技行业转变为优先考虑安全、正义和同情的行业。

暂无评论

有什么要说的吗?

我们已经关闭了评论功能,但是你可以看到在我们关闭评论功能之前人们都说了些什么。

从阿拉巴马州

语音内容和可用性

在这篇节选自语音内容和可用性的文章中,作者Preston So谈到了人类语言混乱、原始的本质,以及通过编程计算机来处理这些复杂性的挑战。

为意外而设计

随着设备不断以令人眼花缭乱的方式多样化,我们如何确保我们在网络上的工作与以往一样具有长远意义?Cathy Dutton分享了实践者如何为当前的范例和未来的曲折来完善设计,不管可能发生什么。

异步设计评论:获取反馈

接受反馈可能是一种压力:开放式的问题会引来有益的指导还是严厉的批评?Erin“Folletto”卡萨利通过一个过程教练我们,以确保反馈始终优雅地降落。

异步设计评论:给予反馈

你听过无数次“建设性的批评”,但是你知道如何表达吗?来自Erin ' Folletto ' Casali的这个系列的第一部分为您提供了一个框架!发挥你的反馈肌肉,练习这些技能,以授权和激励他人,而不是让他们泄气或困惑。