Цифровая доступность и кибербезопасность: интеграция или конфликт?

Цифровой мир стремительно эволюционирует: госуслуги, интернет-магазины, корпоративные системы — всё стремится к автоматизации и онлайн-доступу. С одной стороны, это упрощает жизнь миллионов людей. С другой — создает новые барьеры, особенно для уязвимых групп пользователей: людей с ограниченными возможностями здоровья (ОВЗ), пожилых людей и тех, кто пользуется устаревшими устройствами.

В кибербезопасности барьеры встречаются ещё чаще. Большинство решений проектируется для идеального пользователя, у которого 20/20 зрение (по популярной таблице Снеллена), приличный уровень владения технологиями и много свободного времени.
Но реальный пользователь — это сотрудник компании с артритом, который не может набрать сложный пароль, клиент интернет‑банка с ослабленным зрением или ваш пожилой сосед, который не смог настроить двухфакторную аутентификацию.

Эта статья рассказывает о том, как доступность пересекается с кибербезопасностью, какие риски это создает для бизнеса и пользователей, и как можно решать эти проблемы, опираясь на современные подходы.

Доступность и безопасность: возможен ли компромисс?

Цифровая доступность кажется очевидным стандартом: сайты и приложения должны быть удобны для всех. Да и триада CIA говоря о принципах кибербезопасности, называет конфиденциальность, целостность и доступность. В реальности же, часто действует правило: чем сложнее доступ, тем надёжнее защита. Это приводит к не всегда очевидным проблемам:

• Пароли. Сложные комбинации из цифр, букв и символов отпугивают пользователей, особенно если их надо запоминать.

  Исследования показывают, что пользователи с когнитивными нарушениями (например, дислексией) предпочитают использовать предсказуемые пароли и испытывают сложности при попытке создать сложный пароль. Это делает их лёгкой мишенью для хакеров.

  Примерно один из 18 когнитивно здоровых пожилых людей, ежегодно становится жертвой мошенничества и финансовых афер. Большинству из них более 70 лет, сообщает New York Times, и они теряют в среднем около 42 000 долларов. Исследования показывают, что людям старше 65 лет может быть сложнее отличить законные электронные письма от фишинговых. Только в 2022 году в США около 88 000 человек в возрасте 60 лет и старше стали жертвами мошенничества или аферы на общую сумму 3,1 миллиарда долларов, по данным Национального совета по проблемам старения.

• Многофакторная аутентификация (MFA). Удобна, но требует смартфона, навыков настройки и быстрой реакции. А сложность настройки или необходимость использования мобильных приложений часто становятся непреодолимыми барьерами для людей старшего возраста или тех, кто пользуется кнопочными телефонами.
  Опросы показывают, что 1 из 3 потребителей (33%) не будет использовать традиционную MFA, потому что это раздражает. Другие частые причины включают в себя: MFA «слишком сложна» (23%), MFA «слишком медленная» (23%), проверка MFA часто теряется в спаме или не доставляется вообще (22%)

• CAPTCHA. Для системы это защита, а для пользователя с ограниченными возможностями здоровья — зачастую, невозможность авторизации. ​​
  CAPTCHA, требующая от пользователя различать искаженные символы, становится реальной проблемой для слабовидящих, для людей с цветовой слепотой или когнитивными нарушениями. Просить расшифровать аудио ​​CAPTCHA людей с ограничениями слуха, означает предлагать им выполнить задачу, которую они по своей природе в наименьшей степени способны выполнить.

По данным Глобального отчета по доступности (WebAIM, 2023) 98% сайтов в мире не соответствуют стандартам WCAG 2.1, что делает их недоступными для миллионов пользователей. Эти данные подчеркивают огромный масштаб проблемы, особенно если взглянуть на локальную статистику.

В России ограничения возможностей здоровья затрагивают значительную часть населения, например:

• 11,2 млн человек, имеющих официальный статус инвалидности; 

• 40,8 млн человек имеют проблемы со зрением; 

• 13 млн человек имеют нарушения слуха;  

• 19,2 млн человек имеют нарушения опорно-двигательного аппарата.

• Также, 41 млн человек зарегистрированы в качестве пенсионеров. 

Важно понимать, что эти группы часто пересекаются: у одного человека могут быть одновременно нарушения слуха и зрения или другие возрастные ограничения. Хотя, эти категории нельзя просто сложить, ясно одно — значительная часть населения (не менее половины населения России) сталкивается с долгосрочными или временными ограничениями возможностей здоровья.

Для многих пользователей с ОВЗ, сложные процессы авторизации и восстановления доступа часто становятся причиной отказа от использования систем. Например, исследования Scope выявили значительные барьеры для пользователей с ограниченными возможностями, связанные с низкой адаптивностью интерфейсов. Сложные процедуры аутентификации повышают вероятность человеческого фактора, который приводит к утечкам данных.

Корпоративные системы: место, где доступность встречается с рисками

В корпоративной среде доступность часто воспринимается как «второстепенная задача», если её вообще учитывают. Это большая ошибка, особенно в системах, от которых зависит повседневная работа сотрудников.

Основные проблемы корпоративных систем:

1. Недоступные интерфейсы.
   ERP-системы часто игнорируют совместимость с программами экранного чтения или альтернативными устройствами ввода.

2. Барьерные механизмы защиты.
   Длинные пароли, многократные проверки и сложные инструкции — это стресс для сотрудников.

3. Игнорирование стандартов.
   В странах ЕС нарушение директивы WCAG может привести к штрафам, особенно если это касается публичных организаций. В России эта практика только начинает зарождаться вместе с введением ГОСТ Р 52872 и вступлением в силу Приказа Минцифры №953.

Факт: компании, которые игнорируют доступность, теряют до 28% эффективности в рабочих процессах (данные Forrester, 2023).

Риски в B2C-решениях: потеря клиентов и доверия

Недоступность особенно болезненна для компаний, работающих с конечными пользователями. Клиенты не будут пытаться понять, почему сайт или приложение неудобны — они просто уйдут к конкурентам. Это касается не только интерфейсов, но и механизмов безопасности, которые часто становятся препятствием.

Частые ошибки в B2C-секторах:

• Игнорирование потребностей пользователей с ОВЗ.
  Например, отсутствие альтернативных способов взаимодействия с интерфейсом.

• НЕ адаптивные дизайны.
  Отсутствие функций масштабирования, недостаточный контраст и проблемы с навигацией.

• Сложные процессы восстановления учетных данных.
  Недоступные формы и механизмы идентификации отпугивают клиентов.

Проблема действительно существует:

1. UC Berkeley и система идентификации
   На платформе UC Berkeley система экзаменационного контроля блокировала студентов с нарушениями зрения. Она требовала от пользователя держать удостоверение личности под определённым углом, что для некоторых студентов было невыполнимо. В результате систему переработали, добавив поддержку вспомогательных технологий и более гибкие механизмы идентификации.

2. CAPTCHA как барьер
   Согласно исследованию W3C, около 20% слабовидящих пользователей не могут пройти стандартные CAPTCHA. Это приводит к оттоку клиентов, не завершивших регистрацию, и вызывает дополнительные расходы на техподдержку для устранения проблем.

3. Уязвимости в MFA-протоколах
   В 2021 году хакеры использовали уязвимости в настройках многофакторной аутентификации (MFA) для проникновения в сети одной из неправительственных организаций. Атака включала эксплуатацию так называемого "fail open" — поведения системы, когда при недоступности сервера MFA аутентификация автоматически проходит без дополнительной проверки. Хакеры, получив доступ к системе, использовали уязвимость Windows Print Spooler ("PrintNightmare") для эскалации привилегий и последующего доступа к облачным хранилищам и электронной почте. 

Почему это важно?

Каждый четвертый житель планеты или 28% населения, имеют подтвержденный медицинский диагноз: инвалидность. В России, свыше половины населения, сталкивается с постоянными или временными ограничениями здоровья. Это огромная аудитория, которую нельзя игнорировать. Недоступные решения вызывают не только отток клиентов, но и репутационные потери, которые тяжело компенсировать.

Практические рекомендации для бизнеса и разработчиков

1. Закладывать доступность с самого начала.
   Подход shift-left позволяет учитывать вопросы доступности ещё на этапе проектирования системы.

2. Тестировать решения на реальных пользователях.
   Вовлекать людей с ОВЗ для проверки удобства интерфейсов.

3. Использовать готовые решения.
   Интеграция готовых ассистивных решений, позволяет быстро адаптировать системы без значительных вложений.

4. Учить сотрудников.
   Доступность касается не только разработчиков, но и всей команды, включая дизайнеров, аналитиков и специалистов по безопасности.

Интерактивные решения и инструменты 

• Реализация доступных элементов интерфейса 

Создание доступных компонентов можно начать с базовых вещей. Например, чтобы кнопки были удобны для незрячих пользователей, можно использовать атрибуты ARIA:

<button aria-label="Отправить форму">Отправить</button>

Этот код добавляет описание кнопки, которое экранные “читалки” смогут озвучить. Для проверки можно использовать бесплатные инструменты, такие как Screen Reader Testing Tools.

• Упрощение CAPTCHA 

Вместо традиционных CAPTCHA можно использовать поведенческие метрики, такие как reCAPTCHA v3, которая анализирует действия пользователя на странице, не требуя ввода текста или распознавания изображений. Интеграция проста:

grecaptcha.ready(function() {

  grecaptcha.execute('your-site-key', {action: 'submit'}).then(function(token) {

    // Отправить токен вместе с формой

  });

});

• Готовые решения для инклюзии 

Инструменты вроде виджета Assistapp, позволяют адаптировать интерфейсы под разные группы пользователей без значительных затрат на разработку. Например, виджет автоматически добавляет функции масштабирования текста, контраста и готовые профили доступности для различных категорий ОВЗ.

• Тестирование интерфейсов 

Для автоматического анализа интерфейсов можно использовать Accessibility Insights — расширение для браузера, которое поможет выявить барьеры доступности, а также предлагает инструкции для множества ручных проверок, которые нельзя автоматизировать.

Заключение

Цифровая доступность — это уже не опция, а необходимость. Это не только моральный стандарт, но и стратегическая задача, которая помогает компаниям оставаться конкурентоспособными и защищенными. Когда безопасность и удобство идут рука об руку, выигрывают все: пользователи, бизнес и общество в целом.