Databeskyttelsesforskning front og center ved menneskelig computerinteraktion

mangler ved meddelelser om sikkerhedsbrud, bedste praksis for phishing-advarsler og erfaringer fra brugen af ​​analyser til at forbedre elevernes præstationer er blandt flere undersøgelser, som forskere fra University of Michigan vil præsentere fra denne weekend i Det Forenede Kongerige.

Florian Schaub, adjunkt ved U-M School of Information, og kolleger vil dele deres arbejde 4.-9. maj på CHI Conference on Human Factors in Computing i Glasgow, Skotland.

Databrud

Med udgangspunkt i deres tidligere forskning, der viste, at forbrugere ofte ikke foretager sig meget, når de står over for sikkerhedsbrud, School of Information-teamet ledet af ph.d.-studerende Yixin Zou og Schaub analyserede meddelelser om databrud, som virksomheder sendte til forbrugere for at se, om kommunikationen kunne være ansvarlig for noget af passiviteten.

De fandt ud af, at 97 % af de 161 udtagne meddelelser var svære eller ret svære at læse baseret på læsbarhedsmålinger, og at det sprog, der blev brugt i dem, kan have bidraget til forvirring om, hvorvidt modtageren af ​​kommunikationen var i fare og burde handle.

"Vores analyse viser, at det ikke er tilstrækkeligt at pålægge virksomheder ved lov at sende meddelelser om databrud alene, " sagde Zou. "Det er vigtigt at sikre, at vigtige oplysninger, såsom hvad der skete, og hvad forbrugere bør gøre for at beskytte sig selv, kommunikeres i disse meddelelser på en måde, der er forståelig og handlebar af forbrugerne."

Med henvisning til statistik fra Privacy Rights Clearinghouse, forfatterne bemærker, at der i 2017 var 853 databrud, der kompromitterede 2,05 milliarder poster, som omfattede forbrugernavne, kontaktoplysninger kontonumre, kreditkortoplysninger, cpr-numre, indkøbs- og indkøbsoversigter, sociale medier indlæg og beskeder, og sundhedsjournaler.

Som svar, de fleste lande, inklusive USA, vedtaget love om anmeldelse af databrud. I USA, hver stat har sin egen lov om databrud, derfor, tærsklen for, hvornår forbrugerne skal underrettes, hvor hurtigt efter et brud, og hvordan den underretning skal se ud varierer på tværs af stater.

Dette giver virksomhederne stor frihed til at bruge hedge-termer, der bagatelliserer risiko – ved at bruge sætninger som "du kan blive påvirket" og "du vil sandsynligvis blive påvirket" i 70 % af meddelelserne og sige "på nuværende tidspunkt, vi har ingen beviser for, at eksponerede data er blevet misbrugt" 40 % af tiden.

Det tillader også en manglende konsekvens i forhold til årsagen til bruddet, datoen for hændelsen og mængden af ​​eksponeringstid, siger forskerne.

"Der er lidt incitament for virksomheder til at investere i at gøre meddelelser om databrud mere anvendelige, " sagde Schaub. "For de fleste virksomheder, disse meddelelser ses kun som et krav for at overholde love om meddelelse om databrud snarere end en måde at uddanne og beskytte deres kunder på. Vi er nødt til at genoverveje og omarbejde forbrugerbeskyttelseslove som disse for at sikre, at virksomhedernes meddelelser faktisk er nyttige for forbrugerne."

De fleste statslige love kræver, at virksomheder underretter berørte forbrugere i skriftlige breve eller telefonisk. e-mails, hjemmeside meddelelser, meddelelser til statsdækkende medier eller andre elektroniske metoder er normalt erstatninger. Undersøgelsen viser et konsistent mønster med 95 % af de analyserede meddelelser leveret via post. Forskerne siger, at den langsomme hastighed af et sendt brev kan øge den tid, hvor forbrugerne forblev uinformerede om bruddet.

Phishing

Lige da vi tror, ​​vi har styr på de tricks, datatyve har i ærmet for at hacke vores enheder i et forsøg på at stjæle vores information, nogen kommer med en ny måde at narre os på, og phishing-skemaer på computeren kan fange selv de mest kyndige brugere.

Organisationer, der leverer e-mail-tjenester, herunder de kommercielle e-mail-klienter, som forbrugerne bruger hver dag, har iværksat adskillige foranstaltninger for at bekæmpe phishing-forsøg, og arbejde for at oplyse brugerne om at undgå mistænkelige links i e-mail. Blandt indsatsen er forskellige advarsler, der advarer brugere om potentielt mistænkelige links.

I en undersøgelse, der involverede 700 deltagere i alderen 20 til 71 år, Schaub og kolleger på School of Information evaluerede tre advarselsdesignfunktioner for at hjælpe brugere med mere effektivt at vurdere phishing-risikoen og undgå mistænkelige websteder. De sammenlignede dem med det mere almindeligt anvendte statiske e-mail-banner - ofte et farvet bånd eller en boks med en fed farve som rød, der vises som en advarsel øverst på en e-mail-side. De tre funktioner til sammenligning er:

• Advarselsplacering, eller flytte phishing-advarsler tæt på det mistænkelige link i e-mailen.
• Tvunget opmærksomhed på advarslen ved at deaktivere det mistænkelige link i e-mailens brødtekst og tvinge brugeren til at klikke på den demaskerede URL for at fortsætte.
• Advarselsaktivering, som opfordrer til, at advarslen kun vises, når brugeren svæver over et link.

De fandt ud af, at sammenlignet med banneradvarsler, link-fokuserede phishing-advarsler reducerede chancen for, at deltagere klikkede videre til et phishing-link. Tvungen opmærksomhedsadvarsler var de mest effektive.

"Det er svært for folk at opdage phishing-e-mails, og det almindelige råd om at 'tjekke linket før du klikker' er godt, men understøttes ikke rigtigt af e-mail-klienter, " sagde Schaub. "Vores forskning viser, at veldesignede phishing-advarsler kan hjælpe forbrugere med bedre at opdage phishing-links ved klart at identificere, hvilke links i en e-mail der er mistænkelige, fremtrædende viser det mistænkelige links destination, og tvinge brugere til at klikke på advarslen, hvis de stadig vil fortsætte til linkets destination.

Læringsanalyse

I løbet af de sidste halve snes år eller deromkring, universiteter har indsamlet data om studerendes præstationer i udvalgte kurser for at oprette advarselsdashboards for at hjælpe dem, der er underpræsterende. Målet med denne skræddersyede, personlig tilgang til uddannelse er at gribe ind på nøglepunkter i et semester for at hjælpe dem med at forbedre sig, så de kan få succes.

For det meste har disse dashboard-interventioner vist positive resultater med at forbedre elevernes resultater.

Men en undersøgelse foretaget af Schaub og et School of Information-team af en læringsanalyseapplikation afslører, at eleverne ikke altid har kendt til eller forstået, hvordan deres data er blevet indsamlet og brugt. Forskerne oplever, at eleverne ønsker mere input til den proces og medbestemmelse over, hvad der sker med deres data.

U-M-programmet kendt som Student Explorer startede som en måde at hjælpe med at opmuntre STEM-studerende til at holde sig til kurser i naturvidenskab, teknologi, teknik og matematik, da mange var ved at blive modløse og tidligt opgivet deres karriere inden for disse områder. Det viste sig at være vellykket og blev senere vedtaget af flere programmer på tværs af campus.

Til deres studie, forskerne gennemførte interviews med fire programudviklere, otte akademiske rådgivere, og 20 elever. Forskningen konkluderede, at alle interessenter – studerende, fakultet, akademiske rådgivere - bør samarbejde om disse programmer og være en del af deres skabelse og udvikling.

"Det er virkelig vigtigt at opdage disse forskellige brugerbehov og brugsvaner for at sikre, at systemets design og funktion kan imødekomme dem, " sagde Kaiwen Sun, ph.d.-studerende og hovedforfatter af papiret.

"Mange rådgivere og instruktører kender ikke begrebet læringsanalyse. De ser nye platforme rulle ud og tror, ​​de kun er brugerne. De anser sig måske ikke for at kunne spille en nøglerolle i læringsanalyseprocessen.

"Jeg tror også, det er vigtigt at uddanne folk og fremme bevidstheden omkring målet omkring campus. fordele og effekt af læringsanalyse, hvorfor disse forskellige interessenter bør bekymre sig, og hvad de kan gøre for at bidrage til læringsanalyseprocessen."