Kredit:CC0 Public Domain
I maj 2017 omkring en kvart million computere rundt om i verden, der kører Microsoft Windows, blev angrebet og inficeret med malware, der senere skulle få navnet "WannaCry". Ofrene fandt deres computere låst og ubrugelige, men kunne befri dem, hvis ofrene overførte Bitcoin – typisk et beløb svarende til $300-600 USD – til folkene bag angrebet.
Det viste sig, angrebet kunne have været undgået, hvis folk havde anvendt en softwareopdatering, som Microsoft havde udsendt kun få uger før angrebet. Opdateringen løste den sårbarhed, som angriberne havde udnyttet, men mange valgte at udsætte implementeringen.
"At forstå, hvad der får folk til at forsinke en softwareopdatering - en vigtig beskyttelseshandling, fordi de løser fejl, som angribere kan udnytte - ville være et skridt i retning af at forhindre sådanne cyberangreb, " siger CyLab's Cleotilde Gonzalez, en professor i afdelingen for samfunds- og beslutningsvidenskab på Carnegie Mellon University.
I en undersøgelse offentliggjort i det seneste nummer af Journal of Cybersecurity , Gonzalez og hendes medforfattere fandt ud af, at tids-omkostningerne ved opdateringer og enkeltpersoners risikopræferencer har en væsentlig indflydelse på, om en bruger anvender en softwareopdatering eller ej. og hvor lang tid det tager dem at gøre det.
Forskerne lavede en simulering, hvor deltagerne udgav sig som investorer i 20 perioder af 10 dage, hvor hver simuleret "dag" består af enten at træffe en investeringsbeslutning eller anvende en softwareopdatering til deres computer. I den virkelige verden, brugere kan ofte ikke udføre deres primære opgave, mens de også behandler en softwareopdatering, så de må vælge det ene og udskyde det andet.
I simuleringen, investeringsbeslutningen - den primære opgave for en investor - var at vælge mellem en "sikker" investering, der gav dem 2 point eller en "risikofyldt" investering, der gav dem enten 0 eller 4 point med lige stor sandsynlighed.
"Ved at tælle antallet af risikable valg, vi kan bestemme, hvor risikovillige mennesker er, " siger Gonzalez.
Alternativt deltagere kunne give afkald på deres primære opgave med at investere for at anvende en sikkerhedsopdatering til deres computere. 85 procent af tiden, opdateringen kostede 10 point, beslægtet med en opdateringsproces, der kræver en vis mængde tid og forstyrrer en brugers primære opgave. Ellers, opdateringen kostede 0 point, beslægtet med opdateringsprocessen, der finder sted natten over eller på et andet tidspunkt, hvor en brugers primære opgave ikke ville blive forstyrret.
Efter enten at have investeret eller anvendt en sikkerhedsopdatering, deltagerne lærte, om de oplevede en sikkerhedsfejl eller ej. En sikkerhedsfejl resulterede i et tab på 100 point, og anvendelse af en opdatering vil reducere sandsynligheden for en sikkerhedsfejl fra 3 procent til 1 procent. Efter at have truffet disse beslutninger 200 gange - simuleret 200 dage som investor - blev deltagerne kompenseret baseret på det antal point, de havde akkumuleret.
Selvom den bedste beslutning med hensyn til optimering af point var at anvende en sikkerhedsopdatering på den første dag i hver periode, mange mennesker forsinket. Resultaterne viste, at deltagerne kun opdaterede 54 procent af tiden, og 65 procent af disse opdateringer blev forsinket. Både risikopræferencen og omkostningerne ved opdateringen spillede relativt lige store roller i at få deltagerne til at forsinke sikkerhedsopdateringerne.
I betragtning af den fremtrædende betydning af sikkerhedsopdateringsforsinkelser, mange deltagere oplevede sikkerhedsfejl. Men lærte de deres lektie? Ja og nej.
"Hvis en deltager led en sikkerhedsfejl, de anvendte næsten altid en sikkerhedsopdatering næste dag, " siger Gonzalez. "Men den adfærd forfaldt normalt med tiden, og deltagerne ville falde tilbage til deres gamle vaner."
På baggrund af disse resultater, forskerne foreslår, at virksomheder bør finde på måder at tilskynde brugere til - eller i det mindste reducere omkostningerne til tid og indsats - til at anvende sikkerhedsopdateringer, så snart de er tilgængelige.
"Gør det nemmere. Gør det enklere. Gør det billigere, " siger Gonzalez. "En stor indflydelse på de beslutninger, vi træffer, er de incitamenter, vi har til at træffe disse beslutninger. At reducere omkostningerne – ikke kun de pengemæssige omkostninger, men også tid og kræfter – det hjælper."
Andre forfattere på undersøgelsen omfattede tidligere Carnegie Mellon post-doc-forskere Prashanth Rajivan og Efrat Aharonov-Majar.