Tekortkomingen van meldingen van beveiligingsinbreuken, best practices voor phishing-waarschuwingen en lessen die zijn geleerd uit het gebruik van analyses om de prestaties van studenten te verbeteren, zijn enkele van de onderzoeken die onderzoekers van de Universiteit van Michigan vanaf dit weekend in het Verenigd Koninkrijk zullen presenteren.

Florian Schaub, universitair docent aan de U-M School of Information, en collega's zullen hun werk van 4 tot 9 mei delen op de CHI Conference on Human Factors in Computing in Glasgow, Schotland.

Gegevensinbreuken

Voortbouwend op hun eerdere onderzoek waaruit bleek dat consumenten vaak weinig actie ondernemen wanneer ze worden geconfronteerd met beveiligingsinbreuken, het team van de School of Information onder leiding van promovendus Yixin Zou en Schaub analyseerde datalekmeldingen die bedrijven naar consumenten stuurden om te zien of de communicatie verantwoordelijk zou kunnen zijn voor een deel van de inactiviteit.

Ze ontdekten dat 97% van de 161 meldingen in de steekproef moeilijk of redelijk moeilijk te lezen waren op basis van leesbaarheidsstatistieken, en dat de taal die erin wordt gebruikt kan hebben bijgedragen tot verwarring over de vraag of de ontvanger van de communicatie gevaar liep en actie moest ondernemen.

"Onze analyse toont aan dat het wettelijk verplichten van bedrijven om alleen meldingen van datalekken te verzenden niet voldoende is. "Zei Zou. "Het is belangrijk ervoor te zorgen dat belangrijke informatie, zoals wat er is gebeurd en wat consumenten moeten doen om zichzelf te beschermen, in die meldingen wordt gecommuniceerd op een manier die begrijpelijk en bruikbaar is voor consumenten."

Onder verwijzing naar statistieken van het Privacy Rights Clearinghouse, de auteurs merken op dat er in 2017 853 datalekken waren die 2,05 miljard records in gevaar brachten, waaronder namen van consumenten, contactgegevens rekeningnummers, creditcard details, burgerservicenummers, winkel- en aankoopgegevens, posts en berichten op sociale media, en gezondheidsdossiers.

In antwoord, meeste landen, waaronder de Verenigde Staten, wetten voor het melden van datalekken aangenomen. In de VS, elke staat heeft zijn eigen datalekwet, daarom, de drempel voor wanneer consumenten moeten worden geïnformeerd, hoe snel na een inbreuk, en hoe die melding eruit moet zien, verschilt van land tot land.

Dit geeft bedrijven veel vrijheid om hedge-termen te gebruiken die risico's bagatelliseren - door gebruik te maken van zinnen als "het kan zijn dat u wordt getroffen" en "waarschijnlijk wordt u getroffen" in 70% van de meldingen en door te zeggen "op dit moment, we hebben geen bewijs dat blootgestelde gegevens worden misbruikt" 40% van de tijd.

Het zorgt ook voor een gebrek aan consistentie bij het aanpakken van de oorzaak van de inbreuk, de datum van optreden en de hoeveelheid blootstellingstijd, zeggen de onderzoekers.

"Er is weinig prikkel voor bedrijven om te investeren in het bruikbaarder maken van meldingen van datalekken, " zei Schaub. "Voor de meeste bedrijven, die meldingen worden alleen gezien als een vereiste om te voldoen aan de wetgeving inzake melding van gegevensinbreuken en niet als een manier om hun klanten op te leiden en te beschermen. We moeten consumentenbeschermingswetten zoals deze heroverwegen en herwerken om ervoor te zorgen dat de meldingen van bedrijven daadwerkelijk nuttig zijn voor consumenten."

De meeste staatswetten vereisen dat bedrijven de betrokken consumenten schriftelijk of telefonisch op de hoogte stellen. e-mails, website aankondigingen, kennisgevingen aan de staatsmedia of andere elektronische methoden zijn meestal vervangingen. Het onderzoek laat een consistent patroon zien met 95% van de geanalyseerde meldingen die per post worden bezorgd. De onderzoekers zeggen dat de lage snelheid van een geposte brief de tijd kan verlengen dat consumenten niet op de hoogte blijven van de inbreuk.

Phishing

Net als we denken dat we de trucs hebben die datadieven in petto hebben om onze apparaten te hacken in een poging onze informatie te stelen, iemand komt langs met een nieuwe manier om ons voor de gek te houden, en phishing-schema's op de computer kunnen zelfs de slimste gebruikers betrappen.

Organisaties die e-maildiensten aanbieden, inclusief de commerciële e-mailclients die consumenten dagelijks gebruiken, hebben tal van maatregelen genomen om pogingen tot phishing te bestrijden, en werk eraan om gebruikers voor te lichten over het vermijden van verdachte links in e-mail. Onder de inspanningen zijn verschillende waarschuwingen die gebruikers waarschuwen voor mogelijk verdachte links.

In een onderzoek met 700 deelnemers in de leeftijd van 20 tot 71 jaar, Schaub en collega's van de School of Information evalueerden drie ontwerpfuncties voor waarschuwingen om gebruikers te helpen het phishing-risico effectiever te beoordelen en verdachte websites te vermijden. Ze vergeleken ze met de meer algemeen gebruikte statische e-mailbanner - vaak een gekleurde band of doos met een gedurfde kleur zoals rood die als waarschuwing boven aan een e-mailpagina verschijnt. De drie kenmerken ter vergelijking zijn:

• Waarschuwingsplaatsing, of het verplaatsen van phishing-waarschuwingen in de buurt van de verdachte link in de e-mail.
• Dwingde de aandacht op de waarschuwing door de verdachte link in de hoofdtekst van de e-mail te deactiveren en de gebruiker te dwingen op de niet-gemaskeerde URL te klikken om door te gaan.
• Waarschuwing activering, waarin wordt opgeroepen om de waarschuwing alleen te laten verschijnen wanneer de gebruiker over een link zweeft.

Ze ontdekten dat in vergelijking met bannerwaarschuwingen, linkgerichte phishing-waarschuwingen verkleinden de kans dat deelnemers doorklikten naar een phishing-link. Waarschuwingen met geforceerde aandacht waren het meest effectief.

"Het detecteren van phishing-e-mails is moeilijk voor mensen en het algemene advies om 'de link te controleren voordat je klikt' is goed, maar wordt niet echt ondersteund door e-mailclients, "Zei Schaub. "Ons onderzoek toont aan dat goed ontworpen phishing-waarschuwingen consumenten kunnen helpen phishing-links beter te detecteren door duidelijk te identificeren welke links in een e-mail verdacht zijn, duidelijk de bestemming van de verdachte link tonen, en gebruikers dwingen om op de waarschuwing te klikken als ze toch door willen gaan naar de bestemming van de link.

Analytics leren

In de afgelopen zes jaar of zo, universiteiten hebben gegevens verzameld over de prestaties van studenten in geselecteerde cursussen om waarschuwingsdashboards te maken om degenen die ondermaats presteren te helpen. Het doel van deze op maat gemaakte, gepersonaliseerde benadering van onderwijs is om in te grijpen op belangrijke punten in een semester om hen te helpen verbeteren, zodat ze kunnen slagen.

Deze dashboardinterventies hebben voor het grootste deel positieve resultaten laten zien bij het verbeteren van de leerresultaten.

Maar een onderzoek door Schaub en een School of Information-team van een leeranalysetoepassing laat zien dat studenten niet altijd wisten of begrepen hoe hun gegevens zijn verzameld en gebruikt. De onderzoekers vinden dat studenten meer inspraak willen in dat proces en zeggenschap over wat er met hun data gebeurt.

Het U-M-programma, bekend als Student Explorer, begon als een manier om STEM-studenten aan te moedigen zich te houden aan cursussen in de wetenschap, technologie, techniek en wiskunde, omdat velen ontmoedigd raakten en al vroeg hun loopbaan op die gebieden opgaven. Het bleek succesvol en werd later door meerdere programma's op de hele campus overgenomen.

Voor hun studie de onderzoekers hebben interviews gehouden met vier programmaontwikkelaars, acht academische adviseurs, en 20 studenten. Het onderzoek concludeerde dat alle belanghebbenden – studenten, faculteit, academische adviseurs - moeten samenwerken aan deze programma's en deel uitmaken van hun creatie en evolutie.

"Het is echt belangrijk om deze verschillende gebruikersbehoeften en gebruiksgewoonten te ontdekken om ervoor te zorgen dat het systeemontwerp en de functie hieraan kunnen voldoen, " zei Kaiwen Sun, promovendus en hoofdauteur van het artikel.

"Veel adviseurs en instructeurs zijn niet bekend met het concept van learning analytics. Ze zien nieuwe platforms uitrollen en denken dat ze alleen de gebruikers zijn. Ze achten zichzelf misschien niet in staat om een ​​sleutelrol te spelen in het learning analytics-proces.

"Ik vind het ook belangrijk om mensen voor te lichten en het bewustzijn rond de campus over het doel te bevorderen, voordelen en impact van learning analytics, waarom deze verschillende belanghebbenden zich moeten bekommeren, en wat zij kunnen doen om bij te dragen aan het learning analytics proces."