In mei 2017, ongeveer een kwart miljoen computers over de hele wereld met Microsoft Windows werden aangevallen en geïnfecteerd met malware die later de naam "WannaCry" zou krijgen. Slachtoffers vonden hun computers vergrendeld en onbruikbaar, maar zouden ze kunnen bevrijden als de slachtoffers Bitcoin - meestal een bedrag gelijk aan $ 300-600 USD - zouden overmaken aan de mensen achter de aanval.

Het bleek, de aanval had voorkomen kunnen worden als mensen een software-update hadden toegepast die Microsoft enkele weken voor de aanval had uitgebracht. De update loste het beveiligingslek op dat de aanvallers hadden uitgebuit, maar velen kozen ervoor om de implementatie ervan uit te stellen.

"Begrijpen wat mensen drijft om een ​​software-update uit te stellen - een belangrijke beschermende actie omdat ze bugs oplossen die aanvallers kunnen misbruiken - zou een stap zijn in de richting van het voorkomen van dergelijke cyberaanvallen. " zegt Cleotilde Gonzalez van CyLab, een professor in de afdeling Sociale en Besluitwetenschappen aan de Carnegie Mellon University.

In een studie gepubliceerd in het laatste nummer van de Journal of Cybersecurity , Gonzalez en haar co-auteurs ontdekten dat de tijdskosten van updates en de risicovoorkeuren van individuen een aanzienlijke invloed hebben op het al dan niet toepassen van een software-update, en hoe lang ze erover doen.

De onderzoekers creëerden een simulatie waarin deelnemers zich 20 periodes van 10 dagen voordeden als investeerders, waarbij elke gesimuleerde "dag" bestaat uit het nemen van een investeringsbeslissing of het toepassen van een software-update op hun computer. In de echte wereld, gebruikers kunnen vaak hun primaire taak niet uitvoeren terwijl ze ook een software-update verwerken, dus moeten ze het ene kiezen en het andere uitstellen.

In de simulatie, de investeringsbeslissing - de primaire taak van een belegger - was om te kiezen tussen een "veilige" investering die hem 2 punten opleverde of een "risicovolle" investering die hem met gelijke waarschijnlijkheid 0 of 4 punten opleverde.

"Door het aantal risicovolle keuzes te tellen, we kunnen bepalen hoe risicovol mensen zijn, ' zegt Gonzalez.

Alternatief, deelnemers konden afzien van hun primaire taak van investeren om een ​​beveiligingsupdate op hun computers aan te brengen. Vijfentachtig procent van de tijd, de update kost 10 punten, vergelijkbaar met een updateproces dat enige tijd kost en de primaire taak van een gebruiker verstoort. Anders, de update kost 0 punten, vergelijkbaar met het updateproces dat 's nachts of op een ander moment plaatsvindt wanneer de primaire taak van een gebruiker niet zou worden verstoord.

Na een investering of het toepassen van een beveiligingsupdate, deelnemers leerden of ze al dan niet een beveiligingsfout hebben ervaren. Een beveiligingsfout resulteerde in een verlies van 100 punten, en het toepassen van een update zou de kans op een beveiligingsfout verminderen van 3 procent naar 1 procent. Nadat ze deze beslissingen 200 keer hadden genomen - waarmee we 200 dagen als investeerder simuleerden - werden de deelnemers gecompenseerd op basis van het aantal punten dat ze hadden verzameld.

Hoewel de beste beslissing voor het optimaliseren van punten was om op de eerste dag van elke periode een beveiligingsupdate toe te passen, veel mensen vertraagd. De resultaten toonden aan dat deelnemers slechts 54 procent van de tijd updaten, en 65 procent van die updates was vertraagd. Zowel de risicovoorkeur als de kosten van de update speelden een relatief gelijke rol bij het uitstellen van de beveiligingsupdates.

Gezien de bekendheid van vertragingen bij beveiligingsupdates, veel deelnemers ondervonden beveiligingsproblemen. Maar hebben ze hun lesje geleerd? Ja en nee.

"Als een deelnemer een beveiligingsfout kreeg, ze pasten bijna altijd de volgende dag een beveiligingsupdate toe, ", zegt Gonzalez. "Maar dat gedrag ging na verloop van tijd meestal achteruit, en deelnemers zouden terugvallen in hun oude gewoonten."

Gezien deze resultaten, de onderzoekers stellen voor dat bedrijven manieren moeten bedenken om gebruikers te stimuleren - of in ieder geval de kosten van tijd en moeite te verminderen - om beveiligingsupdates toe te passen zodra ze beschikbaar zijn.

"Maak het makkelijker. Maak het eenvoudiger. Maak het goedkoper, ", zegt Gonzalez. "Een grote invloed op de beslissingen die we nemen, zijn de prikkels die we hebben om die beslissingen te nemen. Het verminderen van de kosten - niet alleen de geldelijke kosten, maar ook tijd en moeite - dat helpt."

Andere auteurs van de studie waren de voormalige postdoctorale onderzoekers van Carnegie Mellon, Prashanth Rajivan en Efrat Aharonov-Majar.