Ads 468x60px

tiistai 12. elokuuta 2014

Raha ratkaisee

Sanotaan, että suurin syy IT-ongelmatilanteisiin löytyy yleensä näytön ja tuolin välistä. Kesäkuussa julkaistun tutkimuksen mukaan kyseinen ongelma on tietoturvan näkökulmasta ehkä odotettua suurempi. Tutkijaryhmä Carnegie Mellon yliopistolta tarkasteli ”It’s All About The Benjamins: An empirical study on incentivizing users to ignore security advice”[1]-työssään tavallisten internetin käyttäjien tietoturvakäyttäytymistä, ja varsinkin sitä, millaista arvoa he antavat tietoturvalle.

Ryhmän tarkoituksena oli selvittää, millä hinnalla olisi mahdollista saada käyttäjä asentamaan ja ajamaan tuntemattoman ohjelman tietokoneellansa.  Käyttäjille kerrottiin, että kyseessä oli yhteisölaskentaprojekti (Distributed Computing Project) ja, että heidän tulisi asentaa ohjelma tietokoneilleen, antaa sen työskennellä tunnin, jonka jälkeen he saisivat rahapalkintoon oikeuttavan koodin. Ensimmäisellä viikolla ohjelman asentamisesta ja ajamisesta maksettiin 0,01 dollaria. Tämän jälkeen maksua nostettiin viikoittain neljän viikon ajan kunnes palkintosumma oli 1 dollari.

Tulokset olivat hämmästyttäviä: viiden viikon aikana ohjelma ladattiin 1714 kertaa, ja ajettiin 965 kertaa. Jo 0,01 dollarin palkintosumma houkutteli 22% tehtävän lukeneista asentamaan ja ajamaan ohjelman. Palkintosumman noustessa nousivat myös osallistujamäärät. Varsinkin palkinnon korottaminen $0,5 -> $1 vaikutti rajusti kiinnostukseen.

Käyttäjistä suurin osa oli Intiasta (40%), Pohjois-Amerikasta (30%) ja Euroopasta. Tutkijoille selvisi myös, että se osa käyttäjistä, joilla oli tietokoneissaan viimeisimmät käyttöjärjestelmäpäivitykset asensivat helpommin ohjelman palkintosumman kasvaessa. Nähtävästi käyttäjät ottavat suurempia riskejä, kun he olettavat koneensa olevan asianmukaisesti suojattu.

Kiinnostavaa tutkimustuloksesta tekee myös se, kuinka pienellä summalla on mahdollista ”ostaa käyttäjän luottamus”. Tieto siitä, että pientä maksua vastaan voi helposti luoda laajan bottiverkoston kiinnostaa varmasti myös haittaohjelmien tekijöitä. Tällaista mahdollista bottiverkkoa kutsutaankin jo nimellä ”Fair Trade Botnet”.

Tutkimustulosten valossa tietoturva-ammattilaisten tulisi etsiä uusia ja tehokkaampia tapoja tukea käyttäjiä, jotta he ymmärtäisivät paremmin tietoturvallisen käyttäytymisen arvon. Organisaatioissa tulisi panostaa hyvän tietoturvakulttuurin luomiseen ja ylläpitoon, sillä tietoisuuden lisääminen on tärkeimpiä keinoja tahattomien tietoturvaloukkausten ehkäisyssä.

Lisää luettavaa:
[1] https://www.andrew.cmu.edu/user/nicolasc/publications/CEVG-FC11.pdf

Ei kommentteja:

Lähetä kommentti