Por que as pessoas atrasam as atualizações de software, apesar dos riscos

Crédito CC0:domínio público

Em maio de 2017, cerca de um quarto de milhão de computadores em todo o mundo executando o Microsoft Windows foram atacados e infectados com malware que mais tarde seria chamado de "WannaCry". As vítimas encontraram seus computadores bloqueados e inutilizáveis, mas poderia libertá-los se as vítimas transferissem Bitcoin - normalmente uma quantia equivalente a $ 300-600 USD - para as pessoas por trás do ataque.

Descobriu-se, o ataque poderia ter sido evitado se as pessoas aplicassem uma atualização de software lançada pela Microsoft semanas antes do ataque. A atualização corrigiu a vulnerabilidade que os invasores exploraram, mas muitos optaram por adiar a implementação.

"Entender o que leva as pessoas a atrasar uma atualização de software - uma ação de proteção importante porque corrige bugs que os invasores podem explorar - seria um passo para prevenir tais ataques cibernéticos, "diz Cleotilde Gonzalez do CyLab, professor do departamento de Ciências Sociais e de Decisão da Carnegie Mellon University.

Em um estudo publicado na última edição da Journal of Cybersecurity , Gonzalez e seus co-autores descobriram que o custo de tempo das atualizações e as preferências de risco dos indivíduos têm um impacto significativo sobre se um usuário aplica ou não uma atualização de software, e quanto tempo leva para fazer isso.

Os pesquisadores criaram uma simulação em que os participantes se faziam passar por investidores por 20 períodos de 10 dias, com cada "dia" simulado consistindo em tomar uma decisão de investimento ou aplicar uma atualização de software em seu computador. No mundo real, os usuários muitas vezes não conseguem realizar sua tarefa principal enquanto processam uma atualização de software, então eles têm que escolher um e atrasar o outro.

Na simulação, a decisão de investimento - a principal tarefa de um investidor - era decidir entre um investimento "seguro" que lhes rendeu 2 pontos ou um investimento "arriscado" que lhes rendeu 0 ou 4 pontos com igual probabilidade.

"Contando o número de escolhas arriscadas, podemos determinar como as pessoas correm riscos, "diz Gonzalez.

Alternativamente, os participantes podem abrir mão de sua tarefa principal de investir para aplicar uma atualização de segurança a seus computadores. Oitenta e cinco por cento do tempo, a atualização custou 10 pontos, semelhante a um processo de atualização que requer algum tempo e interrompe a tarefa principal do usuário. De outra forma, a atualização custa 0 pontos, semelhante ao processo de atualização que ocorre durante a noite ou em algum outro momento quando a tarefa principal do usuário não seria interrompida.

Depois de investir ou aplicar uma atualização de segurança, os participantes aprenderam se experimentaram ou não uma falha de segurança. Uma falha de segurança resultou em uma perda de 100 pontos, e a aplicação de uma atualização reduziria a probabilidade de falha de segurança de 3% para 1%. Depois de tomar essas decisões 200 vezes - simulando 200 dias como investidor - os participantes foram compensados com base no número de pontos que acumularam.

Mesmo que a melhor decisão em termos de otimização de pontos seja aplicar uma atualização de segurança no primeiro dia de cada período, muitas pessoas atrasaram. Os resultados mostraram que os participantes atualizaram apenas 54 por cento do tempo, e 65 por cento dessas atualizações foram atrasadas. Tanto a preferência de risco quanto o custo da atualização desempenharam papéis relativamente iguais para levar os participantes a atrasar as atualizações de segurança.

Dada a importância dos atrasos nas atualizações de segurança, muitos participantes experimentaram falhas de segurança. Mas eles aprenderam a lição? Sim e não.

"Se um participante sofreu uma falha de segurança, quase sempre aplicaram uma atualização de segurança no dia seguinte, "diz Gonzalez." Mas esse comportamento geralmente decaiu com o tempo, e os participantes voltariam aos seus velhos hábitos. "

Dados esses resultados, os pesquisadores sugerem que as empresas devem encontrar maneiras de incentivar os usuários - ou pelo menos reduzir os custos de tempo e esforço - a aplicar atualizações de segurança assim que estiverem disponíveis.

"Torne mais fácil. Torne mais simples. Torne-o mais barato, "diz Gonzalez." Uma grande influência nas decisões que tomamos são os incentivos que temos para tomar essas decisões. Reduzir o custo - não apenas o custo monetário, mas também o tempo e o esforço - isso ajuda. "

Outros autores do estudo incluíram os ex-pesquisadores de pós-doutorado da Carnegie Mellon, Prashanth Rajivan e Efrat Aharonov-Majar.

EUA revisam regras de segurança de passageiros para veículos autônomos

Trabalhando em casa por causa do coronavírus? Tenha cuidado com o que você baixa para manter a segurança cibernética

Eletrônicos

EUA permitem que a ZTE retome algumas atividades

O corpo nu pertence ao Facebook? É complicado

Leis de dados da UE definidas para morder após escândalo no Facebook

Ciência

Novo conceito científico para um raio trator semelhante a Star Wars

Imagem:Uma selfie sombria tirada a 280 milhões de km da Terra

Resolvendo a estrutura interna de dímeros de nanopartículas ligados por DNA