Carenze nelle notifiche di violazione della sicurezza, Le migliori pratiche per gli avvisi di phishing e le lezioni apprese dall'uso dell'analisi per migliorare le prestazioni degli studenti sono tra i numerosi studi che i ricercatori dell'Università del Michigan presenteranno a partire da questo fine settimana nel Regno Unito.

Florian Schaub, professore assistente presso la U-M School of Information, e colleghi condivideranno il loro lavoro dal 4 al 9 maggio alla CHI Conference on Human Factors in Computing a Glasgow, Scozia.

Violazioni dei dati

Basandosi sulla loro precedente ricerca che mostrava che i consumatori spesso intraprendono poche azioni di fronte a violazioni della sicurezza, il team della School of Information guidato dal dottorando Yixin Zou e Schaub ha analizzato le notifiche di violazione dei dati inviate dalle aziende ai consumatori per vedere se le comunicazioni potrebbero essere responsabili di parte dell'inazione.

Hanno scoperto che il 97% delle 161 notifiche campionate era difficile o abbastanza difficile da leggere in base a parametri di leggibilità, e che il linguaggio utilizzato in essi potrebbe aver contribuito a creare confusione sul fatto che il destinatario della comunicazione fosse a rischio e dovesse agire.

"La nostra analisi mostra che richiedere alle aziende per legge di inviare notifiche di violazione dei dati da sole non è sufficiente, " Ha detto Zou. "È importante garantire che informazioni importanti come ciò che è accaduto e ciò che i consumatori dovrebbero fare per proteggersi siano comunicate in tali notifiche in un modo comprensibile e fruibile dai consumatori".

Citando le statistiche del Privacy Rights Clearinghouse, gli autori osservano che nel 2017 ci sono stati 853 dati violati che hanno compromesso 2,05 miliardi di record, che includeva nomi di consumatori, informazioni di contatto numeri di conto, dettagli della carta di credito, numeri di previdenza sociale, registri degli acquisti e degli acquisti, post e messaggi sui social media, e cartelle cliniche.

In risposta, la maggior parte dei paesi, compresi gli Stati Uniti, ha adottato leggi sulla notifica della violazione dei dati. Negli Stati Uniti., ogni stato ha la propria legge sulla violazione dei dati, perciò, la soglia entro la quale i consumatori devono essere informati, quanto tempo dopo una violazione, e l'aspetto che deve avere tale notifica varia da uno stato all'altro.

Ciò consente alle aziende molta libertà di utilizzare termini di copertura che minimizzano il rischio, utilizzando frasi come "potresti essere interessato" e "è probabile che tu sia interessato" nel 70% delle notifiche e dicendo "in questo momento, non abbiamo prove di un uso improprio dei dati esposti" il 40% delle volte.

Consente inoltre una mancanza di coerenza nell'affrontare la causa della violazione, la data dell'evento e la quantità di tempo di esposizione, dicono i ricercatori.

"C'è poco incentivo per le aziende a investire nel rendere più utilizzabili le notifiche di violazione dei dati, " ha detto Schaub. "Per la maggior parte delle aziende, tali notifiche sono viste solo come un requisito per conformarsi alle leggi sulle notifiche di violazione dei dati piuttosto che come un modo per educare e proteggere i propri clienti. Dobbiamo ripensare e rielaborare le leggi sulla protezione dei consumatori come queste per garantire che le notifiche delle aziende siano effettivamente utili ai consumatori".

La maggior parte delle leggi statali richiede alle aziende di informare i consumatori interessati per iscritto o per telefono. e-mail, annunci del sito web, gli avvisi ai media in tutto lo stato o altri metodi elettronici sono di solito sostituti. Lo studio mostra un modello coerente con il 95% delle notifiche analizzate recapitate per posta. I ricercatori affermano che la lenta velocità di una lettera spedita potrebbe aumentare il tempo in cui i consumatori non sono stati informati della violazione.

Phishing

Proprio quando pensiamo di essere in grado di gestire i trucchi che i ladri di dati hanno nella manica per hackerare i nostri dispositivi nel tentativo di rubare le nostre informazioni, arriva qualcuno con un nuovo modo per ingannarci, e gli schemi di phishing sul computer possono catturare anche gli utenti più esperti.

Organizzazioni che forniscono servizi di posta elettronica, compresi i client di posta elettronica commerciale che i consumatori utilizzano ogni giorno, hanno messo in atto numerose misure per combattere i tentativi di phishing, e lavorare per educare gli utenti a evitare collegamenti sospetti nelle e-mail. Tra gli sforzi ci sono vari avvisi che avvertono gli utenti di collegamenti potenzialmente sospetti.

In uno studio che ha coinvolto 700 partecipanti di età compresa tra 20 e 71 anni, Schaub e i colleghi della School of Information hanno valutato tre funzionalità di progettazione degli avvisi per aiutare gli utenti a valutare in modo più efficace il rischio di phishing ed evitare siti Web sospetti. Li hanno confrontati con il banner di posta elettronica statico più comunemente usato, spesso una banda o una casella colorata con un colore in grassetto come il rosso che appare come un avviso nella parte superiore di una pagina di posta elettronica. Le tre caratteristiche per il confronto sono:

• Posizionamento di avvertimento, o spostando gli avvisi di phishing vicino al collegamento sospetto nell'e-mail.
• Attenzione forzata all'avviso disattivando il collegamento sospetto nel corpo dell'e-mail e costringendo l'utente a fare clic sull'URL non mascherato per procedere.
• Attivazione avviso, che richiede che l'avviso venga visualizzato solo quando l'utente passa il mouse su un collegamento.

Hanno scoperto che rispetto agli avvisi sui banner, gli avvisi di phishing incentrati sui collegamenti hanno ridotto la possibilità che i partecipanti facciano clic su un collegamento di phishing. Gli avvisi di attenzione forzata erano i più efficaci.

"Rilevare le e-mail di phishing è difficile per le persone e il consiglio comune di 'controllare il collegamento prima di fare clic' è valido ma non è realmente supportato dai client di posta elettronica, " Schaub ha detto. "La nostra ricerca mostra che avvisi di phishing ben progettati possono aiutare i consumatori a rilevare meglio i collegamenti di phishing identificando chiaramente quali collegamenti in un'e-mail sono sospetti, mostrando in modo visibile la destinazione del collegamento sospetto, e costringendo gli utenti a fare clic sull'avviso se desiderano continuare ancora verso la destinazione del collegamento.

Analisi dell'apprendimento

Negli ultimi sei anni o giù di lì, le università hanno raccolto dati sulle prestazioni degli studenti in determinati corsi al fine di creare dashboard di avviso per aiutare coloro che hanno scarsi risultati. L'obiettivo di questo su misura, L'approccio personalizzato all'istruzione consiste nell'intervenire nei punti chiave di un semestre per aiutarli a migliorare in modo che possano avere successo.

Per la maggior parte, questi interventi di dashboard hanno mostrato risultati positivi nel miglioramento dei risultati degli studenti.

Ma uno studio di Schaub e di un team della School of Information su un'applicazione di analisi dell'apprendimento rivela che gli studenti non sempre hanno saputo o capito come sono stati raccolti e utilizzati i loro dati. I ricercatori scoprono che gli studenti vogliono più input in quel processo e hanno voce in capitolo su ciò che accade con i loro dati.

Il programma U-M noto come Student Explorer è iniziato come un modo per incoraggiare gli studenti STEM a seguire corsi di scienze, tecnologia, ingegneria e matematica, poiché molti si scoraggiavano e abbandonavano presto la carriera in quei campi. Si è rivelato di successo e in seguito è stato adottato da più programmi in tutto il campus.

Per il loro studio, i ricercatori hanno condotto interviste con quattro sviluppatori di programmi, otto consiglieri accademici, e 20 studenti. La ricerca ha concluso che tutte le parti interessate:studenti, facoltà, consulenti accademici, dovrebbero collaborare a questi programmi ed essere parte della loro creazione ed evoluzione.

"È davvero importante scoprire queste diverse esigenze e abitudini di utilizzo degli utenti per assicurarsi che il design e la funzione del sistema possano soddisfarle, " ha detto Kaiwen Sun, dottorando e autore principale del paper.

"Molti consulenti e istruttori non hanno familiarità con il concetto di analisi dell'apprendimento. Vedono il lancio di nuove piattaforme e pensano di essere solo gli utenti. Potrebbero non considerarsi in grado di svolgere un ruolo chiave nel processo di analisi dell'apprendimento.

"Penso anche che sia importante educare le persone e promuovere la consapevolezza intorno all'obiettivo del campus, vantaggi e impatto dell'analisi dell'apprendimento, perché queste diverse parti interessate dovrebbero preoccuparsi, e cosa possono fare per contribuire al processo di analisi dell'apprendimento."