A maggio 2017, circa un quarto di milione di computer in tutto il mondo che eseguono Microsoft Windows sono stati attaccati e infettati da malware che in seguito sarebbe stato chiamato "WannaCry". Le vittime hanno trovato i loro computer bloccati e inutilizzabili, ma potrebbe liberarli se le vittime trasferissero Bitcoin, in genere un importo equivalente a $ 300-600 USD, alle persone dietro l'attacco.

Si è scoperto, l'attacco avrebbe potuto essere evitato se le persone avessero applicato un aggiornamento software che Microsoft aveva rilasciato poche settimane prima dell'attacco. L'aggiornamento ha corretto la vulnerabilità che gli aggressori avevano sfruttato, ma molti hanno scelto di ritardare l'attuazione.

"Capire cosa spinge le persone a ritardare un aggiornamento del software, un'importante azione protettiva perché risolvono i bug che gli aggressori possono sfruttare, sarebbe un passo avanti verso la prevenzione di tali attacchi informatici, " dice Cleotilde Gonzalez di CyLab, un professore nel dipartimento di Scienze Sociali e Decisionali alla Carnegie Mellon University.

In uno studio pubblicato nell'ultimo numero del Journal of Cybersecurity , Gonzalez e i suoi coautori hanno scoperto che il tempo-costo degli aggiornamenti e le preferenze di rischio individuali hanno un impatto significativo sul fatto che un utente applichi o meno un aggiornamento software, e quanto tempo impiegano a farlo.

I ricercatori hanno creato una simulazione in cui i partecipanti si sono posti come investitori per 20 periodi di 10 giorni, con ogni "giorno" simulato consistente nel prendere una decisione di investimento o nell'applicare un aggiornamento software al proprio computer. Nel mondo reale, gli utenti spesso non possono svolgere la loro attività principale mentre elaborano anche un aggiornamento software, quindi devono scegliere uno e ritardare l'altro.

Nella simulazione, la decisione di investimento, il compito principale di un investitore, era decidere tra un investimento "sicuro" che gli ha fruttato 2 punti o un investimento "rischioso" che gli ha fruttato 0 o 4 punti con uguale probabilità.

"Contando il numero di scelte rischiose, possiamo determinare quanto le persone corrono dei rischi, "dice González.

In alternativa, i partecipanti potrebbero rinunciare al loro compito principale di investire per applicare un aggiornamento di sicurezza ai loro computer. L'ottantacinque per cento delle volte, l'aggiornamento costa 10 punti, simile a un processo di aggiornamento che richiede una certa quantità di tempo e interrompe l'attività principale di un utente. Altrimenti, l'aggiornamento costa 0 punti, simile al processo di aggiornamento che si verifica durante la notte o in un altro momento in cui l'attività principale di un utente non viene interrotta.

Dopo aver investito o applicato un aggiornamento di sicurezza, i partecipanti hanno appreso se hanno riscontrato o meno un errore di sicurezza. Un errore di sicurezza ha comportato una perdita di 100 punti, e l'applicazione di un aggiornamento ridurrebbe la probabilità di un errore di sicurezza dal 3% all'1%. Dopo aver preso queste decisioni 200 volte, simulando 200 giorni come investitore, i partecipanti sono stati ricompensati in base al numero di punti accumulati.

Anche se la decisione migliore in termini di ottimizzazione dei punti è stata quella di applicare un aggiornamento di sicurezza il primo giorno di ogni periodo, molte persone hanno ritardato. I risultati hanno mostrato che i partecipanti hanno aggiornato solo il 54% delle volte, e il 65 percento di questi aggiornamenti è stato ritardato. Sia la preferenza per il rischio che il costo dell'aggiornamento hanno giocato un ruolo relativamente uguale nell'indurre i partecipanti a ritardare gli aggiornamenti di sicurezza.

Data l'importanza dei ritardi nell'aggiornamento della sicurezza, molti partecipanti hanno riscontrato problemi di sicurezza. Ma hanno imparato la lezione? Sì e no.

"Se un partecipante ha subito un errore di sicurezza, hanno quasi sempre applicato un aggiornamento di sicurezza il giorno successivo, " dice Gonzalez. "Ma quel comportamento di solito decadde nel tempo, e i partecipanti ritornerebbero alle loro vecchie abitudini."

Dati questi risultati, i ricercatori suggeriscono che le aziende dovrebbero trovare modi per incentivare gli utenti, o almeno ridurre i costi di tempo e fatica, ad applicare gli aggiornamenti di sicurezza non appena sono disponibili.

"Rendilo più facile. Rendilo più semplice. Rendilo più economico, " dice Gonzalez. "Una grande influenza nelle decisioni che prendiamo sono gli incentivi che abbiamo per prendere tali decisioni. Ridurre il costo, non solo il costo monetario, ma anche il tempo e l'impegno, aiuta."

Altri autori dello studio includevano gli ex ricercatori post-dottorato di Carnegie Mellon Prashanth Rajivan e Efrat Aharonov-Majar.