Secondo recenti studi di neuroscienza, la neurosecurity potrebbe aiutare la cyber security. Nelle aziende sono sempre più i dipendenti che tendono a ignorare le notifiche e gli alert di cyber sicurezza che appaiono sullo schermo del computer. Li chiudono senza neppure leggerli, invece di prestare loro massima attenzione.
Ecco come è possibile cambiare avvertimenti e notifiche in base alle più recenti ricerche scientifiche sulle attività cerebrali, per migliorare la consapevolezza e la vigilanza sui warning di cyber sicurezza.
Indice degli argomenti
Neurosecurity, la neuroscienza in aiuto alla cyber security
Sempre più dipendenti ignorano i messaggi di warning che compaiono sul display dei propri dispositivi. Chiudono gli alert senza leggerli. Non colgono e non individuano i segnali, spesso ovvi, che arrivano dalle email di phishing, inviate proprio per far cadere le vittime in cyber truffe. Spesso cliccano su allegati, di dubbia provenienza, senza dar loro una seconda occhiata.
Una ricerca, invece, mostra quali sono i bias con cui il cervello pregiudica gran parte del nostro comportamento, a partire da come rispondiamo ai security warning.
I ricercatori di Neurosecurity Lab, Bonnie Anderson e Jeffrey Jenkins del Brigham Young University e David Eargle di Carve Systems, hanno trascorso 11 anni a fare ricerca scientifica su queste problematiche. Una volta capite le criticità è possibile proporre le soluzioni ai programmatori dei software, per migliorare la cyber security in azienda.
Hanno usato metodi di misurazione del cervello come il functional magnetic resonance imaging (fMRI) e l’elettroencefalogramma (EEG), oltre a metodi di misure comportamentali come il tracciamento dell’occhio e del cursore del mouse, per capire meglio come le persone rispondono agli avvertimenti.
Sono tre i processi neurali inconsci che ostacolano la nostra capacità di rispondere agli avvertimenti di cyber security. Conoscerli serve a migliorarne il design per dire addio a queste rischiose tendenze. Dimenticarsi di mantenere aggiornati sistemi operativi, software e app è infatti il miglior modo per consentire ai cyber criminali di sfruttare le falle per condurre attacchi o minacce.
Il falso mito del multitasking
Molte persone credono di essere multitasker, ma il cervello umano non lo è. Le persone possono solo prendere e processare molte informazioni in una volta. Il cervello deve dare priorità a come allocare meglio le sue limitate risorse.
Così, al di là delle leggende sul multitasking, svolgere due attività simultaneamente significa solo produrre peggiori performance in entrambi i casi. Questo fenomeno si chiama dual-task interference ovvero un’interferenza da doppio compito.
Per esempio, quando ascoltiamo la radio in auto mentre cerchiamo parcheggio, si perde concentrazione sia sull’ascolto musicale che sulla ricerca di un posto auto. Per compensare l’interferenza, gli automobilisti abbassano il volume dell’audio per eliminare la distrazione.
Ma questa interferenza è di basso livello. Ascoltare e guardare, infatti, sono due funzioni mentali separate, dunque l’effetto della distrazione è contenuto. Ma se le due attività, da compiere in contemporanea, sono simili, la situazione cambia. E più simili sono le attività da svolgere, più alta è la distrazione.
Per questo motivo, quando si sta compilando un foglio di calcolo e all’improvviso arriva un pop-up warning, le persone tendono a smettere di prestare attenzione alla notifica, per tornare al lavoro precedente.
La ricerca dimostra che la neurosecurity è la strada giusta
I ricercatori che hanno usato fMRI, hanno osservato il processo di dual-task interference a livello cerebrale. I partecipanti allo studio sono stati sottoposti allo scanner MRI e hanno svolto un’attività al computer che coinvolgesse la memoria a breve termine. Mentre erano al lavoro, hanno interrotto la loro attività con un avviso proveniente dal browser. Risultato: hanno mostrato minore attenzione al messaggio di avvertimento.
Invece, quando l’avvertimento è arrivato immediatamente dopo aver terminato il compito mnemonico, i ricercatori non hanno osservato la dual-task interference, e le persone hanno finalmente prestato attenzione ai messaggi. Senza interruzione delle attività professionali, non c’è interferenza.
In un altro test, condotto online con 850 partecipanti, i ricercatori hanno scoperto che l’attenzione verso un messaggio di sicurezza aumenta del 45%, quando la dual-task interference è bassa. Per esempio, quando le persone hanno finito di guardare un video su YouTube o mentre aspettano il completamento del download di un file, l’interferenza non si presenta.
I software dovrebbero essere progettati avendo la consapevolezza di sapere ciò che l’utente fa prima di disturbarlo con un messaggio. Come fa un bambino quando impara a fare conversazione senza interrompere gli adulti che parlano.
Ciò ovviamente non funziona sempre. Per esempio, un alert che avverte di un sito pericoloso deve essere mostrato immediatamente, senza aspettare il termine di un’attività. Ma in questo caso la tempestività è tutto.
Un browser potrebbe essere programmato per mostrare un messaggio di sicurezza quando si chiude un tab o una finestra o quando il cursore del mouse mostra che l’utente non è eccessivamente impegnato.
L’assuefazione
Un altro problema accade quando le persone si abituano agli avvisi di sicurezza. Questo processo neurale è definito assuefazione. Ad esempio, il cervello ignora stimoli costanti, ma non rilevanti, come il rumore di un condizionatore mentre si svolge un lavoro. Analogamente, il cervello presta minore attenzione in automatico a un avviso del computer visto in precedenza, come gli inviti ad aggiornare il software.
Usando il metodo fMRI, i ricercatori hanno osservato un crollo verticale dell’attività cerebrale nella risposta a un warning dopo una seconda volta. Inoltre, l’attenzione diminuisce a ogni ripetizione del messaggio. Significa che più un utente vede un messaggio di richiesta di update del software, meno vi presta attenzione.
Come risolvere il problema
Gli avvertimenti devono cambiare anche il design: il modo in cui appaiono. Gli avvisi potrebbero essere tutti rossi e potrebbero aggiungere un punto esclamativo oppure zoomare o introdurre un effetto di oscillamento al messaggio di warning.
Da una sperimentazione della durata di tre settimane, risulta che è sufficiente variare il modo in cui gli avvertimenti appaiono, per scongiurare o almeno mitigare l’assuefazione, migliorando l’attenzione del 20%, passando dal 64% all’87%.
Il rischio di generalizzazione dello stimolo
Non c’è solo l’assuefazione a mettere a rischio l’attenzione quando si riceve una notifica, ma anche un altro fenomeno: la generalizzazione dello stimolo. Quando siamo abituati a uno stimolo, non solo tendiamo a ignorarlo, ma iniziamo anche a ignorarne altri con simili caratteristiche. Per esempio, quando sentiamo il traffico di sottofondo, il cervello cancella anche suoni simili come quello di un motore di un’auto. Invece ne prendiamo consapevolezza appena sentiamo un clacson a tutto volume.
Questo fenomeno potrebbe essere un problema importante per gli avvisi di sicurezza, dal momento che i programmatori hanno preferito dare coerenza e omogeneità al “look and feel” delle interfacce utente.
Tutti i menu nel sistema operativo sembrano simili e ciò semplifica la navigazione. Il problema è che i security warning sono troppo simili ad altre notifiche, sia in termini di aspetto grafico che in termini di interazione da parte degli utenti con i warning. Servirebbe, dunque, un nuovo messaggio di alert simile al warning che appare in caso di un download di un file pericoloso.
Ma lo scenario è complesso poiché ogni giorno le persone ricevono numerose e frequenti notifiche che nulla hanno a che fare con la cyber security. Secondo un recente studio, gli utenti di smartphone ricevono in media 218 notifiche al giorno, dal meteo agli alert di news, dai post testuali a quelli dei social media.
Le persone più abituate a ricevere notifiche in genere ignorano importanti warning di sicurezza, pensando che si tratti di un messaggio innocuo.
Per indagare su questo problema, i ricercatori hanno svolto un altro esperimento in cui alcune persone hanno ricevuto notifiche durante il test e poi un avvertimento di sicurezza. Altri, invece, hanno ricevuto solo un avviso, senza altre precedenti notifiche.
Al gruppo che aveva già ricevuto notifiche durante l’esperimento, alcuni messaggi di sicurezza sembravano alla stregua delle altre notifiche. Invece, agli altri, i messaggi di sicurezza apparivano differenti. Le persone che avevano visualizzato gli avvisi di sicurezza simili alle altre notifiche erano 1,6 volte più propensi a ignorare gli alert di chi non aveva ricevuto le notifiche nel corso del test.
Tuttavia, quando gli alert apparivano differenti dalle notifiche, ad esempio perché visualizzati in aree diverse dello schermo o aggiungevano un punto esclamativo, la differenza fra i due gruppi svaniva. La distinzione a livello grafico degli alert, rispetto agli altri messaggi, può dunque aiutare a risolvere questa criticità.
La neurosecurity dà una mano. Ma non è solo la similitudine grafica degli avvisi e delle notifiche a indurre la generalizzazione. L’affinità riguarda anche l’interazione ovvero in relazione a come rispondiamo al loro arrivo.
La memoria muscolare
Nel computing, le persone sono solite cliccare “OK” o “Cancella” per eliminare una notifica. Questo pattern si definisce “fare clic per ignorare”. Le persone elaborano una sorta di “memoria muscolare” per ignorare ogni popup che vedono senza prestare attenzione al messaggio.
In questo modo, però, si rischia di chiudere gli avvertimenti di cyber security in automatico, come si fa con le altre notifiche. Un warning con pulsante abbinato rischia di essere ignorato 2,8 volte più di una serie di notifiche.
Invece, un warning con cursore corre meno il pericolo di essere ignorato dopo che l’utente ha ricevuto numerose notifiche da chiudere e ignorare.
La soluzione è la neurosecurity
Occorre dunque modificare il metodo con cui gli utenti sono soliti interagire con popup. Bisogna liberarli dall’automazione della memoria muscolare, rendendoli invece consapevoli di ciò che accade.
Opzioni più complesse come “tocca e tieni premuto per ignorare” possono infrangere l’abbinamento automatico che induce a ignorare il messaggio.
In conclusione, non sempre le persone sono negligenti o pigre in ambito cyber security.
Il problema reale riguarda il design degli avvertimenti e gli impulsi inconsci del nostro cervello. Invece di allenare gli utenti ad essere più vigili o consapevoli nel rispondere agli avvisi di sicurezza, bisogna ri-disegnare gli avvertimenti in maniera compatibile con il modo in cui funziona il nostro cervello.
Dobbiamo applicare la neuroscienza alla cyber security e alla programmazione dei software, per aumentare il livello di sicurezza informatica.
