מחקר: התנהגות אבטחת מידע מסוכנת לא נובעת בהכרח מחוסר מודעות

מחקר חדש, שנערך בין היתר בהשתתפות ד"ר אשרת אילון מאוניברסיטת חיפה, מצביע על כך שרבים מאתנו ממשיכים להתנהג בצורה שנחשבת מסוכנת לאבטחת המידע שלנו, על אף שאנחנו מודעים לסכנות. כלומר, שהמשך ההתנהגות המסוכנת, כגון מסירת פרטי גישה לחשבונות הדיגיטליים שלנו, לא מעיד בהכרח על חוסר מודעות, ואף לא על זלזול בסיכונים.

ממצאי המחקר, שפורסם בכתב העת International Journal of Human-Computer Interaction, מראים שמשתמשים רבים מחליטים על דרכי אבטחה לא לפי כללים אחידים, אלא בהתאם לנסיבות השימוש בכל חשבון, למידת חשיבותו עבורם ואופי הנזק האפשרי שהם מעריכים במקרה של פגיעה. "מצאנו שבמקרים רבים, אנשים לא מוותרים על אבטחה באופן אקראי. הם מבחינים בין חשבונות מרכזיים למשניים, ושוקלים מה באמת עלול להיפגע בכל אחד מהם", אמרה ד"ר אילון.

המחקר נערך בתמיכת מכון מקס פלאנק למערכות מחשוב. ד"ר אילון מהחוג למערכות מידע באוניברסיטת חיפה, יחד עם חוקרים מאוניברסיטת אילינוי, מאוניברסיטת מישיגן, מאוניברסיטת ג'ורג'טאון וממרכז המחקר של מיקרוסופט, ביקשו לבדוק את נכונות ההנחה שלפיה התנהגות מסוכנת הקשורות לאבטחת מידע וסייבר נובעות מחוסר מודעות וזלזול, או שמא מקורה בגורמים אחרים. המחקר התמקד בגורמים שמשפיעים על נכונות המשתמשים לוותר על הגנות אבטחה בחשבונות מסוימים אך לא באחרים, ובאופן שבו הם מעריכים את חשיבותם של חשבונות שונים בהתאם להקשר השימוש.

לצורך המחקר בחרו החוקרים בשיטה מתחום הכלכלה ההתנהגותית, שנועדה לבחון קבלת החלטות בפועל ולא עמדות מוצהרות. הם ערכו ניסוי מבוסס מכרז, שבו המשתתפים נדרשו לקבל החלטות אבטחה בתמורה לתגמול כספי. בניסוי השתתפו 66 בני אדם, שהתבקשו לציין מהו הסכום המינימלי שבו יסכימו למסור פרטי גישה לחשבונות דיגיטליים שונים, בהם חשבונות דואר אלקטרוני, רשתות חברתיות, שירותים מקוונים המחוברים לפעילות בעולם הפיזי ואתרי חדשות. הזוכה בכל מכרז היה המשתתף שביקש את הסכום הנמוך ביותר – מנגנון שעל פי החוקרים יצר תמריץ ממשי ואפשר לבחון קבלת החלטות בתנאים המדמים לחצים אמיתיים של תועלת מול סיכון. לאחר הניסוי נערכו ראיונות עומק וקבוצות מיקוד עם חלק מהמשתתפים, והנתונים נותחו בניתוח איכותני שיטתי, במטרה להבין את השיקולים שעמדו בבסיס החלטות האבטחה שקיבלו.

מה החוקרים מצאו?

מתוצאות המחקר עולה שהחלטות האבטחה של משתמשים מושפעות משלושה גורמים מרכזיים: האופן שבו הם מעריכים את רגישות וחשיבות המידע המאוחסן בכל חשבון, תפיסת האיומים האפשריים במקרה של פגיעה, ומאפייני החשבון והתועלת שהוא מספק בחיי היום יום. מסקנת החוקרים היא כי המשתמשים לא מתייחסים לכל החשבונות הדיגיטליים באותו האופן, אלא מבדילים ביניהם לפי תפקידם בפועל. גם כאשר מדובר בחשבונות שנחשבים רגישים במיוחד, כגון מייל, המשתתפים הבחינו בין חשבונות מרכזיים למשניים. חשבונות משניים המשמשים לרישום לשירותים או כוללים מעט מידע אישי נתפסו כבעלי סיכון מוגבל, ואילו חשבונות מרכזיים המקושרים לחשבונות אחרים או משמשים לשחזור סיסמאות זכו להגנה מחמירה יותר.

לדברי ד"ר אילון, "ההחלטות שהמשתתפים קיבלו לא נבעו מחוסר אכפתיות כלפי אבטחת מידע, אלא מהערכה מודעת של ההשלכות האפשריות בכל מקרה. המשתתפים בחנו מה כולל כל חשבון, עד כמה הוא מקושר לחשבונות אחרים ומה המשמעות של פגיעה בו, וקיבלו החלטות שונות בהתאם להקשר ולערך שייחסו לכל חשבון. הממצאים מראים שאבטחת מידע נתפסת בעיני המשתמשים לא כעיקרון אחיד, אלא כמשהו שתלוי בתפקיד שהחשבון ממלא בחיים הדיגיטליים שלהם".