Microsoft, de NSA en verschillende overheidsdiensten hebben de afgelopen weken meerdere malen gewaarschuwd om een beveiligingsupdate voor het BlueKeep-lek in Windows te installeren, maar veel beheerders negeren deze waarschuwingen, aangezien er nog tal van ongepatchte systemen zijn.
Deze systemen lopen het risico om door een worm besmet te worden. ORConsulting en antivirusbedrijf Avast besloten onderzoek te doen waarom mensen deze waarschuwingen negeren en belangrijke patches niet installeren. Volgens de onderzoekers worden mensen van alle waarschuwingen 'waarschuwingsmoe'. "Herhaaldelijke blootstelling aan een beveiligingswaarschuwing - met name als we er eerder één negeerden en er niets erg gebeurde - leidt tot gewenning", zo merken de onderzoekers op. Door deze gewenning komen beveiligingswaarschuwingen niet meer binnen.
Volgens de onderzoekers moet de boodschap dan ook op een andere manier worden overgebracht. Als voorbeeld noemen ze naar luchtvaartmaatschappijen. Die voorzien veiligheidsinstructies tegenwoordig van humor, muziek en animaties. Op deze manier proberen ze toch de aandacht van de passagiers vast te houden. "Hoewel het verleidelijk is om inertie als luiheid te bestempelen, is het veel gecompliceerder dan dat", aldus de onderzoekers.
Wat ook meespeelt is dat gebruikers niet precies weten wat er speelt of dat het installeren van patches in het verleden veel tijd kostte of lastig was. Er is dan ook een andere aanpak nodig waarbij er empathie voor gebruikers is en framing van de boodschap. Securityprofessionals richten zich in hun frame van de boodschap op security, terwijl bruikbaarheid een aantrekkelijker frame voor doorsnee gebruikers is.
Een ander punt waarmee rekening moet worden gehouden is gedragseconomie. Mensen doen niet altijd wat ze zeggen en zeker niet altijd wat ze wordt verteld te doen. "Het is daarom dat iedereen die mensen moet beïnvloeden om software te upgraden hier creatief mee moet omgaan", zo stellen de onderzoekers, die ook verschillende voorbeelden geven hoe dit kan worden gebruikt om mensen zover te krijgen dat ze patches installeren.
Wie met het management in gesprek gaat over een belangrijke update of patchcyclus moet dan ook weten wat hun vooroordelen zijn en hoe die door een ander frame kunnen worden weggenomen. Het installeren van patches kan bijvoorbeeld als een strategisch onderwerp worden geframed in plaats van een operationeel vraagstuk. Ook kan het management worden geadviseerd over de gevolgen van het niet patchen, zo concluderen de onderzoekers (pdf).
Deze posting is gelocked. Reageren is niet meer mogelijk.