Ankieta wśród studentów IT

Iluzjabezpieczeństwa

Trzy hipotezy o cyberhigienie studentów, sprawdzone na twardych danych. Co przewiduje, że ktoś zostanie zhakowany — i dlaczego nie jest to jego samoocena.

Nikodem Dziurla autor prezentacji

H1samoocena wiedzy a praktyki
H2ryzykowne zachowania a włamania
H3szkolenia a świadomość i nawyki

→ dalej  ·  F pełny ekran

Obraz ogólny · 53 ankietowanych

Stan gry: dużo wiary, sporo ran

Zachowania ryzykowne — % badanych

Praktyki ochronne — % badanych

96% rozpoznaje deepfake’i, 92% wie, że kłódka przy adresie nie gwarantuje bezpieczeństwa — a mimo to 42% zostało kiedyś zhakowanych, a co drugi badany kliknął w podejrzany link. Wiedza jest. Nawyki — różnie.

Hipoteza 1 z 3 · co sprawdzamy

Kto uważa, że zna się na cyberbezpieczeństwie, ten lepiej się chroni.

JEŚLI TO PRAWDA → wyższa samoocena = lepsze nawyki

Dlaczego tak sądzimy

Na tym założeniu opiera się cała edukacja: kto wie, ten się chroni. Sprawdzamy, czy deklarowana wiedza naprawdę idzie w parze z codziennymi nawykami.

Pytania z ankiety

Jak oceniasz swój poziom wiedzy? (1–5) Średnia długość haseł To samo hasło w różnych serwisach? Menedżer haseł? MFA? Kopie zapasowe? Antywirus?

Hipoteza 1 · wynik

Samoocena nie przewiduje niczego

Ile dobrych nawyków (na 6) ma średnio każda grupa

6 nawyków: menedżer haseł · MFA · kopie zapasowe · antywirus · unikalne hasła · długie hasła. Słupki są niemal równe — samoocena nic tu nie zmienia.

Ci, którzy dają sobie 5/5, chronią się tak samo jak ci, którzy przyznają, że wiedzą mało. Związku po prostu nie ma.

Obalona
„Czuję, że umiem” i „robię, co trzeba” to dwa różne światy.

korelacja ρ = 0,05 · p = 0,73 — brak związku

Hipoteza 1 · zbliżenie

Paradoks pewnych siebie

Grupa z najwyższą samooceną (4–5) wypada nie lepiej, a miejscami gorzej od tych, którzy przyznają, że wiedzą mało.

samoocena niska (1–2), n = 12 średnia (3), n = 21 wysoka (4–5), n = 20

Hipoteza 2 z 3 · co sprawdzamy

Kto ryzykuje w sieci, ten częściej pada ofiarą włamania.

JEŚLI TO PRAWDA → więcej złych nawyków = więcej ofiar

Dlaczego tak sądzimy

Włamanie to rzadko pech. Każde kliknięcie w obcy link, każdy plik z niepewnego źródła i każde logowanie w otwartym Wi-Fi to kolejna okazja dla atakującego.

Pytania z ankiety

Czy zostałeś(-aś) kiedykolwiek zhakowany(-a)? Kliknięcie w podejrzany link? Pliki z nieznanych źródeł? Publiczne Wi-Fi bez VPN? Udostępnienie hasła? Jedno hasło wszędzie? Ile godzin dziennie online?

Hipoteza 2 · wynik

Kto klika, ten płaci

Jaki procent osób został zhakowany — wśród tych, którzy dane zachowanie robią, i tych, którzy go unikają.

robi to nie robi
Δ — różnica między grupami. Trzy pierwsze różnice są istotne statystycznie, ostatnia — na granicy.

Hipoteza 2 · werdykt

Ryzyko się sumuje

Odsetek zhakowanych wg liczby złych nawyków

Złe nawyki: podejrzane linki · obce pliki · pożyczanie hasła · otwarte Wi-Fi · jedno hasło wszędzie · cookies bez czytania.

Od 1 na 5 osób do 3 na 5 osób — ryzyko rośnie z każdym złym nawykiem, niemal trzykrotnie między skrajnymi grupami.

Potwierdzona
Czas w sieci też gra: wśród siedzących online 8 h+ dziennie zhakowano 62% — w pozostałych grupach 28%.

korelacja ρ = 0,38 · p = 0,005 — wynik istotny

Hipoteza 3 z 3 · co sprawdzamy

Kto przeszedł szkolenie, ten więcej wie i lepiej się chroni.

JEŚLI TO PRAWDA → przeszkoleni wiedzą więcej i robią lepiej

Dlaczego tak sądzimy

Szkolenia to główne narzędzie uczelni i firm. Powinny działać na dwóch frontach: wiedza „co robić, gdy się pali” oraz codzienne nawyki. Sprawdzamy oba osobno — bo mogą się rozjechać.

Pytania z ankiety

Szkolenie w ostatnich 12 mies.? Znasz procedurę zgłaszania incydentu? Znasz polityki bezpieczeństwa uczelni? MFA? Menedżer haseł? Antywirus? Ocena zdolności reagowania (1–5)

Hipoteza 3 · wynik i werdykt

Szkolenia uczą. Ale nie zmieniają.

po szkoleniu bez szkolenia

Wiedza „co robić”: duży skok (o ~30 punktów).
Codzienne nawyki, np. MFA: bez zmian (80% vs 78%).

Częściowo
Szkolenia informują — nie formują. Po szkoleniu ludzie wiedzą więcej, ale klikają tak samo.

procedury: ρ = 0,28 · p = 0,04 · nawyki: różnica nieistotna

Podsumowanie

Trzy wnioski, jedna lekcja

H1 · OBALONA

Samoocena to zły kompas

Nie pytaj ludzi, czy czują się bezpieczni — patrz, co robią. Grupa najbardziej pewna siebie była hakowana najczęściej.

H2 · POTWIERDZONA

Zachowanie przewiduje los

Otwarte Wi-Fi, obce pliki, podejrzane linki — te nawyki niemal potrajają liczbę ofiar (21% → 59%). Wszystkie można zmienić od jutra, za darmo.

H3 · CZĘŚCIOWO

Szkolenia informują, nie formują

Po szkoleniu ludzie wiedzą, gdzie zgłosić incydent — ale klikają tak samo. Recepta: mniej slajdów, więcej symulowanych ataków.

Na koniec

Nie pytaj, czy czujesz się bezpieczny.
Zapytaj, kiedy ostatnio kliknąłeś w nieznany link.

H1obalona — samoocena nic nie przewiduje
H2potwierdzona — ryzyko się sumuje
H3częściowo — szkolenia informują, nie formują

Dziękuję za uwagę · Nikodem Dziurla