Ankieta wśród studentów IT
Iluzjabezpieczeństwa
Trzy hipotezy o cyberhigienie studentów, sprawdzone na twardych danych. Co przewiduje, że ktoś zostanie zhakowany — i dlaczego nie jest to jego samoocena.
Nikodem Dziurla autor prezentacji
→ dalej · F pełny ekran
Obraz ogólny · 53 ankietowanych
Stan gry: dużo wiary, sporo ran
Zachowania ryzykowne — % badanych
Praktyki ochronne — % badanych
Hipoteza 1 z 3 · co sprawdzamy
Kto uważa, że zna się na cyberbezpieczeństwie, ten lepiej się chroni.
Dlaczego tak sądzimy
Na tym założeniu opiera się cała edukacja: kto wie, ten się chroni. Sprawdzamy, czy deklarowana wiedza naprawdę idzie w parze z codziennymi nawykami.
Pytania z ankiety
Hipoteza 1 · wynik
Samoocena nie przewiduje niczego
Ile dobrych nawyków (na 6) ma średnio każda grupa
Ci, którzy dają sobie 5/5, chronią się tak samo jak ci, którzy przyznają, że wiedzą mało. Związku po prostu nie ma.
korelacja ρ = 0,05 · p = 0,73 — brak związku
Hipoteza 1 · zbliżenie
Paradoks pewnych siebie
Grupa z najwyższą samooceną (4–5) wypada nie lepiej, a miejscami gorzej od tych, którzy przyznają, że wiedzą mało.
Hipoteza 2 z 3 · co sprawdzamy
Kto ryzykuje w sieci, ten częściej pada ofiarą włamania.
Dlaczego tak sądzimy
Włamanie to rzadko pech. Każde kliknięcie w obcy link, każdy plik z niepewnego źródła i każde logowanie w otwartym Wi-Fi to kolejna okazja dla atakującego.
Pytania z ankiety
Hipoteza 2 · wynik
Kto klika, ten płaci
Jaki procent osób został zhakowany — wśród tych, którzy dane zachowanie robią, i tych, którzy go unikają.
Hipoteza 2 · werdykt
Ryzyko się sumuje
Odsetek zhakowanych wg liczby złych nawyków
Od 1 na 5 osób do 3 na 5 osób — ryzyko rośnie z każdym złym nawykiem, niemal trzykrotnie między skrajnymi grupami.
korelacja ρ = 0,38 · p = 0,005 — wynik istotny
Hipoteza 3 z 3 · co sprawdzamy
Kto przeszedł szkolenie, ten więcej wie i lepiej się chroni.
Dlaczego tak sądzimy
Szkolenia to główne narzędzie uczelni i firm. Powinny działać na dwóch frontach: wiedza „co robić, gdy się pali” oraz codzienne nawyki. Sprawdzamy oba osobno — bo mogą się rozjechać.
Pytania z ankiety
Hipoteza 3 · wynik i werdykt
Szkolenia uczą. Ale nie zmieniają.
Wiedza „co robić”: duży skok (o ~30 punktów).
Codzienne nawyki, np. MFA: bez zmian (80% vs 78%).
procedury: ρ = 0,28 · p = 0,04 · nawyki: różnica nieistotna
Podsumowanie
Trzy wnioski, jedna lekcja
Samoocena to zły kompas
Nie pytaj ludzi, czy czują się bezpieczni — patrz, co robią. Grupa najbardziej pewna siebie była hakowana najczęściej.
Zachowanie przewiduje los
Otwarte Wi-Fi, obce pliki, podejrzane linki — te nawyki niemal potrajają liczbę ofiar (21% → 59%). Wszystkie można zmienić od jutra, za darmo.
Szkolenia informują, nie formują
Po szkoleniu ludzie wiedzą, gdzie zgłosić incydent — ale klikają tak samo. Recepta: mniej slajdów, więcej symulowanych ataków.
Na koniec
Nie pytaj, czy czujesz się bezpieczny.
Zapytaj, kiedy ostatnio kliknąłeś w nieznany link.
Dziękuję za uwagę · Nikodem Dziurla