Hoe vaak negeer jij een certificaatmelding van een website die je redelijk veilig acht? Elke IT'er kent het probleem: eindgebruikers klikken tegen beter weten allerlei waarschuwingen weg. Voorlichting is belangrijk, maar kennis over dat klikgedrag is onvoldoende. Een adagium in de securitywereld is dat als je gebruikers de keus geeft tussen dansende varkens en beveiliging, gebruikers voor de dansende varkens zullen kiezen.

Nadelige gevolgen

Onderzoekers van de Bingham Young universiteit in de VS zijn op zoek naar het neurologische proces van die verkeerde security-beslissing in de hoop iets te kunnen veranderen (PDF). Ze gebruikten een EEG om te zien wat er gebeurt in de hersenen als mensen met een waarschuwing worden geconfronteerd. Ze gingen op zoek naar het proces achter 'security warning disregard', oftewel: wat gebeurt er als een gebruiker een waarschuwing negeert?

Een eerste deel van het onlangs gepubliceerde onderzoek wees uit dat gebruikers over het algemeen verrassend goed op de hoogte zijn van Do's en Dont's. In het tweede deel werden ze getest met elektroden aan het hoofd om te zien wat er gebeurde bij het negeren van een waarschuwing zonder zichtbare nadelige gevolgen en het klikken mét nadelige gevolgen.

Losgetrokken netwerkkabels

Gebruikers kregen bij dat tweede experiment opeens een melding dat hun systeem was gehackt. Dat leidde in een aantal gevallen tot paniek: "Ten minste zeven deelnemers klapten de laptop dicht, zetten ze uit, trokken de netwerkkabel los of stopten op een andere manier met het experiment." De geobserveerde schrikreactie zorgde voor een directe gedragswijziging: mensen keken kritischer naar waarschuwingen.

Een aangekondigde vervolgstudie kijkt met deze bevinding in het achterhoofd naar een daadwerkelijke oplossing: verschillende waarschuwingen leveren een ander neurlogische reactie en meteen ook ander gedrag op. Het doel van de nieuwe studie is om te ontdekken welke boodschappen zo'n schrikreactie oproepen en waarom ze werken.