Brister i meddelanden om säkerhetsintrång, bästa praxis för nätfiskevarningar och lärdomar från användningen av analyser för att förbättra elevernas prestationer är bland flera studier som forskare från University of Michigan kommer att presentera med början i helgen i Storbritannien.

Florian Schaub, biträdande professor vid U-M School of Information, och kollegor kommer att dela med sig av sitt arbete 4-9 maj på CHI-konferensen om mänskliga faktorer i datoranvändning i Glasgow, Skottland.

Dataintrång

Bygger på sin tidigare forskning som visade att konsumenter ofta inte vidtar några åtgärder när de ställs inför säkerhetsöverträdelser, School of Information-teamet ledd av doktoranden Yixin Zou och Schaub analyserade meddelanden om dataintrång som företag skickade till konsumenter för att se om kommunikationen kan vara ansvarig för en del av passiviteten.

De fann att 97 % av de 161 urvalsmeddelandena var svåra eller ganska svåra att läsa baserat på läsbarhetsstatistik, och att språket som används i dem kan ha bidragit till förvirring om huruvida mottagaren av kommunikationen var i riskzonen och borde vidta åtgärder.

"Vår analys visar att det inte är tillräckligt att kräva att företag enligt lag skickar meddelanden om dataintrång, ", sa Zou. "Det är viktigt att säkerställa att viktig information som vad som hände och vad konsumenter bör göra för att skydda sig kommuniceras i dessa meddelanden på ett sätt som är förståeligt och genomförbart av konsumenterna."

Med hänvisning till statistik från Privacy Rights Clearinghouse, författarna noterar att det under 2017 var 853 dataintrång som äventyrade 2,05 miljarder poster, som inkluderade konsumentnamn, kontaktuppgifter kontonummer, kreditkortsuppgifter, personnummer, shopping- och inköpsregister, inlägg och meddelanden på sociala medier, och hälsojournaler.

Som svar, mest länder, inklusive USA, antagna lagar om anmälan om dataintrång. I USA., varje stat har sin egen dataintrångslagstiftning, därför, tröskeln för när konsumenter måste meddelas, hur snart efter ett brott, och hur det meddelandet måste se ut varierar mellan staterna.

Detta ger företag stor frihet att använda hedge-termer som förringar risken – genom att använda fraser som "du kan påverkas" och "du kommer sannolikt att påverkas" i 70 % av meddelandena och säger "för närvarande, vi har inga bevis för att exponerad data har missbrukats" 40 % av tiden.

Det tillåter också en bristande konsekvens när det gäller att ta itu med orsaken till överträdelsen, datum för händelsen och mängden exponeringstid, säger forskarna.

"Det finns lite incitament för företag att investera i att göra meddelanden om dataintrång mer användbara, " sa Schaub. "För de flesta företag, dessa meddelanden ses bara som ett krav för att följa lagar om dataintrång snarare än ett sätt att utbilda och skydda sina kunder. Vi måste tänka om och omarbeta konsumentskyddslagar som dessa för att säkerställa att företagens meddelanden faktiskt är till hjälp för konsumenterna."

De flesta statliga lagar kräver att företag underrättar berörda konsumenter i skriftliga brev eller per telefon. e-postmeddelanden, webbplatsmeddelanden, meddelanden till statliga medier eller andra elektroniska metoder är vanligtvis ersättningar. Studien visar ett konsekvent mönster med 95 % av de analyserade aviseringarna levererade per post. Forskarna säger att den långsamma hastigheten på ett postat brev kan öka den tid då konsumenterna förblir oinformerade om överträdelsen.

Nätfiske

Precis när vi tror att vi har koll på knepen som datatjuvar har i ärmarna för att hacka våra enheter i ett försök att stjäla vår information, någon kommer med ett nytt sätt att lura oss, och nätfiskesystem på datorn kan fånga även de mest kunniga användare.

Organisationer som tillhandahåller e-posttjänster, inklusive de kommersiella e-postklienter som konsumenter använder varje dag, har vidtagit många åtgärder för att bekämpa nätfiskeförsök, och arbeta för att utbilda användare om att undvika misstänkta länkar i e-post. Bland insatserna finns olika varningar som varnar användare om potentiellt misstänkta länkar.

I en studie som involverade 700 deltagare i åldrarna 20 till 71, Schaub och kollegor vid School of Information utvärderade tre varningsdesignfunktioner för att hjälpa användare att mer effektivt bedöma risken för nätfiske och undvika misstänkta webbplatser. De jämförde dem med den mer vanliga statiska e-postbannern – ofta ett färgat band eller en ruta med en djärv färg som röd som visas som en varning överst på en e-postsida. De tre funktionerna för jämförelse är:

• Varning placering, eller flytta nätfiskevarningar nära den misstänkta länken i e-postmeddelandet.
• Tvingade uppmärksamhet till varningen genom att avaktivera den misstänkta länken i e-postmeddelandet och tvinga användaren att klicka på den omaskerade webbadressen för att fortsätta.
• Varning aktivering, som kräver att varningen endast visas när användaren håller muspekaren över en länk.

De fann att jämfört med bannervarningar, länkfokuserade nätfiskevarningar minskade chansen för deltagare att klicka sig vidare till en nätfiske-länk. Påtvingade uppmärksamhetsvarningar var de mest effektiva.

"Att upptäcka nätfiske-e-postmeddelanden är svårt för människor och det vanliga rådet att "kolla länken innan du klickar" är bra men stöds inte riktigt av e-postklienter, " sa Schaub. "Vår forskning visar att väldesignade nätfiskevarningar kan hjälpa konsumenter att bättre upptäcka nätfiskelänkar genom att tydligt identifiera vilka länkar i ett e-postmeddelande som är misstänkta, tydligt visar den misstänkta länkens destination, och tvinga användare att klicka på varningen om de fortfarande vill fortsätta till länkens destination.

Lärande analys

Under de senaste halvdussin åren eller så, universitet har samlat in data om studentprestationer i utvalda kurser för att skapa varningspaneler för att hjälpa dem som underpresterar. Målet med detta skräddarsydda, personlig inställning till utbildning är att ingripa på viktiga punkter under en termin för att hjälpa dem att förbättras så att de kan lyckas.

För det mesta har dessa instrumentpanelinterventioner visat positiva resultat för att förbättra elevernas resultat.

Men en studie av Schaub och ett School of Information-team av en applikation för lärandeanalys visar att eleverna inte alltid har känt till eller förstått hur deras data har samlats in och använts. Forskarna finner att eleverna vill ha mer input i den processen och få inflytande över vad som händer med deras data.

U-M-programmet känt som Student Explorer startade som ett sätt att hjälpa till att uppmuntra STEM-studenter att hålla fast vid kurser i naturvetenskap, teknologi, teknik och matematik, eftersom många blev avskräckta och gav upp tidigt på karriärer inom dessa områden. Det visade sig vara framgångsrikt och antogs senare av flera program över hela campus.

För sina studier, forskarna genomförde intervjuer med fyra programutvecklare, åtta akademiska rådgivare, och 20 elever. Forskningen drog slutsatsen att alla intressenter – studenter, fakultet, akademiska rådgivare – bör samarbeta om dessa program och vara en del av deras skapelse och utveckling.

"Det är verkligen viktigt att upptäcka dessa olika användarbehov och användningsvanor för att se till att systemdesignen och funktionen kan hantera dem, " sa Kaiwen Sun, doktorand och huvudförfattare till uppsatsen.

"Många rådgivare och instruktörer är obekanta med begreppet lärandeanalys. De ser nya plattformar rulla ut och tror att de bara är användarna. De kanske inte anser sig kunna spela en nyckelroll i inlärningsanalysprocessen.

"Jag tror också att det är viktigt att utbilda människor och främja medvetenhet runt campus om målet, fördelar och effekter av inlärningsanalys, varför dessa olika intressenter borde bry sig, och vad de kan göra för att bidra till inlärningsanalysprocessen."