I maj 2017, runt en kvarts miljon datorer runt om i världen som körde Microsoft Windows attackerades och infekterades med skadlig programvara som senare skulle få namnet "WannaCry". Offren fann sina datorer låsta och oanvändbara, men kunde befria dem om offren överförde Bitcoin – vanligtvis ett belopp motsvarande 300-600 USD – till personerna bakom attacken.

Det visade sig, attacken kunde ha undvikits om folk hade tillämpat en mjukvaruuppdatering som Microsoft hade utfärdat bara veckor före attacken. Uppdateringen åtgärdade sårbarheten som angriparna hade utnyttjat, men många valde att skjuta upp implementeringen.

"Att förstå vad som driver människor att fördröja en programuppdatering – en viktig skyddsåtgärd eftersom de fixar buggar som angripare kan utnyttja – skulle vara ett steg mot att förhindra sådana cyberattacker, " säger CyLabs Cleotilde Gonzalez, professor vid avdelningen för samhälls- och beslutsvetenskap vid Carnegie Mellon University.

I en studie publicerad i det senaste numret av Journal of Cybersecurity , Gonzalez och hennes medförfattare fann att tidskostnaden för uppdateringar och individers riskpreferenser har en betydande inverkan på huruvida en användare tillämpar en mjukvaruuppdatering eller inte, och hur lång tid det tar för dem att göra det.

Forskarna skapade en simulering där deltagarna poserade som investerare under 20 perioder om 10 dagar, där varje simulerad "dag" består av att antingen fatta ett investeringsbeslut eller tillämpa en mjukvaruuppdatering på sin dator. I den verkliga världen, användare kan ofta inte utföra sin primära uppgift samtidigt som de bearbetar en programuppdatering, så de måste välja det ena och fördröja det andra.

I simuleringen, investeringsbeslutet – den primära uppgiften för en investerare – var att välja mellan en "säker" investering som gav dem 2 poäng eller en "riskfull" investering som gav dem antingen 0 eller 4 poäng med lika sannolikhet.

"Genom att räkna antalet riskabla val, vi kan avgöra hur risktagande människor är, säger Gonzalez.

Alternativt deltagare kan avstå från sin primära uppgift att investera för att tillämpa en säkerhetsuppdatering på sina datorer. Åttiofem procent av tiden, uppdateringen kostade 10 poäng, liknande en uppdateringsprocess som kräver en viss tid och stör en användares primära uppgift. Annat, uppdateringen kostade 0 poäng, liknande uppdateringsprocessen som sker över natten eller någon annan tid då en användares primära uppgift inte skulle störas.

Efter att antingen investerat eller tillämpat en säkerhetsuppdatering, deltagarna fick reda på om de upplevde ett säkerhetsfel eller inte. Ett säkerhetsfel resulterade i en förlust på 100 poäng, och att tillämpa en uppdatering skulle minska sannolikheten för ett säkerhetsfel från 3 procent till 1 procent. Efter att ha fattat dessa beslut 200 gånger – simulerande 200 dagar som investerare – kompenserades deltagarna baserat på antalet poäng de hade samlat på sig.

Även om det bästa beslutet när det gäller att optimera poäng var att tillämpa en säkerhetsuppdatering den första dagen av varje period, många försenade. Resultaten visade att deltagarna bara uppdaterade 54 procent av tiden, och 65 procent av dessa uppdateringar försenades. Både riskpreferensen och kostnaden för uppdateringen spelade relativt lika roller för att få deltagarna att försena säkerhetsuppdateringarna.

Med tanke på att förseningar av säkerhetsuppdateringar är framträdande, många deltagare upplevde säkerhetsfel. Men lärde de sig sin läxa? Ja och nej.

"Om en deltagare drabbades av ett säkerhetsfel, de tillämpade nästan alltid en säkerhetsuppdatering nästa dag, " säger Gonzalez. "Men det beteendet förföll vanligtvis med tiden, och deltagarna skulle falla tillbaka till sina gamla vanor."

Med tanke på dessa resultat, forskarna föreslår att företag bör komma på sätt att uppmuntra användare – eller åtminstone minska kostnaderna för tid och ansträngning – att tillämpa säkerhetsuppdateringar så snart de är tillgängliga.

"Gör det enklare. Gör det enklare. Gör det billigare, " säger Gonzalez. "Ett stort inflytande i de beslut vi fattar är de incitament vi har att fatta dessa beslut. Att minska kostnaden – inte bara den monetära kostnaden utan också tid och ansträngning – det hjälper."

Andra författare på studien inkluderade tidigare Carnegie Mellon postdoktorala forskare Prashanth Rajivan och Efrat Aharonov-Majar.