Cognitive biases in cybersecurity

Abstract

This bachelor’s thesis explores how cognitive biases affect decision making in cybersecurity situations. Different cognitive biases such as confirmation bias and overconfidence bias are identified, and their impact is explained in the context of cybersecurity decision-making. The thesis has as a second objective to present different mitigation strategies to cognitive biases and highlight their use cases and limitations. The thesis is done as a SoK-analysis using qualitative analysis method. Motivation for this thesis was to highlight the effect of cognitive biases on cybersecurity and precisely on its impact on decision-making and to understand how this can be countered with mitigation strategies. The findings show that many biases are connected to each other as they have similarities between them. The study also shows that one of the best strategies against cognitive biases is a policy driven approach which presents a systematic way of dealing with cybersecurity decision making and thus limits the instances where cognitive biases play a role in decision making.

Tämä kandidaatin työn päämäräänä on tutkia miten kognitiiviset vinoumat tai vääristymät vaikuttavat kyberturvallisuudessa päätöksentekoon. Erilaisia kognitiivisia vinoumia ja niiden vaikutuksia päätöksentekoon kybertuvallisuudessa käydään läpi tässä tutkimuksessa. Näitä ovat esimerkiksi konfirmaatio vinouma tai itseluottamus vinouma. Työn toisena päämääränä on tutkia erillaisia lieventämis strategioita, joita organisaatiot tai yksilöt hyödyntävät torjumaan kognitiivisten vinoumien vaikutusta itseensä. Työn toteutuksessa käytettiin SoK-analyysi metodia. Motivaationa tähän työhön oli esittää kuinka paljon kognitiiviset vinoumat vaikuttava kyberturvallisuus päätöksentekoon, ja samalla myös ymmärtää kuinka organisaatiot ja yksilöt ovat onnistuneesti pystyneet torjumaan näitä erillaisten strategioiden avulla. Tuloksista huomattiin, että monet vinoumat liittyvät hyvin vahvasti toisiinsa, sillä niiden muodostumisessa on samankaltaisuuksia. Tutkimuksessa myös havaittiin, että toimiva tapa kognitiivisten vinoumien vaikutusten lieventämiseen kybertuvallisuus päätöksenteossa on politiikkalähtöinen lähestymistapa. Tämä tarkoittaa esimerkiksi sitä, että organisaatiolla on politiikka kognitiivisten vinoumien vaikutuksen vähentämiseen sisäisessä toiminassaan. Tämä edellyttäisi sitä, että tietynlaisia standardeja prosesseja käytettäisiin auttamaan päätöksenteossa kyberturvallisuuden edistämiseksi. Näin vähennetään tilanteita, joissa kognitiivisia vinoumia muodostuu, jotka saattaisivat vaikuttaa kyberturvallisuuteen.