Research

Pomysły badawcze

4 min. czytania

Pomysły badawcze

High Priority

PSE-1 RCT: minimalny poziom personalizacji dający mierzalny efekt uczenia

Hipoteza: Efekt uczenia (Δclick-rate między kampanią 1 a follow-up po 3-6 miesiącach) jest istotnie wyższy dla grup P50 i P100 niż dla P0 (GoPhish generic) — nawet jeśli absolutny click-rate przy T0 nie różni się istotnie między grupami. Hipoteza nie zakłada, że training “działa” absolutnie; zakłada że personalizacja moduluje efekt uczenia.

Kontekst: Rozema & Davis (2025, N=12,511) i Ho et al. (2025, N=19,500) pokazali że embedded training nie działa lub pogarsza wyniki przy powtórzeniu. Luka: żadne z tych badań nie manipulowało stopniem personalizacji jako zmienną niezależną.

Metodologia:

  • 4 grupy (N≥100 per grupa): P0 (GoPhish generic), P25 (imię+rola), P50 (P25+projekt/firma), P100 (P50+ostatnia publiczna aktywność)
  • Personalizacja P25–P100: ręcznie przez research assistant z publicznych profili — bez crawlera z projektu SP
  • T0: kampania; T0+1tydzień: debriefing + delayed disclosure; T0+3-6msc: follow-up
  • Post-click ankieta: SRS (Self-reported Surprise Score, 1-7 Likert) + perceived realism score
  • Analiza: ANCOVA (Δclick-rate ~ personalizacja + SRS + rola + staż); mediation test (Baron & Kenny)

Wkład: Pierwsza RCT z 4 poziomami personalizacji i pomiarem retencji; odpowiedź na lukę w Ho et al. 2025

Venue docelowe: USENIX SOUPS, CHI, ACM CCS (CSCW track)

PSE-2 Mediacja SRS: czy “zaskoczenie” jest mechanizmem efektu uczenia?

Hipoteza: Self-reported Surprise Score (SRS) mediuje zależność między stopniem personalizacji a Δclick-rate przy follow-up (Baron & Kenny mediation: a × b istotne, c’ niższe niż c). Wyższy SRS → większa zmiana zachowania.

Metodologia:

  • SRS mierzony ankietą post-click (4 pytania: “czy email wydawał się skierowany specjalnie do Ciebie?”, “czy rozpoznałeś realia ze swojej pracy?”, itp.)
  • Perceived realism score jako mediator alternatywny
  • Mediation analysis: lavaan (R) lub mediation (Python); bootstrap CI (N=5000)
  • Moderatory: rola (tech vs. non-tech), staż, poprzednie szkolenia security

Wkład: Mechanistyczne wyjaśnienie dlaczego personalizacja może działać — przez zaskoczenie, nie przez wyższy click-rate per se

Venue docelowe: Journal of Cybersecurity (Oxford), Computers & Security, CHI

PSE-3 Ethical framework: delayed disclosure w kampaniach symulacyjnych

Hipoteza: Procedura “delayed disclosure” (ujawnienie celu badania po kampanii, nie przed) jest operacyjnie wykonalna, etycznie dopuszczalna zgodnie z Menlo Report + GDPR Art. 6(1)(e), i nie degraduje zaufania pracowników do organizacji (mierzone NPS i retention intent po debriefingu).

Metodologia:

  • Analiza prawna: Menlo Report §3, APA Ethics Code §8.07, GDPR Art. 6(1)(e) + Art. 5(1)(b), AI Act Annex III
  • Porównanie z istniejącymi standardami: KnowBe4 ToS, Cofense best practices, ENISA guidelines
  • Post-debriefing ankieta: NPS, retention intent, trust in organization (validated scale)
  • Decision tree: kiedy delayed disclosure jest dopuszczalne vs. kiedy wymagany jest pełny upfront consent

Wkład: Pierwszy akademicki framework IRB dla AI-personalized simulation w europejskim kontekście regulacyjnym; template do wdrożenia przez CERT-y i działy HR

Venue docelowe: IEEE Security & Privacy Magazine, CPDP, Computers & Security

Medium Priority

PSE-4 Benchmark zewnętrzny: porównanie z danymi Ho et al. i Rozema & Davis

Replikacja z identyczną grupą P0 (GoPhish generic) pozwala umieścić własne wyniki na tle literatury bez dostępu do oryginalnych danych. Czy własny P0 replikuje brak efektu z Ho et al.? Jeśli nie — dlaczego (różnica kontekstu, organizacja, branża)?

PSE-5 Moderator: rola techniczna vs. nietechniczna

Czy efekt personalizacji jest wyższy dla pracowników technicznych (którzy mają bogatszy profil OSINT)? Analiza moderacji: personalizacja × rola → Δclick-rate. Wynik: komu najbardziej “opłaca się” personalizować symulacje.

Low Priority

PSE-6 Differential privacy w raportowaniu wyników kampanii

Czy wyniki kampanii (click-rate per dział/rola) można raportować organizacji bez ujawniania danych indywidualnych? Zastosowanie DP do agregacji — przydatne dla organizacji z >500 pracownikami gdzie indywidualne wyniki mogą naruszać RODO.

Archiwum

PSE-1 (stara wersja) LLM + OSINT crawler → kampania

Przeniesione do archiwum: wymagała gotowego crawlera OSINT z projektu SP (#SP-2), tworząc zależność implementacyjną eliminującą możliwość niezależnego przeprowadzenia badania. Ponadto hipoteza “personalizacja = wyższy click-rate” jest trivially true i niewystarczająca jako wkład naukowy po Ho et al. 2025. Zastąpiona przez RCT z 4 poziomami i pomiarem retencji (#PSE-1 nowa wersja).

Graf

Odnośniki zwrotne