Architektura i Eksperymenty
Ostatnia aktualizacja: 2026-05-27
Architektura systemu
Opis ogólny
Infrastruktura badawcza do przeprowadzenia RCT (Randomized Controlled Trial) badającego wpływ stopnia personalizacji symulowanych ataków phishingowych na efekt uczenia — z full ethical framework (delayed disclosure, GDPR compliance, IRB protocol). Główny wkład: pierwsza RCT z 4 poziomami personalizacji i pomiarem retencji po 3-6 miesiącach.
Komponenty główne
| Komponent | Opis | Technologia |
|---|---|---|
| M1 – Campaign System | Personalizacja i wysyłka symulacyjnych emaili phishingowych | GoPhish (open-source) |
| M2 – Personalization Engine | 4 poziomy P0/P25/P50/P100 tworzonych ręcznie przez RA | manualne OSINT z publicznych profili |
| M3 – Click Tracker | Rejestracja kliknięcia + post-click redirect na ankietę | GoPhish built-in + Google Forms |
| M4 – Survey System | SRS + perceived realism scale, anonimowe | Qualtrics / LimeSurvey |
| M5 – Statistical Analyzer | ANCOVA, mediation (Baron & Kenny), bootstrap CI | R (lavaan, mediation) |
| M6 – Ethics Monitor | Consent tracking, GDPR compliance, debriefing pipeline | custom |
Przepływ danych
flowchart TD ORG([Organizacja partnerska]) --> IRB[IRB approval\n+ GDPR consent] IRB --> M2[M2 Personalization Engine\nRA: emaile P0/P25/P50/P100] M2 --> M1[M1 GoPhish\nrandomizacja grup N≥100] M1 -->|wysyłka T0| M3[M3 Click Tracker] M3 --> CLICK([kliknął / nie kliknął]) CLICK --> M4[M4 Post-click Survey\nSRS + perceived realism] M4 --> DEBRIEF[Debriefing\ndelayed disclosure T0+1tyg] DEBRIEF --> FU[Follow-up T0+3-6msc\nkolejne kampania] FU --> DELTA([Δclick-rate per group]) DELTA --> M5[M5 Statistical Analyzer\nANCOVA] M4 --> M6[M6 Mediation\nSRS → Δclick-rate] DELTA --> M6 M5 --> OUT([Wyniki: efekt personalizacji\np-values, effect sizes]) M6 --> OUT
Stack technologiczny
| Warstwa | Technologia | Uzasadnienie |
|---|---|---|
| Kampanie | GoPhish (open-source) | darmowy, audytowalny, etyczny |
| Ankiety | LimeSurvey (self-hosted) | GDPR compliant, nie wysyła danych do US |
| Statystyki | R 4.x (lavaan, mediation, emmeans) | mediation analysis, ANCOVA |
| Rejestracja | PostgreSQL | click logs + survey responses |
| Ethics | własny IRB protocol | Menlo Report + GDPR Art. 6(1)(e) |
| Dane | własne (N≥400 pracowników) | brak zewnętrznych datasets |
Eksperymenty
PSE-EXP-1: RCT — Minimalny Poziom Personalizacji Dający Mierzalny Efekt Uczenia
Status: planned
Priorytet: high
Powiązany pomysł: PSE-1
Dodano: 2026-05-27
Hipoteza: Efekt uczenia (Δclick-rate między kampanią T0 a follow-up T0+3-6msc) jest istotnie wyższy dla grup P50 i P100 niż dla grupy P0 (GoPhish generic) — nawet jeśli absolutny click-rate przy T0 nie różni się istotnie między grupami (ANCOVA α=0.05).
Dane:
- Dataset: własny (N≥400 pracowników, 4 grupy po ≥100 osób każda)
- Podział: randomizacja na poziomie indywidualnym (stratified by rola/dział)
- Preprocessing: binaryzacja click (kliknął/nie), obliczenie Δclick = T0 − follow-up per osoba
Metoda:
- IRB approval + GDPR consent od organizacji partnerskiej
- Randomizacja: 4 grupy (P0/P25/P50/P100), N≥100 per grupa
- T0: wysyłka emaili przez GoPhish, rejestracja kliknięć
- T0+1tydzień: debriefing + delayed disclosure + ankieta SRS
- T0+3-6msc: follow-up kampania (ten sam poziom personalizacji) → Δclick-rate
- Analiza: ANCOVA (Δclick ~ personalizacja_group + SRS_T0 + rola + staż); Tukey HSD post-hoc
Modele / Baseline:
| Model | Opis |
|---|---|
| P0 — GoPhish generic | control group (brak personalizacji) |
| P25 — imię + rola | minimalna personalizacja |
| P50 — P25 + firma + projekt | średnia personalizacja |
| P100 — P50 + ostatnia aktywność | pełna personalizacja OSINT |
Metryki:
- Główna: Δclick-rate per group (próg: P50/P100 > P0, p<0.05 ANCOVA)
- Dodatkowe: click-rate @T0, SRS score (1-7 Likert), NPS po debriefingu
- Test statystyczny: ANCOVA, Tukey HSD, Bonferroni correction
Wyniki: (do wypełnienia po wykonaniu)
| Grupa | Click-rate T0 [%] | Click-rate follow-up [%] | Δclick-rate | p-value |
|---|
Wnioski: (do wypełnienia po wykonaniu)
PSE-EXP-2: Mediation SRS — Czy Zaskoczenie Mediuje Efekt Uczenia?
Status: planned
Priorytet: high
Powiązany pomysł: PSE-2
Dodano: 2026-05-27
Hipoteza: Self-reported Surprise Score (SRS) mediuje zależność personalizacja → Δclick-rate (Baron & Kenny: a×b istotne, c’ < c, bootstrap CI 95% nie zawiera 0) — wyższy SRS prowadzi do większej zmiany zachowania przy follow-up.
Dane:
- Dataset: dane z PSE-EXP-1 (N≥400), SRS z ankiety post-click
- Podział: nie dotyczy (dane obserwacyjne z RCT)
- Preprocessing: normalizacja SRS (1-7 → z-score), kodowanie grup P0-P100 jako 0/1/2/3
Metoda:
- Pomiar SRS: 4 pytania post-click (“czy email był skierowany specjalnie do Ciebie?“) + perceived realism score
- Mediation analysis: lavaan (R), model: personalizacja → SRS (a path) + SRS → Δclick (b path) + direct (c’)
- Bootstrap CI (N=5000 bootstrap samples) dla indirect effect a×b
- Analiza moderatorów: rola (tech vs non-tech) × personalizacja → Δclick
- Alternatywna mediacja: perceived realism zamiast SRS
Modele / Baseline:
| Model | Opis |
|---|---|
| Direct effect only | personalizacja → Δclick (bez mediatora) |
| Full mediation (SRS) | proponowany model |
| Partial mediation | porównanie c vs c’ |
Metryki:
- Główna: indirect effect a×b (próg: bootstrap 95% CI nie zawiera 0)
- Dodatkowe: proportion mediated (a×b / c), moderacja rola×personalizacja
- Test statystyczny: Sobel test (fallback) + bootstrap CI (α=0.05)
Wyniki: (do wypełnienia po wykonaniu)
| Path | Coefficient | SE | p-value | Bootstrap 95% CI |
|---|---|---|---|---|
| a (personalizacja→SRS) | ||||
| b (SRS→Δclick) | ||||
| c (direct) | ||||
| c’ (indirect a×b) |
Wnioski: (do wypełnienia po wykonaniu)
PSE-EXP-3: Ethical Framework — Delayed Disclosure w Kampaniach AI-Personalized
Status: planned
Priorytet: high
Powiązany pomysł: PSE-3
Dodano: 2026-05-27
Hipoteza: Procedura delayed disclosure jest: (a) operacyjnie wykonalna (organizacja może wdrożyć bez dodatkowych zasobów IT), (b) prawnie dopuszczalna w świetle Menlo Report + GDPR Art. 6(1)(e) + AI Act, i (c) nie degraduje zaufania pracowników — NPS po debriefingu ≥50 i retention intent ≥80%.
Dane:
- Dataset: post-debriefing ankieta (NPS, retention intent, trust scale) od uczestników PSE-EXP-1
- Podział: N≥400 pracowników
- Preprocessing: obliczenie NPS (promotorzy - detraktorzy), binarne retention intent
Metoda:
- Analiza prawna: mapowanie procedury delayed disclosure na Menlo Report §3 + APA §8.07 + GDPR Art. 6(1)(e) + AI Act Annex III
- Porównanie z KnowBe4 ToS, Cofense best practices, ENISA guidelines
- Post-debriefing ankieta: NPS (0-10), retention intent, trust in organization (validated scale Mayer 1995)
- Decision tree: kiedy delayed disclosure dopuszczalne vs pełny consent
- Publikacja szablonu IRB protocol jako open resource
Modele / Baseline:
| Model | Opis |
|---|---|
| Brak debriefingu | worst case (nie stosowany) |
| Natychmiastowe ujawnienie (upfront consent) | benchmark z literatury |
| Delayed disclosure (proponowane) | nasza procedura |
Metryki:
- Główna: NPS po debriefingu ≥50 + retention intent ≥80% (próg operacyjny)
- Dodatkowe: trust score (Mayer scale), odsetek uczestników żądających usunięcia danych
- Test statystyczny: binomial test (retention intent ≥80%, α=0.05)
Wyniki: (do wypełnienia po wykonaniu)
| Metryka | Wartość | Benchmark (literatura) | Ocena |
|---|
Wnioski: (do wypełnienia po wykonaniu)
Pipeline danych
Brak zewnętrznych datasets — wszystkie dane zbierane w trakcie badania. GoPhish logi: click timestamp + email ID + group (P-level). LimeSurvey: anonimowy link post-click, powiązanie przez token (hash email ID → nie możliwe wsteczne). Follow-up T0+3-6msc: nowa kampania przez GoPhish, wciąż ten sam poziom personalizacji per osoba.
Wymagania techniczne
Środowisko
GoPhish: self-hosted VPS (1 vCPU, 1 GB RAM wystarczy)
LimeSurvey: self-hosted (GDPR: dane w EU)
R: 4.x (lavaan, mediation, emmeans)
Python: 3.11+ (preprocessing, recruitment randomizacja)
Dysk: <1 GB (dane kampanii)
Kluczowe biblioteki
# R packages
lavaan # SEM / mediation analysis
mediation # Baron & Kenny mediation
emmeans # ANCOVA post-hoc
# Python
pandas>=2.0
scipy>=1.11 # stats tests