Nudga mot Nätfiske

Genom att fråga mottagaren av ett misstänkt email vem avsändaren är borde man kunna uppmärksamma folk på email som kan bära på virus.

Av CHRISTIAN GÜNTHER-HANSSEN

2017-12-11

Denna nudge är skapad med anledning av att den danska myndigheten Erhvervsstyrelsen (ung. ”Affärsstyrelsen”) utlyst en tävling i hur man genom beteendedesign kan förbättra IT-säkerheten för småföretag i Danmark. Detta förslag är ett av 6 som deltar i finalen av denna tävling.

Under presidentvalskampanjen i USA 2016 så utsattes det Demokratiska partiet för en förmodat rysk hackerattack. Informationen som kom ut blev ett stort problem för Hillary Clintons valkampanj. Man föreställer sig lätt att IT experter satt kvällar och helger med avancerad kodning för att bryta sig in i Demokraternas IT-system. I själva verket tror partiet att intrånget kom genom ett email till Clintons kampanjchef John Podesta där det stod ”Någon har använt ditt Gmaillösenord. Uppdatera ditt lösenord omedelbart genom att klicka på följande länk. Vänliga hälsningar, Gmailteamet.1

John Podestas sekreterare vore varken den första eller sista som råkar falla för nätfiske. Mycket nätfiske är så uppenbart spam att få någonsin skulle öppna något i det mailet. Annat nätfiske är dock mycket likt ett seriöst mail. Är man samtidigt stressad och saknar full uppmärksamhet är det ganska lätt hänt att ett virus slinker igenom.

Den nudge jag föreslår för att motverka detta bygger på att skapa uppmärksamhet på vem avsändaren av osäkra email är, och på så vis få mottagaren att göra en ordentlig bedömning av mailets trovärdighet. Ofta ser mottagaren aldrig avsändarens adress, utan bara det namn avsändaren själv valt. Nudgen lyften fram själva adressen.

Nudgen kommer i form av en enkel mjukvara som fungerar i tre steg.

1. Identifiera mail med förhöjd risk.
Eftersom kärnan i nudgen är att skapa uppmärksamhet så får den inte aktiveras för ofta, eftersom det man ser ofta klickas bort av rutin. Därför så går den endast igång när ett email uppfyller två krav. Dels ska mailet a) ha en bilaga eller en länk som kan vara en säkerhetsrisk, och dels ska det b) inte vara från en avsändare som man tidigare själv har skickat mail till.

2. Fråga användaren vem avsändaren är.
Ifall användaren försöker klicka på en länk eller bilaga i ett sådant email så måste de först identifiera vad för slags avsändare det är. Det kommer alltså upp en liten ruta där det står:

Denna avsändare är okänd, vilket kan vara en indikation på spam eller nätfiske. Om du tror mailet är trovärdig, vänligen identifiera vilken typ av avsändare det är.

- Kollega eller affärsrelation
- Vän eller familj
Företag eller nyhetsbrev
- Vet inte vem avsändaren är
- Detta är spam eller nätfiske

3. Testa om användaren kan känna igen avsändarens adress. 
Om användaren inte redan markerat mailet som nätfiske så testas de på om de kan identifiera avsändarens email. Några adresser som liknar avsändaren genereras, och man ombeds sedan att välja den rätta. Rutan på skärmen kommer se ut ungefär så här:

Trovärdiga avsändare är ofta lätta att identifiera. Kan du identifiera vilken av följande adresser som är den riktiga avsändaren?

- anders.johansson@­banken.se
- a.johansson.banken@­gmail.com
- adam.johansson.banken@­gmail.com
- adam.johansson@­banken.nu
- anders@­johansson.com

Nudge mot nätfiske
Illustration av hur nudgen kan se ut.

För många mail med nätfiske så framgår det att mailet är en bluff redan när man ser adressen, då avsändaren angett ett namn i fritext som inte hänger ihop med adressen. För adresser som verkar trovärdiga ändå så blir användaren uppmärksam på att man faktiskt inte har koll på avsändaren, eftersom man förmodligen tvekar på vilken adressen är. Även den som väljer rätt adress kommer vara mer uppmärksam på att avsändaren kan vara suspekt och kommer granska mailet närmare.

Efter frågorna har användaren möjlighet att välja att öppna länkar och bilagor ändå, och i många fall kommer det vara för att mailet är säkert. Förmodligen kan ändå denna nudge stoppa en betydande del av det nätfiske som sker idag, och exakt hur mycket går att testa och mäta. Vissa virus kan slinka igenom trots att man gjort användaren mer uppmärksam, men då är det i vilket fall inte bristen på fokus som är problemet längre.

Finalen i Erhvervsstyrelsens cybersäkerhetstävling sker i Köpenhamn onsdag 13 december 15:00-17:00 och går att besöka. Biljetter är gratis på Eventbrite.

1. Sciutto, J. (2017, June 28). How one typo helped let Russian hackers in. CNN. Retrieved December 11, 2017, from http://edition.cnn.com/2017/­06/27/politics/russia-dnc-hacking-csr/index.html

Nobelpris­tagarens insats

Med Richard Thaler gjorde ekonomin en resa från tro till vetenskap.

Av CHRISTIAN GÜNTHER-HANSSEN

2017-12-06

Richard Thaler är ett av de absolut största namnen inom beteendekonomi just nu, och han har ett flertal upptäckter som han kan skryta med. Ett exempel är besittningseffekten, som gör att vi övervärderar saker vi själva äger. Ett annat är mental bokföring, som gör att vi ser 1000 kr i lottovinst som en annan sorts pengar än 1000 kr från matbudgeten. Anledningen att Thaler fått priset är en hygglig lista med den typen av beteendeekonomiska upptäckter. De visar att människor beter sig som människor och inte som ekonomer.

Om man läst media i samband med att Thaler fått ekonomipriset till Alfred Nobels minne så kan man få intrycket att det är hela bilden av Thalers arbete. Det finns dock lite att tillägga. Thaler hade med ett finger i spelet när beteendeekonomin lämnade universitetens korridorer och kom ut i den riktiga världen. Inte minst har vi hela konceptet om nudgning, som populariserades med boken Nudge som han skrev tillsammans med Cass Sunstein. Dessutom dök Thaler upp på ett hörn när rigorösa beteendeinsatser kom igång med Storbritanniens Behavioural Insights Team, kallad Nudge Unit. Det satte ordentlig fart på appliceringen av de insikter beteendeekonomin kommit fram till. Thaler har alltså inte legat på latsidan.

Men det finns mer än så. Tar man lite längre perspektiv så har Thaler faktiskt bidragit till förändra och förbättra hur hela ämnet ekonomi fungerar. Iallafall om man får tro honom själv när han skriver om detta i sin bok Misbehaving1, som är hans professionella självbiografi. Han var där när det hände, när beteendeekonomerna gjorde ekonomi till en vetenskap.

Richard Thaler
Richard Thaler.
llustration: Niklas Elmehed. Copyright: Nobel Media AB 2017

Traditionellt så levde ekonomer gärna i föreställningen att de var på samma nivå som fysiker, och byggde därför sitt arbete på användandet av matematiska formler och figurer. Dessa formler förklarade närmast exakt hur ekonomi fungerar under vissa givna förutsättningar. Tyvärr byggde en av dessa förutsättningar på ett antagande som man aldrig testat så noga. Detta antagande var att folk är rationella, nyttomaximerande och konsekventa i alla lägen, den så kallade ekonomiska människan Homo Economicus. Att detta bara var ett antagande tyckte ekonomerna var en oviktig detalj som i värsta fall kunde orsaka lite effekter på marginalen. I själva verket betydde det att det inte alls gick att jämföra sig med fysiker. Istället för Newton var man mer som kyrkoprästen som genom att använda Bibelns ord och övertygande stämma kunde visa att solen snurrar runt jorden. Matematiska formler till trots gjorde detta att ekonomi hade mer gemensamt med filosofi än vetenskap.

Beteendeekonomernas intåg satte de gamla sanningarna i gungning. De lade fram avvikelse efter avvikelse från föreställningen att världen kretsar kring Homo Economicus. Under lång tid debatterade man hårt om dessa avvikelser var betydande, mätbara och relevanta. Thaler var med när denna strid utkämpades. Exempelvis var hans besittningseffekt en av de betydande avvikelserna som motbevisade den traditionella modellen. Hans jobbade så länge mot det ekonomiska etablissemanget att han beklagar sig i slutet sin bok att han inte kan det längre eftersom det gamla etablissemanget nu är borta. Avvikelserna var tillräckliga för att förkasta de gamla antagandena och bli etablerad sanning. Sanning byggt på empiriskt bevis denna gång och inte antaganden. Ekonomiämnet är idag i allt större grad vetenskap istället för filosofi.

Medalj för nobelpris
Medaljdesign: Erik Lindberg. Foto: Adam Baker.

Nu är det förstås så att de flesta beteendeekonomer som varit med så länge som Thaler har bidragit till detta. Det är heller inte första gången en beteendeekonom får priset. Robert Schiller som fick delade priset 2013 har jobbat med beteendefinans, och det är redan 15 år sedan Daniel Kahneman fick priset för att ha satt igång hela beteendeekonomin till att börja med.2 Framför allt fick de så klart priset för sina insatser i att forma beteendeekonomin, men samtidigt är vetenskapens intåg in i ekonomin inte något som har gått Nobelkommitén förbi.

Faktum är att Kahneman inte fick priset själv, utan han delade den med Vernon Smith. Det intressanta med Vernon Smith är att han inte är beteendeekonom. Istället så var det han som började med att testa och mäta saker inom ekonomin genom att använda experiment. Experimentell ekonomi är inte nödvändigtvis beteendeekonomi, även om de passar bra ihop, och Smith började med detta redan innan beteendeekonomin kom igång. Att dessa två förkämpar för en vetenskaplig metod inom ekonomin fick priset tillsammans är knappast en tillfällighet.

Thalers är alltså inte den första av vetenskapens förkämpar inom ekonomin som får Nobelpris, men det innebär inte att insatsen inte varit betydande. Jag är övertygad om att fler beteendeekonomer kommer få priset i framtiden får stora upptäckter. Däremot är jag inte säker på att de kommer ha haft samma betydelse för den vetenskapliga metoden i sig. Thaler är på det viset möjligtvis den sista.

Richard Thalers nobelföreläsning hålls fredag 8 december klockan 14.00 i Aula Magna på Stockholms Universitet.

1. Thaler, R. H. (2015). Misbehaving: The making of behavioral economics. WW Norton & Company.

2. Den uppmärksamme läsaren av Misbehaving märker att det är två personer Thaler ser till att nämna extra familjärt. Det är Nobelpristagarna.  Robert Schiller kallar han ”Bob” och Daniel Kahneman är helt enkelt ”Danny”.

Recension av Beteendedesign

En lättillgänglig introduktion för den som vill lära sig mer om beteendefrågor.

Av CHRISTIAN GÜNTHER-HANSSEN

2017-11-27

Boken Beteendedesign täcks av ett omslag med en mängd bananer på. Inspirationen till detta kommer från en Ica-handlare i Stockholm som med insikt i hur man kan använda beteendedesign inte presenterade alternativen bland bananlådorna som bananer och ekologiska bananer utan som besprutade bananer och ekologiska bananer. Presentationen av bananerna ändrade kundernas uppfattning av värdet till sådan grad att handlaren upplevde att efterfrågan blev så svag att han tog bort de vanliga bananerna. Det är ett exempel på en enkel åtgärd med betydande beteenderesultat, och i Beteendedesign är det sannerligen inte den enda. Från sätt att hantera sin email till att sälja ekonomiska tidskrifter så är boken en resa i hög takt från exempel till exempel på hur man använder kunskap om beteenden för att få bra resultat.

Författarna Arvid Jansson och Niklas Laninge har tidigare jobbat på företag och med projekt som använt beteendeinsikter i sitt arbete. Arvid Jansson var trots sin ingenjörsbakgrund med och grundade Psykologifabriken, som sedan 2008 tagit ut psykologin till näringslivet. Niklas Laninge har bland annat grundat Daily Bits Of, vilket är en tjänst som med förståelse för beteenden ordnar kurser via email som är uppdelade i små hanterbara delar. Det finns en minikurs om nudging på plattformen.

Det är tydligt att deras syfte med boken är att förklara detta beteendeinriktade arbetssätt för en bredare publik. Det gäller i synnerhet de inom företag och organisationer som har intresse för beteenden bland medarbetare eller kunder. Boken är uppbyggd som en introduktion till de många insikter man kommit fram till inom framför allt beteendekonomin. Angreppssättet är lite om mycket, vilket ger en bekantskap med stora delar av vad beteendefältet handlar om, om än som hastigast. Allting förklaras med hjälp av lämpliga exempel eller anekdoter, vilket gör det lätt att förstå poängen. Till sin hjälp har läsaren också en sammanfattning i slutet av varje kapitel. Det ger en ganska bra förståelse av vad beteendedesign är och hur man tänker när man har med beteenden att göra. Som läsare kan man få flera uppslag på saker man kan vilja testa själv när man läst igenom boken.

Omslaget till Beteendedesign, ämnets första svenska bok.

Beteendedesign är den första bok som på allvar förklarar ämnet till en svensk publik, vilket helt klart är dess främsta merit. Bokens lättillgänglighet blir därför en ännu större tillgång eftersom det ökar chansen att fler läser och tar till sig budskapet.

Samtidigt är Beteendedesign inte en bok som man bör använda som referens om man fördjupa sin förståelse ytterligare efter att ha läst den. Detta är bokens främsta brist med tanke på att den kommer vara mångas första möte med ämnet. Den läsare som efter flera månader vill gå tillbaka och läsa om en specifik del har svårt att göra det eftersom det inte finns något register, så om det inte var ett helt kapitel man letade efter går det inte att hitta.

Den som vill följa upp ett intressant spår från texten har också svårt att göra det eftersom boken saknar källhänvisning. Det finns visserligen referenser, en handfull per kapitel, men långt ifrån det som krävs för att följa upp påståenden. För ett ämne med så mycket att tacka ett noggrant vetenskapligt arbetssätt klingar bristen på källhänvisning illa. Risken är att fel och missförstånd slinker igenom, och några mindre felaktigheter och udda förklarade koncept dök också upp nån gång ibland.  Alla de rutor med verkliga och slagkraftiga exempel som finns överallt i boken är av den typen som lätt blir lånade av andra som vill göra samma poäng i framtiden, och då hade det varit väldigt bra med källor, men de saknas för så gott som samtliga.

För de flesta läsare gör bristen på källor så klart ingen skillnad, och är absolut inget som hindrar den som vill läsa sin första beteendeinriktade bok. Då är det viktigare att boken på ett föredömligt sätt ser till att ge en balanserad bild av vad beteendedesign kan göra. Valen av exemplen i boken undviker tendensen att bara ta snälla exempel som är till nytta för samhälle och individ. Istället balanserar Beteendedesign hur man kan öka sparande med cyniska fall som lotteriverksamheter som försöker sätta folk i spelberoende. Man behöver inte vara expert på beteenden för att förstå att metoderna har dubbla eggar, och att tydligt förklara att det är på det viset ökar förmodligen bokens trovärdighet hos läsarna. Det hedrar författarna att inte alltid förklara sitt fält som rosenskimrande, och att det är en viktig poäng att uppmärksamma riskerna.

Överlag är Beteendedesign alltså en utmärkt bok att börja utforska beteendeekonomi och relaterade ämnen med.

Laninge, N. & Jansson A. (2017). Beteendedesign: Psykologin som förändrar tankar, känslor och handlingar. Natur & Kultur.

Illusionen om Cogito

Credo Ergo Sum: Jag tror, alltså finns jag.

Av CHRISTIAN GÜNTHER-HANSSEN

2017-11-22

Det finns en populär illusion i samhället. Det är illusionen om Cogito, eller illusionen om rationalitet. Föreställningen att folk går runt och gör väl avvägda beslut grundade i deras väldefinierade intressen och värderingar. Föreställningen att deras beslut är konsekventa i alla lägen.  Föreställningen att man är rationell.

Man upplever inte nödvändigtvis att denna illusion är så vanlig. De flesta har väl stött på tillräckligt med irrationellt folk för att komma fram till att rationalitet inte är ett allomfattande drag hos alla. Du kanske är villig att själv erkänna att du inte är rationell i alla lägen. Du kanske vet med dig att även du faller för till exempel impulsköp i mataffären. Men helt ärligt, om jag skulle fråga dig där och då varför du precis köpt en stor påse chip, skulle du svara att chipspåsens starka glada färger och placering nära kassan fick dig att plocka med den, eller skulle du säga att du var sugen på chips och tänkte äta dem när du tittar på en film ikväll?

Jag är villig att påstå att du, och i stort sett alla andra, skulle svara något i stil med det senare, rationella svaret. Förmodligen är det snarare det irrationella svaret som stämmer. Illusionen om Cogito är nämligen lömsk på det viset att när man diskuterar rationalitet så är det självklart att folk inte beter sig så, men när det kommer till kritan så hänger vi fast vid illusionen som om den vore fundamental i hur världen fungerar. Det är inte bra, för det gör att vi misstolkar vår omvärld.

Illusionen kan spåras långt tillbaka i västerländsk världsåskådning. René Descartes, den moderna filosofins fader, har haft del i detta. Descartes ansåg att det rationella tänkandet var grunden på vilken all kunskap vilade1, i kontrast till att förlita sig på gamla skrifter från antika Grekland och Bibeln. Descartes tyckte inte att det gick att lita på dessa skrifter; han tyckte inte ens att man riktigt kan lita på sina egna sinnen. Hur vet du att dina sinnesintryck inte bara är skapade av en demon eller dylikt? I slutändan så finns det enligt Descartes endast en enda säker slutsats:

Cogito Ergo Sum

Jag tänker, alltså finns jag.2 Tanken bakom denna slutsats är lika elegant som simpel. Någon som inte finns kan heller inte ifrågasätta sin egen existens, och om man då reflekterar över sin egen existens så finns man. Ifall man finns fysiskt eller inte är svårare att veta, men ditt medvetande finns iallafall.

Så långt håller jag faktiskt med Descartes. Argumentet är i stort sett vattentätt. Jag har bara en invändning. Jag invänder mot Cogito, vilket är latin för att tänka, reflektera, resonera logiskt. Som sagt så är vi människor ganska bristfälliga på den fronten. Det borde istället vara Credo, att tro. Slutsatsen fungerar precis lika bra om man inte har tänkt igenom den alls, utan bara fick den berättad av Descartes och sedan tror på den. Om man tror att man finns, och sådant som inte finns inte kan tro att de finns, ja då finns man. Låter som nästan samma sak kan man tycka, men det blir faktiskt skillnad.

Portrait of Descartes
René Descartes

Descartes är själv ett exempel på varför det borde vara Credo och inte Cogito. Han ansåg att han kunde använda sitt Cogito för att dra ytterligre slutsatser om världen där ute. Framför allt var han djupt troende katolik och ville kunna basera sin tro på logisk argumentation. Därför tog han sin slutsats Cogito Ergo Sum, och under illusionen om Cogito drog han slutsatsen att eftersom han alls inte kunde föreställa sig att den perfekta guden inte skulle finnas, så måste Gud finnas.3 Man behöver inte vara ateist för att se att det beviset knappast var vattentätt och att det främst är Descartes tro som lyser igenom. Han borde verkligen sagt Credo Ergo Sum.

Illusionen om Cogito har varit omfattande på många håll sedan Descartes, men sällan så genomgående som i klassisk ekonomi. Där antog man inte bara att man själv som akademiker var rationell, utan även att folk i allmänhet var det. Hela tiden. Föga förvånande så avvek den verkliga världen från modellerna man byggde. Först när man stoppade in beteenden i modellerna och skapade beteendeekonomi blev det bättre. Beteendeekonomi är därför det fält som inte bara gick in och förklarade varför folk beter sig som de faktiskt gör, utan också det fält som på allvar tog itu med illusionen om Cogito.

Faktum är att det tog decennier innan klassisk ekonomi accepterades som otillräcklig. Det är först på senare tid som insikter att man måste tänka i beteenden, impulser och i Credo snarare än i illusioner om Cogito har börjat gå ut på ett bredare sätt.

Det är denna breddning av insikten om Cogitos otillräcklighet och Credos nominans som är där denna hemsida kommer in. Den ska tydliggöra exempel och principer på hur beteenden fungerar både i ekonomiska lägen som i övriga sammanhang. Den ska förklara olika åtgärder man kan använda i sammanhang där man vill förstå och påverka beteenden. Den ska utmana illusionen om Cogito där den finns kvar och skapa en förklaring som kombinerar både Cogito och Credo.

1. Scruton, R. (1995). A short history of modern philosophy: From Descartes to Wittgenstein. 2nd ed. Routledge. p.22

2. Descartes, R., Miller, V. R., & Miller, R. P. (1991). Principles of philosophy. Dordrecht : Kluwer, cop. p.5

3. Kenny, A. (2006). An illustrated brief history of Western philosophy. Oxford : Blackwell. p.211