Tre vägar till cyberresiliens : En kvalitativ studie om hur organisationer struktureras för att bemöta det ökade cyberhotet

Birge, Linn, Jakobsson, Klara

January 2023

Med dagens tekniska utveckling har hotbilden kring cyberattacker ökat, vilket gör att företag söker strategier och lösningar för att uppnå ökad resiliens. Studien undersöker således hur organisationer, med utgångspunkt i risk- och krishantering, organiserar samt strukturerar sig för att uppnå ökad cybersäkerhet och följaktligen resiliens mot cyberattacker, det studien benämner cyberresiliens. Genom identifiering och analys av faktorer, vilka bidrar till cyberresiliens, identifieras tre huvudvägar företag kan ta för ökad cyberresiliens: organisatoriska strukturer, rollfördelning och strukturerade arbetsprocesser, vilka utgör studiens analysmodell. Studien bygger på en kvalitativ ansats vilken grundar sig i semistrukturerade intervjuer med konsulter inom cybersäkerhetsområdet. Resultatet indikerar genom studerande av de tre vägarna att risk- och krishanteringselement används för att uppnå ökad cyberresiliens. Dock upptäcks brister i det proaktiva arbetet och decentraliseringsprocesser, vilka förhindrar effektivt arbete och mynnar ut i den övergripande slutsatsen att en integration av fler anställda behöver ske för att skapa mer medvetna organisationer för ökad cyberresiliens.

cyberresiliens

riskhantering

krishantering

cybersäkerhet

organisatorisk resiliens

Business Administration

Företagsekonomi

Har du rätt verktyg i verkygslådan? : Verktyg för att förbättra cybersäkerhet hos små till medelstora företag

Huang Karlsson, Stephanie, Beskow, Fabian

January 2024

This study has examined how self-assessment and improvement tools for cybersecurity should be designed with a special focus on small to medium-sized enterprises (SME). This has resulted in the development of a new and innovative tool, presented in the study, to better address the specific limitations and needs of the target group. By analyzing existing tools such as MSB’s Infosäkkollen and conducting interviews with the target group, key insights and shortcomings of already existing tools were identified. The study emphasizes the importance of flexibility, simplicity, and practical usability in the design of the tool. SME currently make up 99.9% of all companies in Sweden and 96% of the workforce. To improve cyber resilience in Swedish society, it is of utmost importance that all companies, regardless of size, have access to the tools and resources required to effectively enhance their security. The developed tool aims to bridge the gap between existing tools and the needs of the target group, thus contributing to improved cybersecurity resilience within the Swedish business landscape. / Denna studie har undersökt hur verktyg för självskattning och förbättring av cybersäkerhet bör utformas med speciell inriktning mot målgruppen små till medelstora företag (SME). Detta har resulterat i utvecklingen av ett nytt och innovativt verktyg, som presenteras i studien, för att bättre bemöta målgruppens specifika begränsningar och behov. Genom analys av befintliga verktyg som MSB:s Infosäkkollen och intervjuer med målgruppen, identifierades viktiga insikter och brister hos redan existerande verktyg. Studien betonar vikten av flexibilitet, enkelhet och praktisk användbarhet vid utformningen av verktyget. SME utgör idag 99.9% av alla företag i Sverige och 96% av arbetskraften. För att förbättra cyberresiliensen i det svenska samhället är det av yttersta vikt att alla företag, oavsett storlek, ges tillgång till de verktyg och resurser som krävs för att effektivt höja deras säkerhet. Det utvecklade verktyget syftar till att minska gapet mellan befintliga verktyg och målgruppens behov och bidrar således till förbättrad cybersäkerhetsresiliens inom den svenska näringslivsarenan.

Cybersäkerhet

Informationssäkerhet

IT-säkerhet

Småföretag

Små till medelstora företag

SME

Infosäkkollen

Verktyg

Självskattning

Cyberresiliens

Computer and Information Sciences

Data- och informationsvetenskap

Digital säkerhet i tillverkningssektorn : En kvalitativ studie om EU:s Cyber Resilience Act och tillverkningsföretags arbete med säkerhetsluckor i produkter med digitala element. / Digital security in the manufacturing sector : A qualitative study on the EU:s Cyber Resilience Act and manufacturing companies' work with security gaps in products with digital elements.

Ivarsson, Jens, Malmström, David

January 2024

Produkter med digitala element utsätts alltmer frekvent för framgångsrika cyberattacker och därmed har EU introducerat Cyber Resilience Act. Förordningen har blivit godkänd och förväntas träda i kraft under 2024, men tillverkningsföretagen behöver inte uppfylla kraven förrän 2027. Det huvudsakliga kravet i förordningen är att tillverkningsföretag inte får ha några kända säkerhetsluckor i produkter med digitala element. Denna studie, Digital säkerhet i tillverkningssektorn, undersöker hur tillverkningsföretag förhåller sig till förordningen samt hur tillverkningsföretag förebygger, identifierar och hanterar säkerhetsluckor i produkter med digitala element. En kvalitativ metod genomfördes där nio respondenter intervjuades. Studien Digital säkerhet i tillverkningssektorn visar att tillverkningsföretagens förhållningssätt gentemot förordningen baseras på mognad och medvetenhet. Penetrationstest, sårbarhetshantering och patchhantering är de främsta metoderna som används för att förebygga, identifiera och hantera säkerhetsluckor. Människans kunskap är viktig för att skapa cyberresiliens, men varierar utifrån hur avancerad tekniken är i företaget och hur mycket mänsklig expertis som finns inom området. / Products with digital elements are increasingly subject to successful cyber attacks and with that the EU has introduced the Cyber Resilience Act. The regulation has been approved and is expected to enter into force in 2024, but the manufacturing companies do not have to meet the requirements until 2027. The main requirement of the regulation is that manufacturing companies must not have any known security gaps in products with digital elements. This study, Digital security in the manufacturing sector, examines how manufacturing companies relate to the regulation and how manufacturing companies prevent, identify and manage security gaps in products with digital elements. A qualitative method was carried out where nine respondents were interviewed. The study Digital security in the manufacturing sector shows that the manufacturing companies' approach to the regulation is primarily based on their maturity and awareness. Penetration testing, vulnerability management, and patch management are the main methods used to prevent, identify and manage security gaps. Human knowledge is important for creating cyber resilience, but varies based on how advanced the technology is in a company and how much human expertise there is within the field.

Cyber Resilience Act

Cyber Resilience

Security gap

Socio-technical perspective

Manufacturing companies

Cyber Resilience Act

Cyberresiliens

Säkerhetsluckor

Sociotekniskt perspektiv

Tillverkningsföretag

Information Systems