Nulägesanalys om gymnasieelevers kunskap och förhållningssätt kring IT-säkerhet och hur lärare undervisar inom ämnet / Analysis of the current situation regarding high school students' knowledge and attitudes towards IT security, as well as how teachers are teaching the subject

Karlsson, Andreas, Brifelt, Linus

January 2023

Ungdomar börjar använda internet vid allt yngre åldrar: 99 % av ungdomar i åldersspannet 8 till 19 år använder internet på en daglig basis. Samtidigt som informationsflödet ökar så medför detta även bieffekter där ungdomar numera i allt större utsträckning sparar och laddar upp information om sig själva mer frekvent på internet. Samtidigt som användandet ökat privat har även många skolor i Sverige valt att nästan helt övergå från penna och papper till en mer digitaliserad utbildningsmetod. Detta har dock fört med sig vissa risker när det kommer till IT-säkerhet. Exempel på sådana risker kan vara obehörig åtkomst till data, dataintrång eller förlust av information på grund av tekniska fel eller bristfälliga säkerhetsåtgärder. Detta blev extra tydligt under covid-19-pandemin då utbildning övergick till distansundervisning samtidigt som cyberbrotten ökade i allmänhet, och mot utbildningssektorn i synnerhet. Denna studie har till syfte att undersöka kunskapsnivån och förhållningssätt hos tredjeårselever på gymnasieskolor runt om i Skaraborg inom området IT-säkerhet och samtidigt kartlägga behovet och intresset för utbildning inom ämnet. Studien har med hjälp av enkätundersökningar mot elever och semistrukturerade intervjuer med lärare kommit fram till att det finns ett tydligt behov av utbildning inom IT-säkerhet bland ungdomar på gymnasieskolorna i Skaraborg, samtidigt som lärarna menar på att ämnet ofta faller undan i klassrummet. Resultatet visar att både elever och lärare ser positivt på att inkludera ämnet i ordinarie gymnasieutbildning för att stärka kunskaper och medvetenhet om IT-säkerhetens betydelse. / Young people are starting to use the internet at increasingly younger ages, with 99 % of individuals aged 8 to 19 using the internet on a daily basis. As the flow of information increases, this also brings about side effects where young people are now more frequently saving and uploading personal information about themselves on the internet. Moreover, as schools in Sweden have chosen to almost completely transition from pen and paper to a more digitized form of education, the need for IT security skills among young people has become increasingly important. This became particularly evident during the covid-19 pandemic when education shifted to remote learning and cybercrimes saw a general increase, particularly attacks against the education sector. The purpose of this study was to examine the level of knowledge and attitudes among third[1]year students in high schools across Skaraborg regarding IT security and simultaneously assess the need and interest for education around this subject. Through surveys conducted among students and semi-structured interviews with teachers, the study concludes that there is a clear need for education in IT security among young people in high schools in Skaraborg, while teachers argue that the subject often takes a back seat in the classroom. The results show that both students and teachers view the inclusion of this subject in regular high school education positively to strengthen knowledge and awareness of the importance of IT security.

IT security

cybersecurity

school

students

teachers

education

IT-säkerhet

cybersäkerhet

skola

elever

lärare

utbildning

Information Systems, Social aspects

Artificell intelligens inom cybersäkerhet : En studie av den svenska banksektorn / Artificial intelligence in cybersecurity : A study of the swedish banking sector

Ferlander, Ludvig, Gustavsson, Linus

January 2024

In an increasingly digitalized society, the cyber threats faced by banks have become more extensive and complex. At the same time, artificial intelligence has developed into a powerful and disruptive technology that can be used to strengthen cybersecurity and counter financial crime, among other things. The purpose of the study was to map how Swedish banks use AI to counteract cyber threats and financial crime, and what benefits and challenges this entails. The study is based on four qualitative interviews with bank officials specialized in cybersecurity or financial crime. The Technology-Organization-Environment framework is used to analyze the challenges and factors affecting the use of AI. The results show that AI models are used for several security purposes, such as preventing DDoS attacks, malware detection and identifying signs of financial crime. The main benefits of AI are the ability to analyze large amounts of data in real time and to identify patterns and anomalies that are difficult for the human eye to see. However, there are a number of challenges for Swedish banks in the adoption and use of AI related to regulation, ethics and competence.

Artificiell intelligens (AI)

cybersäkerhet

ekonomisk brottslighet

bank

Information Systems, Social aspects

IT security expert’s perceptions of cybersecurity when working remotely compared to working in the office : A quality study on Swedish insurance companies / IT-säkerhetsexperters uppfattningar om cybersäkerhet vid distansarbete jämfört med arbete på kontoret : En kvalitativ studie på svenska försäkringsbolag

Kullander, Kristoffer, Cselenyi, Mathilda

January 2024

Teleworking has become a significant aspect of working life, especially after the outbreak of the COVID-19 pandemic, which accelerated the trend of teleworking. However, this shift has increased the risk of cyber threats and security risks. Despite organizations' efforts to strengthen cybersecurity, a significant risk remains, with employees posing one of the main security risks in the form of human error and mistakes. Previous research highlights that employees tend to exhibit lower levels of cybersecurity awareness and are more likely to perform riskful actions when working remotely compared to working in the office. However, recent research has shown the opposite, where employees are more conscious of cybersecurity awareness and more likely to apply security-based precaution measures during remote work compared to office work. In light of these research findings, this study focuses on examining how IT-security experts perceive cybersecurity when working remotely compared to working in the office. To explore this, the study has, through qualitative mapping, conducted semi-structured interviews with a theoretical basis in Protection Motivation Theory (PMT). Overall, the study showed that IT- security experts perceive cybersecurity as more manageable when working in the office compared to remote work, with an increased awareness of the importance of the human factor. / Distansarbete har blivit en betydande aspekt av arbetslivet, särskilt efter utbrottet av Covid-19- pandemin, vilket accelererade trenden med distansarbete. Denna omställning har emellertid ökat risken för cyberhot och säkerhetsrisker. Trots organisationers insatser för att stärka cybersäkerheten kvarstår en betydande risk, då anställda utgör en av de främsta säkerhetsriskerna i form av mänskliga fel och misstag. Tidigare forskning framhäver att anställda ofta är mindre säkerhetsmedvetna och mer benägna att utföra riskfyllda handlingar när de arbetar på distans jämfört med arbete på kontoret. Däremot har senare forskning visat motsatsen, där anställda är mer säkerhetsmedvetna och mer benägna att vidta säkerhetsåtgärder under distansarbete jämfört med arbete på kontoret. Mot bakgrund till dessa forskningsresultat, fokuserar denna studie på att undersöka hur IT-säkerhetsexperter uppfattar cybersäkerhet vid distansarbete jämfört med arbete på kontoret. För att utforska detta har studien, genom kvalitativ kartläggning, genomfört semistrukturerade intervjuer med teoretisk grund i Protection Motivation Theory (PMT). Sammantaget visade studien på att IT-säkerhetsexperter uppfattar cybersäkerhet som mer hanterbar vid arbete på kontoret jämfört med distansarbete, med en ökad medvetenhet om den mänskliga faktorns betydelse.

Cyber security

cyber threats

cybersecurity awareness

remote work

Protection Motivation Theory

Cybersäkerhet

cyberhot

säkerhetsmedvetenhet

distansarbete

Protection Motivation Theory

Information Systems

The Impact of AI on Banks' Risk Management Approach : A qualitative study on the effects of AI in the banking sector from a holistic perspective / Effekten av AI på Bankers Riskhantering : En kvalitativ studie om inverkan av AI på banksektorn från ett helhetsperspektiv

Khailtash, Dariush, Lindqvist, Pontus

January 2022

The banking sector is experiencing the rise of several new types of innovations and trends. For instance, increased use of Artificial Intelligence (AI) to streamline day-to-day activities. These trends are, e.g., influenced by an increased frequency of cyber attacks, the emergence of newly proposed regulations such as DORA and the AI Act, and the improving computational capabilities of AI-driven systems. The full impact these trends will have on the sector is yet to be realized. The sector is diverse and deeply integrated within society, meaning that it is critical to understand how actors mitigate the risks associated with the implementation of AI. This study analyzes how organizations can mitigate the risks involved with this implementation and how it affects the risk management process. To examine the implementation of AI in the banking sector, the study conducted semi-structured interviews with twelve respondents with expertise in AI, security, or the banking sector. The study used two theoretical frameworks to analyze the data. The first framework, the Dynamic Risk Management Framework, was used to analyze changes in the risk management process based on its unique position within society. The second framework, the Multi-Level Perspective, gave the study a holistic understanding of the impact of AI as a driver of a socio-technical shift. The results show that the implementation of AI leads to a set of new risks. These risks are primarily organizational and regulatory and will lead to a revision in how actors classify risks. The constant evolution of AI also means that products must be reviewed periodically, changing how actors view the risk management process. Additionally, the results identify a lack of knowledge regarding both AI and security within the sector. Consequently, the organization will have to change its structure to accommodate interactions between different competencies. To succeed in implementing AI, meet the regulatory demands and mitigate unintended bias when developing AI, the study concludes that these competencies must create a shared terminology to communicate efficiently. In conclusion, the study contributes to a growing field regarding business applications of AI by creating a holistic understanding of aspects impacting the risk management process in banking. The findings result in a series of recommended actions for organizations that aim to implement AI in their businesses. Further research is recommended to understand the long-term effects of these actions. Future in depth analyses could validate the results of this study and further investigate the development of AI as a business tool. / Banksektorn upplever en uppåtgående trend när det kommer till användandet av innovation. Ett exempel på detta är användningen av artificiell intelligens (AI) för att effektivisera bankens dagliga aktiviteter. Denna trend beror på flertalet olika faktorer, bland annat den ökade frekvensen av cyberattacker mot bankaktörer, de nya föreslagna förordningarna DORA och AI Act, och att AI-drivna systems kapacitet förbättras. Däremot har inte effekten av AI på sektorn ännu realiserats till fullo. Banksektorn har en unik position i samhället och dess aktörer har många olika utmaningar, vilket innebär att det är avgörande att förstå hur aktörerna hanterar de risker som uppstår i samband med implementeringen av AI. Denna studie analyserar hur organisationer kan minska riskerna med denna implementering och hur AI påverkar riskhanteringsprocessen. För att undersöka implementeringen har studien genomfört semistrukturerade intervjuer med tolv intervjuobjekt med expertis inom AI, säkerhet eller banksektorn. För att analysera den framtagna datan har studien använt två teoretiska ramverk. Det första ramverket, som kallas Dynamic Risk Management Framework, användes för att analysera förändringar i riskhanteringsprocessen med tanke på banksektorns unika position i samhället. Det andra ramverket, som kallas Multi-Level Perspective, undersökte AI som en drivkraft mot ett sociotekniskt skifte och gav därmed studien en helhetsbildav effekten av AI. Resultaten visar att implementeringen av AI leder till en rad nya risker. Dessa risker är i första hand organisatoriska och regulatoriska. Då dessa är relativt nya, måste organisationer se över hur de klassificerar risker. AI utvecklas kontinuerligt, vilket innebär att produkterna och deras effekt måste ses över regelbundet. Dessutom identifierar resultaten en brist på kunskap om både AI och säkerhet inom banksektorn. För att tillgodose nya kompetenser och underlätta interaktionerna mot existerande kompetenser kommer organisationer behöva struktureras om. Studien drar slutsatsen att en lyckad AI implementering, där de regulatoriska kraven möts och utveckling av AI är fri från oavsiktliga fördomar och diskriminering, kräver en rad förändringar. Organisationen måste kunna kommunicera effektivt, vilket kräver att alla pratar samma språk och använder samma terminologi. Sammanfattningsvis bidrar studien till ett växande akademiskt område gällande affärstillämpningar av AI genom att skapa en helhetsbild över vilka aspekter som påverkar riskhanteringsprocessen inom bankverksamhet. Denna summering har resulterat i en rad åtgärder verksamheter som strävar efter att implementera AI rekommenderas att ta. Framtida studier rekommenderas däremot att undersöka de långsiktiga effekterna av dessa åtgärder. Genom att utföra djupgående analyser kanframtida studier inte bara validera denna studies resultat, de kan också förbättra förståelsen för hur AI som ett affärsverktyg kan komma att utvecklas.

AI

The Bank Sector

Multi-Level Perspective

Risk Management

Cybersecurity

AI

Banksektorn

Multi-Level Perspective

Riskhantering

Cybersäkerhet

Other Engineering and Technologies

Annan teknik

Economics and Business

Ekonomi och näringsliv

Environmentally aware vulnerability prioritisation within large networks : A proposed novel method

Lenander, Marcus, Tigerström, Jakob

January 2022

Background. Software vulnerabilities are a constant threat to organisations, businesses, and individuals. Keeping all devices patched from security software vulnerabilities is complex and time-consuming. Companies must use resources efficiently to ensure that the most severe security vulnerability is prioritised first. Today’s state-of-the-art prioritisation method only relies on the severity of the vulnerability without its environmental context. We propose a novel method that automatically prioritises the vulnerabilities in a device based on its environmental information, such as role and criticality. Objectives. This thesis aims to analyse to what extent vulnerabilities can be prioritised based on the environmental information of the device. Furthermore, we investigate the possibility of automatically estimating the role and criticality of a device and to what extent they can more accurately reflect the severity of the vulnerabilities present in the device. Methods. The proposed novel method uses environmental information found by a vulnerability scanner. Based on this information, the method estimates the role of the device. The role is then used by the method to estimate the criticality of the device. Based on the criticality and environmental information, a new vulnerability score is calculated for each vulnerability, and the list is reprioritised based on the latest score. We further apply an experimental study to analyse the assessment of the method against experts' assessment. Results. The experimental study indicates that the method performs slightly better than the state-of-the-art method. The proposed novel method estimated the primary role with an accuracy of 100% and the secondary role with an accuracy of 71.4%. The method's criticality assessment has a moderate agreement with the experts' criticality assessment. Overall, the method's reprioritised vulnerability lists correlate almost perfectly with the experts' vulnerability lists. Conclusions. Considering the environmental information during the prioritisation of vulnerabilities is beneficial. We find that our method performs slightly better than the state-of-the-art method. The proposed method needs further improvements to give a better criticality estimation. However, more research is required to claim that system administrators could benefit from using the proposed method when prioritising vulnerabilities. / Bakgrund. Sårbarheter i programvara är ett konstant hot mot organisationer och företag såväl som till privatpersoner. Att se till att enheterna är säkra är en komplex och tidskrävande uppgift. Det är därför viktigt att prioritera den tiden som finns dit där den gör mest nytta, det vill säga att åtgärda den allvarligaste sårbarheten först. Den allra bästa sårbarheter prioriterings metoden baseras på allvarlighetsgraden utan att ta hänsyn till sårbarhetens miljömetrik. Därav föreslår vi en ny prioriterings metod som automatiskt prioriterar sårbarheterna baserat på en enhets miljömetrik så som roll och kritikalitet. Syfte. Syftet med detta arbetet är att avgöra i vilken utsträckning det går att prioritera sårbarheter baserat på des miljömetrik. Utöver detta ska vi även undersöka huruvida man kan automatiskt uppskatta en enhets roll och kritikalitet för att bättre reflektera sårbarhetens allvarlighetsgrad. Metod. Den föreslagna metoden använder sig av sammanhangs information som tillhandahålls av en sårbarhets scanner. Utifrån denna information kommer enhetens roll att uppskattas. Den estimerade rollen kommer då användas av metoden för att bestämma enhetens kritikalitet. Baserat på kritikaliteten och sammanhangs informationen kommer en ny allvarlighetsgrad beräknas för all sårbarheter.  Listan av sårbarheter kommer omprioriteras med hänsyn till de senast beräknade allvarlighetsgraderna. Ett experiment utförs sedan för att analysera huruvida bra den nya prioriterings metoden är och för att validera resultatet kommer det jämföras mot experters prioritering. Resultat. Den experimentella studien indikerar på att vår metod presterar lite bättre än den den allra bästa sårbarheter prioriterings metoden. Den föreslagna metoden kan uppskatta den primära rollen med en träffsäkerhet på 100% och sekundära rollen med 71.4% träffsäkerhet. Metodens uppskattning av kritikaliteten är måttlig överensstämmande med den av experternas uppskattning. Överlag korrelerar metodens prioritiseringlista bättre med experternas än vad den allra senaste prioritiserings metoden gör. Slutsats. Genom att ta hänsyn till en enhets miljömetrik vid beräkningen av sårbarhetens allvarlighetsgrad får man ett bättre resultat än om den inte skulle varit med i beräkningen. Vi ser att vår metod fungerar bättre över lag än av den allra senaste prioritiserings metoden gör. Den föreslagna metoden behöver forskas mer på för att säkert kunna säga att den är användbar.

Software vulnerability management

vulnerability prioritisation

CVSS

environmental metrics

cyber security

Hantering av sårbarhet i programvara

prioritering av sårbarheter

CVSS

Miljömetrik

cybersäkerhet

Computer Sciences

Datavetenskap (datalogi)

Cybersecurity in Railways : Identifying and Communicating Risks using System Dynamics Modeling / Cybersäkerhet inom järnvägen : Systemdynamisk modellering för att identifiera och kommunicera risker

Mikiver, Cecilia

January 2022

Extensive digitization is currently underway in the railway sector, which has resulted in several benefits and improvements, but also challenges. The increased use of digital technologies increases the risks of vulnerabilities and susceptibility to cyberattacks. The effects of a cyber attack can have significant consequences on operations such as financial losses and damaged reputations, or in the worst-case scenario, devastating consequences where the lives of passengers are endangered. With the ongoing digitalization of the railways and the growing concern for cybersecurity, stakeholders in the sector have identified the need to systematically understand the risks of digitization related to cybersecurity and safety. Therefore, this study aims to identify and communicate these risks using system dynamics modeling. This study evaluated how actors in the railway sector reason about risks in the railway, how safety and cybersecurity are related, and new risks associated with digitalization and cybersecurity that have not been mentioned in the literature before. A qualitative study was conducted to answer the research question. Ten actors from different parts of the railway value chain were interviewed, and secondary data was collected from articles and reports within the area of cybersecurity and the railways. The results revealed a connection between cybersecurity and safety which could be seen through the chain of consequences that can arise from a cyberattack and in the event of loss of data availability and integrity. Based on this, core elements of the system and the relationships between them could be identified, from which the causal loop diagram (CLD) was constructed. New risks that were identified were the safety culture that permeates the railway industry, unclear areas of responsibility that are a result of deregulation in the Swedish railway sector, and competitiveness. Insights from the system dynamic model identified a reinforcing loop telling a causal story that shows that low cybersecurity priorities could lead to decreased safety on the railway. This further demonstrates the usefulness of identifying and communicating risks using system dynamics modeling. / En omfattande digitalisering pågår just nu inom järnvägssektorn vilket dels har resulterat i en mängd fördelar och förbättringar, men också utmaningar. Den ökade användningen av digitala teknologier ökar risker för sårbarheter samt mottagligheten av cyberattacker. Effekterna av en cyberattack kan ha betydande konsekvenser på verksamheten så som ekonomiska förluster och skadat rykte, eller också i värsta fall förödande konsekvenser där passagerarnas liv sätts i fara. I och med den pågående digitaliseringen av järnvägen och den ökade oron för cybersäkerhet har intressenter inom sektorn identifierat behovet av att på ett systematisk sätt förstå riskerna med digitalisering relaterade till cybersäkerhet och säkerhet (safety). Denna studie syftar därför till att identifiera och kommunicera dessa risker genom att använda systemdynamisk modellering. Studien utvärderade hur aktörer i järnvägens värdekedja resonerade kring risker i järnvägen, hur säkerhet och cybersäkerhet var relaterat, samt vad det finns för nya risker relaterade till digitaliseringen och cybersäkerhet som inte nämnts i litteraturen tidigare. En kvalitativ studie genomfördes för att svara på frågeställningen. Tio aktörer från olika delar av järnvägssektorns värdekedja intervjuades, och sekundärdata samlades in från artiklar och rapporter inom cybersäkerhet och järnvägen. Resultaten visade att det finns en koppling mellan cybersäkerhet och säkerhet (safety) som syns i den kedja av konsekvenser som kan uppstå från en cyberattack vid förlust av datas tillgänglighet och integritet. Utifrån detta kunde nyckelelement i systemet samt relationerna mellan dessa identifieras, och baserat på detta konstruerades vidare ett causal loop diagram (CLD). Nya risker som identifierades var säkerhetskulturen som genomsyrar järnvägsbranschen, oklara ansvarsområden som är ett resultat av den svenska järnvägens avreglering, samt konkurrenskraft. Insikter från den systemdynamiska modellen identifierade en förstärkande loop som berättar en orsakshistoria som visar att låg prioritering av cybersäkerhet kan leda till minskad säkerhet på järnvägen. Vidare demonstrerar detta nyttan av att identifiera och kommunicera risker med hjälp av systemdynamsik modellering.

System dynamics

System Dynamics Modeling

CLD

Cybersecurity

Safety

Railway

Digitalization.

Systemdynamik

Systemdynamisk Modellering

CLD

Cybersäkerhet

Säkerhet

Järnväg

Digitalisering

Engineering and Technology

Teknik och teknologier

Hybrid Ensemble Methods: Interpretible Machine Learning for High Risk Aeras / Hybrida ensemblemetoder: Tolkningsbar maskininlärning för högriskområden

Ulvklo, Maria

January 2021

Despite the access to enormous amounts of data, there is a holdback in the usage of machine learning in the Cyber Security field due to the lack of interpretability of ”Black­box” models and due to heterogenerous data. This project presents a method that provide insights in the decision making process in Cyber Security classification. Hybrid Ensemble Methods (HEMs), use several weak learners trained on single data features and combines the output of these in a neural network. In this thesis HEM preforms phishing website classification with high accuracy, along with interpretability. The ensemble of predictions boosts the accuracy with 8%, giving a final prediction accuracy of 93 %, which indicates that HEM are able to reconstruct correlations between the features after the interpredability stage. HEM provides information about which weak learners trained on specific information that are valuable for the classification. No samples were disregarded despite missing features. Cross validation were made across 3 random seeds and the results showed to be steady with a variance of 0.22%. An important finding was that the methods performance did not significantly change when disregarding the worst of the weak learners, meaning that adding models trained on bad data won’t sabotage the prediction. The findings of these investigations indicates that Hybrid Ensamble methods are robust and flexible. This thesis represents an attempt to construct a smarter way of making predictions, where the usage of several forms of information can be combined, in an artificially intelligent way. / Trots tillgången till enorma mängder data finns det ett bakslag i användningen av maskininlärning inom cybersäkerhetsområdet på grund av bristen på tolkning av ”Blackbox”-modeller och på grund av heterogen data. Detta projekt presenterar en metod som ger insikt i beslutsprocessen i klassificering inom cyber säkerhet. Hybrid Ensemble Methods (HEMs), använder flera svaga maskininlärningsmodeller som är tränade på enstaka datafunktioner och kombinerar resultatet av dessa i ett neuralt nätverk. I denna rapport utför HEM klassificering av nätfiskewebbplatser med hög noggrannhet, men med vinsten av tolkningsbarhet. Sammansättandet av förutsägelser ökar noggrannheten med 8 %, vilket ger en slutgiltig prediktionsnoggrannhet på 93 %, vilket indikerar att HEM kan rekonstruera korrelationer mellan funktionerna efter tolkbarhetsstadiet. HEM ger information om vilka svaga maskininlärningsmodeller, som tränats på specifik information, som är värdefulla för klassificeringen. Inga datapunkter ignorerades trots saknade datapunkter. Korsvalidering gjordes över 3 slumpmässiga dragningar och resultaten visade sig vara stabila med en varians på 0.22 %. Ett viktigt resultat var att metodernas prestanda inte förändrades nämnvärt när man bortsåg från de sämsta av de svaga modellerna, vilket innebär att modeller tränade på dålig data inte kommer att sabotera förutsägelsen. Resultaten av dessa undersökningar indikerar att Hybrid Ensamble-metoder är robusta och flexibla. Detta projekt representerar ett försök att konstruera ett smartare sätt att göra klassifieringar, där användningen av flera former av information kan kombineras, på ett artificiellt intelligent sätt.

Interpretability

Machine Learning

Sparse Data

Ensemble

Cyber Security

High Risk Sectors

Tolkbarhet

Maskininlärning

Gles Data

Ensemblemetoder

Cybersäkerhet

Högriskområden

Other Mathematics

Annan matematik

Val av hårdvara för cybersäker kommunikation på järnvägen / Hardware Selection for Cybersecure Communication on Railways

Hakkarainen, Mikko, Holmström, Linus

January 2024

På grund av den ökande digitaliseringen inom järnvägen ökar även antalet digitala anslutningar. Detta gör att fientliga aktörer kan påverka den operativa driften och personsäkerheten på distans av järnvägen via oskyddade anslutningar. Syftet med arbetet är därför att identifiera hårdvarulösningar för att öka cybersäkerheten av kommunikation mellan datorställverk och banobjekt via utdelar i datorställverken. Undersökningen fokuserar på att hitta den mest lämpliga processorenheten (CPU) eller Trusted Platform Module (TPM) för Alstoms utdel (OC950), med hänsyn till specifika cybersäkerhetskriterier enligt standarden IEC—63442. Genom att använda en Pugh-matris jämfördes fem CPU-lösningar och fyra TPM-lösningar. Resultatet visade att de två bästa alternativen var CPU-lösningar, där ”AM64x” från Texas Instruments utmärkte sig som det bästa valet tack vare dess goda cybersäkerhetsfunktioner, processorkapacitet och energieffektivitet. Denna funktionalitet tillät lösningen att ge ett tillfredställande cyberskydd samt gav driftfördelar och framtidsäkran. Sammanfattningsvis konstateras att processorenheter är att föredra för att förbättra prestanda och framtidssäkra hårdvaran på OCS950. TPM-lösningar kan vara ett lämpligt alternativ för att hantera cybersäkerhetsfunktioner men riskerar att bli en flaskhals för kommunikation. Därför är CPU-lösning att föredra, då det kan öka prestandan på utdelen samtidigt som det tillåter implantering av ett tillfredställande cyberskydd. Arbetet bidrar till att förbättra cybersäkerheten mellan utdel och en central ställverksdator och föreslår samtidigt en metod för att jämföra olika hårdvarulösningar genom Pugh-matriser. / Due to the increasing digitalization within the railway sector, the number of digital connections is also rising. This allows hostile actors to remotely impact the operational functioning and personal safety of the railway through unprotected connections. Therefore, the purpose of this work is to identify hardware solutions to enhance the cybersecurity of communication between interlocking computers and trackside objects via object controllers in the interlocking systems. The study focuses on finding the most suitable processor unit (CPU) or Trusted Platform Module (TPM) for Alstom's object controller (OC950), with considering for specific cybersecurity criteria according to the IEC-63442 standard. Using a Pugh matrix, five CPU solutions and four TPM solutions were considered. The results showed that the two best options were CPU solutions, with the "AM64x" from Texas Instruments standing out as the best choice due to its strong cybersecurity features, processing capacity, and energy efficiency. This functionality allowed the solution to provide satisfactory cyber protection as well as operational advantages and futureproofing. In summary, it is noted that processor units are preferred to improve performance and future-proof the hardware on OCS950. TPM solutions may be a suitable alternative for managing cybersecurity functions but risk becoming a communication bottleneck. Therefore, a CPU solution is preferred, as it can enhance the performance of the object controller while allowing the implementation of satisfactory cyber protection. The work contributes to improving cybersecurity between object controllers and central interlocking computers and simultaneously proposes a method for comparing different hardware solutions using Pugh matrices. / Digitalisaation lisääntyessä rautateillä myös digitaalisten yhteyksien määrä kasvaa. Tämä mahdollistaa vihamielisten toimijoiden vaikuttamisen rautateiden operatiiviseen toimintaan ja henkilöturvallisuuteen etäyhteyksien kautta suojaamattomien yhteyksien avulla. Työn tarkoituksena on siksi tunnistaa laitteistoratkaisuja kyberturvallisuuden parantamiseksi viestinnässä tietokonekeskusten ja ratakohteiden välillä jakelijoiden kautta tietokonekeskuksissa.  Tutkimus keskittyy sopivimman prosessoriyksikön (CPU) tai Trusted Platform Module (TPM) löytämiseen Alstomin jakelijalle (OC950), ottaen huomioon tietyt kyberturvallisuuskriteerit standardin IEC—63442 mukaisesti. Pugh-matriisin avulla verrattiin viittä CPU-ratkaisua ja neljää TPM-ratkaisua. Tulokset osoittivat, että kaksi parasta vaihtoehtoa olivat CPU-ratkaisuja, joista Texas Instrumentsin “AM64x” erottui parhaana vaihtoehtona sen hyvien kyberturvallisuusominaisuuksien, prosessorikapasiteetin ja energiatehokkuuden ansiosta. Tämä toiminnallisuus mahdollisti ratkaisun tarjoavan tyydyttävän kybersuojan sekä toi operatiivisia etuja ja tulevaisuuden varmuutta.  Yhteenvetona todetaan, että prosessoriyksiköt ovat suositeltavia suorituskyvyn parantamiseksi ja laitteiston tulevaisuuden varmistamiseksi OCS950:ssa. TPM-ratkaisut voivat olla sopiva vaihtoehto kyberturvallisuustoimintojen hallintaan, mutta ne voivat muodostaa pullonkaulan viestinnässä. Siksi CPU-ratkaisu on suositeltava, koska se voi parantaa suorituskykyä jakelussa samalla kun se mahdollistaa tyydyttävän kybersuojan toteuttamisen. Työ edistää kyberturvallisuuden parantamista jakelun ja keskus tietokonekeskuksen välillä ja ehdottaa samalla menetelmää eri laitteistoratkaisujen vertailemiseen Pugh-matriisien avulla.

Cybersecurity

railway

encryption

processing units

Cybersecurity-standard

Pugh-matrix.

Tietoturva

rautatie

salaus

CPU

tietoturvan-standardi

Pugh-matriisi.

Cybersäkerhet

järnväg

kryptering

processorenheter

cybersäkerhetsstandard

Pugh-matris.

Communication Systems

Kommunikationssystem

Federated Online Learning with Streaming Data for Intrusion Detection Systems : Comparing Federated and Centralized Learning Methods in Online and Offline Settings

Arvidsson, Victor

January 2024

Background. With increased pressure from both regulatory bodies and end-users, interest in privacy preserving machine learning methods have increased among companies and researchers in the last few years. One of the main areas of research regarding this is federated learning. Further, with the current situation in the world, interest in cybersecurity is also at an all time high, where intrusion detection systems are one component of interest. With anomaly-based intrusion detection systems using machine learning methods, it is desirable that these can adapt automatically over time as the network patterns change, resulting in online learning being highly relevant for this application. Previous research has studied offline federated intrusion detection systems. However, there have been very little work performed in the study of online federated learning for intrusion detection systems. Objectives. The objective of this thesis is to evaluate the performance of online federated machine learning methods for intrusion detection systems. Furthermore, the thesis will study the performance relationship between offline and online models for both centralized and federated learning, in order to draw conclusions about the ability to extrapolate from results between the different types of models. Methods. This thesis uses a quasi-experiment to evaluate two different types of models, Naive Bayes and Semi-supervised Federated Learning on Evolving Data Streams (SFLEDS), on three different datasets, NSL-KDD, UNSW-NB15, and CIC-IDS2017. For each model, four variants are implemented: centralized offline, centralized online, federated offline and federated online, and in the federated setting the models are evaluated with 20, 30, and 40 clients. Results. The results show that the best performing model in general is the federated online SFLEDS. They also highlight an important problem with using imbalanced datasets without proper care for data preprocessing and model design. Finally, the results show that there are no general relationships between offline and online models that hold in both the centralized and federated settings in terms of prediction performance. Conclusions. The main conclusion of the thesis is that online federated learning has a lot of potential for the application of intrusion detection systems, but more research is required to find the optimal models and parameters that result in satisfactory performance. / Bakgrund. Med ökat tryck från både tillsynsorgan och slutanvändare har intresset för integritetsbevarande maskininlärning ökat hos företag och forskare under de senaste åren. Ett av huvudområdena där det forskas om detta är inom federerad inlärning. Vidare, med det nuvarande läget i världen är intresset för cybersäkerhet högre än någonsin, där bland annat intrångsdetekteringssystem är av intresse. Med avvikelsebaserade intrångsdetekteringssystem som använder sig av maskininlärning så är det önskvärt att dessa automatiskt kan anpassa sig över tid när nätverksmönster förändras, vilket resulterar i att online maskininlärning är högst relevant för området. Tidigare forskning har studerat federerade offline intrångsdetekteringssystem, men det finns väldigt lite forskning gällande federerad online maskininlärning för intrångsdetekteringssystem. Syfte. Syftet med det här arbetet är att utvärdera prestandan av federerad online maskininlärning för intrångsdetekteringssystem. Vidare kommer det här arbetet att studera prestandaförhållandet mellan offline och online modeller för både centraliserad och federerad inlärning, för att kunna dra slutsatser om förmågan att extrapolera resultat mellan olika typer av modeller. \newline\textbf{Metod.} Det här arbetet använder sig av ett kvasiexperiment för att utvärdera två olika modeller, Naive Bayes och Semi-supervised Federated Learning on Evolving Data Streams (SFLEDS), på tre olika dataset, NSL-KDD, UNSW-NB15 och CIC-IDS2017. För varje modell implementeras fyra varianter: centraliserad offline, centraliserad online, federerad offline och federerad online. De federerade modellerna utvärderas med 20, 30 och 40 klienter. Resultat. Resultaten visar att den generellt bästa modellen är online SFLEDS. De belyser även ett viktigt problem med att använda obalanserade dataset utan tillräcklig hänsyn till förbearbetning av datan och modelldesign. Slutligen visar resultaten att det inte finns något generellt samband mellan offline och online modeller som stämmer för både centraliserad och federerad inlärning när det gäller modellprestanda. Slutsatser. Den huvudsakliga slutsatsen från arbetet är att federerad online maskininlärning har stor potential för intrångsdetekteringssystem, men mer forskning krävs för att hitta den bästa modellen och de bästa parametrarna för att nå ett tillfredsställande resultat.

Naive Bayes

SFLEDS

Semi-Supervised Learning

Cybersecurity

Centralized Federated Learning

Naive Bayes

SFLEDS

Semi-övervakad maskininlärning

Cybersäkerhet

Centraliserad federerad maskininlärning

Computer Sciences

Datavetenskap (datalogi)

Framtidens cybersäkerhet : en studie om hur Natural Language Processing påverkar dagens cybersäkerhetsarbete / The Future of Cybersecurity : A Study on How Natural Language Processing Impacts Today's Cybersecurity Efforts

Grönstedt Söderberg, Olle, Mattsson, Fredrik

January 2024

Sedan lanseringen av OpenAIs generativa chatbot ChatGPT i slutet av 2022 har intresset för artificiell intelligens (AI) och specifikt Natural Language Processing (NLP) ökat markant. Genom dess förmåga att tolka och generera mänskligt språk har NLP redan transformerat flertalet industrier och skapat debatter bland forskare, där somliga ser AI som en av de mest betydelsefulla innovationerna någonsin, medan andra varnar för att den hastiga teknikutvecklingen leder till nya och förändrade risker. Denna studie syftar till att undersöka cybersäkerhetsexperters syn på risker relaterade till användningen av NLP och dess inverkan på cybersäkerhetsarbete. Genom intervjuer och enkäter har studien identifierat flera risker som effektiviseras i och med användningen av NLP-baserade tjänster. Studiens enkätresultat visar vilka risker cybersäkerhetsexperter värderar högst utifrån sannolikhet och potentiella skada. Värderingarna görs med ramverket CIA i åtanke (Confidentiality, Integrity, Availability), en beprövad säkerhetsmodell som används för att upprätthålla god informations- och cybersäkerhet. Studiens intervjuresultat förser studien med insikter i respondenternas bakomliggande resonemang och betonar också vikten av medvetenhet vid användningen av NLP-baserade tjänster. Sammantaget förser studien läsaren med en förståelse för de risker som är förknippade med Natural language processing och ger insikt i de faktorer som cybersäkerhetsexperter tar i beaktning när de bedömer dessa risker. De tre risker som studien identifierade som särskilt framstående var: Spear-phishing, Skadlig Kod och Data leaks.

Natural language processing

Cybersecurity

Artificial intelligence

CIA

Risks

Natural language processing

Cybersäkerhet

Artificiell intelligens

CIA

Risker

Information Systems, Social aspects