Spelling suggestions: "subject:"IT 2security"" "subject:"IT bsecurity""
81 |
Case study: testing Wahlgren’s escalation maturity model within public sector organisations in Sweden : Studying model support for operators of essential services in meeting NIS directive requirements for incident escalationFerguson, Isaac Yaw January 2021 (has links)
Critical infrastructures are vital services, and attacks on such systems affect people's social and economic well-being. Therefore, operators of such services must have appropriate measures in place to handle IT-related incidents. However, reports show that organisations classified as Operators of Essential Services (OES) do not have appropriate measures to handle IT-related incidents. A case study approach is used in this study to test the usability and the applicability of Wahlgren's Escalation Maturity Model level within various public sector organisations in Sweden regarding their escalation and communication of IT-related incidents. A follow-up semi-structured interview is also conducted with employees at the technical level to determine if the current organisation's maturity level shortcomings are known across different organisational levels. The tool's maturity level scaling attributes are difficult to understand because all organisations in this study achieve the same level of maturity, even though there is a wide range of performance regarding the number of questions answered in the affirmative. The data output generated from the testing of the model can assist organisations in improving their incident escalation activities. However, the lack of precision of the model makes it challenging to apply in the public sector. The results reveal that all the five organisations obtained an escalation maturity level of zero (0), non-existent, regarding escalation of IT-related incidents. As a result, with the current model, the participating organisations will have a difficult task complying with the NIS Directive's security and notification requirements.
|
82 |
Une étude de l’écosystème TLS / A study of the TLS ecosystemLevillain, Olivier 23 September 2016 (has links)
SSL/TLS, un protocole de sécurité datant de 1995, est devenu aujourd'hui une brique essentielle pour la sécurité des communications, depuis les sites de commerce en ligne ou les réseaux sociaux jusqu'aux réseaux privés virtuels (VPN), en passant par la protection des protocoles de messagerie électronique, et de nombreux autres protocoles. Ces dernières années, SSL/TLS a été l'objet de toutes les attentions, menant à la découverte de nombreuses failles de sécurité et à des améliorations du protocole. Dans cette thèse, nous commençons par explorer l'écosystème SSL/TLS sur Internet en énumérant les serveurs HTTPS sur l'espace IPv4; nous proposons pour cela des méthodologies de collecte et d'analyse permettant d'obtenir des résultats reproductibles et comparables entre différentes campagnes de mesure. Au-delà de ces observations, nous nous sommes intéressés en détail à deux aspects essentiels de la sécurité TLS: comment parer les attaques sur le Record Protocol, et comment implémenter des parsers sûrs et efficaces. Finalement, en se basant sur les nombreuses failles d'implémentation qui ont affecté presque toutes les piles TLS ces dernières années, nous tirons quelques enseignements concernant les difficultés liées à l'écriture d'une bibliothèque TLS de confiance / SSL/TLS, a 20-year old security protocol, has become a major component securing network communications, from HTTPS e-commerce and social network sites to Virtual Private Networks, from e-mail protocols to virtually every possible protocol. In the recent years, SSL/TLS has received a lot of attentions, leading to the discovery of many security vulnerabilities, and to protocol improvements. In this thesis, we first explore the SSL/TLS ecosystem at large using IPv4 HTTPS scans, while proposing collection and analysis methodologies to obtain reproducible and comparable results across different measurement campaigns. Beyond these observations, we focused on two key aspects of TLS security: how to mitigate Record Protocol attacks, and how to write safe and efficient parsers. Finally, building on the numerous implementation flaws in almost all TLS stacks in the last years, we propose some thoughts about the challenges in writing a secure TLS library
|
83 |
KONSTEN ATT BALANSERA SÄKERHET OCH ÖPPENHET : En kvalitativ studie av offentliga organisationers hantering av säkerhetshot / THE ART OF BALANCING SECURITY AND OPENNESS : A qualitative study of public organizations' management of security threatsJohansson, Matthias, Påander, Erik January 2023 (has links)
Offentliga organisationer har flera krafter som trycker och påverkar deras säkerhetspraktik, dessa är både externa men även interna. För att förstå hur den offentliga organisationen hanterar dessa krafter som kräver öppenhet respektive IT-säkerhet har studien använt sig av kvalitativ datainsamling i form av intervjuer med medarbetare med olika roller inom den offentliga sektorn. Studien har inspirerats av induktion som ansats och utvecklat sitt teoretiska ramverk efter det att empirin färdigställts. Teoretiska begrepp som används i analysen är bland annat det politiska systemet, skugg-IT och Information Security Awareness. Empirin består av intervjuer med personer som är anställda hos en offentlig organisation. Utmaningar för IT-säkerhetspraktiken uppstår i form av syn på utbildning och svårigheten att nå ut till personal som följd av den komplexitet som är inneboende i den offentliga organisationen. Studien ger insyn och förslag på hur detta skulle kunna hanteras för att göra arbetet att upprätthålla säkerheten mer effektiv. Arbetet utmynnar i framtagandet av ett ramverk som visualiserar det förlopp som aktualiseras i studien, där knyts sambandet mellan olika krafter och synpunkter som påverkar varandra. / Public organizations face various forces that exert pressure and influence their security practices, both externally and internally. To understand how public organizations manage these forces, which require both transparency and IT security, this study employed qualitative data collection in the form of interviews with employees in different roles within the public sector. The study was inspired by an inductive approach and developed its theoretical framework after the completion of empirical data gathering. The theoretical concepts used in the analysis include the political system, shadow IT, and Information Security Awareness. The empirical data consists of interviews with individuals employed by a public organization. Challenges for IT security practices arise in the form of differing views on education and the difficulty of reaching personnel due to the inherent complexity of the public organization. The study provides insight and suggestions on how to address these challenges in order to make the task of maintaining security more effective. The work culminates in the development of a framework that visualizes the progression highlighted in the study, establishing connections between the various forces and perspectives that influence one another.
|
84 |
Inställningen till Zero Trust på svenska företag : Ett examensarbete i samarbete med Orange Cyberdefense / The attitude to Zero Trust in Swedish companies : A thesis in collaboration with Orange CyberdefenseBjörkman, Jonathan, Råsberg, Fredrik January 2022 (has links)
Dagens IT-miljöer genomgår en förändring. De tydliga gränserna mellan ett företags inre miljö och den externa miljön har förändrats och håller på att suddas ut. Zero Trust har lyfts fram som en lösning för att bättre skydda dagens IT-miljöer men trots det är det få som använder det. Syftet med denna studie var att undersöka vad några svenska företag har för inställning till Zero Trust och om de ser några hinder med att implementera det i sina miljöer. För att besvara syftet valdes en kvalitativ ansats där sex semistrukturerade intervjuer genomfördes. Målet var att söka beskrivande och förklarande kunskap för att bidra till en ökad förståelse kring ämnet Zero Trust. Studien uppnådde även viss form av normativ kunskap vilket resulterade i ett antal rekommendationer riktade mot företag. Studiens resultat visar att inställningen till Zero Trust är välvillig vilket beror på att de upplever krav från ledning, regelverk och kunder. De hinder som studien identifierar är föråldrade resurser (legacy), komplexitet, tid och kostnad som avgörande hinder för att implementera Zero Trust. Studien visar även visa att företagen är delade i uppfattningen om användaren av en resurs kommer påverkas negativt eller gagnas av Zero Trust. Studien landar i ett antal rekommendationer varav en menar att företag, för att behålla den välvilliga inställningen till Zero Trust måste vara lyhörda mot krav från omvärlden. Vidare rekommenderas även att företagen håller sig uppdaterade om ämnet, att de har en planering för arbetet som krävs och att de tar aktiva val för att undvika onödiga kostnader. / Today's IT environments are undergoing a change. The clear boundaries between a company's internal environment and the external environment have changed and are being blurred. Zero Trust has been highlighted as a solution to better protect today's IT environments, but despite this, few use it. The purpose of this study was to investigate what some Swedish companies have to say about Zero Trust and whether they see any obstacles in implementing it in their environments. To answer the purpose, a qualitative approach was chosen in which six semi-structured interviews were conducted. The goal was to seek descriptive and explanatory knowledge to contribute to an increased understanding of the subject Zero Trust. The study also achieved some form of normative knowledge, which resulted in a few recommendations aimed at companies. The results of the study show that the attitude towards Zero Trust is benevolent, which is since they experience demands from management, regulations, and customers. The barriers that the study identifies are outdated resources (legacy), complexity, time, and cost as crucial barriers to implementing the Zero Trust. The study also shows that companies are divided on whether the user of a resource will be negatively affected or benefited by Zero Trust. The study lands in a few recommendations, one of which is that companies, in order to maintain the benevolent attitude to Zero Trust, must be responsive to demands from the outside world. Furthermore, it is also recommended that companies stay up to date on the subject, that they have a plan for the work required and that they make active choices to avoid unnecessary costs.
|
85 |
IT- och informationssäkerhet inom prehospital vård : Kommunikation mellan ambulans och sjukhus inom Stockholms Läns Landsting och Region Kronoberg / IT- and information security within prehospital care : Communication between ambulance and hospital within Stockholm’s County Council and Region KronobergFarhan, Amani, Kardelind, Jonathan January 2017 (has links)
Den prehospitala vården är en viktig del av den svenska sjukvården, vårdprocessen innefattar all vård patient får utanför sjukhus. Den prehospitala vårdens kvalitet varierar hos olika landsting beroende på deras tekniska utrustningar och arbetsmetoder. Detta arbete utreder hur Region Kronoberg (RK) och Stockholms Läns Landsting (SLL) hanterar IT- och informationssäkerhet inom den prehospitala vården, då framförallt inom ambulanssjukvården. Arbetet har utförts via litteraturstudie kring lagar och riktlinjer som påverkar den prehospitala vården och sedan utfördes intervjuer för att finna hur RK och SLL hanterar patientjournaler. Arbetet visar att RK och SLL har jobbat olika länge med att digitalisera den prehospitala vårdprocessen, men att de idag använder lika säkra arbetsmetoder. Anledningen till detta är att bådas lösningar grundas i användandet av det säkra nätverket Sjunet. Vidare visade det sig att RK och SLL har olika grundförutsättningar för journalåtkomst. Avslutningsvis finner detta arbete inga säkerhetsrisker i anslutningen till de digitala journalsystemen, men att användandet av mobila enheter som lagrar journal utgör en säkerhetsrisk. / Prehospital care is an important part of the Swedish health system, the care process is dedicated to any kind of emergency out-of-hospital acute medical care. The quality of prehospital care varies between different counties, depending on their technical equipment and work methods. This essay investigates how Region Kronoberg (RK) and Stockholm’s County Council (SLL) have dealt with IT- and information security questions concerning prehospital care. The essay is conducted by collecting laws and guidelines related to IT-security. Interviews were later on conducted with intention to collect information about RK’s and SLL’s definition of accessibility and communication of patient journals This essay shows that RK and SLL begun digitizing their prehospital care at different times, but that they are as in now able to use equally safe methods for dealing with journals. The reason behind this is that they both root their solutions in the secluded network Sjunet. It is further concluded that SLL and RK have different prerequisites for journal access. Lastly, we could conclude that the greatest security risk is not associated with the connection between hardware, but rather misplacing any hardware containing delicate information.
|
86 |
Nulägesanalys om gymnasieelevers kunskap och förhållningssätt kring IT-säkerhet och hur lärare undervisar inom ämnet / Analysis of the current situation regarding high school students' knowledge and attitudes towards IT security, as well as how teachers are teaching the subjectKarlsson, Andreas, Brifelt, Linus January 2023 (has links)
Ungdomar börjar använda internet vid allt yngre åldrar: 99 % av ungdomar i åldersspannet 8 till 19 år använder internet på en daglig basis. Samtidigt som informationsflödet ökar så medför detta även bieffekter där ungdomar numera i allt större utsträckning sparar och laddar upp information om sig själva mer frekvent på internet. Samtidigt som användandet ökat privat har även många skolor i Sverige valt att nästan helt övergå från penna och papper till en mer digitaliserad utbildningsmetod. Detta har dock fört med sig vissa risker när det kommer till IT-säkerhet. Exempel på sådana risker kan vara obehörig åtkomst till data, dataintrång eller förlust av information på grund av tekniska fel eller bristfälliga säkerhetsåtgärder. Detta blev extra tydligt under covid-19-pandemin då utbildning övergick till distansundervisning samtidigt som cyberbrotten ökade i allmänhet, och mot utbildningssektorn i synnerhet. Denna studie har till syfte att undersöka kunskapsnivån och förhållningssätt hos tredjeårselever på gymnasieskolor runt om i Skaraborg inom området IT-säkerhet och samtidigt kartlägga behovet och intresset för utbildning inom ämnet. Studien har med hjälp av enkätundersökningar mot elever och semistrukturerade intervjuer med lärare kommit fram till att det finns ett tydligt behov av utbildning inom IT-säkerhet bland ungdomar på gymnasieskolorna i Skaraborg, samtidigt som lärarna menar på att ämnet ofta faller undan i klassrummet. Resultatet visar att både elever och lärare ser positivt på att inkludera ämnet i ordinarie gymnasieutbildning för att stärka kunskaper och medvetenhet om IT-säkerhetens betydelse. / Young people are starting to use the internet at increasingly younger ages, with 99 % of individuals aged 8 to 19 using the internet on a daily basis. As the flow of information increases, this also brings about side effects where young people are now more frequently saving and uploading personal information about themselves on the internet. Moreover, as schools in Sweden have chosen to almost completely transition from pen and paper to a more digitized form of education, the need for IT security skills among young people has become increasingly important. This became particularly evident during the covid-19 pandemic when education shifted to remote learning and cybercrimes saw a general increase, particularly attacks against the education sector. The purpose of this study was to examine the level of knowledge and attitudes among third[1]year students in high schools across Skaraborg regarding IT security and simultaneously assess the need and interest for education around this subject. Through surveys conducted among students and semi-structured interviews with teachers, the study concludes that there is a clear need for education in IT security among young people in high schools in Skaraborg, while teachers argue that the subject often takes a back seat in the classroom. The results show that both students and teachers view the inclusion of this subject in regular high school education positively to strengthen knowledge and awareness of the importance of IT security.
|
87 |
Faktorer som påverkar säkerhetsbeteende: En litteraturstudie utifrån UMISPC-modellenSegergren, Olof, Båtelsson, Herman January 2022 (has links)
En av de säkerhetsrisker som företag i dagsläget måste ta hänsyn till är bristande säkerhetsbeteende hos anställda vid användande av informationssystem. Denna brist kan leda till incidenter där produktivitet går förlorad eller känslig data läcks. Detta gör att användarnas beteende och efterlevnad av säkerhetsriktlinjer blir ett viktigt ämne för företag och organisationer. Tidigare studier identifierar flera faktorer som bidrar till bättre eller sämre säkerhetsbeteende hos individer. UMISPC-modellen (“Unified Model of Information Security Policy Compliance”) skapad av Moody m.fl. (2018) är en ansats till att unifiera faktorer från flera teorier. De inkluderar enbart faktorer som de kunde stödja i ett specifikt kontext men misstänker att effekten av faktorer som de exkluderar kan stödjas i andra kontext. För denna uppsats utfördes en litteraturstudie där faktorer i existerande modeller identifieras och klassificeras in i de faktorer som UMISPC-modellen definierar. Litteraturstudien gjordes via söktjänsten Uppsalas universitetsbibliotek. Resultaten visade att flera av studiernas resultat stöder flera av de faktorer som Moody m.fl. (2018) inte fann stöd för. Dessa faktorer kan därför vara aktuella för framtida utökningar av UMISPC-modellen trots att de inte kunde stödjas av Moody m.fl. (2018). / One of the security risks companies of today have to consider is poor security behavior of employees while using information systems. These behaviors can lead to incidents where productivity is lost or sensitive data is leaked. This causes the users’ behavior and compliance with security guidelines to become an important subject for companies and other organizations. Earlier studies identified several factors contributing to better or worse security behavior of individuals. The UMISPC model (Unified Model of Information Security Policy Compliance) created by Moody et al. (2018) is an effort to unify factors from multiple theories. They only include factors for which they were able to find support in a specific context but suspect that the effect of factors they exclude can be supported in other contexts. For this essay, a literature study was performed where factors from existing models were classified into factors defined by the UMISPC model. The literature study was performed using the search engine provided by Uppsala’s university library. The result showed that several studies support the factors that Moody et al. (2018) did not find support for. These factors can therefore be valid for future extensions of the UMISPC model even though they could not be supported by Moody et al. (2018).
|
88 |
Managing Innovation of Payments : A Study of Regulatory Compliance Within Swedish Banking / Innovation och reglering av digitala betaltjänster hos svenska bankerKaragöz, Elin January 2020 (has links)
This study investigates challenges that emerge for Swedish incumbent banks when pursuing compliance with IT security regulations, while simultaneously striving towards innovation in order to maintain market competitiveness in terms of digital payment service offerings. As competition increases within the payment service industry, developing innovative services becomes increasingly important. At the same time, it is essential that these solutions maintain a high level of IT security, both in terms of the preservation of customer trust as well as in terms of compliance with financial regulations. Consequently, the aim of this study was to contribute to research from an incumbent banking perspective, where theory together with a qualitative case study has revolved around the topics of technology, compliance, and innovation in the pursuit of identifying key challenges. The study included a series of interviews with respondents within banking, IT security, and compliance management. This resulted in three principal challenges regarding compliance and innovation within payment services at incumbent banks, along with proposed actions to be taken. Firstly, the necessity of incrementally transitioning from legacy infrastructure towards modernized platforms was established. Secondly, banks are encouraged to make trade-offs between regulations and deploying new products and services. Finally, for banks to engage in communication and collaboration within the organization as well as with regulators can facilitate compliance as well as promoting harmonization of regulations. / Denna studie undersöker de utmaningar som svenska storbanker står inför i en digitaliserad miljö där både IT-säkerhet och innovation behöver tillgodoses för att upprätthålla konkurrenskraft gällande betaltjänster. Då konkurrensen ökar inom betaltjänstsektorn blir utvecklingen av innovativa tjänster allt mer betydelsefull. Samtidigt är det viktigt att dessa lösningar håller en hög nivå av IT-säkerhet, dels för att bibehålla kundförtroende, men också för att banker lyder under finansiella regelverk. Följaktligen var syftet med denna studie att bidra till kunskap om utvecklingen av framtidens betaltjänster. Teori och empiri kretsade kring områdena teknik, regelverk och innovation, med en strävan att identifiera huvudutmaningar på området. I en kvalitativ fallstudie inkluderandes en serie intervjuer med experter inom banksektorn och ITsäkerhet. Resultaten visade att de viktigaste utmaningarna kopplat till regelefterlevnad och innovation inom betaltjänster för storbanker är nyttjandet av föråldrad teknik, behovet av en avvägning mellan att uppfylla regelverk och utveckling av nya produkter och tjänster, och slutligen kommunikation och samarbete inom både organisationen och med lagstiftare.
|
89 |
Balancing Availability and Confidentiality in IT Systems Used for DefenceMarhold, Anton January 2024 (has links)
The increasing digitization within the defence sector makes the business more vulnerable to potential attacks, threatening sensitive information and system functionality. Balancing the requirements of availability and confidentiality is crucial for ensuring secure and reliable IT systems. This study examines the trade-offs between these two aspects within the context of the Swedish defence sector and requirements engineering. By analyzing relevant standards, guidelines, and frameworks, and conducting interviews with personnel working on projects for the Swedish Defence Materiel Administration (FMV), this research explores real-world practices in achieving a balance between availability and confidentiality. The findings highlight the complexity of balancing these aspects and underscore the importance of understanding the specific system, its function, and operational context, along with adapting to evolving threats and requirements. The study suggests that FMV’s methods could be improved. / Den ökande digitaliseringen inom försvaret gör verksamheten mer sårbar för potentiella attacker, vilket hotar känslig information och systemfunktionalitet. Att balansera kraven på tillgänglighet och konfidentialitet är avgörande för säkra och tillförlitliga IT-system. Denna studie undersöker avvägningarna mellan dessa två aspekter inom ramen för den svenska försvarssektorn och kravhantering. Genom att analysera relevanta standarder, riktlinjer och ramverk, samt intervjua personal som arbetar med projekt för Försvarets Materielverk (FMV), utforskar denna avhandling praktiska tillämpningar för att uppnå en balans mellan tillgänglighet och konfidentialitet. Resultaten belyser komplexiteten i att balansera dessa aspekter och betonar vikten av att förstå det specifika systemet, dess funktion och operativa kontext, samt att anpassa sig till föränderliga hot och krav. Studien föreslår att FMV:s metoder skulle kunna förbättras.
|
90 |
Evaluating Compromising Emanations in Touchscreens / Utvärdering av röjande signaler från touchskärmarLidstedt, Joakim January 2019 (has links)
In a short time touchscreens has become one of the most used methods for input to smartphones and other machines such as cash registers, card terminals and ATMs. While the technology change was quick it introduces the possibility of new security holes. Compromising emanations is a possible security hole in almost all electronic equipment. These emanations can be used in a side-channel attack if they leak information that compromise the security of the device. This thesis studies a single-board computer (SBC) with a touchscreen and a smartphone in order to evaluate if any usable information leaks regarding what is done on the touchscreen i.e. where on the screen a user touches. It is shown that the location of a touch can be read out from information leaking through the power cable and wirelessly from the single-board computer. It is also shown that basic information can be read out wirelessly from the smartphone but further testing is required to evaluate the possibility to extract usable information from the device.
|
Page generated in 0.0378 seconds