Global ETD Search

91	Faktorer som påverkar säkerhetsbeteende: En litteraturstudie utifrån UMISPC-modellen Segergren, Olof, Båtelsson, Herman January 2022 (has links) En av de säkerhetsrisker som företag i dagsläget måste ta hänsyn till är bristande säkerhetsbeteende hos anställda vid användande av informationssystem. Denna brist kan leda till incidenter där produktivitet går förlorad eller känslig data läcks. Detta gör att användarnas beteende och efterlevnad av säkerhetsriktlinjer blir ett viktigt ämne för företag och organisationer. Tidigare studier identifierar flera faktorer som bidrar till bättre eller sämre säkerhetsbeteende hos individer. UMISPC-modellen (“Unified Model of Information Security Policy Compliance”) skapad av Moody m.fl. (2018) är en ansats till att unifiera faktorer från flera teorier. De inkluderar enbart faktorer som de kunde stödja i ett specifikt kontext men misstänker att effekten av faktorer som de exkluderar kan stödjas i andra kontext. För denna uppsats utfördes en litteraturstudie där faktorer i existerande modeller identifieras och klassificeras in i de faktorer som UMISPC-modellen definierar. Litteraturstudien gjordes via söktjänsten Uppsalas universitetsbibliotek. Resultaten visade att flera av studiernas resultat stöder flera av de faktorer som Moody m.fl. (2018) inte fann stöd för. Dessa faktorer kan därför vara aktuella för framtida utökningar av UMISPC-modellen trots att de inte kunde stödjas av Moody m.fl. (2018). / One of the security risks companies of today have to consider is poor security behavior of employees while using information systems. These behaviors can lead to incidents where productivity is lost or sensitive data is leaked. This causes the users’ behavior and compliance with security guidelines to become an important subject for companies and other organizations. Earlier studies identified several factors contributing to better or worse security behavior of individuals. The UMISPC model (Unified Model of Information Security Policy Compliance) created by Moody et al. (2018) is an effort to unify factors from multiple theories. They only include factors for which they were able to find support in a specific context but suspect that the effect of factors they exclude can be supported in other contexts. For this essay, a literature study was performed where factors from existing models were classified into factors defined by the UMISPC model. The literature study was performed using the search engine provided by Uppsala’s university library. The result showed that several studies support the factors that Moody et al. (2018) did not find support for. These factors can therefore be valid for future extensions of the UMISPC model even though they could not be supported by Moody et al. (2018). Security behavior Security awareness IT-security Guidelines Policy UMISPC Säkerhetsbeteende Säkerhetsmedvetenhet IT-säkerhet Riktlinjer Policy UMISPC Information Systems
92	Relay Attack Resistant Passive Keyless Entry : Securing PKE Systems with Immobility Detection VALKO, ABEL January 2020 (has links) A significant security risk of modern vehicles is their vulnerability to relay attacks, due to challenge-response methods, such as those employed in Passive Keyless Entry (PKE) used by most commercial cars, being inherently exposed. This class of attacks are where communication between a vehicle and its key is relayed by an attacker over long range - thereby bypassing any encryption and unlocking the vehicle without requiring direct access to the key. While a multitude of defenses have been proposed in recent years, many lack either robustness or practicality. Any viable system will likely have to rely on an environmental parameter which is not easily manipulated. Moreover, the system has to be: cost effective; easily implementable; and take user comfort, such as the key’s battery life, into account. This thesis implements and evaluates a PKE system resistant to relay attacks, analyses a multitude of proposed strategies in literature for feasibility, as well as suggests a novel method: Approach Curve Matching. It is concluded that the most promising strategies are: Immobility Detection, Distance Bounding Protocols, and Approach Curve Matching - the first of which is chosen to be implemented in the prototype PKE system. The project develops a PKE system and implements the communication protocol using Bluetooth, as opposed to the conventional RFID. Immobility Detection, using an accelerometer, is then implemented. The final system is then tested and evaluated. It is concluded that while Immobility Detection is not comprehensively effective, it is easily implementable, cost-effective, and can greatly increase the security of PKE systems. Finally, it is proposed that Immobility Detection should be employed promptly by manufacturers while investigating potentially more effective, albeit uncertain, strategies. / En betydande säkerhetsbrist av moderna fordon är deras sårbarhet mot så kallade ’relay attacker’. Dessa typer av attacker, där signaler mellan bilen och nyckeln vidarebefordras, kringgår all kryptering och låser upp bilen utan att ha direkt tillgång till nyckeln. En stor del av kommersiella fordon tillämpar ’Passive Keyless Entry’ (PKE) som bygger på ’challenge-response’ metoder som visats vara särskilt utsatta för dessa attacker. En mängd olika skyddssystem har föreslagits på senare år, men många saknar erforderlig robusthet eller genomförbarhet. Ett lämpligt system bör uppfylla en rad olika kriterier. Strategin måste grundas på en omgivningsparameter som är både oföränderlig och tillräckligt rymdberoende att två nära positoner kan skiljas åt. Dessutom ska systemet vara kostnadseffektivt, implementerbart, och ta hänsyn till användarkomfort såsom batteritid. Projektets huvudsyfte är konstruktionen och analysen av ett ’relay attack’ resistent PKE system. I detta projekt ingår också en analys av ett antal föreslagna försvar och ett förslag om en ny metod: ’Approach Curve Matching’. Slutsatsen dras att de mest lovande taktikerna är: analys av Jaccard indexet av Wi-Fi hotspots, ’Distance Bounding Protocols’, ’Approach Curve Matching’ och ’Immobility Detection’ som också implementeras i prototyp PKE systemet. Projektet utvecklar först ett PKE system med två Raspberry Pis som agerar som bilens och nyckelns mikrodatorer och implementerar kommunikationsprotokollet med hjälp av Bluetooth. ’Immobility Detection’ är sedan implementerad genom en inbyggd accelerometer i nyckeln. Slutligen testas och utvärderas systemet. Det konkluderas att trots att ’Immobility Detection’s effektivitet inte är helt omfattande är den lätt att implementera, kostnadseffektiv, och kan bidra till en betydlig ökning av säkerheten hos PKE system. Vidare observerade projektet att Bluetooths ’Received Signal Strength Indicator’ (RSSI) mätningar är utsatta för avsevärd ostadighet och är allmänt omgivningsberoende. Därför anses Bluetooth RSSI inte lämplig för PKE tillämpningar även om andra metoder för avståndsmätning med Bluetooth kan ha högre prestanda. Det föreslås att ’Immobility Detection’ tillämpas av tillverkare omgående medans andra potentiellt mer effektiva strategier utreds. Passive Keyless Entry Relay Attack Mafia Fraud Access Control Mechatronics Nyckellös System åtkomstkontroll Relay Attack IT-säkerhet Mekatronik Engineering and Technology Teknik och teknologier
93	Balancing Availability and Confidentiality in IT Systems Used for Defence Marhold, Anton January 2024 (has links) The increasing digitization within the defence sector makes the business more vulnerable to potential attacks, threatening sensitive information and system functionality. Balancing the requirements of availability and confidentiality is crucial for ensuring secure and reliable IT systems. This study examines the trade-offs between these two aspects within the context of the Swedish defence sector and requirements engineering. By analyzing relevant standards, guidelines, and frameworks, and conducting interviews with personnel working on projects for the Swedish Defence Materiel Administration (FMV), this research explores real-world practices in achieving a balance between availability and confidentiality. The findings highlight the complexity of balancing these aspects and underscore the importance of understanding the specific system, its function, and operational context, along with adapting to evolving threats and requirements. The study suggests that FMV’s methods could be improved. / Den ökande digitaliseringen inom försvaret gör verksamheten mer sårbar för potentiella attacker, vilket hotar känslig information och systemfunktionalitet. Att balansera kraven på tillgänglighet och konfidentialitet är avgörande för säkra och tillförlitliga IT-system. Denna studie undersöker avvägningarna mellan dessa två aspekter inom ramen för den svenska försvarssektorn och kravhantering. Genom att analysera relevanta standarder, riktlinjer och ramverk, samt intervjua personal som arbetar med projekt för Försvarets Materielverk (FMV), utforskar denna avhandling praktiska tillämpningar för att uppnå en balans mellan tillgänglighet och konfidentialitet. Resultaten belyser komplexiteten i att balansera dessa aspekter och betonar vikten av att förstå det specifika systemet, dess funktion och operativa kontext, samt att anpassa sig till föränderliga hot och krav. Studien föreslår att FMV:s metoder skulle kunna förbättras. IT security IT systems defence availability confidentiality requirements engineering IT-säkerhet IT-system försvaret tillgänglighet konfidentialitet kravhantering Computer and Information Sciences Data- och informationsvetenskap
94	Evaluating Compromising Emanations in Touchscreens / Utvärdering av röjande signaler från touchskärmar Lidstedt, Joakim January 2019 (has links) In a short time touchscreens has become one of the most used methods for input to smartphones and other machines such as cash registers, card terminals and ATMs. While the technology change was quick it introduces the possibility of new security holes. Compromising emanations is a possible security hole in almost all electronic equipment. These emanations can be used in a side-channel attack if they leak information that compromise the security of the device. This thesis studies a single-board computer (SBC) with a touchscreen and a smartphone in order to evaluate if any usable information leaks regarding what is done on the touchscreen i.e. where on the screen a user touches. It is shown that the location of a touch can be read out from information leaking through the power cable and wirelessly from the single-board computer. It is also shown that basic information can be read out wirelessly from the smartphone but further testing is required to evaluate the possibility to extract usable information from the device. Compromising emanations Tempest Touchscreen Van Eck phreaking Conducted emanations Radiated emanations Information Security IT Security Röjande signaler Pekskärm Informationssäkerhet IT-Säkerhet Computer Engineering Datorteknik Annan elektroteknik och elektronik
95	Att förebygga det interna hotet med IT-regler / Preventing internal threats with IT-policy Olsson, Martin, Ring, Max, Sabbagh, Hassan January 2018 (has links) Uppsatsen ämnar undersöka det interna hotet inom organisationer som medförs av mänskliga misstag och ovarsamhet hos anställda. Syftet med uppsatsen är att identifiera orsaker bakom misstagen och ovarsamheten, redogöra för några konsekvenser av det och även undersöka hur utformningen och arbetet med IT-regler, som är regler och riktlinjer för IT-säkerhetsarbete, bör utföras för att minimera misstag och ovarsamhet. Till det har en undersökning av tidigare litteratur och en kvalitativ datainsamling gjorts, den kvalitativa undersökningen innefattade intervjuer med ett E-handelsföretag, ett IT-konsultföretag samt en IT-säkerhetskonsult. Teori och insamlad data har analyserats och genererat ett antal förslag, där bland annat ett anpassat språkbruk och kategorisering av IT-regler men även kontinuerlig utbildning av anställda förespråkas för att förebygga anställdas misstag och ovarsamhet. Därigenom förebyggs det interna hotet. Uppsatsens framförda förslag kan användas av alla typer av företag som vill förbättra sin IT-säkerhet genom att förebygga det interna hotet som orsakas av de anställda. / The study aims to investigate the internal threat within organizations caused by human mistakes and negligence amongst employees. The purpose of this paper is to identify reasons for the mistakes and the negligence, describe some of the consequences and also investigate how the design of and work with IT policies, which is a set of rules and guidelines for IT security work, should be performed to minimize mistakes and negligence. A survey of previous literature has been conducted and a qualitative data collection has been made. The qualitative data collection included interviews with an e-commerce company, an IT consulting company and an IT security consultant. Previous literature and collected data have been analysed which resulted in a set of suggestions, for instance that customized language usage and categorization of IT policies, together with continuous training of employees is advocated to help prevent employees' mistakes and negligence. Thereby minimizing the internal threat. Any type of company that wants to improve its IT security by preventing the internal threat caused by its employees will benefit from these suggestions. Human mistakes and negligence IT security IT-policies information systems internal threats employees cyber threats Mänskliga misstag och ovarsamhet IT-säkerhet IT-regler Interna hot Informationssystem Anställda IT-hot Information Systems
96	Lingvistisk knäckning av lösenordsfraser / Linguistical passphrase cracking Sparell, Peder January 2015 (has links) För att minnas långa lösenord är det inte ovanligt att användare rekommenderas att skapa en mening som sedan sätts ihop till ett långt lösenord, en lösenordsfras. Informationsteoretiskt sett är dock ett språk väldigt begränsat och förutsägbart, varför enligt Shannons definition av informationsteori en språkriktig lösenordsfras bör vara relativt lätt att knäcka. Detta arbete riktar in sig på knäckning av språkriktiga lösenordsfraser, dels i syfte att avgöra i vilken grad det är tillrådligt att basera en lösenordspolicy på lösenordsfraser för skydd av data, dels för att allmänt tillgängliga effektiva metoder idag saknas för att knäcka så långa lösenord. Inom arbetet genererades fraser för vidare användning av tillgängliga knäckningsprogram, och språket i fraserna modelleras med hjälp av en Markov-process. I denna process byggs fraserna upp genom att det används antal observerade förekomster av följder av bokstäver eller ord i en källtext, så kallade n-gram, för att avgöra möjliga/troliga nästkommande bokstav/ord i fraserna. Arbetet visar att genom att skapa modeller över språket kan språkriktiga lösenordsfraser knäckas på ett praktiskt användbart sätt jämfört med uttömmande sökning. / In order to remember long passwords, it is not uncommon users are recommended to create a sentence which then is assembled to form a long password, a passphrase. However, theoretically a language is very limited and predictable, why a linguistically correct passphrase according to Shannon's definition of information theory should be relatively easy to crack. This work focuses on cracking linguistically correct passphrases, partly to determine to what extent it is advisable to base a password policy on such phrases for protection of data, and partly because today, widely available effective methods to crack these long passwords are missing. Within the work of this thesis, phrases were generated for further processing by available cracking applications, and the language of the phrases were modeled using a Markov process. In this process, phrases were built up by using the number of observed instances of subsequent characters or words in a source text, known as n-grams, to determine the possible/probable next character/word in the phrases. The work shows that by creating models of language, linguistically correct passphrases can be broken in a practical way compared to an exhaustive search. passwords information security cyber security IT forensics passphrases markov chains n-gram entropy cracking lösenord informationssäkerhet it-säkerhet it-forensik lösenordsfraser markovkedjor n-gram entropi knäckning Computer Sciences Datavetenskap (datalogi)
97	Ransomware-hotet mot svenska sjukhus : – en intervju- och litteraturstudie Ahl, Josefin, Djurklou, Julia January 2021 (has links) Statistik visar att ransomware har ökat lavinartat de senaste åren, inte minst under den rådande Covid-19-pandemin. Cyberkriminella har kommit att utnyttja sjukhus runt om i världen som redan är överbelastade med att ta hand om patienter svårt sjuka i Covid-19. I denna uppsats undersöks det hur de svenska sjukhusen upplever och hanterar det ökade hotet av ransomware. Den utgörs av en litteraturstudie och några djupintervjuer. Litteraturstudien görs för att utforska fenomenet ransomware och ta reda på varför ransomware är en framgångsrik metod för kriminella att använda vid utpressning. Syftet är även att undersöka hur svenska sjukhus förhåller sig till att hälso- och sjukvårdssektorn har blivit attraktiva mål för cyberangrepp. I intervjustudien undersöks sjukhusens IT-säkerhet för att kartlägga om de är tillräckligt motståndskraftiga mot ransomware-angrepp. Intervjusvaren diskuteras och analyseras mot bakgrund av litteraturen. Slutsatsen av denna analys ligger till grund för åtgärdsförslag. Resultatet visar att sjukhusen/regionerna som tillfrågats har en bra IT-säkerhet. De mest centrala säkerhetsmekanismerna för verksamheterna är deras backup- och återställningsrutiner i kampen mot ransomware. Diskussionen i arbetet sammanfogar resultatet från både litteraturstudien och intervjustudien som genomförts. Utifrån diskussionen dras sedan slutsatsen att regionerna som tillfrågats har bra säkerhet och uppfyller de flesta av rekommendationer som publicerats av svenska myndigheter. Inte desto mindre resulterar studien i några uppslag till förbättringar i säkerhetsrutiner. / Statistics show an increase in ransomware activity in recent years. The increase is mainly due to the ongoing Covid-19 pandemic. Cybercriminals take advantage of the fact that hospitals worldwide are overloaded with caring for seriously ill patients in Covid-19 and perform ransomware attacks. This thesis examines how Swedish hospitals experience and handle the increased threat of ransomware. The bachelor’s thesis consists of a literature study and some in-depth interviews. The literature study is investigating ransomware as a phenomenon and finding out why it is a successful method for cybercriminals to use in digital extortion. The purpose is also to investigate how Swedish hospitals relate to the fact that the healthcare sector has become an attractive target for cyber-attacks. The interview study examines the hospitals' IT security to determine whether they are sufficiently resistant to ransomware attacks. The interview results are discussed and analyzed against the background of the literature. The conclusion of this analysis is the basis for the proposed countermeasure. The results show that the hospitals surveyed have suitable IT security. The most central security mechanisms for the hospitals are their backup and recovery routines in the fight against ransomware. The discussion in this work combines the results from the literature and interview studies carried out. Based on the discussion, the conclusion is that the hospitals surveyed have good security and meet most of the recommendations published by Swedish authorities. Still, there is room for some improvement which is indicated. Ransomware IT-säkerhet Backup-rutiner Cyberkriminella Hälso- och sjukvårdssektorn Utpressningsvirus Computer and Information Sciences Data- och informationsvetenskap Information Systems
98	Efficient and Responsible Incident Management : Designing a Service Desk Web Application with Integrated Major Incident Reporting Functionality for Swedish Government Agencies Michel, David January 2021 (has links) In this 7.5 HEC B-level thesis in Computer Science, a service desk web application is designed for Swedish government agencies with integrated major incident reporting functionality to the Swedish Civil Contingencies Agency (Myndigheten för samhällsskydd och beredskap). There are several advantages to integrating the major incident reporting procedure into the regular incident management process - information would no longer have to be duplicated, and the problems of untraceability and under-reporting could additionally be solved. The proof-of-concept application was designed and partially developed with ASP.NET Core (MVC) web framework and Bootstrap front-end framework. The user interface was evaluated with heuristic evaluation by the author and two master’s students in Information Security at Luleå Technical University. Although the proposed software and interface design may have left room for improvement, it did highlight the societal need for an efficient and responsible incident management process and the general benefits of integration. Incident Management Service Desk IT incident ITIL Domain-Driven Design Integration Swedish Civil Contingencies Agency MSB IT-säkerhet IT-incidentrapportering statliga myndigheter Computer and Information Sciences Data- och informationsvetenskap
99	Efterlevnad av policy och informationssäkerhetsarbete : En fallstudie om informationssäkerhetspolicys på småföretag inom vårdbranschen Ramstedt, Moa, Saxunger, Viktor January 2022 (has links) This thesis examines the information security awareness and compliance to related policies by employees at small companies, and to which degree the company’s policies fulfil requirements according to standards for security policies. A case study was carried out at a small healthcare company by collecting and analysing information security related documents and by conducting interviews with employees. The assessment of the company’s policy documents was made by comparing them to policy requirements established by the ISO 27000 standards. The information security awareness and policy compliance at the company was graded using an information security maturity model with a scale of 0 to 5. The highest degree of policy compliance was found in rules regarding anonymising sensitive information in text-based communication and deleting it when it is no longer needed. Compliance to mail and password routines was identified as the most neglected part of analysed policy documents. The awareness and policy compliance at the company conforms to level 2 of the maturity model. As for the policy documents, they partly or fully fulfilled a majority of the ISO requirements included in the comparison. However, 7 out of 17 requirements were missing completely in the policy documents, and only two out of eight requirement categories were fully fulfilled. The requirement category that the policy documents fulfilled to the highest degree concerned protecting sensitive information during transfer, while the biggest shortage concerned requirements on having documentation establishing a regular control systems and education on information security and policies within the organisation. information security IT security small companies SMEs ISO 27000 policy compliance awareness informationssäkerhet IT-säkerhet småföretag ISO 27000 policyefterlevnad medvetenhet Information Systems, Social aspects
100	Hur påverkar implementering av multifaktorautentisering användarnas digitala arbetsmiljö? : En intervjustudie om förutsättningar och motivation för säker användning i en professionell utbildningsorganisation / How does implementation of multi-factor authentication affect users' digital work environment? : An interview study on conditions and motivation for secure usage in a professional educational organization Geronson, Carl, Mellvé, Oscar January 2023 (has links) I takt med en ökad digitalisering har det blivit ett allt större fokus på IT-säkerhet. Det finns olika typer av lösningar för att stärka IT-säkerheten och att implementera multifaktorautentisering är en av dem. I organisationers säkerhetsarbete spelar användarna en viktig roll, samtidigt kan de betraktas som ett säkerhetshot snarare än en resurs. I den här intervjustudien undersöker vi hur en implementering av multifaktorautentisering påverkar användarnas digitala arbetsmiljö. För att förstå detta har studien använt en kvalitativ datainsamlingsmetod där tio semistrukturerade intervjuer med anställda från Malmö universitet har genomförts. I analysen av resultatet har bland annat Technology Acceptance Model, Protection Motivation Theory samt ett fenomenologiskt perspektiv använts som teoretiska utgångspunkter. Studien visar att det finns en oförutsägbarhet med multifaktorautentisering som skapar en kognitiv omställning och ett hinder i arbetsflödet. Det framgår även att användarnas medvetenhet om IT-säkerhet är en viktig faktor i acceptansen av säkerhetsåtgärder så som multifaktorautentisering. Studien lyfter fram att det krävs en bra användarupplevelse bland befintliga IT-system för att välkomna och anpassa sig till framtida implementeringar av säkerhetssystem. / As digitalization has increased, there has been a growing focus on IT security. There are various types of solutions to strengthen IT security, and implementing multi-factor authentication is one of them. In the security efforts of organizations, users play an important role, but they can also be seen as a security threat rather than a resource. In this interview study, we examine how the implementation of multi-factor authentication affects users' digital work environment. To understand this, the study used a qualitative data collection method, conducting ten semi-structured interviews with employees from Malmö university. In the analysis of the results, the study utilized theoretical frameworks such as the Technology Acceptance Model, Protection Motivation Theory, and a phenomenological perspective. The study reveals that there is unpredictability associated with multi-factor authentication, creating a cognitive adjustment and a hindrance in workflow. It is also evident that users' awareness of IT security is an important factor in accepting security measures such as multi-factor authentication. The study emphasizes the need for a good user experience in existing IT systems to welcome and adapt to future implementations of security systems. Digital work environment IT security Multi-factor authentication Secure usage Ease of use User acceptance Information system Digital arbetsmiljö IT-säkerhet Multifaktorautentisering Säker användning Användarvänlighet Användaracceptans Informationssystem Engineering and Technology Teknik och teknologier

Search results