Strikt konfidentiell data i en molntjänst : Informationssäkerhetsutmaningar och möjligheter

Johansson, Axel, Nyman, Oskar

January 2022

This study aims towards analyzing how an organization within the Nordic financial industry handles strictly confidential data in an outsourced cloud service, as well as what information security challenges occur and what opportunities may arise. A case study was performed where qualitative semi-structured interviews were conducted and analyzed by using a content analysis in order to draw a conclusion based on our empirical data. Our results show that certain types of data lose all of its value as soon as it becomes public, this indicates that organizations must take precautions when handling such data. By classifying the different types of data the organization encounters around confidentiality, integrity and availability, as well as the business impact that it contains. Guidelines for how a certain class of data should be handled and protected can be established. For example, encryption, access control or other information security measures. Our results also show that controls are being used in order to ensure that the handling of strictly confidential data is performed in a secure way. Strictly confidential data is the highest level of confidentiality a certain type of data can possess, which indicates that it also has the highest amount of security. However, when protecting a specific type of data, the return on investment is an aspect that needs to be accounted for, in other terms a balance between the cost and the value of the data. Established frameworks such as NIST Cybersecurity framework, ISO 27001 and CIS 8 are also helpful when identiying, preventing and eliminating information security threats. Our results show that the organization strives to be CIS version 8 “level 2” compatible, which is good for the information security behind the handling of strictly confidential data. / Denna studie syftar till att analysera hur en organisation inom den nordiska finansbranschen hanterar strikt konfidentiell data i en utlagd molntjänst, samt vilka informationssäkerhetsutmaningar och möjligheter som kan uppstå. En fallstudie genomfördes där kvalitativa semistrukturerade intervjuer utformades och analyserades med hjälp av en innehållsanalys för att kunna dra en slutsats utifrån den insamlade empiri. Studiens resultat visar att specifika typer av data förlorar allt sitt värde om den skulle bli offentlig, detta indikerar att organisationer måste vidta försiktighetsåtgärder när de hanterar sådan data där detta utgör en risk. Genom att klassificera de olika typer av data som organisationen bemöter utifrån konfidentialitet, riktighet och tillgänglighet, samt den affärspåverkan som datan medför, kan riktlinjer för hur en viss typ av data hanteras och skyddas fastställas. Till exempel kryptering, åtkomstkontroll eller andra informationssäkerhetsåtgärder. Våra resultat visar också att kontroller används för att säkerställa att hanteringen av strikt konfidentiell data sker på ett säkert sätt. Strikt konfidentiell data är den högsta nivån av konfidentialitet en viss typ av data kan ha, vilket indikerar att den också har den högsta säkerheten. Vid skyddande av en specifik typ av data är “return on investment” en aspekt som måste beaktas, i andra termer en balans mellan kostnad och värdet av datan. Etablerade ramverk som NIST Cybersecurity framework, ISO 27001 och CIS 8 är också till hjälp vid identifiering, förebyggande och eliminering av informationssäkerhetshot. Våra resultat visar att organisationen strävar efter att vara CIS version 8 “level 2” kompatibla, vilket främjar informationssäkerheten i hanteringen av strikt konfidentiell data.

Informationsklassificering

informationssäkerhet

kryptering

molntjänster

ramverk

strikt konfidentiell data

Information Systems

Cyberöverföring : En studie om problemrepresentation och policyöverföring inom informations- och cybersäkerhetsområdet / Cyber Transfer : A study on problem representation and policy transfer in the information and cyber-security area

Eriksson, Niclas

January 2021

During recent years, cyber-threats has become an increasing problem in society. Incidents during the previous decade has shown that cyber-attacks can cause severe consequences for states, businesses, and organisations all over the world. There has also been an increase in cyber-crimes like phishing and other types of scams and extortion, which threatens the general public. As a result, information and cyber-security has become a hot topic among technology developers as well as in policy discussions. This paper studies an EU-common policy and a Swedish national policy on cyber-security to find out how cyber-threats are represented as a problem within the EU and in Sweden. The study then applies a theoretical framework of policy transfer to explain how the represented problem has changed in the transfer from European to Swedish context. The study finds that in the transference the scope of the represented problem has widened, both in terms of what is considered a threat as well as in who the policy aims to protect. This study aims to increase the understanding on how governance based on discursive visions, affects the solution a problem receives.

Cyber-security

Information-security

WPR

Policy transfer

Cybersäkerhet

Informationssäkerhet

WPR

Policyöverföring

Political Science

Statsvetenskap

Informationssäkerhet bland småhustillverkare med inriktning trä: en kvantitativ studie / Information security for wooden single-family house producers: a quantitative study

Andersson Lanas, Frida, Fagerström, Jacob

January 2021

Information är ett väsentligt och stort organ inom organisationer och inom tillverkningsindustrin används det till all kommunikation som sker. För att säkerställa att informationen är säker krävs informationssäkerhet. Målet med informationssäkerhet anses vara uppfyllt när informationens integritet, tillgänglighet samt konfidentialitet kan garanteras. I dagens industri är informationssäkerhet ytterst viktigt på grund av att den fjärde revolutionen (Industri 4.0) kräver data i realtid. Ett problem med informationssäkerheten är att resurser främst läggs på tekniska lösningar men inte på att minska den mänskliga faktorns påverkan som står för cirka 85% av alla organisatoriska olyckor. En bransch som är i behov att moderniseras är småhustillverkare med inriktning trä (SIT). SIT-branschen behöver moderniseras för att följa med i den nya digitala generationen. Branschen i sitt nuläge kräver en ökad produktivitet för att fortsätta vara konkurrenskraftiga på marknaden men även för att öka sin lönsamhet. Det kan verkställas genom att öka förståelsen för hur SIT arbetar med informationssäkerhet och vilka förbättringar som kan implementeras för att uppnå målet. Metoden som används för att öka förståelsen över hur arbetet med informationssäkerhet sker inom SIT-branschen är en kvantitativ enkätstudie. Enkätfrågorna skapades utifrån teori om standarden ISO/IEC 27000 samt CIA-triadens komponenter (konfidentialitet, integritet samt tillgänglighet). Standarden bedömer om informationssäkerheten har en god nivå medan CIAtriadens komponenter påvisar om målet med informationssäkerhet är uppfyllt. Svarsfrekvensen som studien gav var 20,83%. En bedömningsmodell gjordes för att kategorisera resultatet i en skala från icke-uppfylld nivå till uppfylld nivå. Resultatet visar på att branschen är i behov av att förbättra sitt informationssäkerhetsarbete. Frågorna kring standarden ISO/IEC 27000 uppgav att branschen tenderar mot en icke uppfylld nivå och CIA-triadens komponenter hamnade på ett mellanläge för varken uppfylld eller icke-uppfylld nivå. Enkätstudien visade att den mänskliga faktorn har en påverkan på informationssäkerheten vilket överensstämmer med teorin angående att mer resurser läggs på tekniska lösningar. Slutsatsen blev att SIT-branschen har en bristfällig nivå på informationssäkerheten. Genom att implementera förbättringsförslagen ges förutsättningar för branschen att nå upp till en väldigt god informationssäkerhetsnivå.

informationssäkerhet

Industri 4.0

småhustillverkare

CIA-triaden

standard ISO/IEC 27000

Engineering and Technology

Teknik och teknologier

Säkerställa information för myndigheter i ett kontrollsystem för kassaregister : En studie med fokus på sårbarhetsanalys / Secure information for authorities in a cash register control system : A study focusing on vulnerability analysis

Bianchi, Guillaume

January 2021

With a control system for cash registers, the Swedish Tax Agency intends to make transaction data available in a more flexible way by transferring data to a database server. The transaction data of the control system are private and must be protected. However, systems that are connected to a network can be vulnerable to cybersecurity attacks where attackers use security vulnerabilities to steal, modify, and destroy private and sensitive information. To contribute to new knowledge, the aim of this thesis was to research and present which type of vulnerabilities could be present in a control system for cash registers. In addition, an appropriate method that could be used in future research was created for the use of penetration tests in a control system or similar systems. To gather empirical data, an observation of the use of the penetration tests as well as the results obtained by the tests were made. The results of the penetration tests showed that, the data generally are transferred in a secure manner but a severe type of vulnerability in the Oracle database server was also found. In this study, the exploitation of the vulnerability was left out of scope. We have not proven that the vulnerability who was found could be exploited and whether confidentiality, integrity and availability could be compromised in the event of a successful attack.

Informationsarkitektur

Informationssäkerhet

Cybersäkerhet

Kontrollsystem

Konfidentialitet

Integritet

Tillgänglighet

Penetrationstest

Information Studies

Biblioteks- och informationsvetenskap

Kvinnors påverkan på upplysningar gällande informationssäkerhet : En kvantitativ studie om hur andelen kvinnor i en bolagsstyrelse påverkar upplysningar gällande informationssäkerhet hos svenska bolag noterade på OMX Stockholm Large Cap

Jansson, Julia, Sandström, Nathalie

January 2022

I takt med en tilltagande digitalisering i dagens samhälle har en kraftig ökning av informationsintrång mot företag konstaterats. Det har därför blivit en högaktuell fråga för företag att hantera och upplysa om riskerna med informationssäkerhet. Syftet med denna kvantitativa studie är att utreda om det finns ett samband mellan kvinnliga styrelseledamöter och hur företag utger upplysningar gällande informationssäkerhet. Studien har genomförts med en multipel- och en logistisk regressionsanalys på 356 observationer fördelade på 92 bolag listade på OMX Stockholm Large Cap. Företagen undersöks mellan tidsperioden 2017 och 2020. Resultaten indikerar att det delvis finns stöd för ett positivt samband mellan förekomsten av informationssäkerhetsupplysningar och andelen kvinnliga styrelseledamöter. Angående mängden informationssäkerhetsupplysningar förekommer ett signifikant negativt samband med andelen kvinnliga styrelseledamöter. Det undersöks även huruvida det förekommer ett samband mellan en kritisk massa på tre kvinnliga styrelseledamöter och informationssäkerhetsupplysningar, för vilken studien finner ett signifikant positivt samband.

critical mass

frivilliga upplysningar

informationssäkerhet

kvinnor

könsfördelning

styrelsesammansättning

Business Administration

Företagsekonomi

Svenska myndigheters hantering av informationssäkerheten vid distansarbete under coronapandemin : En intervjustudie med företrädare för fem myndigheter

Davey, Maja, Lundqvist, Nils

January 2022

The global Coronavirus pandemic that started in December of 2019 has had a great impact on the way companies and governmental agencies conduct their business. This has forced a majority of the workforce to start working from home. How can organizations ensure that they maintain the same level of information security when they are no longer fully in control of their employees and their respective work environments? Through a series of interviews, we studied what problems Swedish governmental agencies encountered related to information security, and what solutions they employed to counteract said problems. These interviews were then analyzed using the general inductive approach, in conjunction with theoretical support from the CIA-triad. The conclusions we drew from our analysis of the interviews were that while they were somewhat prepared for this shift, they were also found to have lacking technical education for employees and problems finding necessary tools, such as video conferencing programs, that complied with Swedish and European law regarding the integrity of personal information. There is a collaborative investigation being conducted by a collection of Swedish governmental agencies that intends to solve these issues through finding legal alternatives that are compliant with applicable laws, which hopefully will standardize which tools are used by all agencies. We discuss the implications of these findings, and provide suggestions that may be of help to organizations that are trying to future-proof themselves against similar potential future events.

Coronapandemin

pandemi

myndigheter

informationssäkerhet

distansarbete

Information Systems, Social aspects

Informationssäkerhet och den mänskliga faktorn : En tillgång eller ett hot?

Dahlquist, Alice

January 2022

As a result of an increasingly digital society, an even higher demand regarding a reliable information security can be seen. In the past, IT-security was something that mostly affected the IT departments of organizations, today it has become an obvious part of the business. A majority of the safety measures that have been implemented in organizations earlier are of technical character. Nowadays, an increasing need to involve the user can be seen. The impacts of the human factor and human contribution can be seen as two main concepts with reference to theory within the area. In email security, which is in fact the most common attack vector, the human factor is taken advantage of in order to gain access to the organization. As the attacks are getting worse and appearing more frequently, the purpose of this study is to see in what ways organizations should and could work with the human factor and human contribution in order to succeed in their information security work. A literature study and semi-structured interviews have been conducted in order to gather empirical data. The results show that in order to succeed with the information security work, organizations have to take the cognitive abilities into consideration. This involves creating awareness around the topic, establishing an understanding and making sure the employees realize the consequences and impact an action can result in. A recurring challenge within organizations can also be seen regarding being able to meet the needs of each individual employee.

Informationssäkerhet

den mänskliga faktorn

det mänskliga bidraget

Computer and Information Sciences

Data- och informationsvetenskap

Informationssäkerhet hos svenska kommuner : En fallstudie på svenska kommuners informationssäkerhetsarbete

Fredriksson, Jonatan, Baldin, Emil

January 2022

Under den senaste tiden har det i media rapporterats alltmer kring IT-attacker på viktigasvenska samhällsinstitutioner (Isling 2022). Natten mellan den 15–16 december 2021attackerades Kalix kommun av en IT-attack vilket påverkade hela kommunenssamhällsservice. Attacken var av typen ransomware vilket innebar att attacken låste helasystemet och angriparen krävde sedan en lösensumma för att låsa upp det igen. Verksamhetersåsom hemtjänst och sjukvård kunde på grund av detta inte komma åt sina system vilketledde till att de behövde sköta hela sitt arbete manuellt. I ett försök att minska påverkan avattacken skapade kommunen en ny tillfällig hemsida för att nå ut till sina invånare ochanställda med nödvändig information (TT 2022). Denna typ av attack har återigen lyft fråganom IT-säkerhet och behovet av att skydda sina system. Kalix kommun behövde på grund avdetta planera för att säkra upp den rådande IT-miljön och har uppmanat andra kommuner attgöra detsamma (Sundbeck 2021).Attacker som den mot Kalix kommun visar att kommuner är sårbara för dessa typer avattacker. Detta är problematiskt då kommunerna är kritiskt viktiga för allmänheten medtjänsterna de erbjuder för dess invånare (Clark och Hakim 2017). Med bakgrund av attackenmot Kalix publicerade SKR:s VD Staffan Isling den 25 januari 2022 en krönika om attackermot IT-miljön i Sverige. Han menar på att i dagens digitaliserade samhälle utgörcyberattacker och andra IT-relaterade attacker ett betydande hot. För att undanröja dessa hotanser VD:n att staten ska ta ett större ansvar för samordning, koordinering och kunskapsstödistället för att låta varje kommun, region och myndighet själva handskas mot hoten (Isling2022).Sveriges kommuner och regioner, i fortsättningen SKR, genomförde under 2019 enundersökande studie om kommunernas informationssäkerhetsarbete. Undersökningen fannbland annat att det existerade en utbredd förståelse hos kommunerna kring att ett systematisktinformationssäkerhetsarbete är något som är grundläggande ur ett digitaliseringsperspektiv(SKR 2019). Det tycks således finnas en insikt inom kommunerna att detta är något viktigt attprioritera men undersökningen upptäckte dessutom ett antal tydliga områden där det fannsförbättringspotential. Områden som beskrivs som centrala angående detta är ledning,styrning, avsatta medel och resurser där det på många håll bedöms finnas utrymme förfortsatt arbete. Undersökningen gav också respondenterna en chans att mer utförligt svara påfrågorna där det bland annat upplevdes som svårt att väcka ledningens engagemang iinformationssäkerhetsfrågor. Respondenterna upplevde dessutom att det fanns ett behov avtydligare uppdrag samt mer resurser och tid för att på ett systematiskt vis arbeta medinformationssäkerhet (SKR 2019).

informationssäkerhet

kommun

informationssäkerhetsarbete

myndighet

offentlig sektor

Computer and Information Sciences

Data- och informationsvetenskap

Informationssäkerhet i verksamheter : begrepp och modeller som stöd för förståelse av informationssäkerhet och dess hantering i verksamheter

Oscarson, Per

January 2001

Verksamheters säkerhetsproblem i samband med informationssystem och informationsteknik (IS/IT) är ett område som uppmärksammats kraftigt de senaste åren. Denna avhandling syftar till att ge en ökad förståelse av informationssäkerhet; begreppet i sig, dess hantering i verksamheter samt dess betydelse för verksamheter. För att nå en ökad förståelse för informationssäkerhet och dess hantering består avhandlingen till stora delar av konceptuella resonemang. Avhandlingens huvudsakliga kunskapsbidrag är: - En kritisk granskning och en revidering av den begreppsapparat som dominerar i Sverige inom området informationssäkerhet och dess hantering. - En generisk modell (ISV-modellen) avseende verksamheters hantering av informationssäkerhet. ISV-modellen beskriver vilka grundläggande förutsättningar, aktiviteter, resultat och konsekvenser som kan kopplas till hantering av informationssäkerhet i verksamheter. Informationssäkerhetsområdet betraktas utifrån ett perspektiv som har sin grund i Skandinavisk informationssystemforskning. Ett viktigt kännetecken hos detta perspektiv är att IS/IT betraktas i en verksamhetskontext där bl a människors roller och aktiviteter utgör en viktig del. Studien bygger på både teoretiska och empiriska studier som har skett parallellt och genom växelverkan. De teoretiska studierna har främst bestått av litteraturstudier och konceptuellt modellerande som har konfronterats med empiriskt material vilket huvudsakligen har hämtats genom en fallstudie på en kommun i Bergslagen.

Informationsteknik

Informationsteknik

informationssystem

informationsteknik

IS/IT

informationssäkerhet

ISV-modellen

Computer and Information Sciences

Data- och informationsvetenskap

Efterlevnad av informationssäkerhetspolicyer inom svenska kommunala förvaltningar

Claesson, Theo, Derneborg, Nathanael

January 2023

Cyberattacker blir allt vanligare och inget pekar på att denna trend kommer att vända.Samtidigt är vi mer beroende av våra IT system än vi någonsin varit, och att förlorakontrollen över dessa kan få förödande konsekvenser. En betydande majoritet avlyckade cyberangrepp mot organisationer börjar med snedsteg bland personalen. Informationssäkerhetspolicyer finns till för att motverka dessa angrepp och stärkaorganisationers informationssäkerhet. En av nyckeldelarna för att dessa ska varaeffektiva är att efterlevnaden är god bland personalen. Studiens syfte är därför attundersöka vilka aspekter som påverkar efterlevnaden och med insamlade data kommamed rekommendationer och förslag för förbättrad hantering och kommunikation avinformationssäkerhetspolicyer. Data samlades in i kommunala förvaltningar viasemistrukturerade intervjuer med 14 respondenter. Intervjudata kodades ochanalyserades för att komma fram till de slutliga resultaten. Genom intervjuerna undersöktes personalens ISP medvetenhet, hur de kommunicerasoch hur ofta de repeteras. Samma gäller för utbildningar sett till informationssäkerhet.Den insamlade data visar att personalen förstår vikten av den säkerhetsklassadeinformationen de har tillgång till på deras arbetsplats. Utbildning och repetition av dessaär bristfällig på de flera av kommunerna medan personalen är positivt inställda till ökadrepetition och utbildning. Studiens slutsats lägger fram rekommendationer över hur kommuner i Sverige kanarbeta för att uppnå förbättring av personalens efterlevnad avinformationssäkerhetspolicyer.

Informationssäkerhet

ISP

informationssäkerhetsmedvetenhet

informationssäkerhetspolicy

cybersäkerhet

kommuner

efterlevnad

utbildning

förvaltningspersonal

it-säkerhet

Engineering and Technology

Teknik och teknologier