Internet of Things : Exploring and Securing a Future Concept

Bude, Cristian, Kervefors Bergstrand, Andreas

January 2015

Internet of Things (IoT) is a concept that encompasses various objects and methods of communication to exchange information. Today IoT is more a descriptive term of a vision that everything should be connected to the internet. IoT will be fundamental in the future because the concept opens up opportunities for new services and new innovations. All objects will be connected and able to communicate with each other, while they operate in unprotected environments. This later aspect leads to major security challenges. Today, IoT is in great need of standardization and clear architectures that describe how this technology should be implemented and how IoT devices interact with each other in a secure manner. The security challenges are rooted in the technology and how information is acquired and manipulated by this technology. This thesis provides an introduction to what the IoT is and how it can be used as well as some of the threats that IoT may face in regards to information security. In addition, the thesis provides the reader with some suggestions about how to potentially solve the fundamental need for authentication and secure communications. The solutions presented are based on both contemporary solutions and technologies that are under development for the future. Contemporary solutions are based on security protocols such as IPSec and DTLS. These protocols are being used in an environment that extends across the Internet and into a 6LoWPAN network. The proposed authentication solution has been developed based on a public key infrastructure and trust models for certificate management. As future work, the thesis presents several research areas where this thesis can be used as a basis. These specialization areas include further analysis of vulnerabilities and an implementation of the proposed solutions. / Internet of Things (IoT) är ett koncept som omfattar olika objekt och kommunikationsmetoder för utbyte av information. Idag är IoT mer en beskrivande term av den framtidsvision som finns att allting ska vara uppkopplat på internet. IoT kommer vara fundamentalt i framtiden eftersom konceptet öppnar upp möjligheter för nya tjänster samt nya innovationer. Då alla objekt ska vara uppkopplade och kunna kommunicera med varandra samtidigt som de skall kunna operera i oskyddade miljöer, bidrar detta till stora säkerhetsutmaningar. Dagens IoT är i stort behov av standardisering och klara strukturer för hur tekniken ska implementeras samt samverka med varandra på ett säkert sätt.  Utmaningarna ligger i att säkra tekniken samt informationen som tekinken bidrar med. Denna rapport ger en introduktion till vad IoT är och hur det kan användas samt vilka hot som IoT kan möta i avseende till informationssäkerhet. Utöver detta så förser rapporten läsaren med förslag om hur man eventuellt kan lösa de fundamentala behoven av autentisering och säker kommunikation. Lösningarna som läggs fram är baserade på både nutida lösningar och teknik som är under utveckling inför framtiden. Nutida lösningar är baserade på säkerhetsprotokoll som IPsec och DTLS som används i en miljö som sträcker över internet och in i ett 6LoWPAN nätverk. Den autentiseringslösning som tagits fram grundar sig på PKI och förtroendemodeller för certifikathantering. För framtida arbete presenteras flertalet vidare fördjupningsområden där denna rapport kan användas som grund. Dessa fördjupningsområden inkluderar vidare analys av sårbarheter och implementation av de lösningar som tagits fram.

Internet of Things

IoT

information security

identification

authentication

secure communication

Internet of Things

IoT

informationssäkerhet

identifiering

autentisering

säker kommunikation

Communication Systems

Kommunikationssystem

Enhancing Supply Chain Cybersecurity with Blockchain

Hämäläinen, Ari, Nadesan, Rekha

January 2022

Supply chains have become targets for hostile cyber actors. Motivations for cyber crimes include intellectual property theft, customer data theft and industrial espionage. The cyber threat landscape in which businesses operate is constantly evolving. The consequences of a successful cyber attack can be devastating for a business. Increasing the resilience of the supply chain in the digital environment is a complex task because the supply chain consists of different organisations with varying levels of cybersecurity defence capability. Orchestrating cybersecurity improvement in a supply chain requires visibility into the security posture of each participating organisation and this is generally lacking. This thesis studies the potential use of blockchain for enhancing the cybersecurity of the supply chain. The study simulates a permissioned blockchain among supply chain members to monitor digital assets important for cybersecurity. The blockchain is analysed to extract insights from the perspective of a supply chain cybersecurity oversight role. The study finds that a blockchain can provide visibility by sharing cybersecurity-related information among supply chain members. It can also provide a digital forensic record for incident response and forensic investigations.

Cybersecurity

blockchain

supply chain

digital forensics

informationssäkerhet

säkerhet

cybersäkerhet

totalförsvaret

Other Computer and Information Science

Annan data- och informationsvetenskap

Små företags hantering av IT- och informationssäkerhet : En intervjustudie med små företag inom handel

Dalnert, Jakob, Pettersson, Johannes

January 2022

The increased use of IT in our daily lives comes hand-in-hand with the increase of maliciousthreats and attacks against these technologies. Large businesses usually have the ability toinvest large resources in IT and/or security, keeping their businesses more resilient to threatsand attacks. Usually this is something small businesses can’t afford to spend resources on.So, what do small businesses actually do when it comes to IT and information security?By interviewing small businesses in retail this study aims to answer this question.The interview questions were based on the ISO standards for information securitymanagement systems. A general inductive approach was used to analyze the answers togetherwith a theoretical deep dive into the CIA-triad with the help of the ISO standards. The studyconcludes that small businesses in retail don't prioritize IT and information security and adiscussion is made as to why.

IT- och informationssäkerhet

små företag

handel

ISO

CIA-triaden

Information Systems, Social aspects

En jämförelse av GDPR-implementering i svenska småbolag kontra EU. : Går Sverige mot trenden?

Jensen, André, Hyckenberg Mattson, David, Söllvander, Joakim

January 2022

Enligt den senaste europeiska statistiken ökar antalet anmälningar om personuppgiftsincidenter markant, 28 procent åren 2019 - 2020. Emellertid har Sverige under samma tidsperiod en nedåtgående utveckling på 4 procent. Genom en enkätstudie om GDPR-implementering i Sverige, undersöktes varför Sverige visade sig ha en nedåtgående trend i antalet anmälda incidenter kontra EU. Därtill utforskades om eventuella skillnader kunde ses som förklaring till den isärgående utvecklingen. Studien tydde på att Sverige över lag var likartat med sina europeiska motparter, men skillnader förekom i vissa specifika områden. Specifikt så observerades att svenska bolag i större utsträckning ansåg sig kompatibla med GDPR, samt en ökad tendens att investera ekonomiska resurser till arbetet med detta.

GDPR

dataskyddsförordningen

personuppgiftshantering

personuppgiftslagen

etiskt datahanterande

informationssäkerhet.

Information Systems, Social aspects

Kontoret flyttar hem - Vad händer medcybersäkerheten?

Norling, Katarina

January 2021

No description available.

cybersäkerhet

informationssäkerhet

cyberattack

CIA-triangeln

distansarbete

utbildning

Information Systems, Social aspects

Classification Storage : A practical solution to file classification for information security / Classification Storage : En praktisk lösning till fil klassificering för informationssäkerhet

Sloof, Joël

January 2021

In the information age we currently live in, data has become the most valuable resource in the world. These data resources are high value targets for cyber criminals and digital warfare. To mitigate these threats, information security, laws and legislation is required. It can be challenging for organisations to have control over their data, to comply with laws and legislation that require data classification. Data classification is often required to determine appropriate security measured for storing sensitive data. The goal of this thesis is to create a system that makes it easy for organisations to handle file classifications, and raise information security awareness among users. In this thesis, the Classification Storage system is designed, implemented and evaluated. The Classification Storage system is a Client--Server solution that together create a virtual filesystem.  The virtual filesystem is presented as one network drive, while data is stored separately, based on the classifications that are set by users. Evaluating the Classification Storage system is realised through a usability study. The study shows that users find the Classification Storage system to be intuitive, easy to use and users become more information security aware by using the system. / I dagens informationsålder har data blivit den mest värdefulla tillgången i världen. Datatillgångar har blivit högt prioriterade mål för cyberkriminella och digital krigsföring. För att minska dessa hot, finns det ett behov av informationssäkerhet, lagar och lagstiftning. Det kan vara utmanande för organisationer att ha kontroll över sitt data för att följa lagar som kräver data klassificering för att lagra känsligt data. Målet med avhandlingen är att skapa ett system som gör det lättare för organisationer att hantera filklassificering och som ökar informationssäkerhets medvetande bland användare. Classification Storage systemet har designats, implementerats och evaluerats i avhandlingen. Classification Storage systemet är en Klient--Server lösning som tillsammans skapar ett virtuellt filsystem. Det virtuella filsystemet är presenterad som en nätverksenhet, där data lagras separat, beroende på den klassificeringen användare sätter. Classification Storage systemet är evaluerat genom en användbarhetsstudie. Studien visar att användare tycker att Classification Storage systemet är intuitivt, lätt att använda och användare blir mer informationssäkerhets medveten genom att använda systemet.

Data Classification

Information Classification

User­Driven Classification

Information Security Awareness

Dataklassificering

Informationsklassificering

Användardriven Klassificering

Informationssäkerhet Medvetenhet

Computer Sciences

Datavetenskap (datalogi)

Informationssäkerhetsmedvetenhet : Hur kan små och medelstora företag inom tillverkningsindustrin arbeta för att öka informationssäkerhetsmedvetenhet hos anställda / Information security awareness : How can small and medium-sized enterprises within the manufacturing industry enhance information security awareness among employees

Paulsson, Tim, Johansson, Kevin

January 2021

Information security awareness among employees is something all organizations work with, and which must be constantly improved as new threats arise. The manufacturing industry is particularly vulnerable as they have recently begun to move towards a data-intensive industry. The purpose of the study is to investigate how small and medium-sized companies in the manufacturing industry can increase their knowledge and awareness of information security. The study is conducted via semi-structured interviews which then underwent a thematic analysis. The study describes the information security controls used in the manufacturing industry and in which way organizations use them to make employees information security aware. Information security managers describe the motives behind their choice of information security controls and how they adapt the training to increase information security awareness among employees. The employees describe how they feel that the information security controls work and how they could be changed. The study's conclusion contributes with recommendations for how organizations should proceed in order to make their employees aware of information security in the most effective way. The study also clarifies structural attributes that must be considered when introducing information security controls. The authors also draw attention to the importance of a simplified language within the organization, but also that it is important to create a safe work environment where employees can present incidents without feeling humiliated. / Informationssäkerhetsmedvetenhet hos anställda är något alla organisationer arbetar med och som ständigt måste förbättras eftersom nya hot uppkommer. Detta arbete är centralt och utmanande inom samtliga industrier, tillverkningsindustrin är extra utsatt eftersom de på senaste tid börjat gå mot en alltmer dataintensiv industri. Syftet med studien är att undersöka hur små och medelstora företag inom tillverkningsindustrin kan öka sin kunskap om- och medvetenhet avseende informationssäkerhet. Undersökningen genomförs via semi-strukturerade intervjuer som sedan genomgår en tematisk analys. Studien beskriver de informationssäkerhetåtgärder som används inom tillverkningsindustrin och på vilket sätt organisationerna använder de för att göra anställda informationssäkerhetsmedvetna. Informationssäkerhetsansvariga beskriver de motiven som ligger bakom deras informationssäkerhetsåtgärdsval och hur de anpassar utbildningen för att öka informationssäkerhetsmedvetenheten hos anställda. De anställda beskriver hur de upplever att informationssäkerhetsåtgärderna fungerar och berättar hur de tycker att utbildningarna ska förändras. Studiens slutsats bidrar med rekommendationer för hur organisationer bör gå till väga för att på det mest effektiva sättet få sina anställda informationssäkerhetsmedvetna. Studien tydliggör även för de struktursattribut som måste övervägas vid införandet av informationssäkerhetsåtgärder. Författarna uppmärksammar också betydelsen av ett förenklat språk inom organisationen, men även att det är viktigt att skapa en trygg arbetsmiljö där anställda kan framföra incidenter utan att känna sig uthängda.

Informationssäkerhet

informationssäkerhetsmedvetenhet

tillverkningsindustrin

små och medelstora företag

informationssäkerhetsåtgärder

träningsåtgärder

medvetenhetsåtgärder

utbildningsåtgärder

Övrig annan teknik

Secure Automotive Ethernet : Balancing Security and Safety in Time Sensitive Systems

Lang, Martin

January 2019

Background.As a result of the digital era, vehicles are being digitalised in arapid pace. Autonomous vehicles and powerful infotainment systems are justparts of what is evolving within the vehicles. These systems require more in-formation to be transferred within the vehicle networks. As a solution for this,Ethernet was suggested. However, Ethernet is a ’best effort’ protocol which cannot be considered reliable. To solve that issue, specific implementations weredone to create Automotive Ethernet. However, the out-of-the-box vulnerabil-ities from Ethernet persist and need to be mitigated in a way that is suitableto the automotive domain. Objectives.This thesis investigates the vulnerabilities of Ethernet out-of-the-box and identify which vulnerabilities cause the largest threat in regard tothe safety of human lives and property. When such vulnerabilities are iden-tified, possible mitigation methods using security measures are investigated.Once two security measures are selected, an experiment is conducted to see ifthose can manage the latency requirements. Methods.To achieve the goals of this thesis, literature studies were conductedto learn of any vulnerabilities and possible mitigation. Then, those results areused in an OMNeT++experiment making it possible to record latency in a sim-ple automotive topology and then add the selected security measures to get atotal latency. This latency must be less than 10 ms to be considered safe in cars. Results. In the simulation, the baseline communication is found to take1.14957±0.02053 ms. When adding a security measure latency, the total dura-tion is found. For Hash-based Message Authentication Code (HMAC)-SecureHash Algorithm (SHA)-512 the total duration is 1.192274 ms using the up-per confidence interval. Elliptic Curve Digital Signature Algorithm (ECDSA)- ED25519 has the total latency of 3.108424 ms using the upper confidenceinterval. Conclusions. According to the results, both HMAC-SHA-512 and ECDSA- ED25519 are valid choices to implement as a integrity and authenticity secu-rity measure. However, these results are based on a simulation and should beverified using physical hardware to ensure that these measures are valid. / Bakgrund.Som en påföljd av den digitala eran, så har fordon blivit digitalis-erade i ett hastigt tempo. Självkörande bilar och kraftfulla infotainmentsys-tem är bara några få av förändringarna som sker med bilarna. Dessa systemkräver att mer information skickas genom fordonets nätverk. För att nå dessahastigheter föreslogs Ethernet. Dock så är Ethernet ett så kallat ’best-effort’protokoll, vilket inte kan garantera tillförlitlig leverans av meddelanden. För attlösa detta har speciella tillämpningar skett, vilket skapar Automotive Ethernet.Det finns fortfarande sårbarheterna av Ethernet kvar, och behöver hanteras föratt tillämpningen skall vara lämplig för fordonsindustrin. Syfte.Denna studie undersöker vilka sårbarheter som finns i Ethernet ’out-of-the-box’ och identifierar vilka sårbarheter som har värst konsekvenser urperspektivet säkerhet för människor och egendom. Två säkerhetsimplementa-tioner väljs ut för att se över vidare de kan användas för kommunikation i bilar. Metod.För att nå arbetets mål, så genomfördes en literaturstudie för attundersöka sårbarheter och potentiella motverkningar. Studiens resulat använ-des sedan i en simulering för att kunna mäta fördröjningen av en enkel topologii en OMNeT++miljö. Sedan addera den tiden med exekveringstiden för säker-hetsimplementationerna för att få en total fördröjning. Kommunikationstidenmåste vara mindre än 10 ms för att räknas som säker för bilar. Resultat.I simuleringen, så ger mätningarna en basal kommunikation på1.14957±0.02053 ms. När säkerhetsimplementationerna tillsätts så får manden totala kommunikationstiden. För HMAC-SHA-512 mäts den totala kom-munikationstiden till 1.192274 ms genom att använda den övre gränsen av kon-fidensintervallet. För ECDSA - ED25519 mäts tiden till 3.108424 ms. Slutsatser.Enligt resultaten så är både HMAC-SHA-512 och ECDSA - ED25519möjliga alternativ för integritets- och äkthetstillämpningar i fordorns kommu-nikation. Dessa resultaten är dock framtagna ur en simulering och bör verifierasmed hjälp av fysisk hårdvara så mätningarna är sanningsenliga.

Automotive Ethernet

Information Security

Integrity

Time Sensitive Systems

Automotive Ethernet

Informationssäkerhet

Integritet

tidskänsliga system

Computer Sciences

Datavetenskap (datalogi)

Kostnaden för bristandeinformationssäkerhet : En undersökning av noteradebolag på NASDAQ & NYSE

Philip, Kottorp, Erik, Hammarstedt

January 2022

Kan historisk data om incidenter i informationssystem användas för att bedöma kostnaden föruteblivna investeringar i informationssäkerhet? Genom en händelsestudie med 76 incidenterfrån bolag på NASDAQ och NYSE från 2000-2021 beräknades den genomsnittliga totalakostnaden i form av onormal förändring i företagets marknadsvärde. Studien visar att företagi genomsnitt förlorar 0,8% av sitt marknadsvärde fem dagar efter en incident i ettinformationssystem. Studien ger även visst stöd för att branscher som hanterar känsliginformation upplever betydligt större kostnader av en incident. Resultatet bidrar till attmöjliggöra mer träffsäkra investeringsbedömningar i informationssäkerhet genom attpresentera ett statistiskt säkerställt sätt att beräkna den potentiella kostnaden av en utebliveninvestering.

Informationssäkerhet

incident

kostnaden av en incident

informationssystem

IT

Information Systems, Social aspects

Informationssäkerhet hos SME:s : En kvalitativ studie om hur små och medelstora företag inom e-handel arbetar med informationssäkerhet / Information security at SME:s : A qualitative study about how small and middle-sized enterprises in e-commerce work with information security

Erixon, Mattias

January 2023

Informationssäkerhet är en viktig del i företagens arbete för att säkerställa att informationen som lagras inte används på fel sätt eller hamnar i fel persons händer. Numera finns det en uppsjö av standarder och verktyg som kan användas för att göra arbetet lättare. Trots dessa underlättande tjänster misslyckas många företag med att implementera informationssäkerhetsåtgärder. Små och medelstora företag är i synnerhet utsatta på grund av deras ringa storlek samt brist på kapital. Denna studie har tagit reda på hur små och medelstora företag inom e-handel arbetar med informationssäkerhet med hjälp av en kvalitativ intervjustudie tillsammans med en induktiv analys. Totalt har fyra respondenter från fem olika företag runt om i Sverige intervjuats. Respondenterna som datan samlats in från har haft olika roller, men alla har haft någon form av ledande roll på respektive företag. Resultatet som tas fram senare i rapporten presenterar insamlat material uppdelat i tre områden. Dessa områden är informationssäkerhetspolicy, personalfrågor och säkerhetsåtgärder. Svaren som samlas in inom dessa områden visar både likheter och skillnader till tidigare litteratur. De tyder på att SME:s inom e-handel har brister inom vissa delar av deras säkerhetsarbete, medans andra delar fungerar bättre.

Informationssäkerhet

informationssäkerhetspolicy

små och medelstora företag

SME

e-handel

Information Systems, Social aspects