Säkerställa information för myndigheter i ett kontrollsystem för kassaregister : En studie med fokus på sårbarhetsanalys / Secure information for authorities in a cash register control system : A study focusing on vulnerability analysis

Bianchi, Guillaume

January 2021

With a control system for cash registers, the Swedish Tax Agency intends to make transaction data available in a more flexible way by transferring data to a database server. The transaction data of the control system are private and must be protected. However, systems that are connected to a network can be vulnerable to cybersecurity attacks where attackers use security vulnerabilities to steal, modify, and destroy private and sensitive information. To contribute to new knowledge, the aim of this thesis was to research and present which type of vulnerabilities could be present in a control system for cash registers. In addition, an appropriate method that could be used in future research was created for the use of penetration tests in a control system or similar systems. To gather empirical data, an observation of the use of the penetration tests as well as the results obtained by the tests were made. The results of the penetration tests showed that, the data generally are transferred in a secure manner but a severe type of vulnerability in the Oracle database server was also found. In this study, the exploitation of the vulnerability was left out of scope. We have not proven that the vulnerability who was found could be exploited and whether confidentiality, integrity and availability could be compromised in the event of a successful attack.

Informationsarkitektur

Informationssäkerhet

Cybersäkerhet

Kontrollsystem

Konfidentialitet

Integritet

Tillgänglighet

Penetrationstest

Information Studies

Biblioteks- och informationsvetenskap

Hashsumman av din vård : En studie av blockkedjeteknikens möjligheter förjournalföring inom vården

Ravensberg, Adam, Stener, Gabriel

January 2023

Vårdens digitala system präglas idag av en hög komplexitet och saknar ensammanhållen standard. Ett ökat behov för digitalisering inom vården harlett till stora utvecklingar, men även nya utmaningar. Ett av de viktigastesystemen, som genomsyrar hela vårdsystemet, är patientjournalen. I detta arbete undersöks möjligheterna till att applicera en ny teknologi föranvändning inom den svenska vårdens informationshantering, blockkedjor. Blockkedjor har huvudsakligen använts för implementering avkryptovalutor men har, på grund av sina riktighet- och spårbarhetsgarantier,blivit alltmer vanlig för användning inom övrig informationshantering. Inledningsvis undersöks förutsättningarna som ett journalsystem ska levaupp till enligt säkerhetsprinciperna Konfidentialitet, Riktighet,Tillgänglighet och Spårbarhet. Intervjuer med områdeskunniga förjournalsystemen inom Region Halland och Region Stockholm belyser någraav de brister och utmaningar som finns inom vården idag. Informationsinhämtning från lagrum och föreskrifter lägger grunden till dekrav som ett journalsystem ska uppfylla. Efter den inledande undersökningen studeras litteratur kopplat tillimplementeringar av blockkedjor i syfte att hämta in information gällandeblockkedjans komponenter för vidare behandling. Här behandlas blandannat utvecklardokument, state-of-the-art och analyser relaterade tillblockkedjor. Slutligen bearbetas blockkedjetekniken ihop med journalsystemensförutsättningar och resulterar i en teoretisk modell av ett blockkedjesystemför användning som patientjournal inom den svenska vården. Slutsatsen dras att möjligheten för en praktisk implementering av denteoretiska modellen är möjlig, men att vården i dagsläget inte harförutsättningarna för ett omfattande systembyte till en relativt obeprövadteknologi.

Blockkedja

Patientjournal

Blockkedjekomponenter

Konsensusmekanism

Modell

Konfidentialitet

Riktighet

Tillgänglighet

Spårbarhet

Other Medical Engineering

Annan medicinteknik

Informationsklassificering : ett styrdokument för klassificering av informationssystem

Larsson, Nicklas, Hallén, Kim

January 2010

<p>Hantering av information blir allt viktigare i dagens informationssamhälle då information är en av de värdefullaste tillgångarna för verksamheter. Syftet med uppsatsen har varit att skapa ett styrdokument för IT-administratörer som hjälper dem vid klassificering av informationssystem. Styrdokumentet har som uppgift att kontrollera att informationssystem lever upp till verksamheternas krav som finns på konfidentialitet, integritet, tillgänglighet och spårbarhet. Styrdokumentets vetenskapliga värde har verifierats genom att utvalda IT-administratörer undersökt och utvärderat styrdokumentet. Resultatet visar att styrdokumentet kan användas som ett hjälpmedel. Det är lättförståeligt, lämpar sig för mindre tekniska personer och kan även i vissa fall effektivisera klassificeringsprocessen. Slutsatsen är att behovet av denna typ av styrdokument för klassificering av informationssystem behövs inom verksamheter.</p> / <p>Information management is increasingly important in today’s information society as information is one of the most valuable assets for businesses. The purpose of this paper was to create a steering document for IT administrators and to help them when classifying information systems. The steering document is responsible for verifying that information systems meet businesses requirements of confidentiality, integrity, availability, and traceability. The scientific value of the steering document has been verified by selected IT administrators, who have investigated and evaluated it. The results show that the steering document may be used as a guideline for information system classification. It is easily understandable, suitable for less technical people, and may in some cases make the classification process even more efficient. The conclusion is that this type of steering document for information system classification is needed within businesses.</p>

Availability

CIA-triad

confidentiality

information

information classification

information management

information security

integrity

CIA-triangeln

information

informationshantering

informationsklassificering

informationssäkerhet

integritet

konfidentialitet

tillgänglighet

Computer science

Datavetenskap

Reclaim Aspergern! : Hur individer med Aspergers syndrom förhåller sig till sin diagnos och sin funktionsnedsättning i sin blogg.

Mattsson, Tove, Andersson, Anna Karin

January 2010

<p>Syftet med studien var att med kvalitativ metod försöka förstå hur individer medAspergers syndrom förhåller sig till sin diagnos och sin funktionsnedsättning i sinblogg. I en ambition att nå ett inifrånperspektiv kom bloggtexter att analyserasenligt en tolkande fenomenologisk ansats (IPA). Stor vikt har lagts vid att förhållasig till etiska riktlinjer för Internetforskning och att behålla bloggskribenternaskonfidentialitet. Det senare medförde till exempel att citat från bloggtexterna inteförekommer i arbetet. I bloggtexterna har dels tre mer genomgående temanutkristalliserats. Dessa är diagnosen Aspergers syndrom, kompenserandet förfunktionsnedsättningen och bloggandet i sig. Dels har tre mer komplexa ochövergripande teman identifierats som dessutom kan utgöra tre olika blickar tillvilka bloggskribenterna förhåller sig. Samhällets blick ger individen möjlighet attkomma ut som Asperger, kollektivets blick ger individen möjlighet att reclaimaAspergern och individens blick hanterar individens konst att vara normal.</p>

Aspergers syndrom

diagnos

funktionsnedsättning

Internet

blogg

IPA

sociala berättelser

känsla av sammanhang

komma ut

reclaim

normalitet

neurotypisk

konfidentialitet

Internetforskning

Psychology

Psykologi

Reclaim Aspergern! : Hur individer med Aspergers syndrom förhåller sig till sin diagnos och sin funktionsnedsättning i sin blogg.

Mattsson, Tove, Andersson, Anna Karin

January 2010

Syftet med studien var att med kvalitativ metod försöka förstå hur individer medAspergers syndrom förhåller sig till sin diagnos och sin funktionsnedsättning i sinblogg. I en ambition att nå ett inifrånperspektiv kom bloggtexter att analyserasenligt en tolkande fenomenologisk ansats (IPA). Stor vikt har lagts vid att förhållasig till etiska riktlinjer för Internetforskning och att behålla bloggskribenternaskonfidentialitet. Det senare medförde till exempel att citat från bloggtexterna inteförekommer i arbetet. I bloggtexterna har dels tre mer genomgående temanutkristalliserats. Dessa är diagnosen Aspergers syndrom, kompenserandet förfunktionsnedsättningen och bloggandet i sig. Dels har tre mer komplexa ochövergripande teman identifierats som dessutom kan utgöra tre olika blickar tillvilka bloggskribenterna förhåller sig. Samhällets blick ger individen möjlighet attkomma ut som Asperger, kollektivets blick ger individen möjlighet att reclaimaAspergern och individens blick hanterar individens konst att vara normal.

Aspergers syndrom

diagnos

funktionsnedsättning

Internet

blogg

IPA

sociala berättelser

känsla av sammanhang

komma ut

reclaim

normalitet

neurotypisk

konfidentialitet

Internetforskning

Psychology

Psykologi

Informationsklassificering : ett styrdokument för klassificering av informationssystem

Larsson, Nicklas, Hallén, Kim

January 2010

Hantering av information blir allt viktigare i dagens informationssamhälle då information är en av de värdefullaste tillgångarna för verksamheter. Syftet med uppsatsen har varit att skapa ett styrdokument för IT-administratörer som hjälper dem vid klassificering av informationssystem. Styrdokumentet har som uppgift att kontrollera att informationssystem lever upp till verksamheternas krav som finns på konfidentialitet, integritet, tillgänglighet och spårbarhet. Styrdokumentets vetenskapliga värde har verifierats genom att utvalda IT-administratörer undersökt och utvärderat styrdokumentet. Resultatet visar att styrdokumentet kan användas som ett hjälpmedel. Det är lättförståeligt, lämpar sig för mindre tekniska personer och kan även i vissa fall effektivisera klassificeringsprocessen. Slutsatsen är att behovet av denna typ av styrdokument för klassificering av informationssystem behövs inom verksamheter. / Information management is increasingly important in today’s information society as information is one of the most valuable assets for businesses. The purpose of this paper was to create a steering document for IT administrators and to help them when classifying information systems. The steering document is responsible for verifying that information systems meet businesses requirements of confidentiality, integrity, availability, and traceability. The scientific value of the steering document has been verified by selected IT administrators, who have investigated and evaluated it. The results show that the steering document may be used as a guideline for information system classification. It is easily understandable, suitable for less technical people, and may in some cases make the classification process even more efficient. The conclusion is that this type of steering document for information system classification is needed within businesses.

Availability

CIA-triad

confidentiality

information

information classification

information management

information security

integrity

CIA-triangeln

information

informationshantering

informationsklassificering

informationssäkerhet

integritet

konfidentialitet

tillgänglighet

Computer Sciences

Datavetenskap (datalogi)

Understanding Conceptions about Digital Threats : Assessing Public Knowledge of Cyber Threats / Kartläggning av uppfattningen om digitala hot : Fastställning av allmänhetens förståelse för hot inom cybervärlden

Aljic, Almir

January 2022

As technology and Internet use continue to grow globally, cybersecurity has become an increasingly important topic to ensure the safety of individual consumers online. It is a growing cause for concern that cyber attacks are on the rise, as has been the case during the global pandemic. Cybersecurity awareness among the general population is of utmost importance to mitigate and prevent cyber attacks. One of the primary purposes of this study was to identify the existence and measure the extent of knowledge gaps between experts and non-experts, within the field of cybersecurity. This was done by evaluating how experts and non-experts rate the severity of different vulnerabilities. Through extensive collaboration with a technology startup within the f ield of digital design and e-commerce, four vulnerabilities were identified in the startup’s IT environment. These vulnerabilities were simplified and described in four separate scenarios, for the sake of being digestible for a nonexpert audience. The scenarios were used to construct an extensive survey, which asked participants how they would rate the severity of each scenario, using a 1-5 Likert scale. Severity was measured using three vulnerability metrics, including Attack Complexity (AC), Remediation Level (RL) and Confidentiality (C). In many cases, experts and non-experts rated the severity of the studied vulnerabilities similarly. However, the results of this study primarily showed that there doesexiststatistically significant differences intheperceivedseverity between the groups. Using expert responses as a baseline, it was possible to identify for which metrics and in which contexts the lack of cybersecurity awareness existed among non-experts. This lack of awareness was equated with the existence of a knowledge gap. For future work, it would be of great interest to further analyze the extent of and how to reduce this knowledge gap. / I takt med att den internetbaserade teknologiska användningen fortsätter att öka på global skala blir cybersäkerhet desto viktigare för att skydda konsumenter från cyberangrepp online. Under pandemins gång har antalet cyberattacker ökat markant och detta är högst oroväckande. Allmänhetens medvetenhet kring cybersäkerhet är av yttersta vikt för att mitigera och förhindra cyberattackerna. Ett av dem främsta syftena med denna studie var att undersöka eventuella kunskapsskillnader mellan experter och ickeexperter inom cybersäkerhetsområdet. Detta undersöktes genom att evaluera hur experter och icke-experter bedömer allvaret i olika cybersäkerhetsbrister. Genom ett gediget samarbete med en startup inom digital design och ehandel, identifierades fyra separata säkerhetsbrister i företagets IT system. Dessa brister förklarades på en översiktlig nivå i olika scenarier, för att underlätta förståelsen bland icke-experter. Dessa scenarier användes därefter till att utveckla en omfattande undersökningsenkät, vars syfte var att undersöka hur deltagare bedömer allvaret i scenarierna utifrån en 1-5 Likertskala. Allvaret beräknades genom att deltagarna bedömde tre olika sårbarhetsaspekter för varje scenario: cyberattackens komplexitet (AC), åtgärdhetens komplexitet (RL) och konfidentialitet (C). I många fall gjorde experter och icke-experter en likvärdig bedömning kring allvaret i dem undersökta cybersäkerhetsbristerna. Emellertid fanns det i andra sammanhang uppenbara och statistiskt säkerställda skillnader i bedömningarna mellan grupperna. Genom att använda experternas bedömning som måttstock, visade studien i vilka sammanhang och för vilka sårbarhetsaspekter icke-experter saknade en gedigen medvetenhet kring. Denna bristfälliga medvetenhet likställdes med att en kunskapslucka existerade mellan grupperna. Inför framtida forskning är det av stort intresse att undersöka omfattningen av och metoder att reducera denna kunskapslucka.

Cybersecurity

CybersecurityAwareness

Vulnerability

VulnerabilityMetrics

Vulnerability Severity

AttackComplexity

RemediationLevel

Confidentiality

Cybersäkerhet

medvetenhet kring cybersäkerhet

sårbarhet

cybersårbarhet

cybersäkerhetsbrist

bedömningavcybersäkerhet

sårbarhetsaspekt

sårbarhetsskala

cyberattackers komplexitet

konfidentialitet

Computer and Information Sciences

Data- och informationsvetenskap

SecuRES: Secure Resource Sharing System : AN INVESTIGATION INTO USE OF PUBLIC LEDGER TECHNOLOGY TO CREATE DECENTRALIZED DIGITAL RESOURCE-SHARING SYSTEMS

Leung, Philip, Svensson, Daniel

January 2015

The project aims at solving the problem of non-repudiation, integrity and confidentiality of data when digitally exchanging sensitive resources between parties that need to be able to trust each other without the need for a trusted third party. This is done in the framework of answering to what extent digital resources can be shared securely in a decentralized public ledger-based system compared to trust-based alternatives. A background of existing resource sharing solutions is explored which shows an abundance third party trust-based systems, but also an interest in public ledger solutions in the form of the Storj network which uses such technology, but focuses on storage rather than sharing. The proposed solution, called SecuRES, is a communication protocol based on public ledger technology which acts similar to Bitcoin. A prototype based on the protocol has been implemented which proves the ability to share encrypted files with one or several recipients through a decentralized public ledger-based network. It was concluded that the SecuRES solution could do away with the requirement of trust in third parties for all but some optional operations using external authentication services. This is done while still maintaining data integrity of a similar or greater degree to trust-based solutions and offers the additional benefits of non-repudiation, high confidentiality and high transparency from the ability to make source code and protocol documentation openly available without endangering the system. Further research is needed to investigate whether the system can scale up for widespread adoption while maintaining security and reasonable performance requirements. / Projektet ämnar lösa problemen med oförnekbarhet, integritet och konfidentialitet när man delar känsligt data mellan parter som behöver lita på varandra utan inblanding av betrodd tredje part. Detta diskuteras för att besvara till vilken omfattning digitala resurser kan delas säkert i ett decentraliserat system baserat på publika liggare jämfört med existerande tillitsbaserade alternativ. En undersökning av nuvarande resursdelningslösningar visar att det existerar många tillitsbaserade system men även en växande andel lösningar baserade på publika liggare. En intressant lösning som lyfts fram är Storj som använder sådan teknologi men fokuserar på resurslagring mer är delning. Projektets föreslagna lösning, kallad SecuRES, är ett kommunikationsprotokoll baserat på en publik liggare likt Bitcoin. En prototyp baserad på protokollet har tagits fram som visar att det är möjligt att dela krypterade filer med en eller flera mottagare genom ett decentraliserat nätverk baserat på publika liggare. Slutsatsen som dras är att SecuRES klarar sig utan betrodda tredje parter för att dela resurser medan vissa operationer kan göras mer användarvänliga genom externa autentiseringstjänster. Själva lösningen garanterar integritet av data och medför ytterligare fördelar såsom oförnekbarhet, konfidentialitet och hög transparens då man kan göra källkoden och protocoldokumentation fritt läsbar utan att utsätta systemet för fara. Vidare forskning behövs för att undersöka om systemet kan skalas upp för allmän användning och alltjämt bibehålla säkerhets- samt prestandakrav.

Public ledger

Blockchain

Bitcoin

Non-repudiation

Trust

Secre transactions

Resource sharing

Decentralisation

Elliptic curve cryptography

Integrity

Confidentiality.

Publik liggare

Blockkedja

Bitcoin

Oförnekbarhet

Tillit

Säkra transaktioner

Resursdelning

Decentralisering

Elliptic curve cryptografi

Integritet

Konfidentialitet.

Computer and Information Sciences

Data- och informationsvetenskap