Informationssäkerhetskunskap i gymnasieskolan : En nulägesanalys av gymnasieelevers kunskaper och lärares arbete kring ämnet

Öberg, Emma, Katardjiev, Nikola

January 2016

Svenska gymnasieskolor, både kommunala och fristående, har snabbt adopterat en datorbaserad inlärningsplattform. Det här betyder att varje elev får tillstånd att låna en dator från skolan, vars syfte är att effektivisera skolarbetet. Att flytta undervisningen iväg från papper och penna mot ett mer digitalt arbetssätt medför dock vissa risker gällande informationssäkerhet. Denna uppsats syftar att undersöka, genom en surveyundersökning av 4 olika gymnasieskolor i Sverige, kunskapsnivåerna i informationssäkerhet hos studenter mellan 16 och 19 år gamla, samt även hur denna kunskap lärs ut. Studien var uppdelad i en enkätundersökning av studenter, med 163 respondenter, och intervjuer med 3 anställda på 3 av skolorna. / High schools in Sweden, both public and private, have rapidly been adopting a computerbased learning platform. This means that each student is granted permission to lease a laptop from the school, which is intended to effectivize school work. However, moving the educational platform away from paper and pen and towards a digital platform poses certain risks concerning information security. This paper aims to examine, through a survey of 4 different high schools in Sweden, the education levels of students aged 16 to 19 concerning information security, and also how that education has been conducted. The study was divided into a survey of students, with 163 respondents, and interviews were conducted with 3 key members of 3 of the schools.

Information security

High schools

High school students

Security awareness

Risk awareness

Informationssäkerhet

Gymnasieskolor

Gymnasieelever

Säkerhetsmedvetenhet

Riskmedvetenhet

Visuell kontextbaserad mikroträning : En effektivitetsstudie / Visual context based microtraining : An efficiency study

Ljungdahl, Erik

January 2019

Informationssäkerhet är ett område som blir mer aktuellt för var dag när samhället blir allt mer digitaliserat, vilket leder till att nya vägar för att utbilda allmänheten måste undersökas. Tidigare forskning har studerat konceptet kontextbaserad mikroträning, alltså träning ögonblicket innan träningen behövs, och utefter detta skapat videoklipp för att således lära personer om säkerhetsmedvetenhet. Ett sådant klipp, i följande rapport ofta kallad visuell kontextbaserad mikroträning, ämnade undervisa personer i vad ett säkert lösenord ska innehålla, hur det kan utformas och en föreslagen metod att minnas lösenordet. Videomaterialet har dock endast undersökt i syfte att fastställa den allmänna åsikten, men dess effektivitet har tidigare inte undersökts. Denna studie vilar på deltagandet av 49 studiedeltagare som fick genomgå mikroträning, en grupp som exponerades för visuell kontextbaserad mikroträning och en som exponerades för samma pedagogiska innehåll som det visuella mikroträningsmediet ämnade framföra, dock denna gång i skriven text. Resultatet av studiemomentet genererade således 25 lösenord med tillhörande demografisk data efter videoexponering och 24 lösenord efter textexponering och dessa två dataset fick jämföras gentemot varandra. Efter den utförda analysen stod det klart att de skillnader som existerar mellan mikroträningsvideon och en text med samma undervisningsmaterial utformad för komparativa syften var små, och ingen signifikant korrelation kunde fastställas. / Information security is a field that gets more relevant for every day in a digitized society, which means that new ways to educate the public in information security matters has to be explored. Previous research has studied the concept of context based micro training, meaning training in the moment in which it’s needed, and along this created videos which are meant to educate people of what a secure password should contain, how the password is designed and methods to remember the password in question. This study is resting on the participation of 49 study participants who were subjected to micro training, one group who were exposed to visual context based micro training and one that was exposed to the same educational content as the visual micro training medium intended to convey, however this time in written text. The result of the study moment generated 25 passwords with associated demographic data after exposure to video, and 24 passwords after exposure to text, and these two data sets were compared to each other. After the analysis it was clear that the differences that exists between visual context based micro training and a text containing the same educational material in written form were small , and no significant correlation could be established.

information security

micro training

security awareness

informationssäkerhet

mikroträning

säkerhetsmedvetenhet

Information Systems

Hur säkra är våra personliga uppgifter hos e-tjänster? : En studie om Försäkringskassans implementering av informationssäkerhetspolicyn / How secure are our private data through e-services? : A study about Swedish social security agency's implementation of strategy concerning information safety

Keskin, Elin, Lampropoulou, Alexandra, Mohamud, Zainab

January 2019

Digitalisering av information inom offentlig förvaltning har väckt diskussionen kring informationssäkerhet, vilket har blivit mycket viktigt och nödvändigt för verksamheter under senaste tiden. På grund av digitaliseringen har organisationer infört ett utbyte av pappersrelaterat arbete till information och dokument via e-tjänster. För att kunna säkerställa att känsliga uppgifter skyddas implementerar offentliga organisationer policyn kring informationssäkerhet. Chefens roll och medvetenhet hos anställda kring informationssäkerhetspolicyns riktlinjer anses vara betydande för en lyckad implementering av förändringar. Syftet med studien är att analysera på vilket sätt Försäkringskassan i Göteborg har genomfört implementeringen av informationssäkerhetspolicyn hos sina e-tjänster, samt att upplysa om chefernas roll vid implementering av informationssäkerhetspolicyn och personalens medvetenhet kring policyns riktlinjer. Studier om informationssäkerhet har visat att det största hotet kommer inifrån, med andra ord kan en organisations anställda medvetet eller omedvetet utsätta en organisations informationssystem för risk genom att sprida eller dela känslig information med obehöriga. I denna studie har vi genomfört semistrukturerade intervjuer med både chefer och anställda inom Försäkringskassan i Göteborg för att kunna betrakta på vilket sätt implementeringen av informationssäkerhetspolicyn har påverkat verksamheten. Enligt resultatet har Försäkringskassan i Göteborg implementerat informationssäkerhetspolicyn under olika faser, men det som anses avgörande för att uppnå målet med policyn har varit att ha en tydlig plan, en förstudie och tydlig kommunikation om vad policyn innebär till alla inblandade vid implementeringen i ett tidigt stadie. Vidare har verksamheten använt olika strategier för att öka anställdas säkerhetsmedvetenhet genom broschyrer, skriftligt avtal och dokument, utbildningar samt workshops. Förutom detta har chefer följt en ledarstil som liknar transformellt ledarskap och på detta sätt ökat de anställdas motivation och prestation, samtidigt som det utförts kontroller och övervakning under hela implementeringsprocessen i syfte om att säkerställa att riktlinjer följs och att policyn efterlevs.

säkerhetspolicy

informationssäkerhet

säkerhetsmedvetenhet

chefers roll

implementering

offentlig sektor

Försäkringskassan

Public Administration Studies

Studier av offentlig förvaltning

Allmänhetens säkerhetsmedvetenhet med avseende på trådlös kommunikation

Wallin, Andreas, Rubensson, Jonas, Iggstrand, Alexander

January 2014

Offentliga trådlösa nätverk finns idag mer tillgängliga än någonsin. Samtidigt haralla dessa nätverk något gemensamt – de går alla att avlyssna och risken finns attanvändarens information kan komma i fel händer. Uppsatsen behandlarallmänhetens säkerhetsmedvetenhet med avseende på denna typ av nätverk genomtvå undersökningar. Den första undersökningen sker via ett tekniskt experiment därdet på flera geografiska platser har erbjudits ett trådlöst nätverk till allmänheten. Pådetta nätverk har det i realtid getts möjligheten att bedöma användarnassäkerhetsmedvetenhet genom att analysera deras nätverkstrafik. Den andraundersökningen sker via en enkät för att få ett resultat från ett teoretiskt perspektiv,hur användarna tror sig agera vid användning av ett sådant nätverk. Således ger denen inblick i den kunskap och säkerhetsmedvetenhet människor i allmänhet tror sigbesitta.Resultaten från undersökningarna tyder på att människors säkerhetsmedvetenhetkan och bör förbättras. Ett första steg är ytterligare utbildning angående de riskersom existerar och hur man undviker dem, något som tas upp i denna uppsats. / Public wireless networks are more available than ever. The networks all havesomething in common—they can be tapped in to, which poses the risk of sensitiveuser information being compromised. This research paper explores the public’ssecurity awareness with regards to public wireless networks by two differentmethods. One technical experiment in which, access to a public wireless networks inseveral different locations were offered. This allowed us to, in real-time, assess thesafety awareness of the users of our public wireless network, by analyzing theirnetwork traffic. The second was a survey, which were distributed to our sample ofpeople. It asked the sample questions about how they perceive their own behavioron a public wireless network. Thus, the survey allowed us to get an idea of theknowledge and the security awareness the public in general believe that they have.The results from our research indicate that people’s security awareness can andshould be improved. One first step towards improvement would be educationconcerning the risks that exist and how to avoid them, which is something that will be brought up in this paper.

Security awareness

Wireless network

Eavesdropping

Network traffic

Säkerhetsmedvetenhet

Trådlösa nätverk

Avlyssning

Nätverkstrafik

Sjuksköterskors uppfattningar ominformationssäkerhet : en kvalitativ intervjustudie

Karlsson, Kerstin

January 2007

<p>Inom hälso- och sjukvården hanteras känslig patientinformation. I framtiden kommer alltmer information att lagras elektroniskt och därmed bli mer lättillgänglig. Användarna av informationssystemen kan vara en säkerhetsrisk. Metoderna som används vid intrångsförsök inriktas alltmer på att involvera människor istället för att enbart använda sig av teknik.</p><p>Syftet med detta arbete är att undersöka användarnas upplevelse och medvetenhet om icke tekniska hot mot informationssäkerheten för digitalt lagrad patientinformation.</p><p>Datainsamlingen genomfördes i form av kvalitativa intervjuer med sjuksköterskor anställda på ett sjukhus i västra Sverige. Resultatet visar att det allt överskuggande upplevda hotet var intrång och förlust av sekretess i den elektroniska patientjournalen. Hoten uppfattades som interna främst från personal och till viss del från patienter. Intrång av externa aktörer ansågs osannolikt och av mer teknisk natur. En social engineering attack skulle kunna vara lyckosam, skadan som skulle kunna åstadkommas förstärks av icke fungerande utloggningsrutiner, kombinerat med vissa brister i lösenordshanteringen och användarnas omedvetenhet om hoten.</p>

Informationssäkerhet

Social engineering

Elektroniska patientjournaler

Sjuksköterskor

Säkerhetsmedvetenhet.

Computer and systems science

Data- och systemvetenskap

Sjuksköterskors uppfattningar ominformationssäkerhet : en kvalitativ intervjustudie

Karlsson, Kerstin

January 2007

Inom hälso- och sjukvården hanteras känslig patientinformation. I framtiden kommer alltmer information att lagras elektroniskt och därmed bli mer lättillgänglig. Användarna av informationssystemen kan vara en säkerhetsrisk. Metoderna som används vid intrångsförsök inriktas alltmer på att involvera människor istället för att enbart använda sig av teknik. Syftet med detta arbete är att undersöka användarnas upplevelse och medvetenhet om icke tekniska hot mot informationssäkerheten för digitalt lagrad patientinformation. Datainsamlingen genomfördes i form av kvalitativa intervjuer med sjuksköterskor anställda på ett sjukhus i västra Sverige. Resultatet visar att det allt överskuggande upplevda hotet var intrång och förlust av sekretess i den elektroniska patientjournalen. Hoten uppfattades som interna främst från personal och till viss del från patienter. Intrång av externa aktörer ansågs osannolikt och av mer teknisk natur. En social engineering attack skulle kunna vara lyckosam, skadan som skulle kunna åstadkommas förstärks av icke fungerande utloggningsrutiner, kombinerat med vissa brister i lösenordshanteringen och användarnas omedvetenhet om hoten.

Informationssäkerhet

Social engineering

Elektroniska patientjournaler

Sjuksköterskor

Säkerhetsmedvetenhet.

Information Systems

Informationssäkerhetspolicy och Säkerhetsmedvetenhet : En undersökning av kommunala förvaltningars praktiska arbete med att uppnå informationsäkerhet

Malis, Johanna, Falck, Josette

January 2016

No description available.

Information

security

Information security policy

Security awareness

Informationssäkerhet

Informationssäkerhetspolicy

Säkerhetsmedvetenhet

Information Systems

Säkerhetsmedvetenhet : Hur studenter förhåller sig till säkerhet och lösenordshantering / Security Awareness : How students relate to security and password management

Eriksson, Henry, Arvidsson, Erik, Nerén, Jonas

January 2013

I dagens samhälle är lösenord en central del av var människas vardag. Medvetenheten om vikten av ett säkert lösenord och vilka hot mot informationssäkerheten som existerar är en viktig del av en organisations säkerhetsarbete. Arbetet undersökte hur studenter på Linnéuniversitetet hanterar sina lösenord samt hur medvetna de är om existerande hot och attacker som kan äventyra lösenordets integritet. För att samla in data genomfördes en enkätundersökning. Ett program skapades med syfte att betygsätta användarnas lösenord och på ett pedagogiskt vis utbilda dem i hur ett säkert lösenord skapas. Resultaten visade att studenter i hög grad återanvänder lösenord och att det finns skillnader mellan olika grupper i graden av säkerhetsmedvetenhet. De som mottagit någon form av utbildning inom IT-säkerhet har större kunskap om hot och attacker, samt hanterade sina lösenord på ett mer säkert sätt. / In todays society, passwords are a central part in the daily routine of the common man. The importance of a safe password and knowledge of what threats against information security exists, is an important part of an organization’s security. This work studied how students at the Linnaeus University handles their passwords and how aware they are of existing threats and attacks that can compromise the integrity of their password. A survey was done to collect data, and a program was created with the purpose of grading the users passwords and in an educational way teach them how to create a secure password. The results showed that students reuse their passwords frequently and that there are some differences between groups regarding their security awareness. Those who have received some sort of education concerning IT-security had greater knowledge about threats and attacks, and they also handled their passwords with a more secure manner.

Lösenordshantering

lösenord

säkerhetsmedvetenhet

säkerhet

IT-säkerhet

lösenordsanalyserare

lösenordsanalys

lösenordsmätare

Computer Sciences

Datavetenskap (datalogi)

Phishing inom organisationer : En studie om hur skydd mot phishing kopplat till mänskliga faktorer kan stärkas / Phishing within organizations : A study on how defenses against phishing linked to human factors can be strengthened

Grönlund, Nicole

January 2020

Med hjälp av informationsteknologi (IT) kan företag hålla sig konkurrenskraftiga, samtidigt som det öppnar upp för säkerhetshot som informationsstöld. Phishing är ett exempel på säkerhetshot, vilket innefattar att angripare tillämpar digitala enheter för att konstruera manipulativa meddelanden i syftet att få tillgång till konfidentiell information genom individer (Xiong, Proctor, Yang &amp; Lin, 2019). Många företag investerar i teknologiska lösningar för att skydda mot säkerhetshot, varpå mänskliga faktorer ofta ignoreras (Ghafir et al., 2018). Denna studie har därmed undersökt hur skydd mot phishing kopplat till mänskliga faktorer kan stärkas, det vill säga säkerhetsmedvetenhet, säkerhetsutbildningar, säkerhetspolicies, informationssäkerhetskultur, ledning samt säkerhetsbeteende. Med hjälp av kvalitativa metodansatser har respondenter från ett samarbetsföretag intervjuats, för att besvara hur skydd mot phishing kopplat till mänskliga faktorer kan stärkas genom två delfrågor: ”Vilka brister finns avseende skydd mot phishing kopplat till mänskliga faktorer inom organisationer”? samt ”Vilka åtgärder kan organisationer ta för att förbereda anställda mot phishing-angrepp”?Studiens resultat visar att det kan förekomma brister avseende skydd mot phishing kopplat till mänskliga faktorer som ökar risken med att anställda faller för phishing-angrepp, exempelvis att det saknas information i säkerhetsutbildningar för att förbereda anställda mot phishing-angrepp, att anställda inte tar del av säkerhetspolicyn kontinuerligt, avsaknad av uppföljningsutbildningar samt att kunskap från säkerhetsutbildningar och säkerhetspolicyn glömts bort vilket öppnar upp för riskfyllda säkerhetsbeteenden. Åtgärder mot brister som identifierats i studien innefattar bland annat att anställda bör få genomgå specifik säkerhetsutbildning om phishing som exemplifierar olika typer av phishing-angrepp, en ökad kunskapsdelning bland ledning och anställda i form av att anställda rapporterar in phishing-mejl som ledningen kan informera övriga anställda om, belysa allvaret med phishing genom information om konsekvenser vilket kan leda till en attitydförändring avseende säkerhet, regelbundna uppföljningsutbildningar samt motivering och övervakning att anställda tar del och efterföljer säkerhetspolicies.

Phishing inom organisationer

Social engineering

Säkerhetsutbildning

Säkerhetspolicies

Informationssäkerhetskultur

Säkerhetsmedvetenhet

Ledning

Säkerhetsbeteende

Media and Communication Technology

Medieteknik

Säker i det digitala landskapet : En studie om betydelsen av internutbildning inom cybersäkerhet / Secure in the digital landscape : A study on the importance of education and training in cybersecurity

Wallman, Klara, Risberg, Ebba

January 2024

Digitaliseringens framsteg ökar organisationers sårbarhet mot cyberhot och konsekvenserna vid attacker kan bli mycket kostsamma. Trots starka tekniska skydd lämnas organisationer sårbara på grund av den mänskliga faktorn. Säkerhetsmedvetenhet bland anställda blir därför avgörande för en organisations överlevnad. Studien ämnar därför att undersöka och analysera olika aspekter av internutbildning inom cybersäkerhet i syfte att identifiera vilka faktorer som har en betydande påverkan på anställdas säkerhetsmedvetenhet. Undersökningen grundas på kvalitativa intervjuer med olika organisationers IT-säkerhetsansvariga som har inflytande över utformningen och innehållet i den interna kompetensutbildningen inom cybersäkerhet. Organisationerna utgörs av medelstora och stora organisationer som är verksamma i Sverige, och som hanterar digital konfidentiell information. Studiens resultat visar att det råder osäkerhet i hur cybersäkerhet faktiskt definieras vilket kan ses som en förklaring till den generella uppfattningen bland anställda om att utbildningen saknar konkret vägledning. Resultatet lyfter fram olika områden där organisationer kan förbättra olika aspekter av utbildning inom cybersäkerhet, inklusive anpassning av utbildning, upprätthållande av intresse hos anställda, effektiv användning av externa utbildningsresurser och anställdas ansvarstagande genom incitament. Dragna slutsatser om förbättringsmöjligheter kan bidra till en mer ändamålsenlig utbildning som i sin tur kan stärka säkerhetsmedvetenheten bland anställda. / The progress of digitalization increases the vulnerability of organizations to cyber threats, and the costs of attacks can be substantial. Despite robust technical defenses, organizations remain vulnerable due to the human factor. Therefore, the employees’ security awareness becomes crucial for an organization to achieve essential protection against cyber threats. This study aims to examine and analyze various aspects of cybersecurity education and training to identify factors significantly impacting employee security awareness. The study is based on qualitative interviews with IT security managers from different organizations who influence the design and content of cybersecurity training. All the organizations, comprising medium to large-sized entities based in Sweden, handle digital confidential information. The study's findings reveal uncertainties in how cybersecurity is defined, which explains the general perception among employees that the education and training lack practical guidance. The results highlight areas where organizations can enhance cybersecurity education and training, including adapting content, sustaining interest, effectively utilizing external resources, and promoting responsibility through incentives. Conclusions drawn regarding improvement possibilities can contribute to strengthening employee security awareness.

Cybersecurity

Security awareness

Education and Training

Cybersäkerhet

Säkerhetsmedvetenhet

Internutbildning

Information Systems, Social aspects