Penetration Testing of an In-Vehicle Infotainment System / Penetrationstestning av ett Infotainmentsystem i Fordon

Andersson, Philip

January 2022

With the growing demand for smart and luxurious vehicles, the automotive industry has moved toward developing technologies to enhance the in-vehicle user experience. As a result, most vehicles today have a so-called In-Vehicle Infotainment (IVI) system, or simply an infotainment system, which provides a combination of information and entertainment in one system. IVI systems are used to control, for instance, the audio, navigation, and air conditioning in vehicles. Increasingly more IVI systems are also connected to the internet which has enabled features such as web browsers and third-party apps on them. This raises questions concerning the cybersecurity of IVI systems. As more vehicles are connected to the internet, it increases the risk of vehicles getting hacked. Previous research has shown that it is possible to take control of an entire vehicle by hacking the IVI system. In this thesis, penetration testing was conducted on an IVI system included on a rig from Volvo Cars to find potential vulnerabilities in the system. To the best of the author’s knowledge, this is the first paper describing penetration tests performed on a greater attack surface of the Android Automotive operating system used by the IVI system than previous research which only focused on the attack surface of third-party apps. Moreover, threat modeling was performed by employing the threat analysis and risk assessment part of the ISO/SAE 21434: Road vehicles — Cybersecurity engineering. This has not yet been done in the research area of security of IVI systems as far as the author knows. The results from the various penetration tests show that no major vulnerabilities were discovered in the IVI system. However, several findings were made in the thesis where the main one was that multiple content providers, managing access to storage (e.g., relational databases) in Android, were found to be exported by Android apps on the IVI system, and that some of these were vulnerable to SQL injection. This vulnerability of some of the content providers was exploited but did not lead to any collection of private information. For future work, penetration testing of the cellular interface of the IVI system is suggested. / Med en ökad efterfrågan för smarta och lyxiga fordon så har fordonsindustrin behövt utveckla teknologier som förbättrar användarupplevelsen i fordon. Ett resultat av detta är att de flesta fordon idag har ett så kallat infotainmentsystem vilket kombinerar information och underhållning i ett system. Infotainmentsystem används till exempel för att styra ljudet, navigationen och luftkonditioneringen i fordon. Fler infotainmentsystem börjar också bli uppkopplade mot internet som möjliggör för användare att surfa på internet och ladda ner tredjepartsappar. Detta väcker frågor beträffande cybersäkerheten hos dessa. I takt med att fler fordon blir uppkopplade mot internet så ökar det risken för att fordon blir hackade. Tidigare forskning har visat att det är möjligt att ta kontroll över ett helt fordon genom att hacka infotainmentsystemet. I detta examensarbete har penetrationstestning utförts på ett infotainmentsystem som var inkluderad på en rigg från Volvo Personvagnar för att hitta potentiella säkerhetsbrister i infotainmentsystemet. Till författarens bästa vetskap är denna rapport den första som beskriver om penetrationstester utförda på en större attackyta av operativsystemet Android Automotive som används av infotainmentsystemet än tidigare forskning som bara har fokuserat på tredjepartsappar som attackyta. Hotmodellering har också utförts i examensarbetet enligt ett avsnitt kallad hotanalys och riskbedömning i ISO/SAE 21434: Vägfordon — Process och metod för cybersäkerhet. Detta har ännu inte gjorts inom forskningsområdet säkerhet för infotainmentsystem så vitt författaren känner till. Resultaten från de olika penetrationstesterna visar att inga allvarliga säkerhetsbrister hittades i infotainmentsystemet. Dock gjordes flera upptäckter under examensarbetet där den mest väsentliga var att ett flertal innehållsleverantörer, som hanterar åtkomst till lagring (t.ex. relationsdatabaser) i Android, var exporterade från Android appar på infotainmentsystemet, och att några av dem var sårbara till SQL-injektioner. Denna sårbarhet hos vissa innehållsleverantörer utnyttjades men ledde inte till någon insamling av privat information. Ett förslag för framtida arbeten är att utföra penetrationstestning på det mobila gränssnittet hos infotainmentsystemet.

Cybersecurity

Penetration testing

In-Vehicle Infotainment system

Android Automotive

ISO/SAE 21434

Cybersäkerhet

Penetrationstestning

Infotainmentsystem i fordon

Android Automotive

ISO/SAE 21434

Computer Sciences

Datavetenskap (datalogi)

Penetration testing of current smart thermostats : Threat modeling and security evaluation of Shelly TRV and Meross Smart Thermostat / Penetrationstestning av aktuella smarta termostater : Hotmodellering och säkerhetbedömning av Shelly TRV och Meross Smart Termostat

Lindberg, Adam

January 2023

As smart homes become increasingly common and concerns over Internet of Things (IoT) security grow, this study delves into the vulnerabilities of smart thermostats. These devices offer convenience but also comes with increased risk of cyber attacks. This study evaluates the susceptibility of the Shelly Thermostatic Radiator Valve (TRV) and the Meross Smart Thermostat to potential threats across various attack vectors – encompassing firmware, network, radio, and cloud – through penetration testing guided by the PatrIoT methodology. Findings reveal four unknown vulnerabilities in the Meross Smart Thermostat and two in the Shelly TRV. These vulnerabilities consist of insecure firmware updates, lack of network encryption, exploitable radio communication, and cloud-related gaps. Recommendations aiming at mitigating the found vulnerabilities include implementing secure Wi-Fi access points for both models during setup, and ensuring strong encryption for the Meross Smart Thermostat’s radio communication. The study contributes to an increased awareness of potential security risks associated with these devices, though the extent of vulnerabilities across all smart thermostat models cannot be definitively concluded. / I takt med att smarta hem blir allt vanligare och med växande medvetenhet om säkerhet för Internet of Things (IoT), undersöker denna studie potentiella sårbarheter hos smarta termostater. Dessa enheter förenklar användares vardag, men ger också upphov till nya cyberhot. Denna studie granskar Shelly TRV och Meross Smart Thermostat för potentiella hot inom attackvektorerna firmware, nätverk, radio och moln, genom penetreringstestning som vägleds av PatrIoT-metodiken. Resultatet är fyra upptäckta sårbarheter i Meross-modellen och två i Shelly Thermostatic Radiator Valve (TRV) inklusive osäkra firmware-uppdateringar, brist på nätverkskryptering, utnyttjbar radiokommunikation och molnrelaterade problem. Rekommendationer med syfte att mitigera de upptäckta sårbarheterna inkluderar att implementera säkra Wi-Fi-åtkomstpunkter för båda modellerna under installationen och att säkerställa stark kryptering för Meross Smart Thermostat:s radiokommunikationen. Studien bidrar till en ökad medvetenhet om potentiella säkerhetsrisker som är förknippade med dessa enheter, även om det inte kan fastställas hur vanligt det är med sårbarheter i smarta termostater

IoT penetration testing

Smart thermostat

Ethical hacking

PatrIoT

Cybersecurity

IoT penetrationstestning

Smart termostat

Etisk hackning

PatrIoT

Cybersäkerhet

Computer and Information Sciences

Data- och informationsvetenskap

Säkerhetspolicyer på svenska företag : Hur efterlevnad säkerställs bland anställda / Security policies at Swedish companies

Cederstrand, Christopher, Berg, Elias

January 2023

I den digitala världen som vi lever i är vi mer uppkopplade och hanterar mer information än någonsin tidigare. Informationen, som i fel händer kan leda till katastrofala händelser för dagens företag. En viktig aspekt som ofta diskuteras är de anställda som ofta regleras av företagsspecifika policyer för att hålla företaget på en säker väg. Efterlevnad från de anställda är inte så enkelt som att bara tala om för dem att följa företagets regler, det måste finnas något mer för att motivera de anställda och därigenom skapa en säker miljö att arbeta inom. Denna rapport presenterar en studie där forskning har utförts för att analysera hur företag i Sverige arbetar för att höja efterlevnaden av företagets policyer med fokus påinformationssäkerhet och medvetenhet om informationssäkerhet. Genom att använda grounded theory i kombination med kvalitativa, semistrukturerade intervjuer med en representant från varje företag som har ansvar för företagets informationssäkerhet, har vi studerat vilka metoder företag använder för att öka efterlevnaden av deras policyer. Resultaten visar att utbildning är en viktig metod som tillämpas, men det finns fleraolika variationer av utbildning och företagen skiljer sig åt i hur de informerar sina anställda om risker som är kopplade till policyer. En annan upptäckt som har kommit fram i denna forskning är att ansvaret för utbildning och policyer är snarlika blandföretagen. I slutsatsen av denna rapport presenteras rekommendationer som potentiellt kan hjälpa företag att öka efterlevnaden av sina IT-policyer. Dessa rekommendationer baseras på de metoder som har framkommit i de intervjuer som utförts i denna studie.

Informationsäkerhet

Säkerhetspolicy

Efterlevnad

Policy

ISA

Cybersäkerhet

Riskhantering

Dataskydd

Säkerhetsstandarder

Hothantering

Informell Säkerhet

Work Sciences

Arbetslivsstudier

Information Systems, Social aspects

Hur åtgärdar offentliga aktörer deras cybersäkerhet efter att ha blivit utsatta för cyberattacker? / How do public actors address their cyber security after cyber attacks against them?

Mohammed Abdu, Mohammed, Alsaif, Anas

January 2023

Digitization has been a growing phenomenon in today's society where organizations, individuals and society at large are affected by it. In pace with the emerging use of digitization,a realization of the relevance of cyber security in the public sector has increased, but not to a sufficient extent. Cyber security is about processes used to protect personal information and important data in organizations. Cyber security also includes knowledge of cyberattacks, where actors attack an organization's data most often for financial reasons. Cyber attacks have affected the public sector in several countries. The study focuses on known cyber attacks around the world that are related to public actors in healthcare, transport and electricity supply,among others. The study's analysis compares implemented measures after the incidents based on a cyber risk assessment framework. The survey shows that increased investments, new and clear work routines, training for employees and continuous testing of computer systems are important measures for the prevention of cyber attacks. The mentioned main actions that are common between the studied actors are supported by the theoretical frame of reference. This is because frameworks linked to cyber attacks also point out that investments, clear work routines and monitoring of systems contribute to protection against cyber attacks. / Digitalisering har varit ett växande fenomen i dagens samhälle där organisationer, individer och samhället i stort påverkas av det. Med takt av den framväxande användningen av digitalisering, har en realisering av cybersäkerhetens relevans inom den offentliga sektorn ökat, men inte i tillräcklig stor omfattning. Cybersäkerhet handlar om processer som används för att skydda personlig information och viktiga data i organisationer. Cybersäkerhet omfattar också kunskap om cyberattacker, där aktörer angriper en organisations data oftast för ekonomiska skäl. Cyberattacker har påverkat den offentliga sektorn i flera länder. Studien fokuserar på kända cyberangrepp runt om i världen som är relaterade till offentliga aktörer inom bland annat sjukvård, transport och elförsörjning. Studiens analys jämför genomförda åtgärder efter incidenterna utifrån ett ramverk om cyberriskbedömning. Undersökningen visar att ökade investeringar, nya och tydliga arbetsrutiner, utbildning till medarbetare ochkontinuerliga testningar av datasystem är viktiga åtgärder för förebyggande av cyberattacker.De nämnda huvudsakliga åtgärderna som är gemensamma mellan de studerade aktörerna stödjas av den teoretiska referensramen. Detta eftersom ramverk kopplade till cyberattacker påpekar också att investeringar, tydliga arbetsrutiner och övervakning av system, bidrar till skydd mot cyberattacker.

Cyber attacks

Cyber security

Cyber risk management framework

Public sector

Nyckelord: Cyberattacker

Cybersäkerhet

Cyber risk management framework

Offentlig sektor.

Computer Systems

Datorsystem

Communication Systems

Kommunikationssystem

Nulägesanalys om gymnasieelevers kunskap och förhållningssätt kring IT-säkerhet och hur lärare undervisar inom ämnet / Analysis of the current situation regarding high school students' knowledge and attitudes towards IT security, as well as how teachers are teaching the subject

Karlsson, Andreas, Brifelt, Linus

January 2023

Ungdomar börjar använda internet vid allt yngre åldrar: 99 % av ungdomar i åldersspannet 8 till 19 år använder internet på en daglig basis. Samtidigt som informationsflödet ökar så medför detta även bieffekter där ungdomar numera i allt större utsträckning sparar och laddar upp information om sig själva mer frekvent på internet. Samtidigt som användandet ökat privat har även många skolor i Sverige valt att nästan helt övergå från penna och papper till en mer digitaliserad utbildningsmetod. Detta har dock fört med sig vissa risker när det kommer till IT-säkerhet. Exempel på sådana risker kan vara obehörig åtkomst till data, dataintrång eller förlust av information på grund av tekniska fel eller bristfälliga säkerhetsåtgärder. Detta blev extra tydligt under covid-19-pandemin då utbildning övergick till distansundervisning samtidigt som cyberbrotten ökade i allmänhet, och mot utbildningssektorn i synnerhet. Denna studie har till syfte att undersöka kunskapsnivån och förhållningssätt hos tredjeårselever på gymnasieskolor runt om i Skaraborg inom området IT-säkerhet och samtidigt kartlägga behovet och intresset för utbildning inom ämnet. Studien har med hjälp av enkätundersökningar mot elever och semistrukturerade intervjuer med lärare kommit fram till att det finns ett tydligt behov av utbildning inom IT-säkerhet bland ungdomar på gymnasieskolorna i Skaraborg, samtidigt som lärarna menar på att ämnet ofta faller undan i klassrummet. Resultatet visar att både elever och lärare ser positivt på att inkludera ämnet i ordinarie gymnasieutbildning för att stärka kunskaper och medvetenhet om IT-säkerhetens betydelse. / Young people are starting to use the internet at increasingly younger ages, with 99 % of individuals aged 8 to 19 using the internet on a daily basis. As the flow of information increases, this also brings about side effects where young people are now more frequently saving and uploading personal information about themselves on the internet. Moreover, as schools in Sweden have chosen to almost completely transition from pen and paper to a more digitized form of education, the need for IT security skills among young people has become increasingly important. This became particularly evident during the covid-19 pandemic when education shifted to remote learning and cybercrimes saw a general increase, particularly attacks against the education sector. The purpose of this study was to examine the level of knowledge and attitudes among third[1]year students in high schools across Skaraborg regarding IT security and simultaneously assess the need and interest for education around this subject. Through surveys conducted among students and semi-structured interviews with teachers, the study concludes that there is a clear need for education in IT security among young people in high schools in Skaraborg, while teachers argue that the subject often takes a back seat in the classroom. The results show that both students and teachers view the inclusion of this subject in regular high school education positively to strengthen knowledge and awareness of the importance of IT security.

IT security

cybersecurity

school

students

teachers

education

IT-säkerhet

cybersäkerhet

skola

elever

lärare

utbildning

Information Systems, Social aspects

Artificell intelligens inom cybersäkerhet : En studie av den svenska banksektorn / Artificial intelligence in cybersecurity : A study of the swedish banking sector

Ferlander, Ludvig, Gustavsson, Linus

January 2024

In an increasingly digitalized society, the cyber threats faced by banks have become more extensive and complex. At the same time, artificial intelligence has developed into a powerful and disruptive technology that can be used to strengthen cybersecurity and counter financial crime, among other things. The purpose of the study was to map how Swedish banks use AI to counteract cyber threats and financial crime, and what benefits and challenges this entails. The study is based on four qualitative interviews with bank officials specialized in cybersecurity or financial crime. The Technology-Organization-Environment framework is used to analyze the challenges and factors affecting the use of AI. The results show that AI models are used for several security purposes, such as preventing DDoS attacks, malware detection and identifying signs of financial crime. The main benefits of AI are the ability to analyze large amounts of data in real time and to identify patterns and anomalies that are difficult for the human eye to see. However, there are a number of challenges for Swedish banks in the adoption and use of AI related to regulation, ethics and competence.

Artificiell intelligens (AI)

cybersäkerhet

ekonomisk brottslighet

bank

Information Systems, Social aspects

IT security expert’s perceptions of cybersecurity when working remotely compared to working in the office : A quality study on Swedish insurance companies / IT-säkerhetsexperters uppfattningar om cybersäkerhet vid distansarbete jämfört med arbete på kontoret : En kvalitativ studie på svenska försäkringsbolag

Kullander, Kristoffer, Cselenyi, Mathilda

January 2024

Teleworking has become a significant aspect of working life, especially after the outbreak of the COVID-19 pandemic, which accelerated the trend of teleworking. However, this shift has increased the risk of cyber threats and security risks. Despite organizations' efforts to strengthen cybersecurity, a significant risk remains, with employees posing one of the main security risks in the form of human error and mistakes. Previous research highlights that employees tend to exhibit lower levels of cybersecurity awareness and are more likely to perform riskful actions when working remotely compared to working in the office. However, recent research has shown the opposite, where employees are more conscious of cybersecurity awareness and more likely to apply security-based precaution measures during remote work compared to office work. In light of these research findings, this study focuses on examining how IT-security experts perceive cybersecurity when working remotely compared to working in the office. To explore this, the study has, through qualitative mapping, conducted semi-structured interviews with a theoretical basis in Protection Motivation Theory (PMT). Overall, the study showed that IT- security experts perceive cybersecurity as more manageable when working in the office compared to remote work, with an increased awareness of the importance of the human factor. / Distansarbete har blivit en betydande aspekt av arbetslivet, särskilt efter utbrottet av Covid-19- pandemin, vilket accelererade trenden med distansarbete. Denna omställning har emellertid ökat risken för cyberhot och säkerhetsrisker. Trots organisationers insatser för att stärka cybersäkerheten kvarstår en betydande risk, då anställda utgör en av de främsta säkerhetsriskerna i form av mänskliga fel och misstag. Tidigare forskning framhäver att anställda ofta är mindre säkerhetsmedvetna och mer benägna att utföra riskfyllda handlingar när de arbetar på distans jämfört med arbete på kontoret. Däremot har senare forskning visat motsatsen, där anställda är mer säkerhetsmedvetna och mer benägna att vidta säkerhetsåtgärder under distansarbete jämfört med arbete på kontoret. Mot bakgrund till dessa forskningsresultat, fokuserar denna studie på att undersöka hur IT-säkerhetsexperter uppfattar cybersäkerhet vid distansarbete jämfört med arbete på kontoret. För att utforska detta har studien, genom kvalitativ kartläggning, genomfört semistrukturerade intervjuer med teoretisk grund i Protection Motivation Theory (PMT). Sammantaget visade studien på att IT-säkerhetsexperter uppfattar cybersäkerhet som mer hanterbar vid arbete på kontoret jämfört med distansarbete, med en ökad medvetenhet om den mänskliga faktorns betydelse.

Cyber security

cyber threats

cybersecurity awareness

remote work

Protection Motivation Theory

Cybersäkerhet

cyberhot

säkerhetsmedvetenhet

distansarbete

Protection Motivation Theory

Information Systems

The Impact of AI on Banks' Risk Management Approach : A qualitative study on the effects of AI in the banking sector from a holistic perspective / Effekten av AI på Bankers Riskhantering : En kvalitativ studie om inverkan av AI på banksektorn från ett helhetsperspektiv

Khailtash, Dariush, Lindqvist, Pontus

January 2022

The banking sector is experiencing the rise of several new types of innovations and trends. For instance, increased use of Artificial Intelligence (AI) to streamline day-to-day activities. These trends are, e.g., influenced by an increased frequency of cyber attacks, the emergence of newly proposed regulations such as DORA and the AI Act, and the improving computational capabilities of AI-driven systems. The full impact these trends will have on the sector is yet to be realized. The sector is diverse and deeply integrated within society, meaning that it is critical to understand how actors mitigate the risks associated with the implementation of AI. This study analyzes how organizations can mitigate the risks involved with this implementation and how it affects the risk management process. To examine the implementation of AI in the banking sector, the study conducted semi-structured interviews with twelve respondents with expertise in AI, security, or the banking sector. The study used two theoretical frameworks to analyze the data. The first framework, the Dynamic Risk Management Framework, was used to analyze changes in the risk management process based on its unique position within society. The second framework, the Multi-Level Perspective, gave the study a holistic understanding of the impact of AI as a driver of a socio-technical shift. The results show that the implementation of AI leads to a set of new risks. These risks are primarily organizational and regulatory and will lead to a revision in how actors classify risks. The constant evolution of AI also means that products must be reviewed periodically, changing how actors view the risk management process. Additionally, the results identify a lack of knowledge regarding both AI and security within the sector. Consequently, the organization will have to change its structure to accommodate interactions between different competencies. To succeed in implementing AI, meet the regulatory demands and mitigate unintended bias when developing AI, the study concludes that these competencies must create a shared terminology to communicate efficiently. In conclusion, the study contributes to a growing field regarding business applications of AI by creating a holistic understanding of aspects impacting the risk management process in banking. The findings result in a series of recommended actions for organizations that aim to implement AI in their businesses. Further research is recommended to understand the long-term effects of these actions. Future in depth analyses could validate the results of this study and further investigate the development of AI as a business tool. / Banksektorn upplever en uppåtgående trend när det kommer till användandet av innovation. Ett exempel på detta är användningen av artificiell intelligens (AI) för att effektivisera bankens dagliga aktiviteter. Denna trend beror på flertalet olika faktorer, bland annat den ökade frekvensen av cyberattacker mot bankaktörer, de nya föreslagna förordningarna DORA och AI Act, och att AI-drivna systems kapacitet förbättras. Däremot har inte effekten av AI på sektorn ännu realiserats till fullo. Banksektorn har en unik position i samhället och dess aktörer har många olika utmaningar, vilket innebär att det är avgörande att förstå hur aktörerna hanterar de risker som uppstår i samband med implementeringen av AI. Denna studie analyserar hur organisationer kan minska riskerna med denna implementering och hur AI påverkar riskhanteringsprocessen. För att undersöka implementeringen har studien genomfört semistrukturerade intervjuer med tolv intervjuobjekt med expertis inom AI, säkerhet eller banksektorn. För att analysera den framtagna datan har studien använt två teoretiska ramverk. Det första ramverket, som kallas Dynamic Risk Management Framework, användes för att analysera förändringar i riskhanteringsprocessen med tanke på banksektorns unika position i samhället. Det andra ramverket, som kallas Multi-Level Perspective, undersökte AI som en drivkraft mot ett sociotekniskt skifte och gav därmed studien en helhetsbildav effekten av AI. Resultaten visar att implementeringen av AI leder till en rad nya risker. Dessa risker är i första hand organisatoriska och regulatoriska. Då dessa är relativt nya, måste organisationer se över hur de klassificerar risker. AI utvecklas kontinuerligt, vilket innebär att produkterna och deras effekt måste ses över regelbundet. Dessutom identifierar resultaten en brist på kunskap om både AI och säkerhet inom banksektorn. För att tillgodose nya kompetenser och underlätta interaktionerna mot existerande kompetenser kommer organisationer behöva struktureras om. Studien drar slutsatsen att en lyckad AI implementering, där de regulatoriska kraven möts och utveckling av AI är fri från oavsiktliga fördomar och diskriminering, kräver en rad förändringar. Organisationen måste kunna kommunicera effektivt, vilket kräver att alla pratar samma språk och använder samma terminologi. Sammanfattningsvis bidrar studien till ett växande akademiskt område gällande affärstillämpningar av AI genom att skapa en helhetsbild över vilka aspekter som påverkar riskhanteringsprocessen inom bankverksamhet. Denna summering har resulterat i en rad åtgärder verksamheter som strävar efter att implementera AI rekommenderas att ta. Framtida studier rekommenderas däremot att undersöka de långsiktiga effekterna av dessa åtgärder. Genom att utföra djupgående analyser kanframtida studier inte bara validera denna studies resultat, de kan också förbättra förståelsen för hur AI som ett affärsverktyg kan komma att utvecklas.

AI

The Bank Sector

Multi-Level Perspective

Risk Management

Cybersecurity

AI

Banksektorn

Multi-Level Perspective

Riskhantering

Cybersäkerhet

Other Engineering and Technologies

Annan teknik

Economics and Business

Ekonomi och näringsliv

Environmentally aware vulnerability prioritisation within large networks : A proposed novel method

Lenander, Marcus, Tigerström, Jakob

January 2022

Background. Software vulnerabilities are a constant threat to organisations, businesses, and individuals. Keeping all devices patched from security software vulnerabilities is complex and time-consuming. Companies must use resources efficiently to ensure that the most severe security vulnerability is prioritised first. Today’s state-of-the-art prioritisation method only relies on the severity of the vulnerability without its environmental context. We propose a novel method that automatically prioritises the vulnerabilities in a device based on its environmental information, such as role and criticality. Objectives. This thesis aims to analyse to what extent vulnerabilities can be prioritised based on the environmental information of the device. Furthermore, we investigate the possibility of automatically estimating the role and criticality of a device and to what extent they can more accurately reflect the severity of the vulnerabilities present in the device. Methods. The proposed novel method uses environmental information found by a vulnerability scanner. Based on this information, the method estimates the role of the device. The role is then used by the method to estimate the criticality of the device. Based on the criticality and environmental information, a new vulnerability score is calculated for each vulnerability, and the list is reprioritised based on the latest score. We further apply an experimental study to analyse the assessment of the method against experts' assessment. Results. The experimental study indicates that the method performs slightly better than the state-of-the-art method. The proposed novel method estimated the primary role with an accuracy of 100% and the secondary role with an accuracy of 71.4%. The method's criticality assessment has a moderate agreement with the experts' criticality assessment. Overall, the method's reprioritised vulnerability lists correlate almost perfectly with the experts' vulnerability lists. Conclusions. Considering the environmental information during the prioritisation of vulnerabilities is beneficial. We find that our method performs slightly better than the state-of-the-art method. The proposed method needs further improvements to give a better criticality estimation. However, more research is required to claim that system administrators could benefit from using the proposed method when prioritising vulnerabilities. / Bakgrund. Sårbarheter i programvara är ett konstant hot mot organisationer och företag såväl som till privatpersoner. Att se till att enheterna är säkra är en komplex och tidskrävande uppgift. Det är därför viktigt att prioritera den tiden som finns dit där den gör mest nytta, det vill säga att åtgärda den allvarligaste sårbarheten först. Den allra bästa sårbarheter prioriterings metoden baseras på allvarlighetsgraden utan att ta hänsyn till sårbarhetens miljömetrik. Därav föreslår vi en ny prioriterings metod som automatiskt prioriterar sårbarheterna baserat på en enhets miljömetrik så som roll och kritikalitet. Syfte. Syftet med detta arbetet är att avgöra i vilken utsträckning det går att prioritera sårbarheter baserat på des miljömetrik. Utöver detta ska vi även undersöka huruvida man kan automatiskt uppskatta en enhets roll och kritikalitet för att bättre reflektera sårbarhetens allvarlighetsgrad. Metod. Den föreslagna metoden använder sig av sammanhangs information som tillhandahålls av en sårbarhets scanner. Utifrån denna information kommer enhetens roll att uppskattas. Den estimerade rollen kommer då användas av metoden för att bestämma enhetens kritikalitet. Baserat på kritikaliteten och sammanhangs informationen kommer en ny allvarlighetsgrad beräknas för all sårbarheter.  Listan av sårbarheter kommer omprioriteras med hänsyn till de senast beräknade allvarlighetsgraderna. Ett experiment utförs sedan för att analysera huruvida bra den nya prioriterings metoden är och för att validera resultatet kommer det jämföras mot experters prioritering. Resultat. Den experimentella studien indikerar på att vår metod presterar lite bättre än den den allra bästa sårbarheter prioriterings metoden. Den föreslagna metoden kan uppskatta den primära rollen med en träffsäkerhet på 100% och sekundära rollen med 71.4% träffsäkerhet. Metodens uppskattning av kritikaliteten är måttlig överensstämmande med den av experternas uppskattning. Överlag korrelerar metodens prioritiseringlista bättre med experternas än vad den allra senaste prioritiserings metoden gör. Slutsats. Genom att ta hänsyn till en enhets miljömetrik vid beräkningen av sårbarhetens allvarlighetsgrad får man ett bättre resultat än om den inte skulle varit med i beräkningen. Vi ser att vår metod fungerar bättre över lag än av den allra senaste prioritiserings metoden gör. Den föreslagna metoden behöver forskas mer på för att säkert kunna säga att den är användbar.

Software vulnerability management

vulnerability prioritisation

CVSS

environmental metrics

cyber security

Hantering av sårbarhet i programvara

prioritering av sårbarheter

CVSS

Miljömetrik

cybersäkerhet

Computer Sciences

Datavetenskap (datalogi)

Cybersecurity in Railways : Identifying and Communicating Risks using System Dynamics Modeling / Cybersäkerhet inom järnvägen : Systemdynamisk modellering för att identifiera och kommunicera risker

Mikiver, Cecilia

January 2022

Extensive digitization is currently underway in the railway sector, which has resulted in several benefits and improvements, but also challenges. The increased use of digital technologies increases the risks of vulnerabilities and susceptibility to cyberattacks. The effects of a cyber attack can have significant consequences on operations such as financial losses and damaged reputations, or in the worst-case scenario, devastating consequences where the lives of passengers are endangered. With the ongoing digitalization of the railways and the growing concern for cybersecurity, stakeholders in the sector have identified the need to systematically understand the risks of digitization related to cybersecurity and safety. Therefore, this study aims to identify and communicate these risks using system dynamics modeling. This study evaluated how actors in the railway sector reason about risks in the railway, how safety and cybersecurity are related, and new risks associated with digitalization and cybersecurity that have not been mentioned in the literature before. A qualitative study was conducted to answer the research question. Ten actors from different parts of the railway value chain were interviewed, and secondary data was collected from articles and reports within the area of cybersecurity and the railways. The results revealed a connection between cybersecurity and safety which could be seen through the chain of consequences that can arise from a cyberattack and in the event of loss of data availability and integrity. Based on this, core elements of the system and the relationships between them could be identified, from which the causal loop diagram (CLD) was constructed. New risks that were identified were the safety culture that permeates the railway industry, unclear areas of responsibility that are a result of deregulation in the Swedish railway sector, and competitiveness. Insights from the system dynamic model identified a reinforcing loop telling a causal story that shows that low cybersecurity priorities could lead to decreased safety on the railway. This further demonstrates the usefulness of identifying and communicating risks using system dynamics modeling. / En omfattande digitalisering pågår just nu inom järnvägssektorn vilket dels har resulterat i en mängd fördelar och förbättringar, men också utmaningar. Den ökade användningen av digitala teknologier ökar risker för sårbarheter samt mottagligheten av cyberattacker. Effekterna av en cyberattack kan ha betydande konsekvenser på verksamheten så som ekonomiska förluster och skadat rykte, eller också i värsta fall förödande konsekvenser där passagerarnas liv sätts i fara. I och med den pågående digitaliseringen av järnvägen och den ökade oron för cybersäkerhet har intressenter inom sektorn identifierat behovet av att på ett systematisk sätt förstå riskerna med digitalisering relaterade till cybersäkerhet och säkerhet (safety). Denna studie syftar därför till att identifiera och kommunicera dessa risker genom att använda systemdynamisk modellering. Studien utvärderade hur aktörer i järnvägens värdekedja resonerade kring risker i järnvägen, hur säkerhet och cybersäkerhet var relaterat, samt vad det finns för nya risker relaterade till digitaliseringen och cybersäkerhet som inte nämnts i litteraturen tidigare. En kvalitativ studie genomfördes för att svara på frågeställningen. Tio aktörer från olika delar av järnvägssektorns värdekedja intervjuades, och sekundärdata samlades in från artiklar och rapporter inom cybersäkerhet och järnvägen. Resultaten visade att det finns en koppling mellan cybersäkerhet och säkerhet (safety) som syns i den kedja av konsekvenser som kan uppstå från en cyberattack vid förlust av datas tillgänglighet och integritet. Utifrån detta kunde nyckelelement i systemet samt relationerna mellan dessa identifieras, och baserat på detta konstruerades vidare ett causal loop diagram (CLD). Nya risker som identifierades var säkerhetskulturen som genomsyrar järnvägsbranschen, oklara ansvarsområden som är ett resultat av den svenska järnvägens avreglering, samt konkurrenskraft. Insikter från den systemdynamiska modellen identifierade en förstärkande loop som berättar en orsakshistoria som visar att låg prioritering av cybersäkerhet kan leda till minskad säkerhet på järnvägen. Vidare demonstrerar detta nyttan av att identifiera och kommunicera risker med hjälp av systemdynamsik modellering.

System dynamics

System Dynamics Modeling

CLD

Cybersecurity

Safety

Railway

Digitalization.

Systemdynamik

Systemdynamisk Modellering

CLD

Cybersäkerhet

Säkerhet

Järnväg

Digitalisering

Engineering and Technology

Teknik och teknologier