Blockkedjor : Teknik för bevaring av dataintegritet i industriella nätverk

Hansson, Martin, Magnusson, Olof

January 2018

I en perfekt värld hanteras all data på ett säkert och verifierbart sätt för att förhindra att information förändras, stjäls eller blockeras. Dagens infrastruktur bygger på centraliserade system som är format till ett fåtal aktörer som statliga organisationer, myndigheter och institutioner. Denna lösning är inte anpassningsbar till den digitala utvecklingen vilket har lett till att mer information sparas och hanteras online. Blockkedjan har en stor potential att decentralisera hur vi lagrar och hanterar data genom effektivitet, transparens och säkerhet. Blockkedjetekniken har en mängd appliceringsområden som finans, medicin och logistik, men kan summeras som en teknik där algoritmerna utformas för att skapa en distribuerad ledger av informationen som sparas, vilket är en teknik för att få data replikerad, synkroniserad, delad och utspridd geografiskt över ett antal platser. Avsikten med blockkedjan är att tillämpas som ett register av tidigare transaktioner på ett sådant sätt att alla inblandade noder på nätverket tillhandahålls en kopia av kedjan, varmed samtliga deltagare kan verifiera med övriga på nätverket att kedjan inte har manipulerats. Detta öppnar upp för frågorna: Hur ser landskapet ut idag? Vilka tekniker är lämpligast för just industriella system? Vad är det som krävs för att komma igång med en blockkedjeteknik i industriella nätverk? Syftet med studien är att undersöka de viktigaste teknikerna inom ämnet och föra ett resonemang kring lämplighet av olika tekniker med hänsyn till de egenskaperna som är relevanta för industriella system. Även ett experiment utförs om hur man kan använda blockkedjetekniken utifrån ett enkelt scenario taget från industrin. Sammanfattningsvis ses blockkedjan som en innovation med potential att förändra hur man distribuerar information i industriella system på ett säkert sätt. Resultatet av denna studie är en kartläggning och en demonstration som kan lägga grunden för beslut kring hur blockkedjor skulle kunna användas i framtiden. / In a perfect world, all data is handled in a secure and verifiable manner to prevent information from being changed, stolen or blocked. Today's infrastructure is based on centralized systems that are shaped to a few participants like government, authorities and institutions. This solution is not adaptable to the digital development, which has led to more information being stored and managed online. The blockchain has a great potential to decentralize how we store and manage data through efficiency, transparency and security. Blockchain technology has a variety of application areas such as finance, medicine and logistics, but can be summed up as a technology in which the algorithms are designed to create a distributed ledger of the information that is stored, which is a technique for getting the data replicated, synchronized, shared and spread geographically over a number of places. The purpose of the blockchain is to be used as a ledger of previous transactions in such a way that all involved nodes on the network are provided a copy of the chain, whereby all participants can verify with the others on the network that the chain has not been manipulated. This opens the questions: How does the landscape look like today? Which techniques are the most appropriate for industrial systems? What is required to get started with a blockchain technology in industrial networks? The purpose of the study is to investigate the most important techniques in the area and clarify the most suitable of the different techniques, taking into consideration the characteristics relevant to industrial systems. An experiment is also being conducted on how to use the blockchain technique based on a simple scenario taken from the industry. In summary, the blockchain is seen as an innovation with the potential to change how to securely distribute information in industrial systems. The result of this study is a survey and a demonstration that can lay the groundwork for decisions about how blockchains could be used in the future.

Data integrity

digital development

industrial systems

blockchain

Dataintegritet

digitala utvecklingen

industriella system

blockkedja

Information Systems

Smarta enheter kräver smarta användare - om riskerna med att använda mobila enheter

Sjösten, Dennis

January 2012

Användandet av internetstödjande enheter som kan användas överallt i det vardagliga livet har ökat intensivt på bara några få år. Informationsmobilitet är större idag än någonsin tidigare. Fler och fler människor har tillgång till information så nära som i hans eller hennes ficka. Detta beteende har både positiv och negativ potential. I studien undersöker vi hur en mindre grupp människor använder sina enheter och även hur oförsiktigt beteende kan sammankopplas med några av de stora potentiella skador som kan inträffa på mobila enheter. Frågan ”På vilka sätt kan oförsiktigt användande av mobila enheter påverka säkerheten kring information som finns tillgänglig via enheten?” besvaras med en jämförelse mellan litteratur och resultaten från en enkätundersökning. Det oförsiktiga användandet av mobila enheter har definitivt en påverkan på datasäkerheten, oavsett om informationen är personlig eller organisatorisk. / The use of devices with internet connectivity that can be used everywhere in everyday life has increased immensely in just a few years. Information mobility is greater today than ever before. A lot of people have access to large amounts of information in his or her pocket. This behavior has both positive and negative potentials. In this study we explore how a small group of people use their devices and also how inconsiderate behavior can be linked to some threats directed towards mobile devices. The question “In what ways can careless usage of mobile devices affect the safety regarding information accessible from the device?” is answered by comparing studied literature and the results of a survey. The careless use of mobile devices definitely has an impact on data integrity, independently of whether it is personal or organizational data.

iPhone

Android

iOS

Phone

Smartmobil

Mobiltelefon

iPad

Säkerhet

Dataintegritet

Threats

Risker

Hot

Risks

Smartphone

Tablet

Engineering and Technology

Teknik och teknologier

Machine Learning with Reconfigurable Privacy on Resource-Limited Edge Computing Devices / Maskininlärning med Omkonfigurerbar Integritet på Resursbegränsade Edge-datorenheter

Tania, Zannatun Nayem

January 2021

Distributed computing allows effective data storage, processing and retrieval but it poses security and privacy issues. Sensors are the cornerstone of the IoT-based pipelines, since they constantly capture data until it can be analyzed at the central cloud resources. However, these sensor nodes are often constrained by limited resources. Ideally, it is desired to make all the collected data features private but due to resource limitations, it may not always be possible. Making all the features private may cause overutilization of resources, which would in turn affect the performance of the whole system. In this thesis, we design and implement a system that is capable of finding the optimal set of data features to make private, given the device’s maximum resource constraints and the desired performance or accuracy of the system. Using the generalization techniques for data anonymization, we create user-defined injective privacy encoder functions to make each feature of the dataset private. Regardless of the resource availability, some data features are defined by the user as essential features to make private. All other data features that may pose privacy threat are termed as the non-essential features. We propose Dynamic Iterative Greedy Search (DIGS), a greedy search algorithm that takes the resource consumption for each non-essential feature as input and returns the most optimal set of non-essential features that can be private given the available resources. The most optimal set contains the features which consume the least resources. We evaluate our system on a Fitbit dataset containing 17 data features, 4 of which are essential private features for a given classification application. Our results show that we can provide 9 additional private features apart from the 4 essential features of the Fitbit dataset containing 1663 records. Furthermore, we can save 26:21% memory as compared to making all the features private. We also test our method on a larger dataset generated with Generative Adversarial Network (GAN). However, the chosen edge device, Raspberry Pi, is unable to cater to the scale of the large dataset due to insufficient resources. Our evaluations using 1=8th of the GAN dataset result in 3 extra private features with up to 62:74% memory savings as compared to all private data features. Maintaining privacy not only requires additional resources, but also has consequences on the performance of the designed applications. However, we discover that privacy encoding has a positive impact on the accuracy of the classification model for our chosen classification application. / Distribuerad databehandling möjliggör effektiv datalagring, bearbetning och hämtning men det medför säkerhets- och sekretessproblem. Sensorer är hörnstenen i de IoT-baserade rörledningarna, eftersom de ständigt samlar in data tills de kan analyseras på de centrala molnresurserna. Dessa sensornoder begränsas dock ofta av begränsade resurser. Helst är det önskvärt att göra alla insamlade datafunktioner privata, men på grund av resursbegränsningar kanske det inte alltid är möjligt. Att göra alla funktioner privata kan orsaka överutnyttjande av resurser, vilket i sin tur skulle påverka prestanda för hela systemet. I denna avhandling designar och implementerar vi ett system som kan hitta den optimala uppsättningen datafunktioner för att göra privata, med tanke på begränsningar av enhetsresurserna och systemets önskade prestanda eller noggrannhet. Med hjälp av generaliseringsteknikerna för data-anonymisering skapar vi användardefinierade injicerbara sekretess-kodningsfunktioner för att göra varje funktion i datasetet privat. Oavsett resurstillgänglighet definieras vissa datafunktioner av användaren som viktiga funktioner för att göra privat. Alla andra datafunktioner som kan utgöra ett integritetshot kallas de icke-väsentliga funktionerna. Vi föreslår Dynamic Iterative Greedy Search (DIGS), en girig sökalgoritm som tar resursförbrukningen för varje icke-väsentlig funktion som inmatning och ger den mest optimala uppsättningen icke-väsentliga funktioner som kan vara privata med tanke på tillgängliga resurser. Den mest optimala uppsättningen innehåller de funktioner som förbrukar minst resurser. Vi utvärderar vårt system på en Fitbit-dataset som innehåller 17 datafunktioner, varav 4 är viktiga privata funktioner för en viss klassificeringsapplikation. Våra resultat visar att vi kan erbjuda ytterligare 9 privata funktioner förutom de 4 viktiga funktionerna i Fitbit-datasetet som innehåller 1663 poster. Dessutom kan vi spara 26; 21% minne jämfört med att göra alla funktioner privata. Vi testar också vår metod på en större dataset som genereras med Generative Adversarial Network (GAN). Den valda kantenheten, Raspberry Pi, kan dock inte tillgodose storleken på den stora datasetet på grund av otillräckliga resurser. Våra utvärderingar med 1=8th av GAN-datasetet resulterar i 3 extra privata funktioner med upp till 62; 74% minnesbesparingar jämfört med alla privata datafunktioner. Att upprätthålla integritet kräver inte bara ytterligare resurser utan har också konsekvenser för de designade applikationernas prestanda. Vi upptäcker dock att integritetskodning har en positiv inverkan på noggrannheten i klassificeringsmodellen för vår valda klassificeringsapplikation.

Data Privacy

Resource Management

Machine Learning

Fitbit

Internet of Things (IoT)

Optimization

Dataintegritet

Resurshantering

Machine Learning

Fitbit

Internet of Things (IoT)

Optimering

Computer and Information Sciences

Data- och informationsvetenskap

Säkerheten i webbapplikationer mot SQL- injektionsattacker : En studie av tekniker, säkerhetspåverkan och förekommande skyddslösningar

Hanna Malko, Ranim

January 2023

Web applications constitute an essential part of our daily lives, providing us access to significant online services and information. Despite their advantages, they are also vulnerable to security threats, particularly SQL injection attacks. SQL injection is a vulnerability that arises when an attacker inserts malicious SQL queries through user input parameters in a web application. This attack can have severe consequences, such as exposing sensitive information. The purpose of this study is to investigate and analyze the security of web applications against SQL injection attacks. This is achieved by examining SQL injection techniques, their impact on security and integrity, as well as the most common protective solutions. The goal of the study is to enhance and improve the security of applications and protect users from potential security risks. To achieve this, a combination of literature study and practical investigations is conducted. A literature review is performed to identify SQL injection techniques, security risks, and the most prevalent protective solutions. Subsequently, these factors are evaluated and analyzed to determine the effectiveness of the techniques using the penetration testing tool SQLmap. The results of the study indicate that the most common and effective attack techniques are Inband SQL injection and Inferential SQL injection. These techniques can have severe implications for users, businesses, and society at large, such as unauthorized access to protected data, data manipulation in databases, and the compromise of confidentiality and data integrity. To safeguard against such attacks, it is crucial to employ defensive coding practices, including the use of prepared statements with parameterized queries and input validation. However, manual implementation remains challenging. A combination of automated prevention techniques and best coding practices should be employed to ensure a reliable database protected against SQL injections, even concerning stored procedures that are difficult to prevent with existing automated prevention techniques. / Webbapplikationer utgör en viktig del av vårt dagliga liv och ger oss tillgång till betydelsefulla onlinetjänster och information. Trots deras fördelar är de också sårbara för säkerhetshot, särskilt SQL-injektionsattacker. SQL-injektion är en sårbarhet som uppstår när en angripare infogar skadliga SQL-frågor genom användarens inmatningsparametrar i en webbapplikation. Attacken medför allvarliga konsekvenser, såsom exponering av känslig information. Syftet med denna studie är att undersöka och analysera säkerheten i webbapplikationer mot SQL-injektionsattacker. Detta genomförs genom att undersöka SQL-injektionstekniker, deras påverkan på säkerhet och integritet, samt de vanligaste skyddslösningarna. Målet med studien är att öka och förbättra säkerheten hos applikationer samt skydda användarna från potentiella säkerhetsrisker. För att åstadkomma detta genomförs en kombination av litteraturstudier och praktiska undersökningar. En litteraturstudie genomförs för att identifiera SQL-injektionstekniker, säkerhetsrisker och de vanligast förekommande skyddslösningarna. Därefter utvärderas och analyseras dessa faktorer för att kunna fastställa effektiviteten hos teknikerna genom användning av penetrationstestningsverktyget SQLmap. Resultaten av studien visar att de vanligaste och mest effektiva attackteknikerna är Inband SQL-injektion och Inferential SQL-injektion. Dessa tekniker kan få allvarliga konsekvenser för användare, företag och samhället i stort, såsom åtkomst till skyddade data, manipulering av data i databasen och förlust av sekretess och dataintegritet. För att skydda mot sådana attacker är det avgörande att använda defensiva kodningsmetoder, inklusive användning av förberedda satser med parametriserade frågor och indatavalidering. Trots detta utgör manuell implementering en utmaning. En kombination av automatiserade förebyggande tekniker och bästa kod-praxis bör användas för att säkerställa en pålitlig databas som är skyddade mot SQL-injektioner, även när det gäller lagrade procedurer som är svåra att förhindra med befintliga automatiserade förebyggande tekniker.

SQL injection attack

security vulnerabilities

data integrity

web applications

prevention techniques

SQL-injektionsattack

säkerhetssårbarheter

dataintegritet

webbapplikationer

förebyggande tekniker

Software Engineering

Programvaruteknik

Decentralized Large-Scale Natural Language Processing Using Gossip Learning / Decentraliserad Storskalig Naturlig Språkbehandling med Hjälp av Skvallerinlärning

Alkathiri, Abdul Aziz

January 2020

The field of Natural Language Processing in machine learning has seen rising popularity and use in recent years. The nature of Natural Language Processing, which deals with natural human language and computers, has led to the research and development of many algorithms that produce word embeddings. One of the most widely-used of these algorithms is Word2Vec. With the abundance of data generated by users and organizations and the complexity of machine learning and deep learning models, performing training using a single machine becomes unfeasible. The advancement in distributed machine learning offers a solution to this problem. Unfortunately, due to reasons concerning data privacy and regulations, in some real-life scenarios, the data must not leave its local machine. This limitation has lead to the development of techniques and protocols that are massively-parallel and data-private. The most popular of these protocols is federated learning. However, due to its centralized nature, it still poses some security and robustness risks. Consequently, this led to the development of massively-parallel, data private, decentralized approaches, such as gossip learning. In the gossip learning protocol, every once in a while each node in the network randomly chooses a peer for information exchange, which eliminates the need for a central node. This research intends to test the viability of gossip learning for large- scale, real-world applications. In particular, it focuses on implementation and evaluation for a Natural Language Processing application using gossip learning. The results show that application of Word2Vec in a gossip learning framework is viable and yields comparable results to its non-distributed, centralized counterpart for various scenarios, with an average loss on quality of 6.904%. / Fältet Naturlig Språkbehandling (Natural Language Processing eller NLP) i maskininlärning har sett en ökande popularitet och användning under de senaste åren. Naturen av Naturlig Språkbehandling, som bearbetar naturliga mänskliga språk och datorer, har lett till forskningen och utvecklingen av många algoritmer som producerar inbäddningar av ord. En av de mest använda av dessa algoritmer är Word2Vec. Med överflödet av data som genereras av användare och organisationer, komplexiteten av maskininlärning och djupa inlärningsmodeller, blir det omöjligt att utföra utbildning med hjälp av en enda maskin. Avancemangen inom distribuerad maskininlärning erbjuder en lösning på detta problem, men tyvärr får data av sekretesskäl och datareglering i vissa verkliga scenarier inte lämna sin lokala maskin. Denna begränsning har lett till utvecklingen av tekniker och protokoll som är massivt parallella och dataprivata. Det mest populära av dessa protokoll är federerad inlärning (federated learning), men på grund av sin centraliserade natur utgör det ändock vissa säkerhets- och robusthetsrisker. Följaktligen ledde detta till utvecklingen av massivt parallella, dataprivata och decentraliserade tillvägagångssätt, såsom skvallerinlärning (gossip learning). I skvallerinlärningsprotokollet väljer varje nod i nätverket slumpmässigt en like för informationsutbyte, vilket eliminerarbehovet av en central nod. Syftet med denna forskning är att testa livskraftighetenav skvallerinlärning i större omfattningens verkliga applikationer. I synnerhet fokuserar forskningen på implementering och utvärdering av en NLP-applikation genom användning av skvallerinlärning. Resultaten visar att tillämpningen av Word2Vec i en skvallerinlärnings ramverk är livskraftig och ger jämförbara resultat med dess icke-distribuerade, centraliserade motsvarighet för olika scenarier, med en genomsnittlig kvalitetsförlust av 6,904%.

gossip learning

decentralized machine learning

distributed machine learning

NLP

Word2Vec

data privacy

skvallerinlärning

decentraliserad maskininlärning

distribuerad maskininlärning

naturlig språkbehandling

Word2Vec

dataintegritet

Computer and Information Sciences

Data- och informationsvetenskap

Real-time forecasting of dietary habits and user health using Federated Learning with privacy guarantees

Horchidan, Sonia-Florina

January 2020

Modern health self-monitoring devices and applications, such as Fitbit and MyFitnessPal, empower users to take concrete actions and set fitness and lifestyle goals based on their recorded trends and statistics. Predicting such trends is beneficial in the road of achieving long-time targets, as the individuals can adjust their diets and habits at any point to guarantee success. The design and implementation of such a system, which also respects user privacy, is the main objective of our work.This application is modelled as a time-series forecasting problem. Given the historical data of users, we aim to predict their eating and lifestyle habits in real-time. We apply the federated learning paradigm to our use-case be- cause of the highly-distributed nature of our data and the privacy concerns of such sensitive recorded information. However, federated learning from het- erogeneous sequences of data can be challenging, as even state-of-the-art ma- chine learning techniques for time-series forecasting can encounter difficulties when learning from very irregular data sequences. Specifically, in the pro- posed healthcare scenario, the machine learning algorithms might fail to cater to users with unique dietary patterns.In this work, we implement a two-step streaming clustering mechanism and group clients that exhibit similar eating and fitness behaviours. The con- ducted experiments prove that learning federatively in this context can achieve very high prediction accuracy, as our predictions are no more than 0.025% far from the ground truth value with respect to the range of each feature. Training separate models for each group of users is shown to be beneficial, especially in terms of the training time, but it is highly dependent on the parameters used for the models and the training process. Our experiments conclude that the configuration used for the general federated model cannot be applied to the clusters of data. However, a decrease in prediction error of more than 45% can be achieved, given the parameters are optimized for each case.Lastly, this work tackles the problem of data privacy by applying state-of- the-art differential privacy techniques. Our empirical study shows that noising the gradients sent to the server is unsuitable for small datasets and cancels out the benefits obtained by prior users’ clustering. On the other hand, noising the training data achieves remarkable results, obtaining a differential privacy level corresponding to an epsilon value of 0.1 with an increase in the observed mean absolute error by a factor of only 0.21. / Moderna apparater och applikationer för självövervakning av hälsa, som Fitbit och MyFitnessPal, ger användarna möjlighet att vidta konkreta åtgärder och sätta fitness- och livsstilsmål baserat på deras dokumenterade trender och statistik. Att förutsäga sådana trender är fördelaktigt för att uppnå långtidsmål, eftersom individerna kan anpassa sina dieter och vanor när som helst för att garantera framgång.Utformningen och implementeringen av ett sådant system, som dessutom respekterar användarnas integritet, är huvudmålet för vårt arbete. Denna appli- kation är modellerad som ett tidsserieprognosproblem. Med avseende på an- vändarnas historiska data är målet att förutsäga deras matvanor och livsstilsva- nor i realtid. Vi tillämpar det federerade inlärningsparadigmet på vårt använd- ningsfall på grund av den mycket distribuerade karaktären av vår data och in- tegritetsproblemen för sådan känslig bokförd information. Federerade lärande från heterogena datasekvenser kan emellertid vara utmanande, eftersom även de modernaste maskininlärningstekniker för tidsserieprognoser kan stöta på svårigheter när de lär sig från mycket oregelbundna datasekvenser. Specifikt i det föreslagna sjukvårdsscenariot kan maskininlärningsalgoritmerna misslyc- kas med att förse användare med unika dietmönster.I detta arbete implementerar vi en tvåstegsströmmande klustermekanism och grupperar användare som uppvisar liknande ät- och fitnessbeteenden. De genomförda experimenten visar att federerade lärande i detta sammanhang kan uppnå mycket hög nogrannhet i förutsägelse, eftersom våra förutsägelser in- te är mer än 0,025% ifrån det sanna värdet med avseende på intervallet för varje funktion. Träning av separata modeller för varje grupp användare visar sig vara fördelaktigt, särskilt gällande träningstiden, men det är mycket be- roende av parametrarna som används för modellerna och träningsprocessen. Våra experiment drar slutsatsen att konfigurationen som används för den all- männa federerade modellen inte kan tillämpas på dataklusterna. Dock kan en minskning av förutsägelsefel på mer än 45% uppnås, givet att parametrarna är optimerade för varje fall.Slutligen hanteras problemet med datasekretess genom att tillämpa bästa tillgängliga differentiell integritetsteknik. Vår empiriska studie visar att adde- ra brus till gradienter som skickas till servern är olämpliga för liten data och avbryter fördelarna med tidigare användares kluster. Däremot, genom att ad- dera brus till träningsdata uppnås anmärkningsvärda resultat. En differentierad integritetsnivå motsvarande ett epsilonvärde på 0,1 med en ökning av det ob- serverade genomsnittliga absoluta felet med en faktor på endast 0,21 erhölls.

Federated Learning

Time Series Forecasting

Clustering

Pattern Matching

Real-time Data Processing

Differential Privacy

Data Privacy.

Federerade Lärande

Tidsseriesprognos

Klustergruppering

Mönstermatchning

Realtidshantering av data

Differentialintegritet

Dataintegritet

Computer and Information Sciences

Data- och informationsvetenskap

Agila Business Intelligence System : Kritiska framgångsfaktorer / Agile Business Intelligence Systems : Critical Success Factors

Yoo, Sam, Naef, Petter

January 2014

Agila Business Intelligence System (ABIS) är en relativt ny och komplex typ av informationssystem, som kännetecknas av förkortade utvecklingstider, genom att exempelvis införa mer självbetjäning i de analytiska systemen, för att kunna möta ett behov av att analysera omvärldsfaktorer, som förändras i en allt snabbare takt. Eftersom ABIS är ett nytt och relativt outforskat område, finns ett behov av att utforska detta område. IT-investeringar är alltför ofta olönsamma och finns ett intresse av att visa på vad som bidrar till ett framgångsrikt införande av ett ABIS och på vilket sätt. Syftet med denna fallstudie var att identifiera högt rankade och gemensamma faktorer baserat på de kritiska framgångsfaktorer som belagts av tidigare forskning inom ABIS, beskriva hur dessa bidragit till ett framgångsrikt införande samt utröna skillnader och/eller likheter mellan hur dessa faktorer verkar ur kund- respektive leverantörsperspektiv. Som underlag för denna studie användes framför allt tidigare forskning kring kritiska framgångsfaktorer för Business Intelligence System. Speciellt en modell som utvecklades 2010 av Yeoh och Koronios användes som utgångspunkt för att lista de potentiella faktorer, som skulle beaktas av denna studie. Denna undersökning genomfördes som en fallstudie med hjälp av ett företag, som både levererar konsulttjänster och ABIS. En Delphipanel användes för att sortera fram framgångsfaktorer, som sedan studerades närmare genom semistrukturerade intervjuer för hur dessa kritiska framgångsfaktorer bidragit till ett framgångsrikt införande av ABIS från dels ett kundperspektiv, dels ett leverantörsperspektiv. De två faktorer som rankades högt och samtidigt delades av samtliga respondenter var: affärsvision och planer datakvalitet och dataintegritet Kundperspektivet var det styrande och leverantörens roll var ordentligt förstå kundens perspektiv, för att på så sätt framgångsrikt införa ABIS. Affärsvision och planer var av betydelse för att koppla införande till kundens målsättningar. Datakvalitet och dataintegritet var den mest betydelsefull faktorn utifrån den resursfördelningen skedde inom ett införandeprojekt för ABIS. / An Agile Business Intelligence System (ABIS) is a relatively new and complex type of information system, which is characterized by shortened development times, for by example introducing more self-service in the analytical systems, in order to meet the need to analyze the business environment, which is changing at an even faster pace. As the ABIS is a new and relatively uncharted area there is a need to explore this area. IT investments are too often unprofitable and there is an interest to show what contributes to a successful implementation of an ABIS and in which manner. The purpose of this case study was to identify highly ranked and common critical success factors based on the critical success factors faced by previous research in ABIS, describe how these contributed to a successful introduction of the system and examining differences and / or similarities between how these factors act from customer and supplier perspective. Earlier research on critical success factors for business intelligence systems was used as a basis for this study. Especially the model developed in 2010 by Yeoh and Koronios was used as a starting point to list potential factors to be considered by this study. This study was conducted as a case study with the help of a company that delivers both consulting services and ABIS. A Delphi panel was used to shortlist two success factors, which were then studied in more detail in semi-structured interviews to describe how these contributed to the successful introduction of ABIS from both a client as well as a supplier perspective. The two factors that both ranked high and were common for all respondents were: Clear vision and well-established business case Data quality and data integrity The leading perspective was the customer and the supplier role was to properly understand the customer perspective in order to successfully introduce ABIS. The vision and business case were important to link the introduction ABIS to client objectives. Data quality and data integrity was the most significant factor on the basis of the resource allocation of implementation projects for ABIS.

Business Intelligence

BI

agile

critical success factor

CSF

decision support

DSS

ICT

information system

business case

data integrity

data quality

Business Intelligence

BI

agil

kritisk framgångsfaktor

beslutsstöd

IKT

informationssystem

affärsvision

datakvalitet

dataintegritet

Information Systems

Federated Learning for Natural Language Processing using Transformers / Evaluering av Federerad Inlärning tillämpad på Transformers för klassificering av analytikerrapporter

Kjellberg, Gustav

January 2022

The use of Machine Learning (ML) in business has increased significantly over the past years. Creating high quality and robust models requires a lot of data, which is at times infeasible to obtain. As more people are becoming concerned about their data being misused, data privacy is increasingly strengthened. In 2018, the General Data Protection Regulation (GDPR), was announced within the EU. Models that use either sensitive or personal data to train need to obtain that data in accordance with the regulatory rules, such as GDPR. One other data related issue is that enterprises who wish to collaborate on model building face problems when it requires them to share their private corporate data [36, 38]. In this thesis we will investigate how one might overcome the issue of directly accessing private data when training ML models by employing Federated Learning (FL) [38]. The concept of FL is to allow several silos, i.e. separate parties, to train models with the same objective, using their local data and then with the learned model parameters create a central model. The objective of the central model is to obtain the information learned by the separate models, without ever accessing the raw data itself. This is achieved by averaging the separate models’ weights into the central model. FL thus facilitates opportunities to train a model on large amounts of data from several sources, without the need of having access to the data itself. If one can create a model with this methodology, that is not significantly worse than a model trained on the raw data, then positive effects such as strengthened data privacy, cross-enterprise collaboration and more could be attainable. In this work we have used a financial data set consisting of 25242 equity research reports, provided by Skandinaviska Enskilda Banken (SEB). Each report has a recommendation label, either Buy, Sell or Hold, making this a multi-class classification problem. To evaluate the feasibility of FL we fine-tune the pre-trained Transformer model AlbertForSequenceClassification [37] on the classification task. We create one baseline model using the entire data set and an FL model with different experimental settings, for which the data is distributed both uniformly and non-uniformly. The baseline model is used to benchmark the FL model. Our results indicate that the best FL setting only suffers a small reduction in performance. The baseline model achieves an accuracy of 83.5% compared to 82.8% for the best FL model setting. Further, we find that with an increased number of clients, the performance is worsened. We also found that our FL model was not sensitive to non-uniform data distributions. All in all, we show that FL results in slightly worse generalisation compared to the baseline model, while strongly improving on data privacy, as the central model never accesses the clients’ data. / Företags nyttjande av maskininlärning har de senaste åren ökat signifikant och för att kunna skapa högkvalitativa modeller krävs stora mängder data, vilket kan vara svårt att insamla. Parallellt med detta så ökar också den allmänna förståelsen för hur användandet av data missbrukas, vilket har lätt till ett ökat behov av starkare datasäkerhet. 2018 så trädde General Data Protection Regulation (GDPR) i kraft inom EU, vilken bland annat ställer krav på hur företag skall hantera persondata. Företag med maskininlärningsmodeller som på något sätt använder känslig eller personlig data behöver således ha fått tillgång till denna data i enlighet med de rådande lagar och regler som omfattar datahanteringen. Ytterligare ett datarelaterat problem är då företag önskar att skapa gemensamma maskininlärningsmodeller som skulle kräva att de delar deras bolagsdata [36, 38]. Denna uppsats kommer att undersöka hur Federerad Inlärning [38] kan användas för att skapa maskinlärningsmodeller som överkommer dessa datasäkerhetsrelaterade problem. Federerad Inlärning är en metod för att på ett decentraliserat vis träna maskininlärningsmodeller. Detta omfattar att låta flera aktörer träna en modell var. Varje enskild aktör tränar respektive modell på deras isolerade data och delar sedan endast modellens parametrar till en central modell. På detta vis kan varje enskild modell bidra till den gemensamma modellen utan att den gemensamma modellen någonsin haft tillgång till den faktiska datan. Givet att en modell, skapad med Federerad Inlärning kan uppnå liknande resultat som en modell tränad på rådata, så finns många positiva fördelar så som ökad datasäkerhet och ökade samarbeten mellan företag. Under arbetet har ett dataset, bestående av 25242 finansiella rapporter tillgängliggjort av Skandinaviska Ensilda Banken (SEB) använts. Varje enskild rapport innefattar en rekommendation, antingen Köp, Sälj eller Håll, vilket innebär att vi utför muliklass-klassificering. Med datan tränas den förtränade Transformermodellen AlbertForSequence- Classification [37] på att klassificera rapporterna. En Baseline-modell, vilken har tränats på all rådata och flera Federerade modellkonfigurationer skapades, där bland annat varierande fördelningen av data mellan aktörer från att vara jämnt fördelat till vara ojämnt fördelad. Resultaten visar att den bästa Federerade modellkonfigurationen endast presterar något sämre än Baseline-modellen. Baselinemodellen uppnådde en klassificeringssäkerhet på 83.5% medan den bästa Federerade modellen uppnådde 82.8%. Resultaten visar också att den Federerade modellen inte var känslig mot att variera fördelningen av datamängd mellan aktorerna, samt att med ett ökat antal aktörer så minskar klassificeringssäkerheten. Sammanfattningsvis så visar vi att Federerad Inlärning uppnår nästan lika goda resultat som Baseline-modellen, samtidigt så bidrar metoden till avsevärt bättre datasäkerhet då den centrala modellen aldrig har tillgång till rådata.

Machine Learning

Federated Learning

Distributed Machine Learning

Natural Language Processing

BERT

ALBERT

Transformers

Data Privacy.

Maskininlärning

Federerad inlärning

Distribuerad Maskininlärning

Språkteknologi

BERT

ALBERT

Transformers

Dataintegritet.

Computer and Information Sciences

Data- och informationsvetenskap

Riskhantering för molnbaserade affärssystem i stora organisationer : En studie om hur stora organisationer hanterar säkerhetsrisker som kan uppstå vid nyttjandet av molnbaserade affärssystem

Zogaj, Drilon

January 2020

Framväxten av molntjänster är en trend som påverkar organisationer i allt större utsträckning vilket anses vara framtiden inom informationsteknik. Idag migrerar stora organisationer i allt större grad sina affärskritiska affärssystem till molnet, trots att det är en av de mest riskabla, kostsamma och tidskrävande IT-investering som en organisation någonsin kan göra. Molnbaserade affärssystem kan medföra fördelar men också säkerhetsrisker som exempelvis att lagra organisationens data hos tredjeparts-leverantörer. Säkerhetsrisker kan inte elimineras, utan de behöver hanteras och reduceras. Denna studie har undersökt hur stora organisationer hanterar säkerhetsrisker som kan uppstå vid nyttjandet av molnbaserade affärssystem. Studien har identifierat tre tillvägagångssätt att hantera säkerhetsrisker på. Det första tillvägagångssättet att hantera säkerhetsrisker är genom formella avtal med molntjänst leverantören. Det andra tillvägagångsättet att hantera säkerhetsrisker på är genom interna processer som exempelvis datakryptering. Det tredje tillvägagångsättet är att medvetandegöra och utbilda användare i verksamheten. / The emergence of cloud services is a trend that is increasingly effecting organizations which is considered the future of information technology. Today, large organizations are increasingly migrating their business-critical ERP-system to the cloud, despite being the one of the most risky, costly and time-consuming IT-investment that an organization can ever make. CloudbasedERP-system can bring several benefits, but also several security risks, such as storing organizational data with third-party suppliers. Security risks cannot be eliminated, but they need to be managed and reduced. This study has examined how big customer organizations handle security risks that may arise when using cloud-based ERP-systems. The study has identified three approaches to managing security risks. The first approach is to manage security risks through formal agreements with the cloud provider. The second approach to managing security risks is through internal processes such as data encryption. The third approach is to raise awareness and educate users in the organization.

Cloud-based ERP-systems

cloud computing

risk management

large organizations

security risks

molnbaserade affärssystem

molntjänster

riskhantering

stora organisationer

säkerhetsrisker

kravhantering

avtal

dataintegritet

datasäkerhet

riskhanteringsmetod

användarinvolvering

hållbarhet

Information Systems

Evaluating the Approximate Location Feature in Android : An analysis of the built in Location Privacy Protection of Android 12 / Analys av ungefärlig platsdelning i Android : En analys av de inbyggda integritetsskydden vid platsdelning i Android 12

Loxdal, Joakim

January 2023

Smartphone users share their locations with location based services (navigation apps, dating apps, fitness trackers, etc.). These services can be useful, but introduce privacy concerns. Strategies have been suggested in academic literature to counter these location privacy issues while still maintaining some utility of the location based services. In practice, Google introduced a new location privacy protection mechanism in Android 12. Users are now able to share only their approximate location with any app that request their location. In this thesis, the Approximate Location feature in Android 12 is evaluated and tested in different scenarios (on device and simulated) to decide its potential benefits and drawbacks for a users location privacy. The source code analysis show that the Approximate Location feature uses a grid mapping (’snap-togrid’) technique to make locations less precise and adds a random offset to make it more difficult to reveal when a user crosses a grid border. Over longer time periods, an attacker can exploit the random offset to reveal a more precise location than intended. The random offset will change gradually, meaning a precise location can result in several approximate locations. By averaging the approximate locations that a stationary precise location generates over time, one could potentially create a new more precise location than the approximate ones. Simulations and some real world experiments on an Android 12 device show that this attack could be feasible, but that since the random offset only updates every hour the attack would be very time consuming. The simulations showed that when approximate locations were shared for one precise location 10,000 times (hours in practice), the mean approximate location was on average 478 meters away from the precise location, compared to 986 meters on average if the approximate location was only shared once. Analysis made on recorded and simulated locations show that even though the approximate locations use a grid with 2 km granularity, many public transport routes can be inferred. The success of unambiguously inferring a public transport trip using a users approximate locations depends on the length of the trip (the longer the easier) and on how many other public transport trips share the route or sub route of the trip (the more trips that share the route, the harder it is to infer the correct one). By combining historical approximate location data and public transport data, results indicate that 80.52% of the bus routes in the Region of Skåne in Sweden could be inferred if a user travels the full route. / Smartphoneanvändare delar sin platsdata med mobilapplikationer, s.k. ’location based services’ (LBS). Exempel på sådana applikationer är navigationsappar, dejtingappar och träningsappar. Dessa applikationer kan vara värdefulla för användaren, men leder även till ökade integritetsproblem. Teoretiska och praktiska metoder har föreslagits för att begränsa dessa problem utan att applikationernas funktionalitet drabbas i för hög grad. I praktiken så introducerades ett antal nya integritetsskyddande funktioner i Android 12 för att ge användaren mer kontroll över sin platsintegritet (location privacy). Nu kan användare välja att dela enbart sina ungefärliga platser till appar som efterfrågar deras platsdata. Denna funktion kallas ”Approximate Location” (ungefärlig plats). I denna masteruppsats undersöks denna funktion ur ett integritetsperspektiv, och testas i olika scenarion (både verkliga och simulerade). Detta görs för att avgöra funktionens fördelar och begränsningar när det kommer till användares platsintegritet. Källkodsanalysen visar att den den ungefärliga platsen genereras genom en ’snap-to-grid’ eller ’grid masking’-teknik som gör platsen som delas mindre exakt. Kortfattat kan det beskrivas som att världen delas upp i ett rutnät med horisontella och vertikala linjer där användarens plats avrundas till den närmaste brytpunkt mellan två linjer. Dessutom flyttas platsen slumpmässigt mellan varje delning vilket gör det svårare för en angripare att avgöra när användaren rör sig mellan olika rutor i rutnätet. Simulationer och experiment på Android-enheter visar att ju längre en smartphone delar sin ungefärliga plats, desto mer avslöjas om den exakta. När ungefärliga platser som korresponderade mot en stillastående exakt plats delades 10 000 gånger och avrundades så var den avrundade platsen i genomsnitt 478 meter ifrån den exakta platsen. Detta kan jämföras med 986 meter i genomsnitt om den ungefärliga platsen bara delades en gång. Analys som utfördes med simulerad platsdata visar att även om positionerna genereras på ett rutnät med 2 kilometers avstånd mellan linjerna så kan resor med kollektivtrafik exponeras, trots att enbart ungefärliga platser delas. Hur enkelt det är att exponera rutten beror på hur lång resan är (ju längre desto enklare), och hur många andra rutter som liknar resan (ju fler, desto svårare). Baserat på simulerade ungefärliga platser längs kollektivtrafikrutter kombinerat med kollektivtrafikdata, indikerar resultaten att 80.53% av alla bussrutter i region Skåne kan exponeras om en person delar sin ungefärliga plats längs hela rutten.

Location sharing

Location Privacy

Android

Smartphone

Privacy

GTFS

Location obfuscation

LPPMs

Location privacy attacks

Anonymity

Location Inference Attacks

Platsdelning

Android

Smarta telefoner

Dataintegritet

Smartphone

Obfuskering

Anonymitet

Computer Sciences

Datavetenskap (datalogi)