Informationsläckage : Orsaker, hantering och påverkan av informationsläckage enligt enskilda individer på organisationer inom den privata samt offentliga sektorn.

Gajek, Arneo, Bard Forsberg, Amanda

January 2015

Idag är information en av de viktigaste resurser som en organisation kan ha. På grund av den stora mängden information som flödar inom organisationen har det blivit en allt svårare resurs att skydda. Informationsläckage av hemligstämplad information blir därmed ett vanligt problem och kan leda till förödande konsekvenser för organisationer. Informationsläckage kan hanteras samt påverka organisationer på olika sätt och i denna studie undersöker vi huruvida det finns någon skillnad på hur de organisationer vi intervjuat inom den offentliga samt privata sektorn hantera samt påverkas av informationsläckage. Undersökningen inkluderar även vad enskilda individer, som på något sätt är kopplade till informationssäkerheten, inom organisationerna anser är anledningen till att någon väljer att bryta mot informationssäkerheten och läcka information.  En kvalitativ studie har gjorts på sex olika organisationer i Ljungby kommun där vi alltså intervjuat 11 personer med någon anknytning till informationssäkerhet med inriktning mot sekretessavtal. Enligt resultatet framgår det att samtliga informanter är medvetna om problemet informationsläckage och till stor del eniga om hur organisationerna de arbetar på skulle påverkas vid ett informationsläckage samt hur detta skulle hanteras. De informanter som kunde svara på hur de upplevde att organisationerna skulle kunna påverkas menade att organisationernas anseende och förtroende skulle kunna skadas på sikt. Enligt informanterna finns det även likheter i hur organisationerna hanterar informationsläckage, där fem av sex individer i organisationer inom den privata sektorn samt tre av fem informanter i organisationer inom den offentliga sektorn, arbetar med någon typ av avtal/handlingsplan. 10 av 11 informanter tror att det är ett omedvetet val till att läcka information och att det oftast sker till följd av misstag och obetänksamhet. / Information is one of the most important resources of an organization in today’s society. Because of the large amount of information that flows within the organization, information has become an increasingly difficult resource to protect. Information leakage of classified information has become a common problem and can lead to devastating consequences for organizations if it is not handled with care. Information leakage can be managed and affect organizations differently. In this paper we aim to further examine whether there are any differences between how organizations in the public and the private sectors are managing and being affected by information leakage. This paper also aims to examine what the individuals of each organization believe is the reason to why an employee would leak information. A qualitative study has been made on six different organizations in the municipality of Ljungby, where 11 people were interviewed with association to information security with focus on confidentiality agreements. According to our results it appears that all informants are aware of information leakage and agree upon how information leakage should be handled in their organizations and how it would affect them. The informants who could answer on how they believe the organization would be affected said that the organization’s reputation and trust could be affected over time. There are also similarities in how the organizations manage information leakage according to our informants, were five of six informants within the private sector and three of six informants within the public sector, work with some type of contract/action plan. 10 of 11 informants believe it’s an unconscious choice to leak information and that is mostly happens because of mistakes and recklessness.

Information leakage

information security

Informationsläckage

informationssäkerhet

Computer and Information Sciences

Data- och informationsvetenskap

Informationsläckage vid företagsförvärv : Risken för spridning av känslig information / Information leakage during company acquisitions : The risk of dissemination of sensitive information

Creutz, Casper, Rankleven, Nora

January 2023

Information måste delges vid företagsförvärv men risken finns att obehöriga parter, parter som inte ska ha tillgång till informationen, får tillgång till information och det kan leda till skada för målbolaget, det företag som ska förvärvas. I uppsatsen belyses risken för informationsläckage vid företagsförvärv och det redogörs för i vilka fall information kan spridas. Ett exempel på informationsläckage kan vara att köparen som har tillgång till datarummet, som innehåller en sammanställning av den viktigaste informationen om säljaren, bryter mot sekretessavtalet. En anledning till överträdelsen kan vara konkurrenter som vill komma åt känslig information om målbolaget för att gynna sig själva, vilket kan skada målbolaget. Det finns alltid en risk för informationsläckage vid företagsförvärv. Riskens storlek varierar beroende på många faktorer. De olika förvärvsprocesser bidrar med olika risker för att känslig information sprids till obehöriga parter. För att skydda sig mot informationsläckage vid företagsförvärv använder sig företag av både letter of intent och sekretessavtal. Innan ett företagsförvärv utförs alltid en företagsbesiktning, due diligence. Det potentiella köpföretaget får tillgång till mer ingående information om målbolaget innan beslut tas om köpföretaget ska köpa målbolaget eller inte. I slutsatserna framgår det att risken för informationsläckage är som störst vid genomförande av due diligence. Det är vid due diligence som köpföretaget får tillgång till känslig information om målbolaget. Det är därför risken är störst vid due diligence att informationen används på ett felaktigt sätt eller hamnar i fel händer. Due diligence är viktigt för köpföretaget för att kunna värdera företaget samt veta vad det förvärvar. Risken finns även att känslig information sprids till konkurrenter som använder den till sin fördel. Vidare finns även risken att de anställda får information om försäljningen vilket leder till instabilitet på arbetsplatsen. Det finns även en risk att marknaden får reda på förhandlingen vilket kan leda till instabilitet på börsen, om det är ett börsnoterat företag.

företagsförvärv

informationsläckage

spridning av känslig information

risker med företagsförvärv

datarum

Law and Society

Juridik och samhälle

Extremal Mechanisms for Pointwise Maximal Leakage / Extremala Mekanismer för Pointwise Maximal Leakage

Grosse, Leonhard

January 2023

In order to implement privacy preservation for individuals, systems need to utilize privacy mechanisms that privatize sensitive data by randomization. The goal of privacy mechanism design is to find optimal tradeoffs between maximizing the utility of the privatized data while providing a strict sense of privacy defined by a chosen privacy measure. In this thesis, we explore this tradeoff for the pointwise maximal leakage measure. Pointwise maximal leakage (PML) was recently proposed as an operationally meaningful privacy measure that quantifies the guessing advantage of an adversary that is interested in a random function of the private data. Opposite to many other information-theoretic measures, PML considers the privacy loss for every outcome of the privatized view separately, thereby enabling more flexible privacy guarantees that move away from averaging over all outcomes. We start by using PML to analyze the prior distribution-dependent behavior of the established randomized response mechanism designed for local differential privacy. Then, we formulate a general optimization problem for the privacy-utility tradeoff with PML as a privacy measure and utility functions based on sub-linear functions. Using methods from convex optimization, we analyze the valid region of mechanisms satisfying a PML privacy guarantee and show that the optimization can be solved by a linear program. We arrive at extremal formulations that yield closed-form solutions for some important special cases: Binary mechanism, general high-privacy regions, i.e., regions in which the required level of privacy is high, and low-privacy mechanisms for equal priors. We further present an approximate solution for general priors in this setting. Finally, we analyze the loss of optimality of this construction for different prior distributions. / För att kunna implementera integritetsskydd för individer, så behöver system utnyttja integritetsmekanismer som privatiserar känslig data genom randomisering. Målet vid design av integritetsmekanismer är att hitta den optimala balansen mellan att användbarheten av privatiserad data maximeras, samtidigt som det tillhandahålls integritet i strikt mening. Detta definierat av något valt typ av integritetsmått. I den här avhandlingen, så undersöks detta utbyte specifikt med “pointwise maximal leakage”-måttet. Pointwise maximal leakage (PML) har nyligen föreslagits som ett operativt meningsfullt integritetsmått som kvantifierar en gissande motparts informationstillgång om denna är intresserad av en slumpmässig funktion av den privata datan. Till skillnad mot många andra informations-teoretiska mått, så tar PML i åtanke integritetsinskränkningen separat för varje utfall av den privata slumpmässiga variabeln. Därmed möjliggörs mer flexibla försäkringar av integriteten, som strävar bort från genomsnittet av alla utfall. Först, används PML för att analysera det ursprungsberoende beteendet av den etablerade “randomized response”-mekanismen designad för local differential privacy. Därefter formuleras ett generellt optimeringsproblem för integritets-användbarhets-kompromissen med PML som ett integritetsmått och användbarhetsfunktioner baserade på sublinjära funktioner. Genom att utnyttja metoder från konvex optimering, analyseras den giltiga regionen av mekanismer som tillfredsställer en PML-integritetsgaranti och det visas att optimeringen kan lösas av ett linjärt program. Det leder till extremala formuleringar som ger slutna lösningar för några viktiga specialfall: Binär mekanism, allmänna högintegritets-regioner (d.v.s. regioner där kravet på nivån av integritet är hög) och lågintegritets-mekanismer för ekvivalenta ursprungliga distributioner. Vidare presenteras en approximativ lösning för allmänna ursprungliga distributioner i denna miljö. Slutligen, analyseras förlusten av optimalitet hos denna konstruktion för olika ursprungliga distributioner.

Privacy

mechanism design

information leakage

convex optimization

information-theoretic utility

Integritet

Mekanismdesign

informationsläckage

konvex optimering

informationsteoretisk användbarhet.

Elektroteknik och elektronik

Sidokanalattack mot knappsats för elektroniskt passersystem / Side-channel attack against electronic entry system keypad

Alasjö, Alexander

January 2017

Genom ett undersökande experiment med elektromagnetisk sidokanalattack mot en knappsats för ett kommersiellt passersystem påvisas att informationsläckage i sidokanaler är ett fortsatt aktuellt problem och hur det gör fysisk åtkomstkontroll sårbart genom avlyssning och kopiering av användaruppgifter. Med enkel radioutrustning kan knapptryckningar registreras och avkodas genom oönskad elektromagnetisk strålning och teoretiskt är det möjligt att genomföra avlyssningen på en längre distans med särskilt utformad antenn och anpassad mottagare. Rapporten diskuterar problematiken med emission security hos konsumentprodukter som i militära sammanhang benämns Tempest eller RÖS (röjande signaler) och kräver kostsamma tester för att detekteras och hanteras. I regelverk för EMC (elektromagnetisk kompatibilitet) behandlas elektriska apparaters och näts utstrålning och påverkan av elektromagnetiska vågor, men inte direkt hur information kan läcka från informationsteknologisk utrustning vilket denna rapport vill problematisera. / Through an exploratory experiment using electromagnetic side-channel attack against a keypad for a commercial entry system it is demonstrated that information leakage through side-channels are an ongoing issue and may make entry systems vulnerable by recording of user data. Using simple radio equipment, keypresses can be recorded and decoded by undesired electromagnetic radiation and theoretically it is possible to carry out the attack on a longer distance with a specially designed antenna and a custom recieiver. The report discusses emission security in consumer products which in military context is termed Tempest or compromising emanations (Swedish: RÖS) and requires expensive tests to be detected and handled. The EMC regulations (electromagnetic compatibility) handles radiation and influence of electromagnetic waves in electronic apparatus and nets, but not directly how information can leak from information technology equipment which this report wants to problematize.

EmSec

emission security

Tempest

information leakage

side-channel attack

SDR

electromagnetic compatibility

EMC

compromising emanations

software defined radio

EmSec

RÖS

Tempest

informationsläckage

sidokanalattack

SDR

röjande signaler

elektromagnetisk kompatibilitet

EMC

Information Systems