Har du rätt verktyg i verkygslådan? : Verktyg för att förbättra cybersäkerhet hos små till medelstora företag

Huang Karlsson, Stephanie, Beskow, Fabian

January 2024

This study has examined how self-assessment and improvement tools for cybersecurity should be designed with a special focus on small to medium-sized enterprises (SME). This has resulted in the development of a new and innovative tool, presented in the study, to better address the specific limitations and needs of the target group. By analyzing existing tools such as MSB’s Infosäkkollen and conducting interviews with the target group, key insights and shortcomings of already existing tools were identified. The study emphasizes the importance of flexibility, simplicity, and practical usability in the design of the tool. SME currently make up 99.9% of all companies in Sweden and 96% of the workforce. To improve cyber resilience in Swedish society, it is of utmost importance that all companies, regardless of size, have access to the tools and resources required to effectively enhance their security. The developed tool aims to bridge the gap between existing tools and the needs of the target group, thus contributing to improved cybersecurity resilience within the Swedish business landscape. / Denna studie har undersökt hur verktyg för självskattning och förbättring av cybersäkerhet bör utformas med speciell inriktning mot målgruppen små till medelstora företag (SME). Detta har resulterat i utvecklingen av ett nytt och innovativt verktyg, som presenteras i studien, för att bättre bemöta målgruppens specifika begränsningar och behov. Genom analys av befintliga verktyg som MSB:s Infosäkkollen och intervjuer med målgruppen, identifierades viktiga insikter och brister hos redan existerande verktyg. Studien betonar vikten av flexibilitet, enkelhet och praktisk användbarhet vid utformningen av verktyget. SME utgör idag 99.9% av alla företag i Sverige och 96% av arbetskraften. För att förbättra cyberresiliensen i det svenska samhället är det av yttersta vikt att alla företag, oavsett storlek, ges tillgång till de verktyg och resurser som krävs för att effektivt höja deras säkerhet. Det utvecklade verktyget syftar till att minska gapet mellan befintliga verktyg och målgruppens behov och bidrar således till förbättrad cybersäkerhetsresiliens inom den svenska näringslivsarenan.

Cybersäkerhet

Informationssäkerhet

IT-säkerhet

Småföretag

Små till medelstora företag

SME

Infosäkkollen

Verktyg

Självskattning

Cyberresiliens

Computer and Information Sciences

Data- och informationsvetenskap

Informationssäkerhet inom energisektorn : En kvalitativ studie om hur energibolag arbetar med informationssäkerhet

Eriksson, Selim, Örjebo, Johan

January 2024

Energisektorn är en av de sektorer som är viktiga för att Sverige ska kunna fungera som land. Därför ställer makthavare extra krav på organisationer som verkar inom energisektorn. I takt med att digitaliseringen utvecklas ökar även hotet av cyberattacker och krav måste då även ställas i den digitala miljön för att undvika att samhällsviktiga tjänster blir utslagna eller att sekretessbelagd data hamnar i fel händer. I denna studie läggs fokuset på hur de organisationer som bedriver verksamhet inom sektorn arbetar med informationssäkerhet.  Studien har tagit reda på hur de som ansvarar för informationssäkerheten förhåller sig till de olika lagar, standarder och riktlinjer som finns inom området. I studien undersöks även hur organisationer inom energisektorn samarbetar med varandra och hur kommunikationen med myndigheter upplevs. Fokus läggs också på att ta reda på vilka utmaningar som finns inom området, och frågeställningarna besvaras med en kvalitativ semistrukturerad intervjustudie och en litteratursökning. Resultatet visar på att de lagar som driver fram informationssäkerhetsarbetet är NIS-direktivet och säkerhetsskyddslagen. Mycket arbete sker även utifrån ISO 27000-serien, men få är certifierade. Intervjuerna visar dessutom på att det samarbete som finns mellan branschkollegor främst bygger på personliga kontakter och personlig tillit. Energiföretagen upplevs som en bra yta för att diskutera säkerhetsfrågor och skapa kontakt med branschkollegor för att på ett öppet sätt diskutera säkerhetsfrågor. Det finns däremot önskemål om en central organisation i stil med Norges KraftCERT för att kunna diskutera säkerhetsfrågor inom sektorn. Vidare visar resultatet på att de utmaningar som upplevs till stor del handlar om brist på resurser för att kunna implementera rätt säkerhetsåtgärder och utbilda personal, men också hur ledningen väljer att prioritera informationssäkerhet inom organisationen.

EU

energisektorn

NIS-direktivet

NIS2-direktivet

informationssäkerhet

informationssäkerhetsarbete

samhällsviktig verksamhet

kritisk infrastruktur

Computer and Information Sciences

Data- och informationsvetenskap

Dynamic Risk Management in Information Security : A socio-technical approach to mitigate cyber threats in the financial sector / Dynamisk riskhantering inom informationssäkerhet : Ett sociotekniskt tillvägagångssätt för att hantera cyberhot i den finansiella sektorn

Lundberg, Johan

January 2020

In the last decade, a new wave of socio-technical cyber threats has emerged that is targeting both the technical and social vulnerabilities of organizations and requires fast and efficient threat mitigations. Yet, it is still common that financial organizations rely on yearly reviewed risk management methodologies that are slow and static to mitigate the ever-changing cyber threats. The purpose of this research is to explore the field of Dynamic Risk Management in Information Security from a socio-technical perspective in order to mitigate both types of threats faster and dynamically to better suit the connected world we live in today. In this study, the Design Science Research methodology was utilized to create a Dynamic Information Security Risk Management model based on functionality requirements collected through interviews with professionals in the financial sector and structured literature studies. Finally, the constructed dynamic model was then evaluated in terms of its functionality and usability. The results of the evaluation showed that the finalized dynamic risk management model has great potential to mitigate both social and technical cyber threats in a dynamic fashion. / Under senaste decenniet har en ny våg av sociotekniska cyberhot uppkommit som är riktade både mot de sociala och tekniska sårbarheterna hos organisationer. Dessa hot kräver snabba och effektiva hotreduceringar, dock är det fortfarande vanligt att finansiella organisationer förlitar sig på årligen granskade riskhanteringsmetoder som både är långsamma och statiska för att mildra de ständigt föränderliga cyberhoten. Syftet med denna forskning är att undersöka området för dynamisk riskhantering inom informationssäkerhet ur ett sociotekniskt perspektiv, med målsättningen att snabbare och dynamiskt kunna mildra bägge typerna av hot för att bättre passa dagens uppkopplade värld.  I studien användes Design Science Research för att skapa en dynamisk riskhanteringsmodell med syfte att hantera sociotekniska cyberhot mot informationssäkerheten. Riskhanteringsmodellen är baserad på funktionskrav insamlade genom intervjuer med yrkesverksamma inom finanssektorn, samt strukturerade litteraturstudier.  Avslutningsvis utvärderades den konstruerade dynamiska modellen avseende dess funktionalitet och användbarhet. Resultaten av utvärderingen påvisade att den slutgiltiga dynamiska riskhanteringsmodellen har en stor potential att mitigera både sociala och tekniska cyberhot på ett dynamiskt sätt.

DISRMM

Dynamic Risk Management

Adaptive Risk Management

Socio-Technical

Sociotechnical

Social Triggers

Technical Triggers

Information Security

Usability

SEO

Search Engine Optimization

SEAREvasion

SEAR Evasion Approach

Dynamic

Risk Management

Socio-technical Threats

Risk Management Finance

Technical Risk Management Finance

Social Risk Management Finance

Socio-technical Model

Design Science Research.

Dynamisk Riskhantering

Informationssäkerhet

Finans

Finansiell Organisation

Dynamisk Informationssäkerhet

Sociotekniska Cyberhot

Riskhantering.

Information Systems

Informationsklassificering : ett styrdokument för klassificering av informationssystem

Larsson, Nicklas, Hallén, Kim

January 2010

<p>Hantering av information blir allt viktigare i dagens informationssamhälle då information är en av de värdefullaste tillgångarna för verksamheter. Syftet med uppsatsen har varit att skapa ett styrdokument för IT-administratörer som hjälper dem vid klassificering av informationssystem. Styrdokumentet har som uppgift att kontrollera att informationssystem lever upp till verksamheternas krav som finns på konfidentialitet, integritet, tillgänglighet och spårbarhet. Styrdokumentets vetenskapliga värde har verifierats genom att utvalda IT-administratörer undersökt och utvärderat styrdokumentet. Resultatet visar att styrdokumentet kan användas som ett hjälpmedel. Det är lättförståeligt, lämpar sig för mindre tekniska personer och kan även i vissa fall effektivisera klassificeringsprocessen. Slutsatsen är att behovet av denna typ av styrdokument för klassificering av informationssystem behövs inom verksamheter.</p> / <p>Information management is increasingly important in today’s information society as information is one of the most valuable assets for businesses. The purpose of this paper was to create a steering document for IT administrators and to help them when classifying information systems. The steering document is responsible for verifying that information systems meet businesses requirements of confidentiality, integrity, availability, and traceability. The scientific value of the steering document has been verified by selected IT administrators, who have investigated and evaluated it. The results show that the steering document may be used as a guideline for information system classification. It is easily understandable, suitable for less technical people, and may in some cases make the classification process even more efficient. The conclusion is that this type of steering document for information system classification is needed within businesses.</p>

Availability

CIA-triad

confidentiality

information

information classification

information management

information security

integrity

CIA-triangeln

information

informationshantering

informationsklassificering

informationssäkerhet

integritet

konfidentialitet

tillgänglighet

Computer science

Datavetenskap

Ett lapptäcke av säkerhetsskydd över Sverige : Utmaningar för civila verksamheter vid applicering av säkerhetsskyddsanalys för stärkt nationell säkerhet / A Quilt of Security Protection over Sweden : Challenges for Civilian Organisations when Applying Security Protection Analysis for Strengthened National Security

Sjöström, Elin

January 2019

Informationssäkerhet är idag någonting som blivit allt viktigare med den ökade mängd information som bearbetas och den ökade risken för antagonistiska händelser. Att bygga upp ett omfattande säkerhetsskydd genom att genomföra en grundläggande säkerhetsskyddsanalys är därför av vikt för de verksamheter som kan påverka Sveriges säkerhet. Denna studie har undersökt detta genom att besvara två frågeställningar: 1.Vilka utmaningar finns det vid applicering av säkerhetsskyddsanalys för civila verksamheter inom Sverige? och 2. Hur bör dessa verksamheter applicera säkerhetsskyddsanalys för att handskas med de identifierade utmaningarna? För att besvara dessa frågor har en kvalitativ fallstudie genomförts där empiri har samlats in genom en dokumentstudie, semistrukturerade intervjuer, och en observation. Empirin har sedan analyserats genom hermeneutisk analys och analys inspirerad från grundad teori. Studiens resultat har sedan tagits fram i tre steg. Först genom en kartläggning av säkerhetsskyddsanalysen där analysen delades in i sex huvudsakliga steg: verksamhetsanalys, identifiering av skyddsvärde, konsekvensanalys, säkerhetshotbedömning, sårbarhetsanalys, och identifiering och värdering av säkerhetsåtgärder. Sedan genom att ta fram 24 utmaningar som delades in i fyra huvudsakliga områden: nationella utmaningar, verksamhetsutmaningar, ledningsutmaningar, och medarbetarutmaningar. Slutligen genom att sammanföra kartläggningen av säkerhetsskyddsanalysen och de identifierade utmaningarna till ett gemensamt ramverk för applicering av säkerhetsskyddsanalys. Den utförda studiens kunskapsbidrag är ett stöd och en förståelse av säkerhetsskyddsanalysens utförande för civila verksamheter för att minska bristerna i deras säkerhetsskydd. / In the present day, Information security has become an increasingly important matter due to the growing amount of information being processed as well as the increasing risk for antagonistic events. To build an extensive security protection through executing a fundamental security protection analysis is therefore of great importance for the organisations which are involved with the security of Sweden. This study has investigated the matter through answering two research questions: 1. Which challenges arise when applying security protection analysis for civil organisations in Sweden? and 2. How should these organisations apply security protection analysis to be able to deal with the identified challenges? A qualitative case study was completed to answer these questions with empirical data collected through a document study, semi-structured interviews, and observation. The empirical data were analysed by means of hermeneutic analysis and analysis informed by grounded theory. The result of the study has therefore been produced in three steps. First, through a mapping of the securty protection analysis where the analysis was divided into six main steps: activity analysis, identification of protection value, consequence analysis, security threat assessment, vulnerability analysis, and identification and valuation of security actions. Then, through producing 24 challenges, which were divided into four main areas: national challenges, organisation challenges, governance challenges, and coworker challenges. Finally, through combining the mapping of the security protection analysis and the identified challenges to a joint framework for application of security protection analysis. The konwledge contribution of the performed study is a support and an understanding of the execution of the security protection analysis for civil organisations to reduce the deficiencies in their security protection.

Security protection

Security protection analysis

Security protection legislation

Information security

Security of Sweden

Säkerhetsskydd

Säkerhetsskyddsanalys

Säkerhetsskyddslagstiftning

Informationssäkerhet

Sveriges säkerhet

Information Systems, Social aspects

Konsekvenser vid införandet av ett affärssystem : En jämförelseanalys av nutida och framtida läge

Olofsson, Simon, Åkerlund, Agnes

January 2018

The study aims at identifying the impacts accruing from the implementation of an ERP-system on a large production company that previously managed information in several unintegrated systems. This is investigated from the perspectives and frameworks of Lean Administration, information security and information- and data quality. The study has been conducted at SCA Östrands marketing department, SCA is currently investing 7,8 billion Swedish kronor in the Östrand pulp mill and will be leading the world market. SCA aims to produce 1 million tons of pulp per year with the new mill. As production increases, more data and information will be handled, and support processes must be improved and developed. Process flows were mapped with the process mapping method BPMN and analyzed at a current state and a future state. In the current state, several unintegrated systems are used, in the future, many parts have been integrated and automated. Three main processes were identified and analyzed according to the earlier mentioned frameworks. The analysis shows that the information security is improved according to the CIA-triad, Information- and data quality is improved, and the working method is Leaner after the implementation. In order to calculate efficiency, Data Envelopment Analysis, DEA method has been used with the CCR and ARI models. The results of DEA-CCR and DEA-ARI shows that process flow of the current state is between 48,3% and 57,1% effective compared to the future state, which is 100% effective in the models. / Studien syftar till att identifiera vilka konsekvenser en implementation av ett affärssystem har på ett stort produktionsföretag som tidigare arbetat med informationshantering i flera ointegrerade systemstöd. Detta undersöks ur perspektiven och ramverken för Lean Administration, informationssäkerhet samt informations- och datakvalitet. Undersökningen har genomförts på SCA Östrands marknadsavdelning, SCA investerar just nu 7,8 miljarder kronor i massafabriken Östrand och kommer att bli ledade på världsmarknaden. SCA har som mål att producera 1 miljon ton massa per år med den nybyggda fabriken. Då produktionen ökar kommer mer data och information hanteras och stödprocesserna måste förbättras och utvecklas. Processflöden har kartlagts med processkartläggningsmetoden BPMN och analyserats i ett nutida samt ett framtida optimalt läge. I det nutida läget används flera ointegrerade systemstöd och i det framtida läget har många delar blivit integrerade och automatiserade. Tre huvudprocesser har identifierats och dessa processflödena analyseras utifrån de tre ramverken. Analysen visar att informationssäkerheten förbättras enligt CIA-triaden, Informations- och datakvaliteten förbättras och arbetssättet är mer Lean efter implementationen. För att beräkna ett relativt effektivitetsmått har metoden Data Envelopment Analysis, DEA, använts med modellerna CCR och ARI. Resultatet av DEA-CCR och DEA-ARI visar att det nutida läget är mellan 48,3% och 57,1% effektivt jämfört med det framtida läget som anses vara 100% effektivt i modellerna.

ERP-system

BPMN

Lean Administration

Information security

Information- and data quality

DEA.

Affärssystem

BPMN

Lean Administration

Informationssäkerhet

Informations- och datakvalitet

DEA.

Övrig annan teknik

Småföretags arbetssätt med informationssäkerhet : En kvalitativ studie av utvalda företag / Small business way of working with information security : A qualitative study of selected companies

Emilsson, Daniel

January 2019

Företag lagrar konstant mer information i systemen. I kombination med att mängden hot mot användandet av IT inom företagens verksamheter årligen ökar, höjs kraven på arbetet rörande informationssäkerhet. Risken att företag drabbas av IT-relaterade hot är lika sannolik oavsett storlek. En avgörande skillnad mellan företag är budgetstorlek och resurstillgångar. Företag med 10-49 anställda benämns som småföretag enligt den definition EU‐kommissionen satt upp för företag inom Europeiska Unionen. Småföretag har sannolikt avsatt mindre pengar i budgeten för informationssäkerhetsarbete än stora företag. Småföretagens informationssäkerhetsarbete studeras inte lika frekvent som stora företags, trots att småföretag ihop med medelstora och mikroföretag utgör 99 % av den totala mängden i Europa. Kombinationen av skral budget och stor andel företag utgör en intressant grund i att klargöra hur småföretag arbetar med att uppnå informationssäkerhet. Studien är kvalitativ och saknar befintlig initial teori om informationssäkerhet. Studien analyserar insamlad empiri i form av kvalitativa intervjuer med respondenter från småföretag ihop med litteratur för att uppnå resultat och dra slutsatser för att besvara rapportens frågeställningar. Resultatet visar att småföretagens syn på informationssäkerhet främst är teknikorienterat. Flertalet tekniska åtgärder appliceras för att skydda småföretagen mot hot. Resultatet visar också att ett systematiskt arbete med informationssäkerhet ofta saknas och att den administrativa säkerheten med policys, regelverk och rutiner många gånger är obefintlig. / Companies constantly store more information in their systems. In combination with the fact that the amount of threats to the use of IT within the companies' businesses annually increases, the demands on the work concerning information security are increased. The risk that companies suffer from IT-related threats is just as big regardless of size. A crucial difference between companies is budget size and resources. Companies with 10-49 employees are referred to as small businesses according to the definition the EU Commission set up for companies in the European Union. Small businesses have probably allocated less money in the budget for information security work than large companies. Small business information security work is not being studied as frequently as large companies, although small businesses together with medium and micro enterprises make up 99% of the total amount of companies in Europe. The combination of a small budget and the largest share of the companies is an interesting basis for investigating how small businesses relate to information security. The study is qualitative and lacks an existing initial theory of information security. The study analyzes collected empirical data in the form of qualitative interviews with respondents from small companies together with literature to achieve results and draw conclusions to answer the report's questions. The result shows that the small companies' view of information security is primarily technology-oriented. Most technical measures are applied to protect small businesses against threats. The result also shows that systematic work on information security is often lacking and that the administrative security with policies, regulations, and routines is often non-existent

Information security

small business

IT

administrative security

technical security

Informationssäkerhet

småföretag

IT

administrativ säkerhet

teknisk säkerhet

Information Systems

Efterlevnad av den enskildes rättigheter enligt Dataskyddsförordningen GDPR : En fallstudie om hur en organisation har påverkats av den enskildes rättigheter, samt vilka åtgärder som vidtas för efterlevnad / Complience regarding the rights of the individual according to the GDPR : A casestudy about how an organization have been affected by the rights of the individual, and what measures are taken for compliance

Nilsson, Robin

January 2019

Dataskyddsförordningen (GDPR) blev den 25e maj 2018 obligatorisk att följa för alla organisationer inom Europa som samlar in och behandlar personuppgifter. Dataskyddsförordningen ersatte Personuppgiftslagen som tidigare varit den lag som inom Sverige reglerat hur organisationer får behandla personuppgifter. En central del av Dataskyddsförordningen är den enskildes rättigheter som består av 8 punkter och redogör för vilka rättigheter som en enskild har när en organisation behandlar personuppgifter. Mycket av det som tidigare gällde i personuppgiftslagen har utökats genom den enskildes rättigheter och därmed har organisationer som behandlar personuppgifter fått förändra sin verksamhet för att möta de nya kraven. Syftet med arbetet är att reda ut på vilka sätt som den enskildes rättigheter har påverkat en organisation för att kunna efterleva de nya kraven. Genom en litteraturstudie identifierades forskning som publicerades innan Dataskyddsförordningen blev obligatorisk som analyserar och redogör för hur organisationer bör påverkas av Dataskyddsförordnigen. Med hjälp av en kvalitativ metod beståendes av intervjuer genomfördes en fallstudie för att ta reda på vilken faktiskt påverkan som den enskildes rättigheter inneburit i form av vilka anpassningar som organisationen behövt göra för att anses vara i fas med lagkraven. Resultatet analyserades och jämfördes med den forskning som identifierats för att kunna dra slutsatser kring den faktiska påverkan som rättigheterna inneburit. Resultatet visar på vilka sätt som den enskildes rättigheter har påverkat organisationen i form av nya administrativa processer, rutiner och teknisk funktionalitet för att kunna möta de krav som den enskildes rättigheter kräver. / The General Data Protection Regulation (GDPR) became mandatory on 25 May 2018 for all organizations within Europe who collect and process personal data. The General Data Protection Regulation replaced the Personal Data Act, which previously was the law that regulated in Sweden how organizations may process personal data. A central part of the GDPR is the individual's rights which consist of 8 rights and describe what rights an individual has when an organization processes their personal data. Much of what previously applied in the Personal Data Act has been expanded through the individual's rights and thus organizations that process personal data have had to change their organization to meet the new requirements. The purpose of this thesis is to sort out in what ways the individual's rights have affected an organization in order to comply with the new requirements. By the use of a literature study, research has been identified that was published prior to the GDPR became mandatory which analyzes and describes how organizations should be affected by the data protection ordinance. With the help of a qualitative method, interviews were conducted via a case study to find out what actual impact the individual's rights lead to in the form of which adjustments the organization needed to make in order to be considered in phase with the legal requirements. The result of the interviews was analyzed and compared with the previously identified research to be able to draw conclusions about the actual impact of the new rights. The result shows in what ways the individual's rights have affected the organization in the form of new administrative processes, routines and technical functionality in order to meet the requirements that the individual's rights require.

GDPR

The General Data Protection Regulation

information security

the rights of the individual

municipality

GDPR

Dataskyddsförordningen

informationssäkerhet

den enskildes rättigheter

kommun

Engineering and Technology

Teknik och teknologier

Bedömande vid informationssäkerhetsklassificering

Marklund, Joakim, Hedström, Tomas

January 2019

Utvecklingen i informationssamhället påverkar i allt större grad Försvarsmaktens verksamhetsprocesser. Det innebär att kraven och förutsättningarna för säkerhetsskydd av IT-system och därmed informationssäkerhetsklassning av handlingar och uppgifter förändras.  Denna studie undersöker under vilka förutsättningar som informationssäkerhetsklassificering genomförs i Försvarsmakten idag. Anledningen är att det förekommer inkonsekventa värderingar av uppgifter och handlingar, vilket försvårar samverkan, ger onödiga IT kostnader och säkerhetsrisker. Syftet med denna studie är att utreda vilka problem som medarbetare uppfattar finns inom Försvarsmakten idag, samt att om möjligt identifiera ändamålsenliga utvecklingsåtgärder. För att ta reda på detta har tjugotvå användare svarat på enkäter med öppna frågor, samt fem semistrukturerade intervjuer genomförts med experter inom lagar och förordningar, IT-system, metod och informationssäkerhet. Resultatet visar att de uppfattade problemen ligger i att förstå hur den egna informationen ska värderas i ett större sammanhang och att det är svåröverskådligt hur ens egen uppgift kan kombineras med andras uppgifter. Detta får flera konsekvenser, bl.a. svårigheter att göra ’skada och men’ bedömningar i förhållande till olika informationssäkerhetsklasser. Vidare visar resultatet att Försvarsmaktens metod för informationssäkerhetsklassificering har utvecklingspotential inom gällande lagar och förordningar, samt att orsakerna till de uppfattade problemen kan bemötas med riktade åtgärder. Vi utvecklade därför en teori med utvecklingsåtgärder för att hantera orsakerna till de uppfattade problemen med hänsyn till vad som idag är realiserbart. Syftet med teorin är att stärka förmågan till konsekvent informationssäkerhetsklassificering i komplext kontext, vilket åstadkommes genom förbättrad kommunikation och analytiskt stöd. Väsentliga element i teorin är tillgång till flera perspektiv genom mångfald i nätverk med lokala beslutsstödsgrupper, att andra kan inkluderas i bedömandet med externa representationstekniker och motivering av sekretessbeslut, samt att viktiga analysmoment är tydliggjorda. Uppsatsen bidrar med ett nödvändigt användareperspektiv till dagens högaktuella informationssäkerhetsdiskussion. / The development of the information society is increasingly affecting the Swedish Armed Forces' operational processes. This means that the requirements and conditions for security protection of IT systems and thus information security classification of documents and data are changing. This study investigates the conditions under which information security classification is carried out in the Swedish Armed Forces today. The reason is that there are inconsistent assessments ​​of data and documents, which makes collaboration more difficult, gives unnecessary IT costs, and security risks. The purpose of this study is to investigate which problems employees perceive are within the Swedish Armed Forces today and if possible to identify appropriate development measures. To find this out, twenty-two participants have responded to questionnaires with open questions, and five semi-structured interviews were conducted with experts in laws and regulations, IT systems, methodology, and information security. The result shows that the perceived problems lie in understanding how one’s information is to be valued in a larger context and that it is difficult to understand how that information can be combined with other people's information. This has several consequences, including difficulties in making "damage and detriment" assessments with different information security classes. Furthermore, the results show that the Swedish Armed Forces' method for information security classification has development potential within existing laws and regulations and that the causes of the perceived problems can be addressed with targeted measures. We, therefore, developed a theory with development measures to manage the causes of the perceived problems concerning what is today realizable. The purpose of the theory is to strengthen the ability for consistent information security classification in a complex context, which is achieved through improved communication and analytical support. Essential elements in this theory are access to several perspectives through diversity in networks with local decision support groups, that others can be included in the assessment with external representation techniques and motivation of confidentiality decisions, and that important analysis steps are made clear. The essay contributes with a necessary ‘user perspective’ to the contemporary and up-to-date information security discussion.

användarperspektiv

säkerhetsskyddsanalys

säkerhetsskyddslagen

informationssamhället

digitaliseringen

bedömande

informationssäkerhet

informationssäkerhetsklassificering

konsekvent

klassificering

komplext

kontext

beslutsstödsgrupper

4k

kommunikation

makt

inflytande

mångfald

Business Administration

Företagsekonomi

Utvecklingen utav social manipulering : En kartläggande granskning av säkerhetsåtgärder 2008 kontra 2018 / Development of social engineering : A mapping review of security measures in 2008 versus 2018

Johansson, Stina

January 2019

Sociala manipulatörer besitter förmågan att använda social interaktion som medel för att övertyga en individ eller organisation till samtycke för en specifik förfrågan. Syftet är att uppnå ett mål i form av exempelvis ekonomisk vinning, obehörig åtkomst eller serviceavbrott. En social manipuleringsattack föranleds utav bakomliggande processer och innefattar en datorrelaterad enhet för antingen den sociala interaktionen, för övertalningen till samtycke eller för manipulatörens förfrågan. Syftet med arbetet var att kartlägga säkerhetsåtgärder mot sociala manipuleringsattacker och på så vis ge uttryck för en utveckling av området över tid. Resultatet förväntades med andra ord att ge uttryck för en mognad inom området och bidra med ökade insikter i hur attacker på ett tidstroget vis kan tacklas inom administrativ- och teknisk säkerhet. En kartläggande granskning genomfördes utifrån ett urval utifrån de tre databaserna; IEEE Xplore Digital Library, Springer Link och DBLP Computer Science Bibliography. Studier primär- och sekundärkategoriserades utifrån en kodningsprocess i syfte att understödja en narrativ analys. Fyra primärkategorier utav säkerhetsåtgärder uppstod; modellering, sårbarhetsbedömning, datasystem och (in)direkt utbildning. Sökstrategi och bedömningsprocess gav en inkluderad datamängd av totalt 28 studier. Säkerhetsåtgärder mot social manipulering från 2008 representerades av fem studier; en föreslog modellering, tre föreslog datasystem och en föreslog (in)direkt utbildning. Säkerhetsåtgärder från 2018 representerades av 23 studier; fyra föreslog modellering, två föreslog sårbarhetsbedömning; nio föreslog datasystem och åtta föreslog (in)direkt utbildning. Kodningsprocessen gav även upphov till sekundära kategorier – samtliga kategorier återgavs en dynamisk återspegling utav säkerhetsåtgärder mot social manipulering 2008 kontra 2018. Fyra av fem studier från 2008 definierade social manipulering med avsaknad av teoretiska förklaringar till bakomliggande processer för en attack – respektive 13 av 23 studier från 2018. Analysen mynnade ut i insikter om att framtida forskning behöver eftersträva ett holistiskt synsätt för de bakomliggande processer som föranleder en social manipuleringsattack – på så vis kan en ökad säkerhetsmedvetenhet och motståndskraft mot social manipulering uppnås. / Social engineers possess the ability to use social interaction as a means of convincing an individual or organization to consent to a specific request. The purpose is to achieve a goal in the form of, for example, financial gain, unauthorized access or service interruption. A social engineering attack is caused by underlying processes and includes a computer-related device for either the social interaction, for the persuasion to consent or for the social engineer's request. The purpose of the thesis was to map security measures against social engineering attacks and thus express the development of the area over time. In other words, the result was expected to express a maturity in the area and contribute with increased insights into how attacks in a timely manner can be tackled in administrative and technical security. A survey was conducted based on a selection based on the three databases; IEEE Xplore Digital Library, Springer Link and DBLP Computer Science Bibliography. Studies were primary and secondary categorized based on a coding process in order to support a narrative analysis. Four primary categories of security measures occurred; modelling, vulnerability assessment, computer systems and (in)direct education. Search strategy and assessment process provided an included data set of a total of 28 studies. Security measures against social manipulation from 2008 were represented by five studies; one proposed modeling, three suggested computer systems and one suggested (in)direct education. Security measures from 2018 were represented by 23 studies; four proposed modeling, two suggested vulnerability assessment; nine proposed computer systems and eight suggested (in)direct education. The coding process also gave rise to secondary categories - all categories were given a dynamic reflection of security measures against social manipulation 2008 versus 2018. Four out of five studies from 2008 defined social manipulation with the absence of theoretical explanations for underlying processes for an attack - and 13 of 23 studies from 2018. The analysis resulted in insights that future research needs to strive for a holistic approach to the underlying processes that cause a social manipulation attack - in this way increased security awareness and resistance to social engineering can be achieved.

Social engineering

social engineering attack

social engineering technique

security measure

information security

Social manipulering

social manipuleringsattack

social manipuleringsteknik

säkerhetsåtgärd

informationssäkerhet

Computer and Information Sciences

Data- och informationsvetenskap