Standardisering av informationssäkerhet : Hur påverkar ett ledningssystem organisationen? En fallstudie hos ett svenskt SME

Brännlund, Jenny

January 2020

Vi befinner oss idag i informationseran och i denna tidsålder ökar både tillgängligheten och riskerna med teknologin och den data den hanterar. Organisationer av alla typer och branscher står inför samma utmaning, att skydda deras verksamhetskritiska data från illvilliga aktörer. Genom att införa ett standardiserat arbetssätt för informationssäkerhet kan många risker minimeras för organisationer av alla storlekar. Denna studie ämnar beskriva hur en certifiering mot en internationell standard för informationssäkerhet leder till förändring av organisationen och ledningssystemet hos ett svenskt SMF (små och medelstora företag) inom IT-sektorn. Studien genomförs med en enskild fallstudie med en kvalitativ metodologi, datainsamling och analys. Teori för informationssäkerhet, risker, kontroller och standardisering står som grund för undersökningen och empirin ställd mot den i analysen. Studiens slutsatser är att det sker en viss förändring av organisationen vid införandet av en standard och ett ledningssystem. Det införlivas ett säkerhetstänk i alla processer och rutiner i verksamheten. Studien framför även vikten av att ett ledningssystem för informationssäkerhet är anpassat efter och införlivat i organisationen. Efterlevnaden av systemet är centralt eftersom om det inte efterlevs så är investeringen bortkastad och förändringen oväsentlig. Övergripande syn på fallstudieobjektets inställning till standardiserad informationssäkerhet är positiv.

informationssäkerhet

IT-säkerhet

ledningssystem

ISO/IEC 27001

standardisering

certifiering

Information Systems

En inblick över organisationers informationssäkerhet : En kvalitativ studie inom Gävleborg

Pourhosseini, Altay, Habtemariam, Alem Joel

January 2020

Syftet med studien var att få en inblick i informationssäkerhet hos organisationer inom Gävleborg och kunna jämföra hur privata och offentliga sektorn arbetar. En kvalitativ studie utfördes för att samla in data från organisationer i Gävleborg. Fem respondenter deltog i semistrukturerade intervjuer. Intervjuerna var på distans och genomfördes med hjälp av videokonferens-tjänster via nätet. Alla organisationer i studien följer ett antal lagar, regler och direktiv vid hantering av information. Det finns en skillnad i vad den privata sektorn behöver följa gentemot den offentliga sektorn. För att upprätthålla informationssäkerheten deltar alla medarbetare inom organisationerna i någon form av utbildning. Informationsklassificeringen sker på olika sätt inom organisationerna

Informationssäkerhet

Datasäkerhet

IT-säkerhet

CIA

Digitala tjänster

Medvetenhet

Säkerhetsrisker

Computer Systems

Datorsystem

Automatiserade säkerhetstester för identity provider

Lundqvist, Sanna

January 2020

En identity provider är en del av ett system, eller tjänst, som lagrar och hanterar information om användares identiteter och autentiserar användare åt andra applikationer. Tjänsten har möjlighet att logga in användare utan att inloggningsuppgifter behöver skickas mellan de olika parterna över Internet. Detta möjliggörs bland annat tack vare användandet av ramverket IdentityServer4 och protokollen Web Services Federation och OAuth 2.0. Arbetet fokuserar på vilka olika automatiserade säkerhetstester som en identity provider (IdP) bör genomföra för att inte av misstag introducera säkerhetsrisker under uppdateringar hos tjänsten. Detta genomförs genom att först samla de attacker som tjänsten riskerar att bli utsatt för. Exempelvis finns risken att bli utsatt för Server-Side Request Forgery på grund av hur protokollen är utformade. Därefter införs säkerhetstester hos en IdP som hanterar exempel från de redovisade attackerna. Detta görs genom färdiga verktyg och genom manuella säkerhetstester av IdPn. Resultatet av detta är att en del befintliga risker kunde upptäckas genom de färdiga verktygen. Även genom de manuella testerna kunde risker hittas. Samtliga risker åtgärdades utifrån resultaten. Dock är det mycket tids- och resurskrävande att hindra en stor del av samtliga säkerhetsrisker med hjälp av automatiserade säkerhetstester.

IT-säkerhet

identity provider

automatiserade säkerhetstester

attacker

Computer Sciences

Datavetenskap (datalogi)

Design and implementation of a non-aggressive automated penetration testing tool : An approach to automated penetration testing focusing on stability and integrity for usage in production environments

Viggiani, Fabio

January 2013

The focus of this Master’s thesis project is automated penetration testing. A penetration test is a practice used by security professionals to assess the security of a system. This process consists of attacking the system in order to reveal flaws.  Automating the process of penetration testing brings some advantages, the main advantage being reduced costs in terms of time and human resources needed to perform the test. Although there exist a number of automated tools to perform the required procedures, many security professionals prefer manual testing. The main reason for this choice is that standard automated tools make use of techniques that might compromise the stability and integrity of the system under test. This is usually not acceptable since the majority of penetration tests are performed in an operating environment with high availability requirements. The goal of this thesis is to introduce a different approach to penetration testing automation that aims to achieve useful test results without the use of techniques that could damage the system under test. By investigating the procedures, challenges, and considerations that are part of the daily work of a professional penetration tester, a tool was designed and implemented to automate this new process of non-aggressive testing. The outcome of this thesis project reveals that this tool is able to provide the same results as standard automated penetration testing procedures. However, in order for the tool to completely avoid using unsafe techniques, (limited) initial access to the system under test is needed. / Det här examensarbete fokuserar i automatiserade penetrationstester.  Penetrationstester används av säkerhetsspecialister för att bedöma säkerheten i ett system. Processen av ett penetrationstest består av olika attacker mot ett system för att hitta säkerhetshål. Automatiserade penetrationstester har fördelar som faktumet att det kostar mindre i tid och i mänskliga resurser som krävs. Trots att det finns många olika automatiserade verktyg för penetrationstestning, väljer många säkerhetsspecialister att göra det manuellt. Den största anledningen till att det görs manuellt är för att automatiserade verktygen använder sig av tekniker som kan kompromissa systemets stabilitet samt integritet. Det tillåts ofta inte, eftersom majoriteten av penetrationstesterna utförs i produktionsmiljöer som kräver hög tillgänglighet. Målet för det här examensarbetet är att introducera ett nytt tillvägagångssätt för automatiserad penetrationstestning, som inriktar sig på att ta fram användbara resultat utan tekniker som kan störa system under drift. Genom att undersöka procedurerna, utmaningarna samt vad som en penetrationstestare tar hänsyn till kommer ett verktyg designas och implementeras för att automatisera flödet av ett icke-aggressivt test. Resultatet av examensarbetet visar på att verktyget utvecklat kan uppnå samma resultat som de standardiserade penetrations-procedurerna givet begränsad tillgång till systemet.

Penetration testing

automation

production environment

IT security

penetrationstester

automatiserade

produktionsmiljö

IT säkerhet

Communication Systems

Kommunikationssystem

JackTheRidder: Idiotiskt eller en snilleblixt? : -Kryptering som kombinerar Collatz Conjecture med Caesarchiffer

Skog, Jack, Strandridder, Cajza

January 2022

Caesarcipher is a commonly known encryption method although it is known for being unsure, even long before computers were invented. Even though it is unsure it can still be used for cryptography, JackTheRidder consists of two main algorithms where one of them is based on the Caesarcipher. With many rotations of Caesarciphers on different parts of texts, like many Vigenerecryptos of different sizes overlapping each other, makes the encryption secure. The other main algorithm of JackTheRidder is based on the Collatz Conejcture, which is a famous unsolved mathematical problem. This algorithm counts the amount of steps it takes before the chosen number reaches 1 and then moves the letter with those steps which results in the encryption. The amount of steps is a result from a positive integer going through Collatz Conjecture, which divides the integer if its even and uses (3𝑥+1)/2 if the integer is odd. The algorithm then moves to the next character to encrypt and adds one to the integer used. JackTheRidder is an encryption method created by the authors of this project and further will be analyzed in this essay. The focus of this essay is to analyze how Collatz Conjecture and Caesarcipher functions in encryption methods. JackTheRidder is going to be examined through literature study and experiments. There are three criterias that JackTheRidder is going to be analyzed from; security, robustness and efficiency. The results indicate that JackTheRidder needs to be optimized and be written in machine code for it to be able to get better implemented in society. JackTheRidder is proven to be better than AES in the chi2 test which is an indicator that it might be a viable option for replacement. Overall in the experiments, JackTheRidder held a high level which is a positive outcome but still it is not guaranteed to be secure enough to be implemented into the society at this stage of developement.

Kryptering

kryptoanalys

krypteringsmetod

JackTheRidder

frekvensanalys

IT-forensik

IT-säkerhet

krypteringsalgoritmer

nyckelgenerering

Embedded Systems

Inbäddad systemteknik

Säkerhetsmedvetenhet och onlinetjänster : Privatpersoners förhållande till säkerhetslösningar

Silver, John, Blom, Martin

January 2022

I detta arbete har det undersökts om vilka åtgärder som är möjliga och rimliga för en privatperson att vidta för att säkra de onlinetjänster som de använder sig av i vardagen. Fortsättningsvis undersökt hur säkerhetsmedvetna individer faktiskt är, när det kommer till dessa onlinetjänster. En litteraturstudie kom fram till att enklare åtgärder likt lösenordshanterare och tvåfaktorsautentisering är enkla och effektiva åtgärder för en privatperson i syfte att skydda deras onlinetjänster. Via en enkätstudie kunde slutsatsen dras att mindre än hälften av svaren visar på ett säkerhetsmedvetet beteende vilket skulle kunna innebära en öppning för olika typer av IT-incidenter. Samtidigt går det att se ett positivt samband mellan säkerhetsmedvetna val och den respondentens upplevda säkerhetsmedvetenhet och IT-kompetens, vilket indikerar på att utbildning och information har en positiv inverkan på säkerhetsmedvetenheten kring onlinetjänster och de åtgärder som kan vidtas för att skydda dessa.

Säkerhetsåtgärder

onlinetjänster

IT-säkerhet

IT-hygien

Övrig annan teknik

Säkerhet av internetbaserade-röstningssystem

Lantz, Johan

January 2022

Kan ett e-röstningssystem som tillåter röstning i okontrollerad miljö över internet vara säkertnog för att användas i en såpass viktig process som den svenska valprocessen? För att besvaradenna fråga har tidigare undersökningar och användning av elektronisk röstning utförts. Denteori som används är grundad i Europarådets rekommendationer för säkerhet av e-röstning,Estlands användning av e-röstning samt IT-säkerhet och risker. För att besvarafrågeställningen används teoretiska krav på vad ett system ska uppnå för att kunna anses somsäkert. För att undersöka denna fråga utfördes intervjuer med personer som har erfarenhetinom IT-säkerhet och valprocessen, där teorin var grunden för intervjufrågorna. Empirinanalyserades utifrån de krav som ställs för att en digital resurs ska kunna ses som säker, samtundersöktes ur perspektivet av befolkningens tillit till systemet. Dessutom jämfördes riskernainvolverade med e-röstning med risker som är relevanta i dagens analoga valprocess.Slutsatsen som kan dras utifrån analysen är att man kan uppfylla de tekniska krav för säkerhetför att nå en liknande säkerhetsnivå som dagens valprocess uppnår, men att potentiellaförändringar i valprocessens grunder skulle krävas för att implementera e-röstning.

E-röstning

IT-säkerhet

Elektroniska valsystem

Systemförtroende

Information Systems, Social aspects

Säkerhetsarbete under distansarbete : Faktorer som kan påverka säkerheten under distansarbete / Security during remote work : Factors that may affect the security during remote work

Ryttare, Elin

January 2021

COVID-19 pandemin har tvingat många organisationer att implementera en digital arbetsmiljö och börja arbeta på distans. Anställda inom IT som behöver samarbeta för att uppnå företagets mål, behöver spendera mycket tid på att kommunicera genom digitala kanaler där det kan dröja att få svar jämfört med ansikte-mot-ansikte. Med distansarbete har en mängd utmaningar medföljt med att säkra de anställdas personliga nätverk och hemmakontor för att kunna utföra sina arbetsuppgifter lika bra hemifrån som på kontoret. Studiens syfte var att analysera skillnaderna mellan säkerheten när arbetet sker på distans jämfört med på kontoret. Skillnaderna har analyserats och några utmaningar med säkerheten under distansarbete har presenterats. Utifrån de presenterade utmaningarna, gavs förslag på hur IT-företag skulle kunna arbeta för att säkra deras arbete även under distansarbete. Studien fokuserar på dataintrång och informationsläckor. En kvalitativ forskningsmetod har använts med semi-strukturerade intervjuer som samlades in på ett ledande företag inom IT-branschen. Genom att använda CIA- triaden som fokuserar på konfidentialitet, integritet och tillgänglighet, analyserades företagets säkerhetsarbete och förslag kunde presenteras utifrån resultatet. En analys genomfördes utifrån det empiriska resultatet från intervjuerna där den empirisk datan analyserades och därefter jämfördes med den insamlade litteraturen från litteraturstudien. Diskussionen presenterade några stora utmaningar för IT-företag under distansarbete. Därefter gavs två förslag på hur IT-företag kan arbeta med och vad de behöver tänka på angående säkerheten, baserat på litteratur och empiriska data. Studien avslutas med förslag på fortsatt forskning som relaterar till områden i den här studien, som kan fördjupa området ytterligare. / The COVID-19 pandemic has forced many organizations to implement a digital work environment and start working from home. Employees, who may have to collaborate to reach their goals will have to put in extra time to communicate through digital channels instead of face-to-face. With the remote work came a lot of challenges with securing the employees personal networks and personal offices so they can perform their work as well from home as from their office. The purpose of this thesis was to analyze the differences between the work with security while working remote compared to in their office. The differences were analyzed, and some challenges were presented. With the presented challenges, some suggestions about how companies in IT can work to secure their work even during remote work. This paper only focuses on security breaches and information leaks. A qualitative study was conducted by using semi-structured interviews. The interviews were conducted on a leading company in the IT-industry. By using the theoretical framework CIA-triad, the security work by the interviewed company could be analyzed and suggestions could be given from the results. An analysis was made on the empirical result from the interviews with comparison to the conducted literature from previous chapters. The analysis showed how the literature were implemented and interpreted at a real company. The discussion was based on the analysis and big challenges for IT-companies during the remote work were presented. Furthermore, the conclusion presented two suggestions for IT-companies to work with and think about to improve their security, based on the literature and empirical data. The thesis end with suggestions of future work that relates to this subject and can be interesting to see results in those areas.

Remote work

IT-security

CIA-triad

IT-säkerhet

CIA-triad

distansarbete

Information Systems

Är vårt data säkrat? : Påverkan av personliga data vid användning av sökmotorer / Is our data secured? : Influence of personal data when using search engines

Podobedov, Örjan, Nilsson, Henrik

January 2020

Huvudmålet med detta projekt har varit att analysera området för personlig integritet vid användning av sökmotorer. Uppsatsen ger en inblick i hur sökmotorerna fungerar och visar vilka personliga data som samlas vid sökningar samt hur det påverkar sökresultat. Undersökningen bygger på tidigare forskning kring sökmotorer, användardata och begreppet ”integritet”. Metod och problembeskrivning utgår ifrån detta. För att kunna svara på forskningsfrågorna har vi skapat testfall och genomfört experiment mot tre sökmotorer i tre olika webbläsare. Vi har jämfört sökmotorernas säkerhets,- och integritetspolitik samt undersökt hur dessa påverkar sökresultatet för varje enskild sökmotor. Resultatet presenteras i form av grafer och diagram där testfall har analyserats mot varandra. Analysen av experimentet resulterar i riktlinjer för en mer privatvänlig och säker sökmotor.

personlig integritet

personliga data

anonymitet på nätet

integritetsbehandling

sökmotor

datahantering

stickprov

IT-säkerhet

Software Engineering

Programvaruteknik

"Det är inte vi som är måltavla" : En studie av hur IT-attacken som drabbade Coop framställs i den svenska debatten

Galyas, Viktoria

January 2021

Sweden is one of the world's most digitized countries but falls behind when it comes to ITand cybersecurity. When we are so dependent on digital solutions and security is far behind, it leaves us with a vulnerable society. This thesis studies Coop, a grocery store, in Sweden that was affected by an IT-attack in the summer of 2021. The purpose is to understand how IT- and cybersecurity is described in the debate surrounding the incident. The theoretical framework used in this study is the securitization theory by Buzan et. al. To answer the research question of what type of security problem the IT-attack is described as in the Swedish debate, a discourse analysis is made. The material for this study is both news articles from the four largest nationwide newspapers and press releases from Coop and the Swedish government. The analysis shows that the IT-attack is described as two different kinds of security problems. In the beginning of the crisis, it is described as a problem for companies, but as the discorus evolves it starts to shift to be described as more of a problem for society as a whole. This thesis contribution is to show how the IT-attack that affected Coop is described and formed in the discourse. Henceforth it also shows the complexity of responsibility of ITand cybersecurity issues.

Coop

säkerhetsproblem

IT-säkerhet

cybersäkerhet

IT-attack

hot

diskurs

ansvar

säkerhetiseringsteorin

Political Science

Statsvetenskap