Nulägesanalys och verifiering av autentiseringsmetoder : En studie på ett konsultbolag i nätverksbranschen

Vilhelmsson, Philip, Tallberg, Christer

January 2010

This report is written for a consultant networking company with the purpose to review the development ofthe company's remote connections from a user friendly and security perspective.This includes an investigation of the possibilities to consolidate existing authentication methods foraccessing customers. The problem lies in the amount of methods being used. Through case study wefound that smart cards, SMS-service, software and hardware tokens exist.The only method feasible from a security perspective is smart cards. Since the method is not commonlyused by the company's customers a standardization of it would be counterproductive.Also, the purpose of this report is to investigate how the ongoing internal development of the remoteconnection will affect the company's clients. Within this framework we have also verified a designsuggestion.We interpret, after the completion of the case study, that the internal development of the remoteconnection is marginally affected by legal perspectives. Tests and interviews shows that all of thesolutions are user friendly, but not adequate from a security perspective. With respect to customers'demands we recommend that the company's internal network should be accessed with smart cards. Thisguarantees that only intended authentications are performed. / Rapporten är skriven åt ett nätverksbolag i konsultbranschen. Syftet med rapporten är att se överutvecklingen av företagets distansuppkopplingar ur ett användarvänlighets- och säkerhetsperspektiv.Detta innebär dels att undersöka möjligheterna för att konsolidera förekommande autentiseringsmetodersom används för uppkoppling mot kunder. Problematiken handlar då om att mängdenautentiseringsmetoder för konsulter i dagsläget är svåradministrerad. Genom fallstudie har vi fått reda attsmarta kort, SMS-tjänst, mjuk- och hårdvarutokens figurerar.Den enda metod som är tänkbar ur ett säkerhetsperspektiv är smarta kort. Då metoden inte ärframträdande hos företagets kunder skulle dock en standardisering i dagsläget vara kontraproduktiv.Avsikten med rapporten är också att utreda hur den pågående interna utvecklingen avdistansuppkopplingen påverkar företagets kunder. Vi har inom ramen för detta även verifierat ettdesignförslag.Efter utförd fallstudie tolkar vi att den interna utvecklingen av distansuppkopplingen påverkas marginelltur ett juridiskt perspektiv. Efter tester och intervjuer konstaterar vi att samtliga lösningar äranvändarvänliga men ur säkerhetssynpunkt inte tillräckliga. Med hänseende till kundernas kravbildrekommenderar vi att uppkoppling mot företagets interna nätverk sker med smarta kort. Detta för attkunna garantera att endast avsvedd autentisering utförs.

Autentisering

PKI

certifikat

smarta kort

engångslösenord

Computer Sciences

Datavetenskap (datalogi)

Sjuksköterskors inställning till kort intervention och alkoholscreening

Hedlid, Caroline, Johansson, Malin

January 2010

Inga sammanställda exakta siffror finns idag gällande antal personer med alkoholproblematik i Sverige, uppskattningsvis är siffrorna 300 000. Vad man vet med säkerhet är att allmänsjuksköterskan möter dessa patienter i sitt arbete. Syftet med litteraturstudien var att granska och sammanställa vetenskapliga artiklar om sjuksköterskors inställning till kort intervention och alkoholscreening. Metoden genomfördes som en litteraturstudie baserad på tio kvalitativa och kvantitativa vetenskapliga artiklar som framtagits via Pubmed och Cinahl databaser. Resultatet visar att ökad kunskap, utbildning samt engagerade ledare och en god arbetsmiljö påverkar sjuksköterskans inställning till kort intervention och alkoholscreening. / No compiled exact numbers exist today concerning the quantity of persons with alcoholrelated problems in Sweden, approximately the numbers are 300 000. What we know with certainty is that nurses meet these patients in their work. The aim of this study was to examine and summarize scientific articles regarding nurses` attitudes to brief intervention and alcoholscreening. The method was a literature review based on ten qualitative and quantitative scientific articles which were derived trough Pubmed och Cinahl databases. The results showed that increased knowledge, education and engaged leaders and a good work environment influence nurses´ attitudes to brief intervention and alcoholscreening.

Kort intervention

Alkoholscreening

Inställning

Sjuksköterska

Medical and Health Sciences

Medicin och hälsovetenskap

Smarta Kort : En del av en intelligent IT-lösning i hälso- och sjukvården?

Isaksson, Johanna, Sanne, Therése

January 2006

<p>Background: IT-security is included in the concept of information security, which considers all the security of handling information within an organisation. Good IT-security is about finding the right level of measurement, however, it is hard to implemement new IT-solutions in an organisation, particularly within the health care field, where sensitive information are handled daily. Lately the Swedish government, together with county- and city council, understand the importance of IT and health care. Carelink, an organisation of interest, is working actively for the presumption of benefit by using IT within the health care field. During spring 2006 the Swedish government introduced a national IT-strategy. SITHS, Säker IT inom Hälso- och sjukvården, is a project running by Carelink and is based upon using Smart Cards as an identification. Smart Cards can be used as accesscards for logging on to a computersystem in an organsiation in order to secure an indentity.</p><p>Purpose: The purpose with this thesis is to investigate the assumptions for how Smart Cards, as a part of a total security solution, can increase the ITsecurity within the Healt Care field.</p><p>Method: The study was initiated with literature and suitable references to informationssecurity, Smart Cards and Healthcareinformatic. Our empirical study was carried out at Ryhov Hospital in Jönköping, one of Sweden’s newest hospitals. Both qualitative and quantitative studies were conducted, because we chose to do interviews and surveys. The interviews were conducted in order to get a deeper understanding for the organisation and the survey was made in order to investigate the attitudes among the nurses and doctors about the security of computer use.</p><p>Result: Smart Cards can, according to our studie, increase the IT-security within the Health Care field by creating a safer identification with the use of ITsupport. Smart Cards can also make the process of logging on and off to a computer system easier, which leads to better logging and mobilisation. The study also demonstrates that users are not afraid of the changes a smart card will represent within their organization.</p> / <p>Bakgrund: IT-säkerhet ingår i begreppet informationssäkerhet som avser all säkerhet vid hantering av information inom en organisation. God IT-säkerhet handlar om att hitta rätt nivå med tillhörande åtgärder och nya IT lösningar, men detta är inte enkelt att införa i organisationer och speciellt inte i vården som dagligen hanterar känslig information. Under senare år har regeringen tillsammans med landsting och kommuner fått upp ögonen för vilken nytta IT kan utgöra inom vården. Intresseorganisationen Carelink arbetar aktivt för att skapa förutsättningar att använda IT inom vården, och under våren 2006 har även regeringen presenterat en Nationell IT-strategi. Projektet SITHS, Säker IT inom Hälso- och Sjukvården, drivs av Carelink och bygger på att använda smarta kort som säker identifikation. Korten kan bland annat användas som passerkort och vid inloggning till ett datasystem för att säkerhetsställa en identitet.</p><p>Syfte: Syftet med denna uppsats är att undersöka förutsättningarna för hur smarta kort, som en del av en total säkerhetslösning, kan förbättra IT-säkerheten inom hälso- och sjukvården.</p><p>Metod: Studien påbörjades med en genomgång av lämplig litteratur om informationssäkerhet, smarta kort samt vårdinformatik. Den empiriska studien utfördes sedan på Länssjukhuset Ryhov i Jönköping, som är ett av Sveriges nyaste sjukhus. Här genomfördes både kvalitativa och kvantitativa studier, då vi valde att göra ett antal intervjuer samt en enkätundersökning bland vårdgivarna. Intervjuerna gjordes för att få en djupare förståelse för organisationen, och enkätundersökningen för att undersöka attityderna till dagens datoranvändning samt hur säkerheten kring datoriseringen upplevs bland de anställda.</p><p>Resultat: Enligt studien kan smarta kort förbättra IT-säkerheten inom hälso- och sjukvården genom att skapa en säker identifiering vid användning av ITstöd. Smarta kort kan även bidra till en förenklad in- och utloggningsprocess i ett datorsystem, vilket i sin tur leder till bättre spårbarhet samt ökad mobilitet bland användarna. Undersökningen visar att majoriteten av användarna inte är emot den förändring ett smart kort kan bidra till, utan snarare tvärt om.</p>

Smart Cards

Information security

IT-security

IT-strategy

Smarta kort

Aktiva kort

Informationssäkerhet

Nationell IT-strategi

Informatics

Informatik

Smarta Kort : En del av en intelligent IT-lösning i hälso- och sjukvården?

Isaksson, Johanna, Sanne, Therése

January 2006

Background: IT-security is included in the concept of information security, which considers all the security of handling information within an organisation. Good IT-security is about finding the right level of measurement, however, it is hard to implemement new IT-solutions in an organisation, particularly within the health care field, where sensitive information are handled daily. Lately the Swedish government, together with county- and city council, understand the importance of IT and health care. Carelink, an organisation of interest, is working actively for the presumption of benefit by using IT within the health care field. During spring 2006 the Swedish government introduced a national IT-strategy. SITHS, Säker IT inom Hälso- och sjukvården, is a project running by Carelink and is based upon using Smart Cards as an identification. Smart Cards can be used as accesscards for logging on to a computersystem in an organsiation in order to secure an indentity. Purpose: The purpose with this thesis is to investigate the assumptions for how Smart Cards, as a part of a total security solution, can increase the ITsecurity within the Healt Care field. Method: The study was initiated with literature and suitable references to informationssecurity, Smart Cards and Healthcareinformatic. Our empirical study was carried out at Ryhov Hospital in Jönköping, one of Sweden’s newest hospitals. Both qualitative and quantitative studies were conducted, because we chose to do interviews and surveys. The interviews were conducted in order to get a deeper understanding for the organisation and the survey was made in order to investigate the attitudes among the nurses and doctors about the security of computer use. Result: Smart Cards can, according to our studie, increase the IT-security within the Health Care field by creating a safer identification with the use of ITsupport. Smart Cards can also make the process of logging on and off to a computer system easier, which leads to better logging and mobilisation. The study also demonstrates that users are not afraid of the changes a smart card will represent within their organization. / Bakgrund: IT-säkerhet ingår i begreppet informationssäkerhet som avser all säkerhet vid hantering av information inom en organisation. God IT-säkerhet handlar om att hitta rätt nivå med tillhörande åtgärder och nya IT lösningar, men detta är inte enkelt att införa i organisationer och speciellt inte i vården som dagligen hanterar känslig information. Under senare år har regeringen tillsammans med landsting och kommuner fått upp ögonen för vilken nytta IT kan utgöra inom vården. Intresseorganisationen Carelink arbetar aktivt för att skapa förutsättningar att använda IT inom vården, och under våren 2006 har även regeringen presenterat en Nationell IT-strategi. Projektet SITHS, Säker IT inom Hälso- och Sjukvården, drivs av Carelink och bygger på att använda smarta kort som säker identifikation. Korten kan bland annat användas som passerkort och vid inloggning till ett datasystem för att säkerhetsställa en identitet. Syfte: Syftet med denna uppsats är att undersöka förutsättningarna för hur smarta kort, som en del av en total säkerhetslösning, kan förbättra IT-säkerheten inom hälso- och sjukvården. Metod: Studien påbörjades med en genomgång av lämplig litteratur om informationssäkerhet, smarta kort samt vårdinformatik. Den empiriska studien utfördes sedan på Länssjukhuset Ryhov i Jönköping, som är ett av Sveriges nyaste sjukhus. Här genomfördes både kvalitativa och kvantitativa studier, då vi valde att göra ett antal intervjuer samt en enkätundersökning bland vårdgivarna. Intervjuerna gjordes för att få en djupare förståelse för organisationen, och enkätundersökningen för att undersöka attityderna till dagens datoranvändning samt hur säkerheten kring datoriseringen upplevs bland de anställda. Resultat: Enligt studien kan smarta kort förbättra IT-säkerheten inom hälso- och sjukvården genom att skapa en säker identifiering vid användning av ITstöd. Smarta kort kan även bidra till en förenklad in- och utloggningsprocess i ett datorsystem, vilket i sin tur leder till bättre spårbarhet samt ökad mobilitet bland användarna. Undersökningen visar att majoriteten av användarna inte är emot den förändring ett smart kort kan bidra till, utan snarare tvärt om.

Smart Cards

Information security

IT-security

IT-strategy

Smarta kort

Aktiva kort

Informationssäkerhet

Nationell IT-strategi

Information Systems

Security of NFC applications

Pham, Thi Van Anh

January 2013

Near Field Communication (NFC) refers to a communication technology that enables an effortless connection and data transfers between two devices by putting them in a close proximity. Besides contactless payment and ticketing applications, which were the original key drivers of this technology, a large number of novel use cases can benefit from this rapidly developing technology, as has been illustrated in various NFC-enabled application proposals and pilot trials. Typical NFC-enabled systems combine NFC tags, NFC-enabled mobile phones, and online servers. This thesis explores the trust relationships, security requirements, and security protocol design in these complex systems. We study how to apply the security features of different types of NFC tags to secure NFC applications. We first examine potential weaknesses and problems in some novel use cases where NFC can be employed. Thereafter, we analyze the requirements and propose our system design to secure each use case. In addition, we developed proof-of-concept implementations for two of our proposed protocols: an NFCenabled security-guard monitoring system and an NFC-enabled restaurant menu. For the former use case, we also formally verified our proposed security protocol.  Our analysis shows that among the discussed tags, the NFC tags based on secure memory cards have the least capability and flexibility. Their built-in three-pass mutual authentication can be used to prove the freshness of the event when the tag is tapped. The programmable contactless smart cards are more flexible because they can be programmed to implement new security protocols. In addition, they are able to keep track of a sequence number and can be used in systems that do not require application-specific software on the mobile phone. The sequence number enforces the order of events, thus providing a certain level of replay prevention. The most powerful type of tag is the emulated card since it provides a clock, greater computational capacity, and possibly its own Internet connection, naturally at higher cost of deployment. / Near Field Communication (NFC) hänvisar till en kommunikationsteknik som möjliggör en enkel anslutning och dataöverföring mellan två enheter genom att sätta dem i en närhet. Förutom kontaktlös betalning och biljetthantering ansökningar, vilket var den ursprungliga viktiga drivkrafter för denna teknik, kan ett stort antal nya användningsfall dra nytta av denna snabbt växande teknik, som har visats i olika NFC-aktiverade program förslag och pilotförsök. Typiska NFC-applikationer kombinerar NFC-taggar, NFC-kompatibla mobiltelefoner och online-servrar. Denna avhandling utforskar förtroenderelationer, säkerhetskrav och säkerhetsprotokoll utformning i dessa komplexa system. Vi studerar hur man kan tillämpa de säkerhetsfunktioner för olika typer av NFC-taggar för att säkra NFC-applikationer. Vi undersöker först potentiella svagheter och problem i vissa nya användningsfall där NFC kan användas.  Därefter analyserar vi de krav och föreslå vårt system design för att säkra varje användningsfall. Dessutom utvecklade vi proof-of-concept implementationer för två av våra föreslagna protokoll: en NFC-aktiverad säkerhet-guard övervakningssystem och en NFC-aktiverad restaurang meny. Dessutom, för fd bruk fallet, kontrollerade vi formellt vår föreslagna säkerhetsprotokoll. Vår analys visar att bland de diskuterade taggar, NFC taggar som baseras på säkra minneskort har minst kapacitet och dlexibilitet. Deras inbyggda trepass ömsesidig autentisering kan användas för att bevisa färskhet av händelsen när taggen tappas. De programmerbara beröringsfria smarta kort är mer flexibla eftersom de kan programmeras för att genomföra nya säkerhetsprotokoll.  Dessutom kan de hålla reda på ett löpnummer och kan användas i system som inte kräver ansökan-specik mjukvara på mobiltelefonen. Sekvensnumret framtvingar ordning av händelser, vilket ger en viss nivå av replay förebyggande. Den mest kraftfulla typen av taggen är den emulerade kortet eftersom det ger en klocka, större beräkningskapacitet, och möjligen sin egen Internet-anslutning, naturligtvis till högre kostnad för utplacering.

NFC

security protocol

DESFire

Java card

card emulation

restaurant

vending machine

class attendance

security guard

NFC

säkerhetsprotokoll

DESFire

Java kort

kort emulering

restaurang

varuautomat

säkerhetsvakt

Communication Systems

Kommunikationssystem

Den korta mötet i vården : Litteraturstudie med tonvikt på mötet med röntgensjuksköterskan

Jovicic, Senka

January 2010

<p>Bakgrund: Tidigare forskning visar att röntgensjuksköterskor som gör patienterna delaktiga genom att tillhandahålla information gör det möjligt för patienterna att förstå och själv ta aktiv roll i sin undersökning vilket leder till mindre oro. Med kunskaper och erfarenheter kunde röntgensjuksköterskorna stödja patienterna i samband med undersökningen vilket skapade förtroende och säkerställde trygg atmosfär. Dock kunde sjuksköterskorna även visa brist på känslomässigt engagemang samt bristande förmåga att kommunicera när de var upptagen med praktiska arbetsuppgifter.</p><p>Syfte: Syftet med studien var att beskriva patientens upplevelse av det korta mötet inom vården, med tanken att finna överförbarhet till möte med en röntgensjuksköterska.</p><p>Metod: Litteraturstudie med en kvalitativ ansats och med en kvalitativ innehållsanalys. Studien inkluderade tio vetenskapliga artiklar, som beskriver möten med vården på röntgen, akut- och operationsavdelning.</p><p>Resultat: Resultatet speglar patienternas upplevelser av korta möten, med tonvikten lagd på möten med röntgensjuksköterskor. I resultatet kan referens till källmaterial och dess kontext, såsom röntgen-, akut- och operationsavdelning, utläsas. Dataanalysen resulterade tre huvudkategorier: <em>att bli bekräftad</em>, <em>att uppleva</em> <em>trygghet</em> och <em>att känna</em> <em>maktlöshet</em>. I kategorierna finns totalt sju subkategorier inkluderade. Patienterna kände sig respekterade och bekräftade som individer när sjuksköterskan lyssnade på dem samt tog deras klagomål och önskemål på allvar. Patienterna upplevde trygghet när sjuksköterskan uttryckte intresse och gav dem relevant information. Patienterna upplevde däremot maktlöshet när det var svårt att få kontakt med sjuksköterskan samt göra sina åsikter hörda.</p><p>Slutsats: Studiens resultat visar att patienternas upplevelser av korta möten med röntgensjuksköterskor är allmängiltiga i den bemärkelsen att de kan sägas gälla för verksamheter såsom röntgen-, akut- och operationsavdelning. Dock är det viktigt att poängtera att varje möte med en patient är unikt, vilket innebär att varje patient ska bemötas på ett sätt som skapar förutsättningar för ett välbefinnande.</p>

Bemötande

kort möte

möte

omvårdnad

radiologisk avdelning

röntgen

röntgensjuksköterska

upplevelse

Radiological research

Radiologisk forskning

Exempel på användning av LabVIEW vid : mätning, reglering och signalbehandling

Kadic, Safet, Kazazic, Alen, Mustafa, Florim

January 2006

Arbetet handlar om hur man med hjälp av LabVIEW 8.0 kan lösa olika uppgifter. Uppgifterna löses med hjälp av ett DAQ-kort. DAQ-kortet gör det möjligt att mata in signaler, som sedan behandlas efter behov i programmet och därefter skickas ut genom DAQ- kortet till olika komponenter som man vill styra. DAQ-kortet klarar att behandla både analoga och digitala signaler. LabVIEW 8.0 och dess historia, DAQ-kortet samt de olika processerna/uppgifter beskrivs mer utförligt i arbetet.

LabVIEW

DAQ-kort

PID- regulator

AC/DC spänning.

Electrical engineering

Elektroteknik

Ett riskfyllt arbete : Sjuksköterskans hälsofrämjande arbete gällande individer med ett riskbruk av alkohol / A risky business : The nurses’ health promotion work with regards to individuals with a hazardous use of alcohol

Turley, Gemma, Andersson, Kia

January 2011

Riskbruk av alkohol är ett stort problem i dagens samhälle. Sjuksköterskan beskrivs ha goda möjligheter att upptäcka och behandla riskbruk av alkohol i det dagliga arbetet. Studier tyder på att korta interventioner är av stor nytta till sjuksköterskan i sitt hälsofrämjande arbete. Dock visar forskningen att sjuksköterskans aktivitet inom detta område måste utvecklas och att det finns många faktorer som kan påverka uppgiften. Syftet med arbetet var att belysa faktorer som påverkar sjuksköterskans hälsofrämjande arbete gällande individer med ett riskbruk av alkohol. Arbetet utfördes som en litteraturstudie där 13 vetenskapliga artiklar valdes ut, granskades, analyserades samt kodades för att finna påverkande faktorer. De mest återkommande faktorerna som framkom delades in i fyra kategorier. Dessa var sjuksköterskans uppfattning om sin roll, utbildning och kunskap gällande riskbruk av alkohol, organisationens roll och motivationens betydelse samt sjuksköterskans känslor och attityder inför individer med riskbruk av alkohol. Osäkerhet vad det gäller tillvägagångssättet av korta interventioner och dess effektivitet beskrevs av sjuksköterskor i flertalet studier. Rädsla för att utlösa negativa reaktioner hos patienten samt den höga arbetsbelastningen har visat sig vara stora barriärer till utförandet av korta interventioner. Tydliggörandet av sjuksköterskans roll samt mer utbildning inom ämnet behövs för att öka aktiviteten inom området. Vidare forskning bör fokusera på sjukhusmiljö och fler kvalitativa studier behövs för att få en djupare förståelse för svårigheterna att implementera korta interventioner. / Hazardous use of alcohol is a large problem in today’s society. The nurse is described as having good opportunities to detect and treat hazardous use of alcohol in their daily work. Studies show that brief interventions are of great use to the nurse in their health promotion work. However, research shows that the nurses' activity in this area must be improved and that there are many factors that can affect this task. The purpose of this study was to illustrate factors that affect the nurses' health promotion work with regards to individuals with a hazardous use of alcohol. The work was carried out as a literature study where 13 scientific articles were selected, examined, analyzed and coded in order to find important factors. The most recurring factors that arose were divided into four categories. These were the nurses' perception of their role, education and knowledge about hazardous alcohol use, the organization’s role and the importance of motivation and the nurses’ feelings and attitudes towards individuals with hazardous alcohol use. Uncertainty about the approach to use with regards to brief interventions and their efficiency was described by nurses in several studies. Fear of triggering negative reactions in the patient and even the high workload has proved to be large barriers in carrying out brief interventions. Clarification of the nurses' role and more education on the subject is needed in order to increase the activity in the area. Further research should focus on the hospital environment and more qualitative studies are needed in order to get a deeper understanding of the difficulties in implementing brief interventions.

Alcohol

Brief intervention

Hazardous use

Health promotion

Screening

Alkohol

Hälsopromotion

Kort intervention

Riskbruk

Screening

PKI och smarta kort : Internets framtida säkerhet?

Johansson, Sara

January 2001

<p>Användningen av Internet och antalet nya tjänster ökar mer och mer. Internet är ett öppet system och för att Internet i högre utsträckning skall kunna användas även vid hantering av hemlig information krävs bättre säkerhet.</p><p>I detta examensarbete undersöks om PKI och smarta kort kan vara en säkerhetslösning som kommer att vara ledande om tio år för säker identifiering, kryptering och signering på Internet.</p><p>För att sätta in problemområdet i ett vidare perspektiv ges inledningsvis en övergripande bild av dagens informationssamhälle. Det ges även en grundläggande förklaring av viktiga begrepp för ökad förståelsen av rapportinnehållet. I rapporten redovisas även tillvägagångssättet för att samla in material, vilket har utgjorts av telefonintervjuer och dokumentstudier.</p><p>Resultatet visar att PKI och smarta kort med stor sannolikhet kommer att användas i framtiden för säkrare informationshantering på Internet. I resultatet sammanfattas även några av de visioner och problem som anses finnas inom ämnesområde.</p>

PKI

Smarta kort

Elektroniska signaturer

Elektronisk identifiering

Kryptering

Computer and systems science

Data- och systemvetenskap

Exempel på användning av LabVIEW vid : mätning, reglering och signalbehandling

Kadic, Safet, Kazazic, Alen, Mustafa, Florim

January 2006

<p>Arbetet handlar om hur man med hjälp av LabVIEW 8.0 kan lösa olika uppgifter. Uppgifterna löses med hjälp av ett DAQ-kort. DAQ-kortet gör det möjligt att mata in signaler, som sedan behandlas efter behov i programmet och därefter skickas ut genom DAQ- kortet till olika komponenter som man vill styra. DAQ-kortet klarar att behandla både analoga och digitala signaler. LabVIEW 8.0 och dess historia, DAQ-kortet samt de olika processerna/uppgifter beskrivs mer utförligt i arbetet.</p>

LabVIEW

DAQ-kort

PID- regulator

AC/DC spänning.

Electrical engineering

Elektroteknik