Framtagning av en informationssäkerhetspolicy

Nordström, Roger

January 2005

This report was made for the company HordaGruppen AB to investigate how information security was handled. This report fits in the Master program of Internet Technology at School of Engineering in Jönköping University in Sweden. The question at issue was how you protect your information against different threats. One question was how to make an information security policy and which guidelines you can follow in the Swedish Standard, SS-ISO/IEC 17799:2000. Another question was to investigate the information sources at the company and which threats there are against it. The work begins with a presentation about information security for the chief of information and the chief of quality in the company. The next thing was to do a survey of as thing are at present with a tool from Länsteknikcentrum called “Infosäkpulsen”. After the analysis was made of the survey, two reports were present with action plan for better information security for the company. The most important measures were of administrative kind and consist of a risk analysis of information resources and to make an information security policy with instructions for the users. The risk analysis was made with the tool BITS from Krisberedskapsmyndigheten and the consequence was that base level for IT-security was enough for the company. To fulfil the demand from the analyses so was an information security policy made and after that so create we information security instructions for the different kind of user group. One instruction was for ordinary users and the other was for management users. Besides the part with policy and instructions so recommend the company to initiate incident management and register all kind of changes in their IT-system. For further research it suggests to investigate how different standards can integrate to be only one standard that fulfils the goals in quality, environment and security standard / Rapporten var gjord som examensarbete på HordaGruppen AB och ingår i Breddmagisterprogrammet i Internetteknik på Ingenjörshögskolan i Jönköping. Problemställningen som rapporten handlar om är hur man skyddar företagets information mot olika sorters hot. Frågeställningen var dels hur man tar fram en informationssäkerhetspolicy och vilka riktlinjer det finns i svensk standard för informationssäkerhet. Frågeställningen skulle också ta reda på företagets informationstillgångar och vilka hot det fanns mot dessa. Arbetets inleds med en presentation på företaget om informationssäkerhet för Kvalitetschefen och IT-ansvarig. Därefter görs en nulägesanalys över informationssäkerheten med hjälp av verktyget Infosäkpulsen, en enkätundersökning från Länsteknikcentrum i Jönköping AB. Efter att svaren samlats in så sammanställdes en åtgärdsrapport och presenterades för företaget. De åtgärder som ansågs mest aktuella var av det administrativa slaget och bestod i att riskanalysera informationstillgångarna och att ta fram en informationssäkerhetspolicy med anvisningar för användarna. Riskanalysen gjordes med verktyget BITS från Krisberedskapsmyndigheten och resulterade i att basnivå för it säkerhet räckte överlag för företaget. För att uppfylla kraven från analyserna så togs en informationssäkerhetspolicy fram och därefter skapades informationssäkerhetsanvisningar till användare och till drift och förvaltning för att kunna uppfölja policyn. Förutom att följa policyn och anvisningarna så rekommenderas företaget att införa incidenthantering och öka spårbarheten genom att dokumentera vilka ändringar som görs i IT-systemen. Ett uppslag för fortsatt arbete skulle kunna vara att integrera de olika standarderna till en anvisning som uppfyller målen för både kvalitet, miljön och säkerheten.

Datasäkerhet

Informationssäkerhet

IT-policy

Riskanalys

Svensk Standard SS-ISO/IEC 17799

Policy

ITIL

LIS

Information Systems

Hur militär operativ effekt uppnås med flygsäkerhet

Törestrand, Torgny

January 2020

No description available.

flygsäkerhet

flexibilitet

risk

riskhantering

riskanalys

operativ effekt

Flygvapnet

luftstridskrafter

flygstridskrafter

Övrig annan samhällsvetenskap

Riskfördelning i implementeringen av ERTMS i Sverige / Risk Allocation in the Implementation of ERTMS in Sweden

Mogefors, Daniel

January 2013

Implementeringen av trafikstyrningssystemet European Rail Traffic Management System (ERTMS), som för närvarande det största infrastrukturprojektet i Sverige, kommer successivt att ersätta det nuvarande systemet Automatic Train Control (ATC) fram till 2035. På grund av Sveriges nyligen slutförda avreglering av järnvägsmarknaden är de viktigaste aktörerna i implementationsprocessen de aktörer som ansvarar för tågen (tågoperatörerna) och den som ansvarar för infrastrukturen (Trafikverket). Arbetet är utfört på uppdrag av Trafikverket och syftar till att undersöka riskfördelningen mellan huvudintressenterna i samband med implementeringen av ERTM. En riskanalys med avseende på tekniska risker och finansiella risker är utförd samt en litteraturstudie och intervjuer med relevanta personer inom sektorn. Resultaten visar en motvilja från operatörerna att implementera tekniken och betydande skillnad i den risk som de två aktörerna är utsatta för. Operatörerna exponeras för en relativt hög risk i varje scenario som undersöks och som potentiellt kräver riskreducerande åtgärder. I ett scenario exponeras operatörerna för oacceptabelt hög finansiell risk som kräver riskreduceringsåtgärder. Transportverket är föremål för låg risk i alla scenarier som undersökts. Data från studien tyder på att motviljan från operatörerna mot implementeringen av ERTMS beror på att de risknivåer som denna grupp utsätts för inte lever upp till de fördelar de förväntar sig att systemet kommer leverera. / Currently the largest infrastructure project in Sweden, the implementation of the rail traffic management system European Rail Traffic Management System (ERTMS) will gradually replace the incumbent system Automatic Train Control (ATC) until 2035. Due to Sweden’s recently completed deregulation of the railway market the main stakeholders in this implementation process are the actors responsible for operations (the train companies) and the actor responsible for the infrastructure (the Swedish Transportation Administration). The thesis is commissioned by the Swedish Transportation Administration and aims at examining the allocation of risk associated with the implementation of ERTMS among key stakeholders. A risk analysis with regards to technological risk and financial risk is conducted as well as a literature study and interviews with relevant persons in the sector. The results reveal a hesitation from operators to implement the technology and considerable difference in the risk the two main stakeholders are subject to. The operators maintain a relatively high level of risk in every scenario examined, potentially requiring risk reduction measures. In one scenario the operators are subject to inacceptable levels of financial risk that demands risk reduction measures. The Swedish Transportation Administration is subject to low levels of risk in all scenarios examined. Data from the study suggests that the hesitation from operators to implement the technology may be due to the levels of risk they are exposed to do not match the benefit they expect the system will provide.

Risk assessment

Risk analysis

Development process

Implementation process

Market deregulation

ERTMS

Riskbedömning

Riskanalys

Utvecklingsprocess

Implementeringsprocess

Avreglering

ERTMS

Mechanical Engineering

Maskinteknik

Autonomous Compaction Roller : Temporarily convert a non autonomous compaction machine to become autonomous during endurance testing

Tuma Fischer, Sebastian, Sundblad, Jojje

January 2018

How can a non-autonomous compaction roller be converted to become temporarily autonomous while it performs a 500hours endurance test? Particularlysince the compaction rollers in question is not built to be autonomous and shall not be autonomous after the endurance test is completed. The autonomous system shall also be adaptable to all compaction rollers which Dynapac is developing and shall be moved to another machine when the endurance test is completed. In this thesis a concept is engineered of how the whole autonomous system will work and a prototype is fabricated of how to convert the current manual mechanical steering to be performed by a computer. The steering prototype has been tested on a Dynapac CC4200 double drumasphalt compaction roller and worked as intended. To develop this, anextensive risk analysis is also established andwith it a requirements list of what's needed to be fulfilled when performing autonomous testing of a compaction roller. The work has been done using the method “design thinking” which is a collection of multiple methods to create new concepts and ideas. The final concept resulted in a navigation system which uses GNSS for path planning and limitation of the operation area. It also uses radar to detect foreign objects in its path to prevent a collision. Multiple systems arealso proposed to be used for malfunction detection of the roller, which is a major part of a human operator’sjob when testing out new machines. The test track for the machine was undefined and also hadto be engineeredas part of the concept. It resultedin closing the area of operation with a mesh fence to prevent access to the area from unauthorised personnel and geo-fence to prevent the machine from escaping. Access to the area is only granted to authorized personnel and only when the autonomous rolleris shut off. Due to the machines in question isn’t fully developed, theycan’t be trusted enough to have people inside the area of operation asthe autonomous machineis operating. / Hur kanen icke-autonom vägvältomvandlas tillatt bli tillfälligt autonom medan den utför ett 500timmar långttidsprov?Särskilt sedanvägvältenifrågainte ärbyggd för att vara autonom och ska intevara autonom efter attlångtidsprovetär slutfört. Det autonoma systemet skaävenkunna anpassas tillalla vältar som Dynapac utvecklar och ska flyttas till en annan maskin närlångtidsprovetär klart. Idenna avhandling konstrueras ett koncept för hur hela det autonoma systemet kommer att fungera ochenprototyp tillverkaspå hur man konverterar den nuvarande manuella mekaniska styrningen till attstyras av en dator. Styrprototypen testades på en Dynapac CC4200 asfaltsvält med dubbla valsar ochfungerade bra. En omfattande riskanalys utvecklades ochlika såen kravlista över vad som behöveruppnås vid autonom testning av en vägvält. Arbetet har gjorts med hjälp av metoden “designthinking”, vilket är en samling av flera metoder för att skapa nya koncept och idéer. Det slutgiltigakonceptet resulterade i ett navigationssystem som använder GNSS för navigering och begränsning avkörområdet. Den använder också radar för att upptäcka främmande föremål i sin vägvilketförhindrarkollision. Flera system föreslås användasförfunktionsfelsdetektering på välten, vilket är en viktig delav en mänskligoperatörs arbetevid provning av nya maskiner. Maskinen kommer att vara i ett slutetområde som är avskilt med ett nätstängsel.Tillträde till området ges endast till behörig personal ochendast när den autonoma välten är avstängd. På grund avmaskinerna ifråga inte är fullt utvecklade,kan de inte litas på tillräckligt för att ha personer inom körområdet medan det autonoma systemet är idrift.

Autonomous system

Compaction machine

Endurance testing

Risk assessment

Self-driving

Autonomt system

Kompakteringsmaskin

Långtidsprov

Riskanalys

Självkörande

Mechanical Engineering

Maskinteknik

Minska risk för vindskador i granbestånd – hur fungerar ett verktyg för riskanalys i praktiken / Reducing the risk of wind damage in spruce forest stands – evaluating a practical tool

Wimarson, Anders

January 2021

Starka vindar orsakar stora skador för det svenska skogsbruket och samhället. Därför är det viktigt att kunna hitta de bestånd som har hög sannolikhet att drabbas av dessa skador. För att lyckas med detta krävs ett enkelt verktyg där bestånden kan bedömas med denutrustning och den kunskap som finns ute på de svenska skogsgårdarna.Den här studien utvärderar och testar ett verktyg som är framtagen av Olofsson & Blennow (2005). Resultatet visar att verktyget fungerar och att det är användarvänligt. Av 90 undersökta bedömningarresulterade 23 % i hög sannolikhet för stormskador på den undersökta gården i norra Halland. Studien visar också på vikten av att använda aktuella data och arbeta med hög noggrannhet i framtagandet avbeståndsdata. De viktigaste parametrarna för att bedömasannolikheten var beståndskantshöjd och HD-kvot.

Wind damage

spruce

risk analysis

decision trees

climate change

Vindskador

gran

riskanalys

beslutsträd

klimatförändring

Forest Science

Skogsvetenskap

Riskhantering vid infrastrukturbyggande : En fallstudie från ett vägprojekt inom Förbifart Stockholm, Hjulsta Norra

Pilipovic, Lea

January 2018

En fungerande transportinfrastruktur skapar förbindelser som hela tiden är i rörelse, och på så sätt förbättras samhällsekonomin. Idag byggs infrastrukturen ut genom storskaliga projekt i en allt större utsträckning, vilket ökar intresset för planering, utförande och styrning. Sverige investerar i runda tal 100 miljarder kronor i byggande, drift och underhåll av infrastruktur varje år. För att effektivisera investeringarna är det viktigt att lösningar, samverkan och ledarskap går hand i hand. Stora infrastrukturprojekt innebär stora risker. Vid bygget av en väg ingår många anställda och arbetsområden med byggmaskiner, kranar och sprängämnen som kan påverka markförhållandena på plats. Därmed är identifiering, bedömning och prioritering av risker viktigt för att inte förlora greppet om säkerheten i projektet. Syftet med examensarbetet är att undersöka och beskriva riskhanteringen i ett pågående infrastrukturprojekt som utförs av NCC Infrastructure inom Förbifart Stockholm, Hjulsta Norra. Genom att samla data från litteratur och information på plats har problem och effektiviseringsmöjligheter sammanställts. Examensarbetet kan användas för att sprida förståelse för att risktänkande är en viktig del i strävan mot lönsamhet i ett projekt. Studien är utfört som ett examensarbete. Omfattningen är 30 högskolepoäng (motsvarar 20 veckors heltidsstudier) och begränsar därför omfattningen av studien i tid. De risker som valts ut från det pågående projektet Hjulsta Norra är ett begränsat antal som är prioriterade som de viktigaste. Som underlag till prioritering av risker i studien användes en litteraturundersökning samt intervjuer. Avgränsning av studien är produktionsskedet, vilket inriktar sig på de risker som uppkommer under byggprocessen i ett större infrastrukturprojekt. Det är hanterat ur entreprenörens perspektiv. De urval av intervjupersoner som har gjorts är en liten del av de som är inblandade i projektet och området. Därmed är det inte alltid möjligt att få med all information och erfarenhet som existerar. Utvald riskprocess och riskanalysmetod är förenklad och visar därför inte detaljerade faser som kan ha en extra verkan på resultatet. På grund av avgränsningar är det inte möjligt att identifiera och analysera alla risker i projektet. Studien visar att riskhantering är viktigt i stora infrastrukturprojekt. Det kan vara en avgörande faktor för hur lyckade inplanerade aktiviteter blir för slutresultatet. För att nå framgång behöver identifiering av miljömässiga, tekniska och organisatoriska risker göras. En annan viktig faktor är hur samarbetet mellan beställare och entreprenör fungerar i ett projekt och under produktionsskedet. En framtida utveckling av riskhanteringen i stora infrastrukturprojekt föreslås inriktas mot att skapa en bra organisation och samarbete mellan beställare och entreprenör i byggskedet. Riskhantering bör vara en naturlig del i projektstyrningen. Fortsatta studier bör därför inriktas mot att utveckla ett enkelt och produktionsanpassat system för riskhantering. / A functioning transport infrastructure creates connections that are constantly moving, thus improving the economy. Today, infrastructure is being expanded through large-scale projects to an increasing extent, which increases the interest in planning, execution and management. Sweden invests around 100 billion SEK in construction, operation and maintenance of infrastructure each year. In order to make investments more efficient, it is important that solutions, collaboration and leadership go hand in hand. Large infrastructure projects involve major risks. When constructing a highway, many employees and work areas include construction machines, cranes and explosives that can affect soil conditions on site. Thus, identification, assessment and prioritization of risks are important in order not to lose the grip on the safety of the project. The purpose of the thesis work is to investigate and describe risk management in an ongoing infrastructure project conducted by NCC Infrastructure in Förbifart Stockholm, Hjulsta Norra. By collecting data from literature and on-site information, problems and efficiency opportunities have been compiled. The thesis work can be used to spread understanding that risk thinking is an important part of the pursuit of profitability in a project. The study is executed as a degree project. The scope is 30 credits (equivalent to 20 weeks full-time studies), thus limiting the scope of the study in time. The risks chosen from the ongoing project Hjulsta Norra are a limited number that are prioritized as the most important. As a basis for prioritizing risks in the study, a literature survey and interviews were used. Limitation of the study is the production phase, which focuses on the risks that arise during the construction process in a major infrastructure project. It is handled from the contractor's perspective. The selection of interviews that have been made is a small part of those involved in the project and the area. Thus, it is not always possible to include all the information and experience that exists. The selected risk process and risk analysis method are simplified and therefore do not show detailed phases that can have an additional effect on the result. Due to limitations, it is not possible to identify and analyze all risks in the project. The study shows that risk management is important in major infrastructure projects. This can be a determining factor in how successful planned activities will be for the end result. To achieve success, identification of environmental, technical and organizational risks needs to be done. Another key factor is how cooperation between the client and the contractor works in a project and during the production phase. A future development of risk management in major infrastructure projects is proposed to focus on creating a good organization and collaboration between clients and contractors in the construction phase. Risk management should be a natural part of project management. Continued studies should therefore focus on developing a simple and production-adapted risk management system.

Risk

risk analysis

risk management process

production phase

infrastructure

Risk

riskanalys

riskhanteringsprocess

produktionsskede

infrastruktur

Infrastructure Engineering

Infrastrukturteknik

Pandemins påverkan på revisionsarbete och dess olika processer : En studie om hur revisionsarbetet har påverkats och utvecklats till följd av Covid-19 / The effect on the auditory work and connected processes due to the pandemic : a study on how the audit work has affected and developed as a result of Covid-19

Obed, Hiba, Sinclair, Christoffer, El Imam, Diana

January 2022

Covid-19 är en global pandemi som har haft en stark påverkan på världen och dess befolkning på många olika sätt. Arbetslivet, företagsamhet och således även revisionsbranschen har inte undkommit att drabbas. En normal vardag bestående av fysiska möten och interaktioner förändrades snabbt till att nästintill vara helt digitaliserad. De införda restriktionerna ledde till att berörda revisorer i följande studies empiri varit tvungna att arbeta hemifrån i syfte att minska smittspridningen av Covid-19. Studiens syfte är att undersöka hur revision och revisorns arbetsprocess i form av granskningsarbete samt informationsinsamling har påverkats av de omständigheter som pandemin medfört. Metoden som använts gällande insamling av empiri, vilket skall ligga till grund till besvarandet av studiens frågeställning och syfte, är kvalitativ. Intervjuer med fyra olika revisorer har genomförts. Erfarenheten som dem medverkande respondenter har inom revisionsbranschen varierar men samtliga har arbetat som revisorer innan, under samt efter pandemin. Medverkande respondenter var anställda på bland annat Moore AB samt Grant Thornton. Utöver genomförda intervjuer har även en litteraturundersökning genomförts där tidigare forskning undersökts i form av vetenskapliga artiklar samt teorier. Vidare har även en dokumentstudie genomförts gällande de fyra största revisionsbyråerna i världen, vilket är KPMG, E&Y, PWC samt Deloitte. Information kopplat till studiens syfte har inhämtats genom offentliga uttalanden och rapporter från respektive revisionsbyrås hemsida. Analys av insamlad empiri ledde till ett resultat som påvisade både negativa samt positiva aspekter för både medverkande respondenter men även för revisionsbyråerna i dokumentstudien. De negativa konsekvenserna som nämns till följd av distansarbetet är brister i kommunikation och informationsinsamling, vilket påverkar revisionsprocessen negativt i sin helhet. Anledningen till detta är utebliven kommunikation med kund och mellan medarbetare, vilket har resulterat i utebliven och ibland felaktig informationsinsamling. Även komplikationer gällande legala och skattemässiga aspekter tas upp som en konsekvens, samt problem i att upprätthålla en trygg cybersäkerhet. Positiva aspekter som tas upp under analysen av empirin är ökad flexibilitet och mer effektiva arbetsprocesser efter att revisionsarbetet digitaliserats. Dessutom har distansarbetet lett till minskade resor och således minskade resekostnader. Detta är dock ingenting som skedde direkt, utan något som revisorer fått anpassa sig till samt utveckla under pandemins gång. / Covid-19 is a global pandemic that has had a strong impact on the world and its population in many different ways. Working life, enterprise and the audit profession has not been unaffected. Everyday life consisting of physical meetings and interactions instantly changed to being almost completely digitized. Following restrictions led to the auditors being concerned in the empirical study being forced to work from home in order to reduce the spread of Covid-19. The purpose of the study is to investigate how auditing and the auditor's work process in the form of review process and information gathering have been affected by circumstances brought about by the pandemic. The method used regarding the collection of empirical evidence, which must be the basis for preserving the study's question and purpose, is qualitative where interviews with four different auditors have been carried out. Participating respondents have varying lengths of experience, but have all worked as accountants within, during and after the pandemic. Furthermore, the respondents are employed at, among others, Moore AB and Grant Thorn. In addition to the interview, a literature survey was also conducted where previous research was examined in the form of scientific articles and theories. Moreover, a document study has also been carried out regarding the four largest audit organizations in the world, which are KPMG, E&Y, PWC and Deloitte. Information linked to the purpose of the study has been obtained through public statements and reports from the respective audit firm's website. Analysis of collected empirical evidence led to a result that demonstrated both negative and positive aspects for participating respondents as well as for the audit organizations in the document study. The negative consequences mentioned as a result of remote work are deficiencies in communication and information gathering, which negatively affects the audit process as a whole. The reason for this is a lack of communication both with the customer and between employees, which resulted in missed and sometimes incorrect information gathering. Complications regarding legal aid and tax aspects are also addressed as a consequence, as well as problems in maintaining secure cyber security. Positive aspects that are taken up during the analysis of the empirical evidence are increased flexibility and streamlined work processes after the companies have been digitized. Other positive aspects were reduced travel time and reduced travel costs. However, these happenings did not occur immediately, the companies had to adapt to them and developed them during the course of the movement.

The audit process

audit

authorized public accountant

risk analysis

information gathering.

Revisionsprocessen

granskning

auktoriserad revisor

riskanalys

informationsinsamling.

Business Administration

Företagsekonomi

Riskanalys med sårbarhetsindex längs Klarälven : Riskanalys och metodutveckling för beräkning av ett socialt sårbarhetsindex / Risk analysis with social vulnerability index along the River Klarälven : Risk analysis and method development for calculation of a social vulnerability index

Höök, Johan, Mulalic, Johannes

January 2021

Vid inträffandet av naturolyckor och katastrofer påverkas människor i olika omfattning, inte bara beroende på deras bostads läge utan även utifrån deras sociala förhållanden och förutsättningar. I denna studie genomförs en riskanalys samt utvecklas en metod för beräkning av ett områdes sociala sårbarhet genom ett index. Studiens geografiska avgränsning är en sträcka av Klarälven i Värmland och baseras på data framställt av Skogsstyrelsen, Myndigheten för samhällsskydd och beredskap (MSB), Lantmäteriet och Statistiska centralbyrån (SCB).   I studien beräknades ett socialt sårbarhetsindex genom att kombinera flera lager av SCB:s statistiska data i ett geodatalager med kvadratiska polygoner. Det sociala sårbarhetsindexet kombinerades sedan med resultatet från en flerfaroanalys (multi-hazard analysis) med flera översvämningsscenarion samt områden känsliga för jordskred och ras. Flerfaroanalysen utfördes genom en sammanställning av MSB:s kartering av potentiella översvämningsscenarion och Skogsstyrelsens kartering av områden som kan drabbas av ras eller jordskred. Det sociala sårbarhetsindexet och flerfaroanalysen karterades och överlagrades för att identifiera särskilt sårbara områden.   Med hjälp av det sociala sårbarhetsindexet identifieras en högre social sårbarhet i mer tätbebyggda områden. Indexet påvisar även en högre social sårbarhet i den södra halvan av studieområdet. I flerfaroanalysen ses naturolyckorna variera i omfattning över studieområdet. I den norra delen är risken för jordskred och ras större än i den södra delen som nästan enbart drabbas av översvämningar. Resultaten från riskanalysen visar en “medel-risk” längs en längre sträcka av Klarälven och ökad risk i tätbebyggda områden. För förbättring av det sociala sårbarhetsindexet behövs mer detaljerade data över mindre områden för att öka indexets tillförlitlighet och användningsområden. / When natural phenomena and disasters occur, people are affected to varying degrees, not only depending on the location of their homes, but also on the basis of their social background. In this study, a multi-hazard risk analysis and a method for estimating an area’s social vulnerability through an index were developed. The study was carried out along River Klarälven in Värmland and was based on data produced by the Swedish forest agency, The Swedish Civil Contingencies Agency (MSB), The Swedish Mapping, Cadastral and Land Registration Authority and Statistics Sweden (SCB).   The study presents a social vulnerability index by combining several layers of SCB's statistical data, in a geodata layer with square polygons. The social vulnerability index was combined with a multi-hazard analysis considering several flood scenarios and landslide susceptibility. The multi-hazard analysis was performed through a compilation of MSB's mapping of potential flood scenarios and the Swedish forest agency’s mapping of areas that may be affected by landslides. The social vulnerability index and the results from the multi-hazard analysis were mapped and combined in order to identify areas with substantial risk.    The social vulnerability index indicates a higher social vulnerability in more densely populated areas. The index also shows a slightly higher social vulnerability in the southern half of the study area. The results from the multi-hazard analysis, the spatial distribution of natural hazards varied. The northern part of the study area has a greater susceptibility to landslides than the southern part, which is almost exclusively are induced by floods and extreme flows. The result of the risk analysis shows a “medium risk” along the largest studied part of the River Klarälven and a slightly increased risk in densely populated areas. For future improvements in the development of the social vulnerability index, more data is needed with a higher spatial resolution to increase the index's reliability and areas of use.

Social vulnerability index

risk analysis

River Klarälven

natural hazards

Socialt sårbarhetsindex

riskanalys

Klarälven

naturolycka

Earth and Related Environmental Sciences

Geovetenskap och miljövetenskap

Security Analysis of Volvo’s Infotainment System

Ismail, Dana, Aslan, Porsev

January 2022

Today’s car development is progressing rapidly, and new car models are constantly being produced. These new vehicles are adapted to today’s digital society and all its needs. An important issue is how well security is involved in this technological development. With all these successes, there are also possible vulnerabilities. Thus, the cybersecurity aspect is a crucial part in the development of modern vehicles due to possible exploitation that have taken place and can take place in the future. The main problem researched within this thesis was to investigate the safety of Volvo’s Vehicle Infotainment System (IV). To analyze such a complex system, a threat model was created by gathering necessary data, inspecting a physical rig sent by the manufacturer, and receiving feedback from industry experts. Furthermore, several attack simulations were performed on the threat model, generating several attack paths and probabilistic graphs that were analyzed. This work resulted in a threat model that represented the physical IV. The model included identifications of interesting entry points from which an attacker can start different attacks. After investigation, the Bluetooth network and the operating system of the Infotainment Head Unit (IHU) were both chosen as entry points for the attack simulations. The attack simulations made on the model were tested in different scenarios because this resulted in a more comprehensive outcome. The results of the attack simulations were that in comparison to a low- security scenario, the high-security cases decreased the success rate of compromising the targeted asset. However, enabling every possible defenses, there were no attack paths generated, but the results showed that an attacker still can perform other sorts of attacks. It is concluded that if one assumes that the threat model within this work is somewhat identical to the physical IV, there is a possibility of exploiting vulnerabilities if not all defenses are enabled for all components. These results are sought to increase the relevancy of the cybersecurity aspects within the vehicle industry, especially on infotainment systems. / Dagens bilutveckling går snabbt framåt och nya bilmodeller produceras ständigt. Dessa nya fordon är anpassade till dagens digitala samhälle och alla dess behov. En viktig fråga är hur väl säkerheten är involverad i denna tekniska utveckling. Med alla dessa framgångar finns det också möjliga sårbarheter. Därför är cybersäkerhetsaspekten en viktig del i utvecklingen av moderna fordon på grund av möjliga utnyttjanden som har skett och kan ske i framtiden. Huvudproblemet som undersöktes inom ramen för denna avhandling var att undersöka säkerheten hos Volvos infotainmentsystem. För att analysera ett så komplext system skapades en hotmodell genom att samla in nödvändig data, inspektera en fysisk rigg som skickats av tillverkaren och få feedback från branschexperter. Dessutom utfördes flera attacksimuleringar på hotmodellen, vilket genererade flera attackvägar och probabilistiska grafer som analyserades. Detta arbete resulterade i en hotmodell som representerade det fysiska infotainmentsystemet. Modellen innehöll identifieringar av intressanta ingångspunkter från vilka en angripare kan starta olika attacker. Efter undersökning valdes Bluetooth-nätverket och operativsystemet för IHU som ingångspunkter för attacksimuleringarna. De angreppssimuleringar som gjordes på modellen testades i olika scenarier eftersom detta gav ett mer omfattande resultat. Resultaten av angreppssimuleringarna var att i jämförelse med ett scenario med låg säkerhet, minskade högsäkerhetsfallet framgångsfrekvensen för att lyckas med attacken. Om alla tänkbara försvarsmekanismer aktiverades genererades inga angreppsvägar, men resultaten visade att en angripare fortfarande kan utföra andra typer av angrepp. Slutsatsen är att om man antar att hotmodellen inom detta arbete är något identisk med den fysiska infotainmentsystemet, finns det en möjlighet att utnyttja sårbarheter om inte alla försvar är aktiverade för alla komponenter. Dessa resultat syftar till att öka relevansen av cybersäkerhetsaspekterna inom fordonsindustrin, särskilt när det gäller infotainmentsystem.

Threat Modeling

Attack Simulations

Risk Analysis

Cybersecurity

Infotainment System

Vehicle Security

Hotmodeller

Attacksimuleringar

Riskanalys

Cybersäkerhet

Infotainmentsystem

Fordonssäkerhet

Computer Engineering

Datorteknik

Kritiska framgångsfaktorer vid införande av affärssystem : Behovet av ett holistiskt förhållningssätt / Critical success factors in adopting a ERP system : The need for a holistic approach

Svensson, Karl-Erik

January 2010

Idag används affärssystem inom de flesta verksamheter. Syftet med att använda sig av ett affärssystem är att det ska stödja verksamhetens handlingar och bidra till effektivitet inom organisationen. I dagens läge har de flesta verksamheter infört eller tänkt införa/byta ut ett affärssystem vilket ibland inte är så lätt. Införandet och användandet av ett affärssystem kan potentiellt leda till många förändringar. Jag kommer att med denna studie påvisa vilka faktorer verksamheter behöver ha med sig för att lyckas med ett affärssystemsinförande men samtidigt ta upp vilka fallgropar man ska se sig för vid införandet. Detta för att göra införandet så smidigt som möjligt och inte leda till för många ”dåliga” förändringar.För att få svar på detta har jag baserat min uppsats på teoretiskt och empiriskt material. Jag har utgått från existerande teorier och relaterat dessa till mitt empiriska underlag. Den information jag samlar in har jag fått genom två intervjuer av företag som är i ett skede att införa ett nytt affärssystem samtidigt som jag underbyggt dessa intervjuer med relevant teori.Till viss del går denna studie att generalisera men jag ser denna studie mer som ett riktmärke till företag som ska eller har funderat på att byta ut eller införa ett affärssystem.

ERP

enterprise resource planning

ERP

enterprise resource planning

critical success factors

probabilistic risk assessment

affärssystem

kritiska framgångsfaktorer

riskanalys

Engineering and Technology

Teknik och teknologier