Sparande av lösenord

24% av respondenterna har blivit informerade om hur de får spara sina lösenord. Enligt ISO/IEC 27002:2014 framkommer det tydligt att förvaring av lösenord endast får ske i godkända lösningar som lösenordshanterare och det står uttryckligen att lösenord ska undvikas att förvaras på papper eller i digitala dokument (ISO 2013). Trots detta så uppgav 40% av respondenterna att de någon gång skrivit ner sina lösenord från arbetsplatsen digitalt och 90% av respondenterna att de har skrivit ner lösenordet på något fysiskt vis.

Det kan finnas många bidragande orsaker till varför en användare väljer att skriva ner sina lösenord men de flesta av dem går att härleda till att det är svårt att komma ihåg lösenord som är komplexa (Inglesant och Angela Sasse 2010) och byts ofta (Cohen 2011), speciellt om det finns flera av dessa (Wycislik-Wilson jan-18). En stor del av respondenterna, 59,3%, använder fler än tre lösenord på sin arbetsplats. Som nämnt tidigare i analysen är lösenorden generellt sett minst 8 tecken långa och innehåller oftast lösenorden flera olika typer av tecken. Ovanpå detta så byts lösenorden i de flesta fallen mer än en gång per år. Det går därför att se att respondenternas lösenordskomplexitet och bytesfrekvens väl matchar vad som orsakar att lösenord hamnar i riskzonen för att skrivas ned.

En riktlinje från ISO/IEC 27002:2014 menar att vid skapande av lösenord så ska användaren se till att lösenordet är lätt att komma ihåg (ISO 2013). Då det för de flesta av respondenterna varit nödvändigt att skriva ner sina lösenord går det att anta att lösenorden som skapats inte är lätta att komma ihåg. Med de krav som finns på respondenternas lösenord är det möjligt att lösenord som är lätta att komma ihåg och inte hamnar i den ovannämnda riskzonen är svåra att skapa.

Tidigare kunde det konstateras att 24% av respondenterna tagit del av information rörande sparande av sina lösenord men att det trots detta är 90% som anger att de har skrivit ner sina lösenord på något sätt. Detta indikerar att en del av respondenterna som fått ta del av information angående detta antingen inte efterlever det som kommuniceras eller att informationen själv i vissa fall är bristande. I fallet då de inte efterlever vad som kommuniceras går det att se liknelser till den forskning som gjorts om delning av lösenord där det visade sig att användare trots utbildning ändå kommer gå emot rekommendationer (Stanton, Stam, Mastrangelo och Jolton 2004).

6. Slutsats

I detta kapitel sammanfattas analysen från föregående kapitel för att besvara undersökningen forskningsfråga. Forskningsfrågan var som följer:

Hur efterlever svenska sjukhus de riktlinjer som finns om lösenordshantering?

De riktlinjer som sjukhusen borde följa kunde delas in i fem kategorier. Den första kategorin avsåg att alla anställda skulle få tillräcklig information om lösenordshantering, det den anställde skulle bli informerad om var vad som gällde för de resterande fyra kategorierna. De senare fyra kategorierna var byte av lösenord, delning av lösenord, sparande av lösenord och lösenordsstyrka.

Dessa inkluderade rekommendationer för vad användaren borde eller inte borde göra för att uppnå god lösenordshantering inom respektive kategori.

Undersökningen fann att efterlevnaden av riktlinjerna varierade mellan de olika kategorierna, överlag så går det att konstatera att vissa av riktlinjerna efterlevdes bättre än andra. Informerande av de anställda skedde överlag inte ofta nog och när information gavs informerades det inte om alla kategorier som riktlinjerna rekommenderade, detta gällde oavsett när respondenten blivit anställd.

24% från den totala populationen uppgav att de aldrig fått information om lösenordshantering. I många fall informationen så bristande att den anställde inte visste var de skulle vända sig om denne önskade information om lösenordshantering.

Information om vad som gällde för den anställde angående delande av sina lösenord hade endast delats av arbetsplatsen för ett fåtal av undersökningens respondenter.

Byten av lösenord skedde för en stor majoritet av undersökningens respondenter ofta. Riktlinjerna angående detta var vaga men det går ändå att säga att de efterlevdes väl.

En kraftig majoritet av respondenterna följde inte de riktlinjer som finns angående sparande av lösenord. De allra flesta hade på något sätt skrivit ner sina lösenord trots att rekommendationen är väldigt klar med att detta inte bör göras. En del av de som skrivit ner sina lösenord hade fått information om lösenordssparande men uppgav att de trots de skrev ner dem.

Lösenorden som respondenterna använde sig av fyllde för det mesta i några av de rekommenderade riktlinjerna. Användandet av specialtecken visade sig vara bristande som en del av lösenordens uppbyggnad men användandet av mer än bara en teckentyp var extremt god. Lösenordens längd var också för de flesta inom ramen för vad riktlinjerna ansåg säkert. Information om huruvida ord fick vara en del av lösenordet hade endast dock endast kommunicerats till en mycket liten del av respondenterna.

Som det tidigare konstaterats så varierade efterlevandet av riktlinjerna om lösenordshantering beroende på kategori. Av de fem kategorier som definierats efterlevdes generellt två stycken, byte av lösenord och lösenordens styrka. De resterande tre, sparande och delning av lösenord samt informerande om riktlinjer till de anställda uppfylldes generellt sett inte. Då riktlinjerna avser att

alla fem kategorier bör följas går det därför att dra slutsatsen att svenska sjukhus generellt sett inte följer de riktlinjer som finns angående lösenordshantering.

7. Källor

Andersson, T. (2015) Bristande it-säkerhet i akutsjukvården. Hämtat 25 januari 2018 från

https://www.msb.se/sv/Om-MSB/Nyheter-och-press/Nyheter/Nytt-informationssakerhet/Bristande-it-sakerhet-i-akutsjukvarden-/

Cohen, F. (2011). Change your passwords how often? Edpacs, 43(4), 1-17.

10.1080/07366981.2011.570100

Cranor, L. (2016) Time to rethink mandatory password changes. Hämtat 22 januari 2018 från

https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes

Dahmström, K. (2011). Från datainsamling till rapport. (5:e uppl.) Lund: Studentlitteratur.

Datainspektionen (läst 2018). Patientdatalagen. Hämtat 4 januari 2018 från https://www.datainspektionen.se/lagar-och-regler/patientdatalagen/

Dawson, C. W. (2015). Projects in computing and information systems: A student's guide (Third ed.). New York;Harlow, England;: Pearson.

De Luca, G., Brattstrom, M., & Morreale, P. (2016). Designing a secure e-health network system.

Paper presented at the 1-5. 10.1109/SYSCON.2016.7490528

Ejlertsson, G., 1948, & Axelsson, J. (2005). Enkäten i praktiken: En handbok i enkätmetodik (2.

[omarb.] uppl. ed.). Lund: Studentlitteratur.

Eliasson, A., 1959. (2013). Kvantitativ metod från början (3., uppdaterade uppl. ed.). Lund:

Studentlitteratur.

Georgiou, T. (2014) Åtkomst och behörighetskontrollsystem. Hämtat 20 januari 2018 från https://fragastaten.se/sv/request/166/response/81/attach/2/Rutin%20f%20r%20tkomst%20och%2 0beh%20righetskontrollsystem.pdf

Grassi, P. A., Garcia, M. E. & Fenton, J. L. (2017) NIST Special Publication 800-63-3 Digital Identity Guidelines. Gaithersburg, MD: National Institute of Standards and Technology.

Hedström, K. (2016) Myndigheten för samhällsskydd och beredskaps författningssamling (MSBFS 2016:1). Stockholm: Wolters Kluwer.

Helkala, K., & Hoddø Bakås, T. (2014). Extended results of norwegian password security survey.

Information Management & Computer Security, 22(4), 346-357. DOI:10.1108/IMCS-10-2013-0079

Herley, C., & Van Oorschot, P. (2012). A research agenda acknowledging the persistence of passwords. IEEE Security & Privacy, 10(1), 28-36.

DOI:10.1109/MSP.2011.150

Inera (Läst 2018) Identifieringstjänst SITHS. Hämtat 5 januari 2018 från https://www.inera.se/tjanster/identifieringstjanst-siths/

Inglesant, P., & Sasse, M. (2010). The true cost of unusable password policies: Password use in the wild. Paper presented at the, 1 383-392. 10.1145/1753326.1753384

ISO (Läst 2018) About ISO. Hämtat 22 januari 2018 från https://www.iso.org/about-us.html

ISO (2013) ISO/IEC 27001:2014 (2nd ed.) Stockholm: SIS Förlag AB.

ISO (2013) ISO/IEC 27002:2014 (2nd ed.) Stockholm: SIS Förlag AB.

ISO (Läst 2018) ISO/IEC 27000 family. Hämtat 22 januari 2018 från https://www.iso.org/isoiec-27001-information-security.html

ISO/IEC (2016) 27000:2016 (4th ed.) Stockholm: SIS Förlag AB.

Kullander, B. (2017) Kommuner och landsting. Hämtat 22 januari 2018 från https://skl.se/tjanster/kommunerlandsting.431.html

Ma, W. & Campbell, J. & Tran, D. & Kleeman, D. (2007) A Conceptual Framework for Assessing Password Quality. IJCSNS International Journal of Computer Science and Network Security, 7(1), 179-185.

Mehmedagic, E. (2017, Juli 26). IT-skandalen på Transportstyrelsen: Detta har hänt. Sydsvenskan.

Hämtat 16 december 2017 https://www.sydsvenskan.se/2017-07-26/it-skandalen-pa-transportstyrelsen-detta-har-hant

Regeringskansliet (2008) Kommuner och landsting – organisation, verksamhet och ekonomi.

Stockholm, Finansdepartementet.

Region Uppsala (2016) Åtkomst för personal till Region Uppsalas it-system. Hämtat 5 januari 2018 från http://www.lul.se/sv/Jobba-hos-oss/Atkomst-for-personal-till-landstingets-it-system/

Rikssår (2017) Information till patient och närstående om medverkan i kvalitetsregister. Hämtat 5 januari 2018 från http://www.rikssar.se/for-allmanhet/patientinformation

Riley, S. (2006, Februari 14) Password Security: What Users Know and What They Actually Do.

Software Usability Research Laboratory Wichita State University. Hämtat 22 januari 2018 från http://usabilitynews.org/password-security-what-users-know-and-what-they-actually-do/

Schützer, K. & Laurell, A. & Malmén, J. & Olofsson, D. & Gustafson, L. & Hedenmo, F. & Crona, M. (2017, Juli 17). Transportstyrelsens IT-affär: Detta har hänt. SVT Nyheter. Hämtat 15 december 2017 från https://www.svt.se/nyheter/inrikes/transportstyrelsens-sakerhetsskandal-detta-har-hant

Shannon, C.E. (1948) A mathematical theory of communication. The Bell System Technical Journal 27(3), 379-423.

DOI: 10.1002/j.1538-7305.1948.tb01338.x

Shen, C., Yu, T., Xu, H., Yang, G., & Guan, X. (2016). User practice in password security: An empirical study of real-life passwords in the wild. Computers & Security, 61, 130-141.

DOI:10.1016/j.cose.2016.05.007

Snickars, P., 1971. (2014). Digitalism: När allting är internet (1. uppl. ed.). Stockholm: Volante.

Stanton, J. M., Stam, K. R., Mastrangelo, P., & Jolton, J. (2005). Analysis of end user security behaviors. Computers & Security, 24(2), 124-133. 10.1016/j.cose.2004.07.001

Sullivan, B. (2014, November 24) 5 Web Security Experts Weigh In On How Often To Change Your Password. Business Insider. Hämtat 22 januari 2018 från

http://www.businessinsider.com/how-often-to-change-your-password-2014-11?r=US&IR=T&IR=T

Sveriges Kommuner och Landsting (Läst 2018) Om SKL. Hämtat 22 januari 2018 från https://skl.se/tjanster/omskl.409.html

Säkerhetspolisen (Läst 2018) Om säkerhetspolisen. Hämtat 23 januari 2018 från http://www.sakerhetspolisen.se/om-sakerhetspolisen.html

Säkerhetspolisen (2010) Säkerhetsskydd - en vägledning. Hämtad 3 januari 2018 från http://www.sakerhetspolisen.se/download/18.635d23c2141933256ea2808/1381154798950/Saker hetsskyddenvagledning10071.pdf

Thorslund, J. (2017) Informationssäkerhet. Hämtat 22 januari 2018 från https://skl.se/naringslivarbetedigitalisering/digitalisering/informationssakerhet.1238.html

Thorslund, J. & Planmo, M. (2017) Säkerhetsskydd för kommuner, landsting och regioner. Hämtat

3 januari 2018 från https://skl.se/download/18.4bd6d99c15f0522e95fd62e7/1508145474586/PM%20s%C3%A4kerh

etsskydd.pdf

US-CERT (2009) Security Tip (ST04-002). Hämtat 5 januari 2018 från https://www.us-cert.gov/ncas/tips/ST04-002

Vårdguiden (2010) Om 1177. Hämtat 3 januari 2018 från https://www.webcitation.org/5yxipPRTn?url=http://www.1177.se/Om-1177/Om-1177/

Whitman, M. E. (2004). In defense of the realm: Understanding the threats to information security.

International Journal of Information Management, 24(1), 43-57. 10.1016/j.ijinfomgt.2003.12.003

Whitman, M. E. & Mattord, H. J. (2016). Principles of information security (Fifth ed.). Boston, MA: Cengage Learning.

Whitty, M., Doodson, J., Creese, S., & Hodges, D. (2015). Individual differences in cyber security behaviors: An examination of who is sharing passwords. Cyberpsychology, Behavior, and Social Networking, 18(1), 3-7. 10.1089/cyber.2014.0179

Wycislik-Wilson, M. (2017) LastPass reveals the threats posed by passwords in the workplace.

Hämtat 24 januari 2018 från https://betanews.com/2017/11/01/lastpass-password-expose/

Zamora, W. (2017) Why you don’t need 27 different passwords. Hämtat 23 januari 2018 från https://blog.malwarebytes.com/101/2017/05/dont-need-27-different-passwords/

Öberg, M. (2017) SITHS-kort. Hämtat 5 januari 2018 från http://www.regionhalland.se/vard-halsa/for-vardgivare/regler-och-rutiner/nerladdning-av-programmet-net-id/

Örstadius, K., Delin, M. & Englund, T. (2017, Augusti 3). It-skandalen på Transportstyrelsen – detta har hänt. Dagens Nyheter. Hämtat 16 december 2017 från https://www.dn.se/nyheter/politik/it-skandalen-pa-transportstyrelsen-detta-har-hant/