6. Diskussion
6.2 Tydlig fördelning av ansvar ökar medvetenheten
Att identifiera vem som bär ansvaret vid en attack är i många fall problematiskt men samtidigt viktigt (Jin et al., 2018). Det finns ett flertal nivåer av ansvarstagande som är värda att diskutera.
Den översta och mest övergripande nivån av ansvarstagande är om det är molntjänstleverantören eller kundorganisationen som bär ansvaret vid en attack. Studiens resultat påvisar att det är kundorganisationen som bär det slutliga juridiska ansvaret om en attack skulle ske. Vid fall då attacker genomförs, innebär detta enligt avtal ofta att kundorganisationen inte tagit tillräcklig hjälp eller investerat i rätt skyddsfunktioner. I kontrast till detta skriver Ramachandran och Chang (2016) att molntjänstleverantörernas rykte ofta påverkas vilket kan minska deras möjligheter på marknaden. I fall då många attacker sker med ett lyckat resultat kan hela molntjänstbranschen påverkas och därför behöver leverantörerna ta större ansvar i frågan än vad deras avtal antyder. Arbete på distans med hjälp av molntjänster ökar idag vilket gör det viktigare än någonsin att vara förberedd för vad det innebär att hantera data konfidentiellt (Johnson, 2017). Eftersom hela molntjänstbranschen kan påverkas av att attacker lyckas mot molntjänster behöver alltså samtliga leverantörer ta sitt ansvar för att inte få kundorganisationer att välja andra datahanteringssätt som erbjuder högre säkerhet. Ansvaret som molntjänstleverantörer kan ta innebär inte att ta det ekonomiska ansvaret och ersätta kunder för pengar dem förlorar, utan att arbeta hårdare för att se till att kunders kompetens är tillräckligt hög för att förstå vad de kan utsättas för vid distansarbete (Curran, 2020).
En annan nivå av ansvarstagande är vem i kundorganisationen internt som ska ta ansvar för en händelse som skett vid arbete på distans. Det behöver inte vara en attack utan kan vara andra sorters skadliga händelser som till exempel läckt information eller felinmatade data. Studiens resultat påvisar att det är ovanligt att det går att specificera vem som bär ansvaret inom kundorganisationen eftersom händelserna som sker i deras system ofta saknar funktion för loggning. För att hantera denna typ av händelser vid distansarbete behöver anställda skapa en förståelse över vad det innebär att göra fel och när detta ansvar faller på individen (Ko et al., 2011). För att försäkra sig om att kundorganisationens anställda är införstådda med detta indikerar resultatet på att kunden bör ta hjälp av leverantören för att specificera detta. Vid fall då kunden saknar insyn i vad det innebär att ta ansvar vid distansarbete föds konflikter mellan parterna, vilket kan skada samarbetet mellan kund och leverantör. För att data ska kunna hanteras konfidentiellt inom ett företag vid distansarbete, krävs en hög nivå av tillit för sina anställda (Farooq et al., 2015). En tillit för anställda byggs i ett förtroende att de besitter tillräcklig kunskap för att inte vara en risk för företaget och dess data då de arbetar individuellt på distans. Först när en tillit är uppbyggd och alla anställda är införstådda i vad det innebär att hantera konfidentiella data kan företag ge ansvar till sina anställda och erbjuda dem möjligheten att arbeta på valfri plats (Ko et al., 2011). Enligt studiens resultat faller detta ansvar på molntjänstleverantörer i fall då dessa har kontaktats. Det är leverantörens uppgift att erbjuda tjänster för att höja den totala kompetensen hos kundorganisationen. Ansvaret leverantören tar i att lära upp kundorganisationen möjliggör för att kunna överföra ansvaret vid eventuella intrång eller andra skadliga händelser då arbete utförs på distans.
31 6.3 Ökad medvetenhet minskar risken för intrång
Bella et al., (2015) beskriver hur viktigt det är för ett företag att använda säkra produkter och tjänster när det gäller distansarbete men också att det inte räcker med de tekniska aspekterna.
Det krävs också en medvetenhet om hur och varför användare ska arbeta för att säkra sin data vid distansarbete (Samonas & Coss, 2014; Curran, 2020). Det är viktigt för företag att vara medvetna om vilken typ av data som ska lagras och vara konfidentiell (Johnson, 2017). Enligt studiens resultat är företag mindre benägna att förstå begrepp som konfidentialitet och saknar den medvetenhet som krävs för att kunna utföra sitt arbete säkert på distans. Däremot skiljer sig medvetenheten mellan företag i olika storlekar och branscher. I vissa fall när företaget är tillräckligt stort och behöver högre säkerhet i sin verksamhet, finns leverantören där för att assistera vid till exempel off-boarding processer. Studien påvisar att det är vanligt för företag att dessa processer glöms bort samt utförs inkorrekt och därmed riskerar gamla konton att säljas eller används för att skada företaget. Därför behövs det en medvetenhet om vad för data som finns i företag, samt vad som bör finnas för att minimera riskerna vid distansarbete. Enligt Kaplan (2015) är det inte möjligt att helt vara skyddad från risker som ransomware attacker och phishing angrepp vid distansarbete. Företag kan arbeta preventivt och vara uppmärksamma på de hot och attacker som finns och detta är enligt studiens resultat sättet molntjänstleverantörer bör arbeta.
Företag behöver idag se över sin miljö kontinuerligt och veta vilka skyldigheter deras IT-leverantörer har när det upptäcks spår av krypteringsvirus. Studiens resultat påvisar att dagens angreppsskydd anses vara effektiva, men att det då finns andra tillvägagångssätt för angripare att stjäla information vid distansarbete. Enligt Bella et al., (2015) använder angripare bland annat social engineering för att lura anställda att uppge inloggningsuppgifter och det är på grund av den mänskliga faktorn som dessa attacker lyckas. Då människor arbetar på distans är de alltmer utsatta för attacker eftersom de ofta saknar samma möjligheter till säkerhet som finns på företaget (Furnell & Shah, 2020). Studiens resultat påvisar att det är en stor risk mot företags IT-säkerhet är då anställda arbetar på distans. Kompetensen är för låg bland anställda, vilket gör deras hemmamiljö mindre trygg än företagsmiljön (Bella et al., 2015). Om de anställda besitter korrekta tekniska förutsättningar samt en tillräckligt hög medvetenhet om vad det innebär att arbeta säkert, kommer distansarbete bli lika säkert som att arbeta lokalt (Furnell &
Shah, 2020; Augustinos, 2020). Tillsammans med leverantören kan kunden arbeta för att förebygga att den mänskliga faktorn gör avsevärd skada, främst genom utbildningar (Tsohou et al., 2015). Detta stämmer överens med det påvisade resultatet som studien presenterar, men behovet måste finnas hos företagen och ledningen. Oftast erbjuds det möjlighet för företagen att utbildas i informationssäkerhet. Dock påvisar studiens resultat att så länge konsekvensen av en attack anses vara lägre kostsam än själva utbildningen är chansen stor att företag inte väljer utbildningen.
6.4 Att välja rätt produkter och tjänster är viktigt för att vara skyddad vid distansarbete
Enligt Stoneburner et al., (2002) kan systems IT-säkerhet jämföras med ett larmsystem i ett hus där ägaren anser att innehållet i huset är värdefullt nog att investera i säkerheten. För att göra detta finns det billigare och dyrare lösningar som erbjuder olika nivåer av säkerhet och komplexitet. Tillsammans med kostnad påvisar undersökningar att enkel åtkomst är det som prioriteras högst av användare (Weir, 2009; Gunson et al., 2011). Studiens resultat påvisar även detta då det är få kunder som väljer att lägga till och betala extra kostnader för att höja deras säkerhet. Problemet med hög säkerhet är att det påverkar åtkomsten till data som gör den omständlig att komma åt, vilket företag inte anser vara nödvändigt (Samonas & Coss, 2014;
Gunson et al., 2011). Det som kunder glömmer att överväga i valet är vad som händer då attacker begränsar deras åtkomst helt och hållet. Eftersom tillgänglighet och åtkomst är det
32 viktigaste är det en stor risk att lämna systemet sårbart mot attacker som kan begränsa detta.
Augustinos (2020) skriver att det är viktigt för företag att införskaffa tekniska skydd för att säkra data. Det räcker dock inte med att skydda data tekniskt i företagsmiljön om distansarbete ska vara en möjlighet. Enligt Furnell och Shah (2020) arbetar många företag för att förbättra sin IT-säkerhet på företagets nätverk, men glömmer bort att överväga hur säkerheten förändras då anställda utför arbetet utanför företagets nätverk. För att organisatoriska data ska vara skyddad oavsett var den avses att kommas åt, behöver människorna som har tillgång till systemet förstå vilka hot dess data är utsatta för (Furnell & Shah, 2020). Studiens resultat påvisar att utbildning inom IT-säkerhet är en tjänst som molntjänstleverantörer rekommenderar till kundorganisationer. De utbildningar som de erbjuder är en viktig del för att företag ska kunna lita på sina användare då de arbetar i systemet på distans.
Herley (2011) skriver att systemanvändare anser att säkerhetsåtgärder blir irriterande då de är ineffektiva att utföra. Den socio-tekniska aspekten av säkerhet blir då intressant eftersom användarna blir mer benägna att ignorera säkerheten trots tydliga riktlinjer vid distansarbete.
Resultatet påvisar att en bra lösning på problemet är att enbart behöva logga in en gång för att komma åt systemens alla tjänster. För att ett system ska anses vara användbart ska det vara effektivt och det ska gå snabbt att komma åt önskade data utan att säkerheten påverkas (Furnell, 2016). Studiens resultat indikerar att en användning av en SSO-plattform är ett sätt för att engagera kunden i hög säkerhet samtidigt som systemet är enkelt att använda.
Det går inte att skydda sig mot alla typer av hot och samtidigt bedriva sin verksamhet på ett lönsamt sätt. Det är möjligt att minska risken för attacker till nästan noll, men det skulle innebära för stor påverkan på hur verksamheten bedrivs (Kaplan, 2015). För att förklara detta tydligare kan IT-säkerhet jämföras med säkerheten i att köra en bil. Det går att minimera antal olycksfall genom att höja åldersgränsen för bilförare till 30 och sänka hastighetsgränsen överallt till 30, men detta kommer medföra andra problem som leder till att det inte är värt besväret (Kaplan, 2015). När det kommer till IT-säkerhet vid distansarbete kan detta jämföras med att företag behöver ta bort vissa tjänster för att de utgör en risk mot företagets säkerhet.
Detta hade påverkat företagets inkomster negativt, vilket aldrig är önskvärt (Samonas & Coss, 2014). Det är alltså viktigt att ha ett synsätt på IT-säkerhet att det är i ett förebyggande syfte och att det inte går att skydda sig mot allt. Istället för att försäkra att inga risker tas, behöver tid och resurser spenderas på att smarta och korrekta risker tas (Kaplan, 2015). I studiens resultat indikeras att företag sällan resonerar att det är värt pengarna förrän efter de upplevt attacken själva. Kunden bör därmed skapa en egen uppfattning av vad de själva anser vara tillräckligt säkra produkter och tjänster för att de ska klara sig. Studiens resultat påvisar att kunder sällan vet vad de vill ha då de kontaktar molntjänstleverantören för hjälp med deras IT-säkerhet samt vad som krävs för att arbeta säkert vid distansarbete. Därför är det viktigt för molntjänstleverantören att ge tydliga beskrivningar om vilka möjligheter till produkter och tjänster som finns, samt varför de bör investeras i innan distansarbete möjliggörs.
Studiens resultat påvisar att en bra metod för att minimera risken för att krypteringsvirus ska bli kostsamma är att ständigt föra en kopia av företagets data som kan användas då den ursprungliga låses i utpressningssyfte. Furnell och Shah (2020) stärker detta då människan alltid kommer råka komma åt fel knappar då de arbetar på distans eftersom de inte är lika uppmärksamma i sitt arbete. Den vanliga konsekvensen är att angripare stjäl företagets data och kräver pengar för att ge tillbaka den och då är det en fördel att besitta säkerhetskopior på data som kan ersätta den data som angriparen låst (Furnell & Shah, 2020).
6.5 IT-säkerhet och distansarbete för hållbar utveckling
Distansarbete är ett fenomen som framkom i syfte att värna om miljön samtidigt som det sparar pengar för företag i form av minskade arbetstimmar (Belzunegui-Eraso & Erro-Garcés, 2020).
33 Att arbeta på distans är därmed nära anknutet till både en ekologisk och ekonomisk hållbarhet.
Pandemin (COVID-19) har tvingat företag till att arbeta i en hemmiljö som en åtgärd för att minska smittspridningen (Furnell & Shah, 2020). Detta har inneburit fördelar för den ekologiska hållbarheten då människor inte behöver resa lika långt för att ta sig till sin arbetsplats. Högre mobilitet och flexibilitet minskar förorening och påverkar koldioxidavtrycket positivt eftersom det innebär färre restimmar (Belzunegui-Eraso & Erro-Garcés, 2020).
Även den ekonomiska hållbarheten är något som distansarbetet bidrar till. Minskade arbetstimmar innebär ett värnande om företagets mänskliga resurser. Pandemin (COVID-19) innebar ett hårt slag mot företag eftersom det skapade svårigheter för dem att kunna utföra sina arbetsuppgifter. Att utföra arbete på distans var dock en lösning för många att fortsätta bedriva sin verksamhet samtidigt som de kunde försäkra de anställdas hälsa (Bonacini et al., 2020).
Distansarbetet innebär därmed ekonomisk hållbarhet i form av att kunna bedriva sin verksamhet och fortsätta sina inkomster trots fysiska problem. Studiens resultat indikerar att en molntjänst därmed bör användas för att samla data, eftersom det innebär högre säkerhet mot intrång. Utöver att fortsätta bedriva sin verksamhet på distans kan företag uppnå en ekonomisk hållbarhet genom att aktivt arbeta med sin strategi för IT-säkerhet (Sadik et al., 2020). Studiens resultat visar att det är till viss de upp till ledningen att ta ansvar för arbetet med IT-säkerhet men molntjänstleverantören behöver instruera hur arbetet går till.
Den sociala hållbarheten inom IT-säkerhet kan byggas i en tillit till sina medmänniskor vid distansarbete. För att aktörer inom ett företag ska kunna känna en tillit till varandra krävs detta säkra system och kompetenta medarbetare (Ko et al., 2011). För att då kunna försäkra den sociala hållbarheten behöver molntjänstleverantörer aktivt utbilda och hjälpa till med att skapa en tillit mellan samtliga anställda. Studiens resultat indikerar att först när tilliten finns och medvetenheten är hög nog kan ett företags system anses vara säkert mot attacker utifrån. Den sociala hållbarheten kan dock påverkas negativt av distansarbete. Arbetssättet kan innebära till att människor känner sig isolerade vilket påverkar deras arbetsrelationer negativt (Baert et al., 2020).
34
7. Slutsats
I detta kapitel presenteras slutsatsen där frågeställningen besvaras och förslag ges på framtida forskningsom kan utveckla forskningsområdet ytterligare.
Studien avser att besvara frågeställningen: Hur hanterar molntjänstleverantörer hot som uppstår mot molntjänsters IT-säkerhet vid distansarbete?
Syftet med studien är att undersöka risker och hot som molntjänster möter vid arbete på distans för att presentera förslag på hur dessa hot kan hanteras. Tidigare forskning understryker vikten av att behandla tekniska aspekter av vilka de främsta hoten för molntjänstleverantörer är. Vår studie bidrar med forskning som ifrågasätter äldre modeller för att identifiera och hantera hot mot IT-säkerhet då användare arbetar på distans. Tidigare forskning inom IT-säkerhet använder sig ofta av CIA-modellen, trots att den idag är en kontroversiell metod eftersom den utelämnar den socio-tekniska aspekten. Vi bidrar med forskning som med hjälp av semi-strukturerade intervjuer undersöker både tekniska och socio-tekniska säkerhetsaspekter för att skapa en uppfattning om vilka de största hoten mot molntjänsters IT-säkerhet vid arbete på distans idag är.
Studiens resultat tyder på att det socio-tekniska perspektivet är det viktigaste för molntjänstleverantörer att behandla, eftersom människan är oförutsägbar och misstagsbenägen.
Den mänskliga faktorn i misstag och beteenden är svårare att förutspå än tekniska attacker från externa angripare då användaren arbetar på distans. Studiens resultat indikerar att kompetensen är för låg bland systemanvändare och att molntjänstleverantörer därmed kommer att behöva spela en större roll för att utbilda och sprida kunskap för att det ska anses vara säkert för företag att tillåta användare att arbeta på distans.
De åtgärder som molntjänstleverantörer kan göra är till stor del att erbjuda stöd till sina kunder för att ge dem en förståelse över vad det innebär att skydda sina data samt vilka hot den är utsatt för vid distansarbete. För att göra detta behöver kunden kontakta experthjälp och ta del av de säkerhetstjänster som molntjänstleverantörer erbjuder. Det är dock svårt för kunden att ta hjälp av experter för att skydda sig mot problem de inte vet att de har ännu. Därför behöver molntjänstleverantörer tillsammans sprida kunskapen och vikten i att skydda sig, även för företag som idag saknar samarbete med en IT-säkerhetsexpert. Samarbetet mellan molntjänstleverantörer kan också förbättras. Genom att bilda en gemensam plattform där erfarenheter kan delas, kan molntjänstleverantörer tillsammans förebygga aktuella hot som är nya för marknaden.
7.1 Framtida forskningsförslag
Informationen som samlats in och beskriver studiens resultat har haft ett perspektiv och fokus på molntjänstleverantörer. För att utveckla studiens slutsats hade framtida forskning kunnat bedrivas med samma frågeställning och syfte, fast ur ett kundperspektiv. Det intressanta att utföra en studie ur detta perspektiv är att få en närmre kontakt med användare för att skapa en bild av hur de arbetar för att säkra sina system vid distansarbete. Studiens resultat har identifierat att kundorganisationerna själva bär stort ansvar för att se till att deras data är skyddad. Därför kan användarna som intervjuas bidra med information angående hur användande organisationer tillsammans arbetar för att höja den interna kompetens som krävs för att kunna arbeta säkert på distans. Studien kan även bli intressant för att få en bild av hur de upplever samarbetet med molntjänstleverantörerna. Eftersom resultatet i denna studie har ett ensidigt perspektiv från molntjänstleverantörer, hade en framtida studie med ett annat perspektiv därmed varit intressant för att få ta del av båda sidorna av samarbetet. Detta hade kunnat bedrivas både genom en kvalitativ intervjustudie för att bilda en djupare förståelse, men även med en kvantitativ enkätstudie för att få en generell bild över vilken syn företag som
35 använder molntjänster för arbete på distans har på IT-säkerhet och dess leverantörer. Studien har även fokuserat på hot som skapas när arbete utförs på distans vid användningen av molntjänst och därmed inte hanterat fysiska hot i form av stulen hårdvara eller familjemedlemmar som använder arbetsdatorn. En framtida studie som även undersöker dessa hot hade därför också varit intressant.
Referenser
[1] New York Public Library. (22 februari, 2011). What is Boolean Search?
https://www.nypl.org/blog/2011/02/22/what-boolean-search
Agrawal, N., & Tapaswi, S. (2017). Defense schemes for variants of distributed denial-of-service (DDoS) attacks in cloud computing: A Survey. Information Security Journal: A Global Perspective, 26(2), p.61-73.
Aleroud, A., & Zhou, L. (2017). Phishing environments, techniques, and countermeasures: A survey. Computers & Security, 68, 160–196.
Aljumah, A., & Ahanger, T, A. (2020). Cyber security threats, challenges and defense mechanisms in cloud computing. IET Communications, 14(7), p.1185-1191.
Alon, T. M., Doepke, M., Olmstead-Rumsey, J., & Tertilt, M. (2020). The impact of COVID-19 on gender equality (No. w26947). National Bureau of economic research.
Ames, A., & Stannard, J., & Stellmacher, D. (2019). UK Cyber Survey Key findings – General Public, IPSOS MORI Social Research Institute.
Augustinos, T. P. (2020). Home Sweet Workplace? Best’s Review, 5. p.18–19.
Baert, S., & Lippens, L., & Moens, E., & Weytjens, J., & Sterkens, P. (2020). The COVID-19 Crisis and Telework: A Research Survey on Experiences, Expectations and Hopes, IZA Discussion Papers 13 229, Institute of Labor Economics (IZA).
Baker, H.W., Rees, P. L., & Tippett, S. P. (2007). Necessary Measures: Metric-Driven Information Security Risk Assessment and Decision Making. Communications of the ACM, 50(10), p.101-106
Bella, G., Curzon, P., & Lenzini, G. (2015). Service Security and Privacy as a Socio-Technical Problem: Literature Review, analysis methodology and challenge domains.
Journal of Computer Security, 23(5), p.563–585.
Belzunegui-Eraso, A., & Erro-Garcés, A. (2020). Teleworking in the Context of the Covid-19 Crisis. Sustainability, 12(9), 3662.
Braun & Clarke. (2006). Using thematic analysis in psychology. Qualitative Research in Psychology, 3(2), 77-101
Bryman, A. (2018). Samhällsvetenskapliga metoder (3 uppl.). Stockholm: Liber AB.
Bonacini, L., & Gallo, G., & Scicchitano, S. (2020). Working from home and income inequality: risks of a ‘new normal’ with COVID-19. Journal of Population Economics, 34, p.303–360.
Chen, Y., Hwang, K., & Ku, W. (2007). Collabortaive Detection of DDoS Attacks over Multiple Network Domains. IEEE transactions on parallel and distributed systems, 18(12), p.1649-1662.
Christen, M., Gordijn, B., & Loi, M. (2020). The Ethics of Cybersecurity. Cham: Springer.
Christen, M., Gordijn, B., & Loi, M. (2020). The Ethics of Cybersecurity. Cham: Springer.