Den svaga länken : En kvalitativ studie om Social Engineering och användarmedvetenhet i svensk offentlig sektor

Den svaga länken

En kvalitativ studie om Social Engineering och

användarmedvetenhet i svensk offentlig sektor

Författare: Gustav Holmberg (990511), Emil Odobasic (950127), William

Åkerhielm (981108)

HT 2020

IK300G - Informatik med systemvetenskaplig inriktning, kandidatkurs, 30 hp Delkurs 3 - Uppsatsarbete 15 hp

Ämne: Informatik

Handelshögskolan vid Örebro universitet Handledare: Wipawee Victoria Paulsson Examinator: Åke Grönlund

Sammanfattning

Säkerheten kring informationssystem (IS) är något som blir viktigare i samband med att hot relaterade till IS växer. Ett vanligt tillvägagångssätt för förövare vars syfte är att komma åt information de inte är behöriga till är att fokusera på det som uttrycks som den svagaste länken i många organisationer - de anställda. Social engineering är ett tillvägagångssätt som en person kan använda för att utnyttja tilliten hos en annan individ eller organisation för att få tillgång till information eller informationssystem som den inte är behörig till.

Användarmedvetenhet beskrivs i litteraturen som en viktig del för att motverka exempelvis social engineering-attacker. Däremot är endast medvetenhet gällande risker inom IS inte nödvändigtvis nog för att ändra ett beteende, utan organisationer behöver arbeta aktivt för att uppnå en åtråvärd beteendeförändring. Med anledning av detta undersöker studien följande frågeställning: Hur arbetar den svenska offentliga sektorn med utmaningar runt Social

Engineering och användarmedvetenhet? En kvalitativ, induktiv metod med semistrukturerade intervjuer har använts för att samla in empirisk data, följt av tre faser av kodning för att bryta ner och analysera data. Diskussionen visar bland annat att myndigheten* upplever att

kontrollen över hot som social engineering förväntas att minska i framtiden och att utbildning är deras primära verktyg för att hantera dessa hot. Trots det stora fokus på utbildning visar resultatet att exempelvis klassificering av information i vissa fall ses som en gråzon. Huruvida denna gråzon är resultatet av att utbildningen är bristande eller ej är däremot inte tydligt och var inget studien fokuserade på.

Nyckelord: IS-säkerhet, Social Engineering, Användarmedvetenhet, Offentlig Sektor

Centrala begrepp:

IS - Informationssystem

Social engineering - Tillvägagångssätt för att manipulera människor till att avslöja

information eller komma åt informationssystem.

Användarmedvetenhet - Användarnas medvetenhet är kunskap som leder till lämpligt

säkerhetsbeteende.

Offentlig sektor - Den skattefinansierade verksamhet som drivs åt det allmänna, underställt

stat, primärkommun och sekundärkommun eller andra politiska enheter.

OSL [2009:400] - Offentlighets- och sekretesslag, offentlighetsprincipen

*Myndigheten - Svensk myndighet som förblir anonym genom uppsatsen för att inte avslöja

Förord

Vi vill rikta ett stort tack till organisationen, intervjupersonerna som deltagit och därmed gjort studien möjlig. Ett stort tack ska även ges till Hans Sjöberg som hjälpte oss att hitta kontakter till våra intervjuer, och till vår handledare, Victoria Paulsson, som har bidragit med värdefull kritik och vägledning under uppsatsens gång. Slutligen vill vi tacka alla övriga personer som under uppsatsens gång har bidragit med konstruktiv kritik och därmed bidragit till uppsatsens slutförande.

Innehållsförteckning

1. Introduktion 5

1.1 Bakgrund 5

1.2 Relevans och behov av studien 6

1.3 Syfte och frågeställning 6

1.4 Avgränsning 6

2. Tidigare forskning 7

2.1 Social Engineering 7

2.1.1 Tillit vid social engineering attacker 9

2.2.1 Fördomar gällande uppfattningen av risker 11

2.3 Offentlig och privat sektor 11

3. Metod 13 3.1 Litteraturöversikt 13 3.1.1 Tillvägagångssätt 13 3.1.2 Källkritik 14 3.2 Val av forskningsstrategi 15 3.2.1 Kvalitativ strategi 15 3.2.2 Induktiv metod 15

3.3 Datainsamlingsmetod: Semistrukturerade intervjuer 15

3.3.1 Intervjufrågor 16

3.3.2 Beskrivning av deltagande organisation 16

3.4 Etik 17 3.5 Analysmetod 17 3.5.1 Kodning av data 17 3.5.2 Open Coding 18 3.5.3 Axial Coding 19 3.5.4 Selective Coding 20 3.6 Metodkritik 20

4. Analys och resultat 22

4.1 Risker 22

4.2 Utbildning och beteende 23

4.3 Framtidsbild och lagstiftning 25

4.3.2 Förändring 26 4.4 Rutiner 27 5. Diskussion 29 6. Slutsatser 32 6.1 Vidare forskning 33 7. Källförteckning 34 Appendix A

5

1. Introduktion

I detta inledande kapitel presenteras ett problemområde som är bakgrunden till ämnet för att sedan presentera vad det finns för relevans och behov av studien. Slutligen leder detta till formulering av syfte, frågeställning och avgränsning för studien.

1.1 Bakgrund

I samband med ständigt växande framsteg inom teknologin, ökar även riskerna och säkerhetshoten. I takt med dessa framsteg, blir cyberkriminella personer alltmer tekniskt sofistikerade, vilket gör det mycket svårt att minimera eller eliminera eventuella risker fullt ut. Fokuset i dagsläget ligger på den svagaste länken inom dagens organisationer, som i många fall är människorna inom organisationen och inte de tekniska systemen. (Aldawood & Skinner, 2018)

Davis (2019) visade att 66% av IT-professionella menar att säkerheten är deras största orosmoment och att det vid år 2022 förväntas att 95% av säkerhetsfelen kring

molnanvändningen kommer att bero på kunderna. Att arbeta för att se till att de anställda är medvetna om dessa risker beskriver Aldawood och Skinner (2018) som något som bör prioriteras inom de flesta organisationer.

Social engineering syftar till att man ska få individer att göra saker för en främling som man annars inte hade gjort genom att man utnyttjar människors förtroende för att komma runt tekniska säkerhetsbarriärer (Mitnick, Simon & Wozniak, 2003). Mouton, Leenen och Venter (2016) ger ett exempel på en social engineering-attack i form av att en individ vill bli

uppkopplad mot en organisations nätverk. Individen uppnår exempelvis detta genom att den tar kontakt med kundtjänsten för organisationen eftersom att den har tillgång till känslig information som inloggningsuppgifter. Utifrån detta etablerar individen ett förtroende mellan sig själv och kundtjänsten genom att individen specificerar uppgifter för att verka vara någon som den egentligen inte är, för att sedan få tillgång till nätverket. Enligt Colwill (2009) är det vanligtvis snabbare och mer kostnadseffektivt att låta en intern hotkälla (exempelvis en anställd inom verksamheten) utnyttja sårbarheterna för att stjäla information, jämfört med att utföra en attack genom flera lager av skydd från ett externt perspektiv.

Användarmedvetenhet är enligt Winkler och Gomes (2017) kunskap som leder till lämpligt säkerhetsbeteende. Dock räcker det inte att bara ha kunskap; för att ha medvetenhet krävs det att man handlar utifrån den kunskap man besitter (Gulenko, 2013; Winkler & Gomes, 2017). Användare av ett system kan därför inte visa på hög medvetenhet om de inte förhåller sig till aktuella regelverk (förutsatt att man känner till dem) (Winkler & Gomes, 2017).

6

1.2 Relevans och behov av studien

Relevansen för uppsatsen bygger på två identifierade kunskapsluckor. Den första är att IS-säkerhet i den offentliga sektorn behöver ytterligare forskning för att stärka den empiriska grund som finns (Wirtz & Weyerer, 2016). Den andra kunskapsluckan som har identifierats är att det inte finns tillräckligt med forskning som bygger på kvalitativa studier runt social engineering (Aldawood & Skinner, 2018). Baserat på dessa två kunskapsluckor gjordes beslutet att undersöka användarmedvetenhet i relation till social engineering i den svenska offentliga sektorn, i form av en kvalitativ studie.

På senare tid har en kvalitativ studie (Aldawood & Skinner, 2020) gjorts där man har intervjuat IS-säkerhetsexperter för att få en mer komplex och djupgående bild av området social engineering, men området behöver utifrån vår egen tolkning fortfarande vidare forskning.

1.3 Syfte och frågeställning

Syftet med denna uppsats är att bidra med utökad kunskap gällande användarmedvetenhet i relation till social engineering inom den svenska offentliga sektorn.

Då litteraturöversikten inte visade på ett specifikt fokus på den offentliga sektorn, syftar vi till att undersöka aspekten användarmedvetenhet runt social engineering i den offentliga sektorn i Sverige. Målet är att uppsatsens resultat ska kunna användas för att få en mer nyanserad förståelse för användarmedvetenhet i relation till social engineering, samt skillnader som finns mellan den privata och offentliga sektorn inom detta område. Följaktligen är målet även att resultatet skall ge en nyanserad förståelse för hur dessa utmaningar påverkar den svenska offentliga sektorn. För att uppnå detta har följande frågeställning formulerats:

● Hur arbetar den svenska offentliga sektorn med utmaningar runt Social Engineering och användarmedvetenhet?

1.4 Avgränsning

Uppsatsen kommer primärt att fokusera på användarmedvetenhet i relation till social

engineering i den offentliga sektorn. Detta med anledning av att det empiriska underlaget har funnits vara bristande inom området. Slutsatsen drogs att endast social engineering var ett för brett område. Vi kommer främst att undersöka utmaningar som specifikt rör den offentliga sektorn och vilka paralleller som kan dras till den privata sektorn. Semistrukturerade intervjuer av personer med lång erfarenhet inom IS-säkerhet på en myndighet har använts som kvalitativ datainsamlingsmetod.

7

2. Tidigare forskning

I studiens andra kapitel kommer vi att presentera de begrepp och teorier som studien kommer att fokusera på och som är av betydelse för uppsatsen. Vi börjar med att presentera social engineering som fenomen och vad det innebär, samt tidigare forskning kring det. Sedan presenteras annan tidigare forskning som ska hjälpa oss att svara på vår frågeställning som presenteras i 1.4.

2.1 Social Engineering

Krombholz, Hobel, Huber och Weippl (2014) menar att social engineering är det mest effektiva sättet att få tillgång till oberättigad information. Social engineering handlar om att man ska utnyttja och manipulera användare som har tillgång till information inom ett system och på så sätt få dem att ge upp informationen i fråga. Detta istället för att man specifikt gör attacker på systemet direkt (Krombholtz et al,. 2014). Krombholtz et al. (2014) har definierat olika typer av social engineering-attacker beroende på vilket tillvägagångssätt man väljer att ta. Beroende på tillvägagångssätt involverar attackerna tre olika aspekter:

● Fysiska ● Sociala ● Tekniska

Ett fysiskt tillvägagångssätt syftar till att den som utför attacken själv handlar fysiskt för att få tillgång till information. Detta involverar exempelvis att en person lyckas ta sig in i en

organisations lokaler. Utifrån detta får personen otillåten tillgång till information som exempelvis finns skriven på post-it-lappar, såsom användarnamn och lösenord till organisationens system (Krombholtz et al,. 2014).

Den andra typen är sociala tillvägagångssätt som involverar att de som utför attacken

implementerar socio-psykologiska tekniker för att på så sätt manipulera och påverka de som har hand om känslig information. Gärningsmännen använder detta tillvägagångssätt för att öka sina chanser att lyckas få tag på känslig information genom att de försöker skapa ett personligt förhållande med den de talar med (Krombholtz et al,. 2014). På senare tid har metoderna utvecklats en del i och med den tekniska framgången där man använder exempelvis smartphones som verktyg (Hatfield, 2018).

Omvänd Social engineering är också ett tillvägagångssätt som de som utför attackerna kan implementera. Detta innebär att gärningsmannen försöker få sig själv att verka vara en del av organisationen i fråga, och på så sätt skapa en slags trovärdig persona. Genom detta vill gärningsmannen att någon som faktiskt är en del av organisationen ska vara den som tar den initiala kontakten. Enligt Krombholtz et al. (2014) involverar omvänd social engineering tre delar i form av att man först och främst på något sätt saboterar eller skadar

8 som kan lösa det problem som har uppstått för organisationen. I och med att organisationen sedan ber om hjälp, löser gärningsmannen problemet. Detta görs genom att gärningsmannen exempelvis ber om någons lösenord, eftersom det är det som krävs för att lösa det problem som har uppstått. Detta leder till att känslig information enkelt kan hamna i fel händer. Ett tekniskt tillvägagångssätt som också kan implementeras syftar till att man exempelvis utför attackerna genom internet (Krombholtz et al, 2014). Krombholtz et al. (2014) syftar till att många människor inte är medvetna om att de öppet delar med sig av information på internet som gärningsmännen kan ta del av. Utifrån detta blir det enkelt för gärningsmännen att få tag på information som är kopplad till de framtida offren genom att de exempelvis använder sig av sökmotorer. Krombholtz et al. (2014) menar att sociala medier också är en värdefull källa för att få tag på information gällande framtida offer. Krombholtz et al. (2014) syftar till att de mest lyckade social engineering-attackerna oftast sker av gärningsmän som väljer att kombinera flera olika tillvägagångssätt, vilket i sin tur har lett till att det

sociotekniska tillvägagångssättet har blivit ett effektivt vapen för de som utför social engineering-attacker. Ett exempel på en socioteknisk social engineering-attack är spear-phishing där data samlas in som berör målet med syfte att ge en mer tillförlitlig bild (Krombholtz, 2014). Dessa attacker involverar att gärningsmannen skickar ut anpassade meddelanden via exempelvis e-post till potentiella offer. Jagatic, Johnson, Jakobsson och Menczer (2007) använde sig av olika sociala medier för att samla data om användare och skicka meddelanden som var anpassade och modifierade på så sätt att det verkade som att de var skickade från vänner eller nära bekanta. Genom att specifikt använda sig av detta

tillvägagångssätt ökade lyckade phishing-attacker från 16 procent till 72 procent.

Mouton, Leenen och Venter (2016) presenterar ett ramverk för en social engineering-attack i form av en ontologisk modell. Detta ramverk syftar till att ge en helhetsbild av vilka

komponenter som tillsammans utgör en attack. Författarna menar exempelvis att en

komponent i ramverket är den individ som utför själva attacken och att det alltid i samband med en social engineering-attack finns en “Social Engineer”. Mål är också en viktig

komponent där målen med en social engineering-attack ofta är kopplade till ekonomisk vinst, otillåten åtkomst av information, eller att skapa störningar i arbetsflöden (service disruption) (Mouton et al. 2016).

I vår studie kommer vi främst att fokusera på sociotekniska tillvägagångssätt inom social engineering. Detta baserat på Krombholtz et al (2014) som påstår att det sociotekniska tillvägagångssättet är det mest effektiva och aktuella när det kommer till social engineering attacker. Tolkningen vi har gjort utifrån Krombholtz et al (2014) är att dessa sociotekniska typer av attacker involverar t.ex phishing med data mining. Krombholtz et al (2014) refererar till konceptet phishing med data mining som att man utvinner relevant information angående personen man vill påverka för att på så sätt göra attacken mer trovärdig. Slutsatsen vi drar är att ett sociotekniskt tillvägagångssätt är det mest anpassningsbara när det kommer till hur man vill bygga upp sin attack och att detta tillvägagångssätt därför är det mest passande av de nämnda att undersöka.

9

2.1.1 Tillit vid social engineering attacker

Aldawood och Skinner (2018) menar att ett begrepp som många forskare anser är viktigt för social engineering attacker är tillit. Tillit definieras som:

“a psychological state comprising the intention to accept vulnerability based upon positive expectations of the intentions or the behavior of another” (Rousseau, Sitkin, Burt, & Camerer, 1998, s.394).

Människor tenderar till att lita på varandra i olika situationer och har därför lätt för att avslöja personlig information (Junger, Montoya & Overink, 2016). En undersökning gjord utav Arachchilage och Love (2014) visar på att de flesta datoranvändare tenderar att lita för mycket på främlingar och att de därför saknar säkerhetsmedvetenhet, och är på det sättet sårbara för attacker av detta slag. När en social engineering-attack utförs, försöker hackaren komma åt information eller till och med informationssystem som den inte är behörig till (Aldawood & Skinner, 2018). En sådan attack kan däremot bara utföras när tilliten hos individen eller organisationen har byggts upp (Gulenko, 2013). Idag har de flesta

organisationer och regeringar ett intresse att skydda känslig information och därmed även medborgarnas förtroende. Medborgarna behöver i sin tur lita på att dessa organisationer gör rätt för sig (Mouton et al., 2016).

För att öka förståelsen för exempelvis social engineering behövs utbildning och träning i säkerhets- och medvetenhetstänk. Detta bör sikta mot att förbättra förtroendet eller tilliten mellan den anställda och arbetsgivaren. Det kan bland annat uppnås genom att utveckla förståelsen gällande anledningen till varför säkerhetspolicys och kontroller tillämpats och faktumet att det är något som berör allas långsiktiga intresse (Colwill, 2009; Ki-Aires & Faily, 2017). Utbildningen på faktiska säkerhetshot och sårbarheterna som finns, bör främst beröra säkerhetshot eller användning av opålitliga källor, enheter eller andra osäkra källor. Teorin är att dessa kommer att ge mer avskräckande effekter för de anställda och gör dem mer medvetna om problemen som uppstår och kommer därmed med stor sannolikhet känna igen och rapportera misstänkta aktiviteter. För att jobba med säkerhet och tillit krävs det att man arbetar med användarmedvetenhet och att man använder sig utav utbildning för att öka denna (Colwill, 2009).

2.2 Användarmedvetenhet

Användarmedvetenhet beskrivs som kunskap som sedan leder till lämpligt säkerhetsbeteende. Litteraturen beskriver däremot att kunskap i sig inte räcker för att förändra ett beteende. Att ha medvetenhet kräver att man handlar utifrån den kunskap man har (Winkler & Gomes, 2018; Gulenko, 2013). Ki-Aires och Faily (2017) beskriver att målgruppen måste vara motiverad gällande att applicera beteendeförändringar och förändring av riskuppfattningar - något som även är i linje med Winkler och Gomes (2017) där man beskriver att endast medvetenhet inte räcker. Rocha Flores och Ekstedt (2016) beskriver att en individ kan vara

10 medveten om saker som inte är bra för dem, men inte förändrar beteendet. I artikeln använder man ett exempel med rökning och menar att även fast många vet att det är dåligt, så röker de ändå. Winkler och Gomes (2017) menar att användare av ett system inte kan visa på en hög grad av medvetenhet om de inte förhåller sig till de regelverk som har blivit uppsatta. En individ kan därmed vara medveten om riskerna som finns kopplade till social engineering genom tidigare erfarenheter eller om denne har intresse för detta (Rocha Flores & Ekstedt, 2016; Ki-Aires & Faily, 2017; Winkler & Gomes, 2017). Vidare beskriver de att en individ också kan ha kännedom om specifika regelverk kopplade till social engineering attacker, samt få träning i regelverket som gör att denne blir medveten om vad som är acceptabel användning av IS. Ki-Aires och Faily (2017) beskriver att det är viktigt att arbeta för att se till att målgruppen förstår omfattningen av hoten samt att de förstår hur dessa ska hanteras. Sedan måste individerna vara motiverade att agera på ett sätt som är i linje med dessa kunskaper. Ki-Aires och Faily (2017) redogör för att uppsatta mål gällande medvetenhet i relation till säkerhet i vissa fall var tydligt identifierade och vidareförda men att det på en kulturell nivå fanns motstridigheter. De menar att sådana situationer kan bero på att de anställda inte upplevde någon belöning för beteenden som organisationen strävar efter, eller att man inte upplever att man har den befogenhet som krävs för att göra IS-säkerhetsbeslut. Ki-Aires och Faily (2017) menar att program utformade med syftet att öka medvetenheten lyckas bättre när det finns ett stöd från toppen av organisationen (t.ex VD, chefer etc) som sedan tillämpas genom hela organisationen. Artikeln lägger även vikt vid att se till att detta stöd är anpassat för verksamheten, dess anställda och organisationskulturen.

En del som ligger till grund för att kunna se beteenden och medvetenheten är hur man ser på informationssäkerhetskultur inom organisationen. Kultur definieras som “a pattern of basic assumptions that a group of individuals has developed in learning to cope with its problems of external adaptation and internal integration.”(Schein, 1984). Informationssäkerhetskultur är något som påverkar åtgärderna avsevärt i form utav konfidentialitet, tillgänglighet och ansvarighet, och är därför något som kan associeras med anställdas medvetenhet kring informationssäkerhet, attityd och normativa övertygelser om olika hot. För att en

informationssäkerhetskultur ska fungera effektivt inom organisationen behövs även någon form av transformationsledarskap. Detta är något som inträffar när en individ med

ledarposition, utvidgar och höjer upp underordnade intressen för individer inom

organisationen. Detta för att skapa en bättre medvetenhet, acceptera gruppens syfte och motivera individer att se bortom sitt eget intresse och istället se till organisationens bästa. I samband med detta påpekas vissa koncept vara kopplade till informationssäkerhet. Detta kan exempelvis vara att ledaren ska formulera en vision för säkerhet, så att alla anställda lätt och tydligt kan förstå målen för informationssäkerhet inom organisationen. (Rocha Flores & Ekstedt, 2016)

11

2.2.1 Fördomar gällande uppfattningen av risker

Uppfattningen av risker är ett område inom forskningen som är väldigt komplext då det är en kombination utav sociala, kulturella, ekonomiska, psykologiska, finansiella och politiska faktorer (Vance, Anderson Brinton, Kirwan Brock & Eargle, 2014). I Vance et al. (2014) drogs slutsatsen att de flesta forskare (med undantaget för Workman, Bommer och Straub (2008) mätt avsikterna med upplevda risker snarare än det faktiska beteendet som den beroende variabeln. Schneier (2008) menar att det är värdelöst att fråga om ett visst mått är effektivt mot ett hot eller inte. Man menar däremot att det är värdefullt att fråga om en viss avvägning är lämplig eller inte. Schneier (2008, s.93) använder följande analogi för att förklara konceptet:

“...to a rabbit, who eats and then sees a fox. The rabbit has to do a trade-off, whether to run away or to keep on eating. If the rabbit runs away too often he will starve, if he keeps on eating too long, he will be eaten. The rabbits survive, which can do this security trade-offs successfully on a long-term basis.”.

Detta kan kopplas till social engineering och användarmedvetenhet specifikt genom att en organisation som tar för många åtgärder mot eventuella hot kan komma att mista för stor del av sin verksamhet och på så vis, likt kaninen, dö. Exempel på detta kan vara att anställda uppfattar allt som ett möjligt hot vilket i sin tur drar ner dennes produktivitet. Den andra delen av spektrumet kan beskrivas som att organisation inte är försiktig nog och tar mer risker. Tar organisationen för många risker och agerar vårdslöst kan detta resultera i att organisationen på detta sätt istället blir för utsatt för attacker och därmed går under på grund av detta. Exempel på detta kan vara att inte nog med fokus läggs på att se till att de anställda är medvetna om riskerna och därmed exempelvis faller offer för phishing eller släpper in obehöriga individer i serverhallar eller liknande. De organisationer som klarar sig är enligt Schneier (2008) de som hittar en balans i denna riskhantering.

2.3 Offentlig och privat sektor

IS-säkerhet (den kategori som social engineering ingår i) beskrivs i Wirtz och Weyerer (2016) som en av de mest allvarliga ekonomiska och nationella utmaningar som i detta fall USA står inför. Trots detta är det vetenskapliga underlaget bristande gällande IS-säkerhet inom den offentliga sektorn (Wirtz & Weyerer, 2016), vilket är relevant då Baarspul och Wilderom (2011) menar att det är vida känt att organisationer inom offentlig och privat sektor skiljer sig åt i sin verksamhet.

I uppsatsen diskuteras användarmedvetenhet i relation till social engineering som inom den offentliga sektorn och drar vissa paralleller till den privata sektorn. Då dessa enligt Baarspul och Wilderoom (2011) skiljer sig åt avsevärt anser vi att dessa två sektorerna bör definieras och grundas externt då vi gör tolkningen att en individuell tolkning av dessa har potentialen

12 att ändra betydelsen av uppsatsen. Wegrich (2014)1 _{definierar den offentliga sektorn enligt} följande:

“Public sector, portion of the economy composed of all levels of government and

government-controlled enterprises. It does not include private companies, voluntary organizations, and households.”.

Begreppet privat sektor beskrivs i Cambridge Dictionary (2020)2 som följande:

“Private sector: relating to the part of a country's economy that consists of companies, businesses, etc. that are not owned by the government”.

De privata företagen är vinstdrivande. Deras budget styrs utifrån vinster som dessa företag gör medan en offentlig verksamhet inte drivs utav vinsten utan har en budget som utgår ifrån statens skatteintäkter. Detta innebär att en privat verksamhet som inte är lönsam oftast går i konkurs förr eller senare. En myndighet får istället göra om budgeten år för år, utifrån skatteintäkterna och regeringens budget, och kan inte gå i konkurs på samma sätt som de privata företagen. (Söderström, 2018, 5 september)

I Sverige finns det bland annat lagstiftning som bestämmer vad en myndighet får lämna ut för information, exempelvis genom allmänna handlingar. Detta regleras i offentlighets- och sekretesslagen ([OSL] SFS 2009:400). Lagen omfattar bara den offentliga sektorn och rör inte den privata sektorn i samma utsträckning. Inom den privata sektorn regleras det istället i avtal mellan de anställda och arbetsgivaren - så kallade sekretessavtal. Dessa avtal upphör normalt sett då en arbetstagare har slutat arbeta på företaget, men det beror på avtalets

utformning (Lexly, 2021). Därav kan drivkrafterna för en organisation inom privat sektor inte antas vara densamma som för en offentlig myndighet.

1 _{Ett citat taget från en webbsida och inte en artikel därav inget sidnummer} 2 _{Ett citat taget från en webbsida och inte en artikel därav inget sidnummer}

13

3. Metod

I studiens tredje kapitel förklaras tillvägagångssättet som användes för att genomföra denna studie. I detta kapitel beskrivs tillvägagångssättet för litteraturöversikten för att sedan kritiskt granska denna. Detta följs sedan av en förklaring till valet av forskningsstrategi och hur valet att samla in och tolka data har gjorts samt en beskrivning av de personer vi valt att intervjua. Detta följs av en diskussion om kritiska och etiska ställningstaganden kopplat till studiens arbetssätt, analysmetod och metodkritik.

3.1 Litteraturöversikt

I denna del förklaras först tillvägagångssättet för litteraturöversikten som är gjord i studien följt utav kritiken som finns mot de källor som används i studien.

3.1.1 Tillvägagångssätt

Utgångspunkten bestod av att söka efter artiklar som bedömdes relevanta i databaserna Primo, Google Scholar & IEEE Xplore. De sökningar som gjordes har innefattat dessa termer och tecken:“social engineering”, “social engineering” + “information security”, “social engineering” + “literature review”, “user awareness” + “public sector” + “information security”,

Resultatet av sökningen blev väldigt varierat beroende på sök kombination. Valet gjordes sedan att sålla ut artiklar utifrån rubriken på artikeln, året de var publicerade och antalet citeringar. Sedan gjordes valet att endast gå igenom de fyra första sidorna med resultat på varje databas och sedan valde ut artiklar utifrån om rubriken stämmer med vårt syfte, om den var citerad tio gånger eller mer, att den var tio år eller nyare (2010 och framåt), samt att de skulle vara gratis. I Google Scholar går det inte att bara välja endast peer reviewed artiklar. I Primo och IEEE Xplore fylldes filtrering som bara visar artiklar som är peer reviewed i. I artiklarna som hittades med hjälp av Google Scholar har vissa undantag gjorts från peer reviewed kriteriet på grund utav att de kommer från en respektabel källa. Detta har gjorts genom att granska att artikeln har artiklar som är peer-reviewed som referenser och att de vid publiceringen av artikeln var verksamma vid ett universitet eller institution av motsvarande kvalitét. Det ledde till en genomgång av sammanfattningen på 30 artiklar som slutligen ledde fram till ett tiotal artiklar som ansågs vara relevanta för studien och den första

litteraturöversikten. Under den första litteraturöversikten gjordes även sökningar efter artiklar där intressanta begrepp och teorier förklarades vidare, t.ex. genom citeringar från andra forskare som hade sina artiklar i referenslistan på en av grund artiklarna. Det visade sig dock att vissa artiklar var äldre än tio år men med fler citeringar, därav ansågs dem relevanta för vårt arbete. Dessa har hittats genom ett så kallat snöbollsurval utifrån valet av våra

14 Under senare delar av arbetet drogs slutsatsen att det finns flera teorier och synsätt som förklarar vårt område och förhållningssätt. Det har successivt lett till sökande efter artiklar, exempelvis Winkler och Gomes (2017) och Ki-Aires och Faily (2017), för att förklara frågeställningar och definiera begrepp kopplat till användarmedvetenhet och dess koppling till IS-säkerhet.

3.1.2 Källkritik

Studien inkluderar främst artiklar som är peer-reviewed då dessa har blivit noggrant granskade och därmed rimligtvis håller en hög standard. Som tidigare nämnt har vissa undantag från detta kriterium gjorts. Ett exempel på en sådan källa är Aldawood och Skinner (2018). Dock skrivs det i och med dessa undantag accepted eller submitted följt av ett datum i relation till artiklarna. Enligt Moberg (2015) kan dessa artiklar ändå ha genomgått en peer-review-process, men det är ingen absolut garanti för att så är fallet. Det kan betyda att artikeln blivit accepterad för publicering utan att ha gått igenom en peer-review process.

Avvägningen gjordes däremot att dessa artiklar behövde tas med då det empiriska underlaget inom IS-säkerhet i offentlig sektor (Wirtz & Weyerer, 2016) och social engineering med en kvalitativ ansats (Aldawood & Skinner, 2018) fanns vara bristande. Något som söktes efter men inte hittades var litteratur runt social engineering och användarmedvetenhet i den svenska offentliga sektorn. Detta ansågs vara relevant då det är just social engineering och användarmedvetenhet i sammanhanget svensk offentlig sektor som är det studien fokuserar på. Då sådana artiklar uteblev användes likartade internationella artiklar som Wirtz och Weyerer (2016) som berör IS-säkerhet överlag i den offentliga sektorn - inte bara Social Engineering. Sådana internationella artiklar valdes att användas dessa eftersom att antagandet gjordes att resultaten i dessa åtminstone i viss mån skulle vara överförbara till den svenska offentliga sektorn.

Följaktligen har studien använt diverse böcker; främst för att grunda argumentering för metodval (Oates, 2006; Gilje & Grimen, 2007; Bryman, 2012) men även med syftet att definiera begrepp som användarmedvetenhet (Winkler & Gomes, 2017). Hur hållbara dessa är i forskningssammanhang kan diskuteras. Bedömningen gjordes att dessa böcker är från akademiska källor av hög kvalitet, respekterade och relevanta nog för att på ett hållbart sätt göra en extern grundning av metodval och teori. Utifrån vissa perspektiv kan användandet av böcker och artiklar som inte är peer reviewed påverka hållbarheten och relevansen i studiens argument, metoder och slutsatser negativt. Vissa av artiklarna som citat är hämtade från har hämtats från både primär och sekundärkällor. Därav gjordes valet att inkludera båda källorna i vår källförteckning för att vara transparenta med detta, samt att en kort förklaring skrivs vid saker som kan tolkas på olika sätt i texten.

15

3.2 Val av forskningsstrategi

3.2.1 Kvalitativ strategi

Bryman (2012) lyfter huvudsakligen två strategier för att bedriva forskning: den kvantitativa och den kvalitativa strategin. Med strategi menar Bryman (2012) den generella orientering på den forskning som bedrivs. Den kvantitativa strategin baseras på statistik som kan

kvantifieras, t.ex antal personer som besöker en webbplats och kanske när på dygnet detta sker. Denna typ av statistik går på ett tydligt sätt att mäta. En kvalitativ strategi betonar däremot innehåll som ofta är mer subjektivt och som inte nödvändigtvis kan kvantifieras på samma sätt som med den kvantitativa statistiken och kan bestå av exempelvis dokument producerade av verksamheten, intervjuer eller observationer (Oates, 2006). Aldawood och Skinner (2018) rekommenderar i sin litteraturstudie om Social Engineering att man i framtiden gör just en kvalitativ studie runt konceptet då det tidigare har gjorts en del kvantitativa studier men att kvalitativa studier till stor del har uteblivit. Detta kopplat till faktumet att social engineering är ett socialt fenomen med många beståndsdelar och därmed i vissa fall svårtolkat (Gilje & Grimen, 2007) har lett till slutsatsen att en kvalitativ strategi lämpar sig väl för denna uppsats.

3.2.2 Induktiv metod

Bryman (2012) menar att en induktiv metod är lämplig om man inte har bra förståelse för det som studeras. Baserat på litteraturöversikten finns det generellt sett inte mycket tidigare forskning gällande den offentliga sektorns verksamhet inom IS-säkerhet (Wirtz & Weyerer, 2016) eller gällande kvalitativa aspekter av social engineering (Skinner & Aldawood, 2018). I en induktiv metod analyseras resultatet först utan någon direkt jämförelse med teori. Något som däremot bör noteras är att grundteorin och de initiala frågeställningarna utgörs av den förkunskap som vi har fått från bland annat litteraturöversikten och är inte något som går att bortse från (Gilje & Grimen, 2007). Således är det omöjligt att bortse från tidigare forskning helt. I slutet kopplas sedan eventuella mönster som hittats till den tidigare forskning som har presenterats i litteraturöversikten (Bryman, 2012). Följaktligen är den induktiva metoden enligt Bryman (2012) främst associerad med en kvalitativ strategi, vilket i sin tur är den strategi studien utgår från. Med anledning av detta gjordes beslutet att utforma studien utifrån en induktiv metod.

3.3 Datainsamlingsmetod: Semistrukturerade intervjuer

Oates (2006) nämner ett antal sätt att samla in data på med en kvalitativ metod; bland annat nämns intervjuer, observationer och granskning av en verksamhets dokument. Denna studie använder sig av semistrukturerade intervjuer. Med semistrukturerade intervjuer menar Oates (2006) att man har en klar och tydlig lista med frågor, samt ämnen man vill diskutera.

16 väljer att ställa frågorna på, samt att man även får möjlighet att ställa frågor som

nödvändigtvis inte står med i den ursprungliga listan om nya teman kommer på tal. Då vi, som nämnt i 3.2.1, inte har en bra uppfattning gällande hur social engineerings funktion i den offentliga sektorn ser ut kan vi därför inte vara säkra på vad för typ av svar som ges i

intervjuerna.

En semistrukturerad intervju valdes framför en ostrukturerad intervju dels (1) på grund av att vi vill få ett kontinuerligt sammanhang där likartade förutsättningar ges och analys av

gemensamma teman kan göras - något som kanske inte hade varit möjligt på samma nivå i en ostrukturerad intervju. Dels (2) valdes semistrukturerade intervjuer med anledning att vi, trots bristen av inblick i verksamheten, har en relativt bra uppfattning av social engineering och hardärmed, till viss del, en bra uppfattning om vart konversationen ska drivas.

3.3.1 Intervjufrågor

Intervjufrågorna har först och främst utformats utifrån litteraturöversikten som presenterades tidigare i avsnitt 2. Således var syftet med frågorna att de skulle vara utformade på så sätt att de berör det teoretiska underlag som bedömts vara viktig för att kunna besvara

forskningsfrågan som definierades i 1.3. Dessa frågor berör specifikt social engineering som fenomen, tillit vid social engineering-attacker, användarmedvetenhet och olika fördomar för uppfattningen av risker. Utöver detta har även hänsyn tagits till ytterligare två aspekter: intervjupersonernas möjlighet att ge svar på frågeställningen samt huruvida de är tillåtna att lämna ut den informationen. Då intervjupersonerna i förväg har reserverat sig rätten att inte svara på vissa frågor, samt möjligheten att i efterhand stryka innehåll från intervjun var detta något som behövdes ta med i åtanke. En central del av formuleringen av frågor var således att, i möjligaste mån, inte ställa frågor som berör sekretessbelagd information för att säkerställa att intervjupersonerna hade möjlighet att svara på frågorna.

Intervjuerna inleddes med kallprat för att bryta isen och för att etablera en personlig kontakt. Sedan går intervjun över till generella frågor, exempelvis hur länge personen hade arbetat med IS-säkerhet och hur länge denne hade arbetat i den rollen som de har nu för att etablera en utgångspunkt. Den första frågan som kräver ett mer nyanserat svar är vad för tre hot runt social engineering som intervjupersonerna anser utgöra störst risker mot myndigheten för att skapa en bild av den intervjuades perspektiv på social engineering i relation till myndigheten. Baserat på det svar som gavs på frågan om hot fördes samtalen mot myndighetens

riskbedömning. Fortsättningsvis ställdes frågor som var specifikt utformade utifrån det teoretiska underlag som tidigare har definierats.

3.3.2 Beskrivning av deltagande organisation

I studien deltar en svensk myndighet med över 5000 anställda som har verksamhet i hela landet. 2 personer med chefspositioner inom IS-säkerhet som är verksamma på samma myndighet intervjuades. 1 timme per intervju avsattes. Myndighetens interna Skypeverktyg

17 har utifrån myndighetens egen begäran använts på grund av säkerhetsskäl. Identiteten på individerna samt myndigheten har av säkerhetsskäl begärts förbli anonyma. Nedan finns en tabell med information gällande intervjuerna.

Personer Erfarenhet Område Organisation Intervjulängd Datum

Intervjuperson 1 35 år IS-säkerhet Svensk myndighet 53:07:00 2020-12-10

Intervjuperson 2 17 år IS-säkerhet Svensk myndighet 49:43:00 2020-12-15 (Figur 3: Tabell för sammanställning av intervjupersoner)

3.4 Etik

Syftet med uppsatsen är, förutom att bidra till en utökad förståelse för hot gällande

användarmedvetenhet i relation till social engineering inom den offentliga sektorn, att göra detta på ett säkert sätt som inte äventyrar myndighetens säkerhet. Myndigheten som har ingått detta samarbete har därför av säkerhetsskäl ställt kravet att myndighet och intervjupersoner förblir anonyma med anledning att förhindra att sårbar information runt en specifik

myndighet kommer ut till allmänheten. Vidare, har intervjupersonerna och myndigheten reserverat rätten att (1) avstå från att svara på frågor vars innehåll lämnar ut information som de bedömer känslig, samt att (2) i efterhand ha möjlighet att stryka delar från intervjun vars innehåll de anser utgöra en säkerhetsrisk. Kopior av den transkriberade intervjun och den färdigställda uppsatsen skickades sedan till intervjupersonerna för att en sista gång granska innehållet, för att sedan godkänna det för publicering.

3.5 Analysmetod

3.5.1 Kodning av data

Inledningsvis har transkribering av intervjuerna gjorts för att sedan kategorisera centrala teman och begrepp. Detta gjordes i tre steg av kodning som är baserade på Grounded Theory från Oates (2006). Syftet med detta är att på ett systematiskt sätt bryta ner data till en mer hanterbar entitet som sedan kan analyseras och diskuteras. Det tredje steget, Selective Coding, har däremot modifierats för att passa studien.

1. Open Coding: Här syftar man till att göra en initial märkning av data med teman som återfinns i data - inte litteraturen eller tidigare teorier. Resultatet av denna fas presenteras i kapitel 3.5.2, figur 4.

2. Axial Coding: I denna fas kopplas koder samman med syftet att analyseras på en abstrakt nivå för att på så sätt kunna se vilka koder som hänger ihop, samt hur dessa förhållanden

18 ser ut. Utifrån detta värderas koderna hierarkiskt och kategoriseras sedan. Denna fas resulterade i en illustrationen som presenteras i kapitel 3.5.3, figur 5.

3. Selective Coding: Centrala teman extraheras från koderna som har valts ut. Innehållet från intervjuerna som bedöms som relevant för dessa koder kommer att presenteras, analyseras och diskuteras. Analysmetoden har däremot modifierats för att passa syftet då studien inte internt grundar en teori i denna studie. Istället syftar studien till att utifrån analysen av den insamlade data hänvisa till tidigare forskning för att sedan grunda slutsatser.

Resultatet från intervjuerna har delats upp i olika delar för att på ett tydligt sätt definiera centrala begrepp och koncept. Dessa begrepp och koncept berörs främst i relation till social engineering och riskerna som intervjupersonerna på myndigheten upplever att verksamheten ställs inför runt social engineering. Precis som Oates (2006) rekommenderar så har studien implementerat ett tillvägagångssätt som fokuserar på konstant jämförande och förbättring av koderna under kodningsfasen. Detta innebär att när nya koncept eller teman hittats så har vi gått tillbaka och itererat över tidigare identifierade koncept, teman och koder för att se om det finns ytterligare intressanta kopplingar som kan göras till de redan identifierade koderna.

3.5.2 Open Coding

Som en initial process skapades en lista med begrepp för att bryta ner och kategorisera vad som sades och i vilka intervjuer det sades i. För att kunna göra detta började analysprocessen med att utifrån transkriberingen av intervjuerna markera relevanta och frekventa begrepp för att på så sätt se vad som sades i varje intervju av varje intervjuperson. I och med detta hittades teman i svaren från intervjuerna som sedan har noterats och kategoriserats i form av en lista där olika kategorier skapar en överblick av generella teman, och sedan markerar om det nämns av båda intervjupersoner eller bara av en. Många av dessa teman blir till som resultat av frågor (t.ex användarmedvetenhet och social engineering). Vissa teman är resultat av intervjun som ansågs vara relevant. Open Coding ska enligt Oates (2006) inte göras genom att jämföra resultat med litteratur men enligt Gilje och Grimen (2007) är det omöjligt att ignorera de förkunskaper som införskaffats från litteraturöversikten. Således är dessa begrepp till viss del relaterade till den tidigare forskning som har presenterats i studien. Utifrån resultatet i Open Coding kan initiala tolkningar av teman och begrepp göras som sedan utvecklas i fortsättningen av coding-processen.

Begrepp IP1 IP2

Social Engineering x x

Transparens x x

Användarmedvetenhet x x

Utbildning x x

19 Service x Risker x x Förtroende x x Organisationella drivkrafter x Lagstiftning x x Acceptans x x Sekretess x x Beteende x x Barriärer x Rutiner x x Riskanalys x x Attityd x x Kontroll x x Framtidsbild x x Förändring x x

(Figur 4: Tabell med begrepp genom Open Coding från intervjuerna) IP* = Intervjuperson

IP1 = Intervjuperson 1 IP2 = Intervjuperson 2

Resultatet i figur 4 är inte hierarkiskt eller kategoriserat.

3.5.3 Axial Coding

Relevanta begrepp som återfanns i intervjuerna har kategoriserats och värderats hierarkiskt i figur 5 nedan för att skapa en mer konkret bild. Undernivåer syftar huvudsakligen till att förklara ovanstående nivå. Eventuella förkunskaper som påverkar analysen kan däremot inte frångås. Detta syftar exempelvis litteraturöversikten som gjordes, vars påverkan har nämnts tidigare.

Något som märktes i detta stadie var att det i många fall är begrepp som rör varandra - även om de kategoriseras på samma nivå, samt att de i vissa fall påverkar varandra. På grund av detta kommer exempelvis Utbildning att nämnas i samband med Beteende i Selective Coding.

20 (Figur 5: Axial Coding diagram)

3.5.4 Selective Coding

Efter att ha utfört analysfasen Axial Coding lades fokus på att få fram de mest centrala koderna utifrån det diagram som skapades under Axial Coding-fasen. Syftet med dessa centrala koder är att få fram centrala teman som svarar på frågeställningen som definierades i 1.4: Hur arbetar den svenska offentliga sektorn med utmaningar runt Social Engineering och användarmedvetenhet?

Studien gör en modifikation av Selective Coding från Oates (2006) som innebär att vi slutligen kombinerar och analyserar de centrala koder som har hittats tillsammans med tidigare forskning för att på så sätt förklara det fenomen som undersöks istället för att grunda en egen teori.

De centrala teman som Selective Coding resulterade i återfinns under nivå 2 i figur 5 och är följande:

- Risker

- Utbildning och beteende - Framtidsbild och lagstiftning - Rutiner

Motiveringen till just dessa koder är att de bedömningen gjordes vara generella nog för att kunna analyseras och diskuteras, samt att att de kan förklara ovanstående nivåer.

3.6 Metodkritik

En kritik som kan riktas mot kvalitativ forskning överlag är att analysen av resultaten till stor del överlåter sig till forskarens subjektiva tolkning av innehållet (Oates, 2006). Intervjuernas

21 resultat är även svåra, om inte omöjliga, att återupprepa då ett socialt sammanhang ändras över tid (Bryman, 2012). Däremot kan inte att denna typ av krav på återupprepning föras över på samma sätt till kvalitativ forskning och tillämpas på samma sätt som med en kvantitativ strategi av just denna anledning. Krav ställs även på utövarens förmåga att tolka innehållet på ett annat sätt som inte återfinns på samma sätt med en kvantitativ strategi (Bryman, 2012). Med anledning av detta krav på utövaren kan ett argument göras att en kvantitativ strategi hade varit bättre lämpad. Baserat på bland annat rekommendationen Aldawood och Skinner (2018) ger gällande att utföra kvalitativa studier inom området gjordes däremot beslutet att utforma studien utifrån en kvalitativ strategi.

I denna uppsats har endast 2 personer intervjuats, som även är verksamma på samma

myndighet. I och med att detta är ett litet underlag är det inte nödvändigtvis representativt för hur myndigheten, där de intervjuade är verksamma, ser på de problem och fenomen som intervjuerna berör. Då underlaget är så pass litet är det relevant att ställa frågan gällande huruvida en kvantitativ strategi hade varit mer lyckad då exempelvis datainsamling i form av enkäter är mindre tidskrävande att genomföra och analysera än intervjuer (Oates, 2006). Resonemanget för en kvalitativ studie med intervjuer var däremot att mängden individer som kunde medverka, oavsett tillvägagångssätt, var begränsad. Således gjordes beslutet att

utforma studien utifrån en kvalitativ strategi då svarsmängden ansågs vara begränsad. Ett par intervjuer sågs därför som ett bättre alternativ än något fler enkätsvar - speciellt då Aldawood och Skinner (2018) rekommenderar kvalitativa studier runt området som undersöks.

Studiens resultat är heller inte nödvändigtvis representativt för hur andra myndigheter ser på de fenomen som studiens resultat presenterar, då intervjupersonerna är från samma

myndighet. Resultatet bör därmed endast ses som en hänvisning till läget i svenska myndigheter men att inga stora slutsatser kan dras. Vidare forskning behövs för detta.

22

4. Analys och resultat

I studiens fjärde kapitel kommer data att presenteras utifrån vår valda analysmetod. Detta för att sedan gå över till att presentera och analysera resultatet som framkommit utifrån de intervjuer som har genomförts.

4.1 Risker

I intervjuerna ombads intervjupersonerna redogöra vad för tre hot de såg som mest allvarliga mot myndigheten i en social engineering-attack. Detta avsnitt syftar till att presentera och analysera utmaningar som intervjupersonerna upplever att myndigheten står inför i samband med de hot som nämns.

Relaterat till hur läget ser ut idag så anser IP1 att en stor och övergripande risk är att medborgarna skulle tappa förtroendet för myndigheten om organisationen blir utsatt för en lyckad social engineering-attack. IP1 menar att det i ett sådant fall blir väldigt svårt för myndigheten att utföra sina uppdrag, vilket är i linje med det Mouton et al. (2016) säger om störningar i arbetsflödet. Det andra hotet som IP1 nämner, som också är i linje med Mouton et al. (2016), är det ekonomiska hotet. Myndigheten har en stor budget. IP1 menar att en stor risk med en social engineering-attack är att dessa ekonomiska medel skulle kunna hamna i fel händer. Det tredje hotet som IP1 nämner är att medarbetarna känner sig osäkra och därmed tappar förtroendet för myndigheten som arbetsgivare. Att medborgarnas eller medarbetarnas förtroende för myndigheten skulle skadas vid exempelvis en social engineering-attack är något som IP1 lade mer fokus på än de ekonomiska hoten.

IP2 anser att myndigheten idag är “ganska” medvetna om vilka risker som finns inom organisationen. Precis vad intervjupersonen menade med “ganska” medvetna är öppet för tolkning, men det var inget som intervjun gick in i vidare detalj runt. Tolkningen som vi gör är att myndigheten är medvetna om riskerna men att det finns förbättringspotential kring dessa. IP2 nämner kortfattat ransomware och identitetsstöld som ett stort hot men förklarar inte dessa vidare. Som ett andra hot nämner IP2, likt IP1 och i linje med Mouton et al. (2016), är kring myndighetens möjlighet att utföra sina uppdrag är viktig och att en social

engineering-attack skulle kunna påverka det. En del som både IP1 och IP2 lyfter som en del i myndighetens arbete i att få fram eventuella förbättringspunkter och minimera riskerna kopplade till dessa hot och risker, är att de gör kontinuerliga risk- och sårbarhetsanalyser. Det beskrivs som att detta gör att de får fram en tydligare bild utav de hot och risker som finns både inom och utanför organisationen och är något som är i linje med Ki-Aires och Faily (2017) som lägger vikt vid målgruppens förståelse av hoten i fråga. Dessa genomförs på flera nivåer - både verksamhetsövergripande och på mindre delar i myndigheten. Dessa presenteras sedan uppåt till regeringen och enligt IP2 är det den typen av analysarbete och

förbättringsarbete kring hoten som finns inom organisationen som gör att de arbetar aktivt för att få koll på riskerna och hoten.

23 En annan risk som IP1 beskriver är faktum att man är väldigt serviceinriktad. Problemet som beskrivs är att detta medför att det blir som om alla i organisationen jobbar i receptionen då alla är väldigt serviceinriktade - en plats som enligt IP1 ofta är en sårbarhet vid social engineering.

De anställda är en av de stora sårbarheterna en organisation har utifrån ett social engineering-pespektiv (Aldawood & Skinner, 2018), och var således något som var ett centralt ämne i intervjuerna. Både IP1 och IP2 nämner utbildning som det primära verktyget som

myndigheten använder för att utveckla användarmedvetenheten kring tidigare beskrivna hot och risker. Något som båda pratar om i samband med hot och risker är även att myndigheten arbetar aktivt med att skapa en kultur där det “ska vara lätt att göra rätt” och att transparens vid misstag är av stor vikt - både på en organisationsnivå och individuell nivå. IP1 nämner att detta på en organisationsnivå delvis beror på att det finns lagstiftning som kräver transparens från myndighetens sida - något som tas upp i mer detalj i 4.2.

4.2 Utbildning och beteende

Något som båda intervjupersonerna pratade mycket om är förtroende eller tillit. Dessa begrepp tolkas i uppsatsen som samma sak. Förtroende, eller tillit, är något som IP1 anser är centralt för att myndigheten ska kunna utföra sina uppdrag - från både medborgare och anställda. Både IP1 och IP2 anser att myndigheten har ett starkt förtroende för de anställda utifrån ett säkerhetsperspektiv. Grunden för detta anser IP2 ligger i att man arbetar mycket med att utbilda personalen för att se till att de har den kompetens som krävs för att göra avvägningar i arbetet till vardags. Både IP1 och IP2 nämner att man lägger mycket fokus på att skapa en öppen kultur där misstag inte döljs. Ett citat från IP2 som tydligt beskriver detta är att “det ska vara lätt att göra rätt” och är något som verkar vara genomgående för organisationen överlag.

IP1 anser att personalen överlag är väl medvetna om riskerna som finns med social

engineering-attacker, samt om myndighetens policy gällande informationssäkerhet. IP1 syftar till att det finns sätt att följa upp, samt rutiner som hanterar incidenter gällande myndighetens informationssäkerhet. Däremot menar IP1 att en utmaning kan vara att personalen på

myndigheten i alla lägen inte har kontroll över vilken information som är under sekretess - något som kan skapa problem. Relaterat till detta menar IP1 att fokus behöver läggas på vad myndigheten kan kommunicera, samt vad som måste hållas hemligt - något som i vissa fall beskrivs som en gråzon. Gällande användarmedvetenheten hos de anställda, menar IP1 att myndigheten arbetar mycket med att implementera en obligatorisk

informationssäkerhetsutbildning som all personal måste gå. Myndigheten ser också till att de håller personalen uppdaterad genom att man informerar på intranätet om eventuella händelser och förändringar. Personal på myndigheten som arbetar med och hanterar mer känsliga uppgifter får även mer avancerade säkerhetsutbildningar för att bli medvetna om hur olika säkerhetshot bör hanteras. Utöver detta syftar IP1 till att man även får mycket hjälp utanför myndigheten, där IP1 refererar till COVID-pandemin. IP1 menar att detta har lett till att

24 många fler har blivit uppmärksamma på säkerhetshot i samhället och att detta underlättar för att se vad som generellt kan hända och vilka konsekvenser som kan uppstå.

IP2 syftar till att man i myndigheten inte enbart arbetar med att öka medvetenheten för socio-tekniska social engineering-attacker. Istället anser IP2 att myndigheten jobbar brett inom säkerhetsområdet för att på detta sätt öka medvetenheten runt exempelvis social engineering-attacker, samt att man arbetar aktivt med att förändra säkerhetskulturen som råder i

myndigheten. IP1 nämner att detta görs genom att man regelbundet informerar på intranätet, samt att fokus läggs på att utbilda personalen på myndigheten. IP2 syftar till att myndigheten arbetar aktivt med att informera om social engineering och de risker som kommer med ett sådant hot, samt att det även uppdagas mer i nyheterna kring dessa typer av attacker. IP2 syftar till att en ökad användarmedvetenhet kommer att bidra till att faktorer relaterade till tillit inom myndigheten kommer att öka. IP2 nämner även att användarmedvetenheten är viktig för att man ska kunna få ett förändrat beteende hos medarbetarna på myndigheten i den form att man arbetar med mer fokus på säkerhet. I och med detta menar IP2 att om

medarbetarna får en slags förståelse för varför något är viktigt så kommer det även vara enklare att implementera praktiska åtgärder gällande detta. Detta är något som är i linje med det Ki-Aires och Faily (2017) säger om att de berörda måste vara motiverade att agera på ett sätt som är i linje med relevant kunskap som innehas av individerna. I myndighetens fall menar IP2 att det handlar om att fortsätta integrera säkerhetsaspekter i arbetssätt och processer på ett ännu tydligare sätt.

I linje med en del av litteraturen (Winkler & Gomes, 2017; Gulenko, 2013) gällande att endast användarmedvetenhet inte räcker för att förebygga attacker och för att förändra beteendet hos en individ, visar data på att denna uppfattning delas av intervjupersonerna. Något som både IP1 och IP2 nämner är att utbildningen inom säkerhet sker i syfte att delvis uppnå en beteendeförändring, vilket är ännu en anledning till att diskutera dessa två teman under samma rubrik.

Något som både IP1 och IP2 nämner som en stor del i deras integrering av beteende i samband med medvetenhet gällande säkerheten är utbildning. Vid frågan om hur

myndigheten arbetar för att personalen ska vara medvetna om riskerna, berättar IP1 att de använder sig utav en obligatorisk informationssäkerhetsutbildning för alla anställda. Denna utbildning kan bestå av exempelvis olika inspelade eller inköpta filmer, som med fördel, enligt IP2, har “glimten i ögat för att få med sig gemene man och inte bara vara en tråkig instruktionsfilm“- något som är i linje med Colwill (2009). Genom utbildningar ökar enligt IP2 personalens förståelse för risker och att man på så sätt bygger upp en bättre

säkerhetskultur inom organisationen. Med andra ord är utbildning enligt IP2 en av de mest centrala delarna för att uppnå en hållbar säkerhetskultur, något som stämmer överens med Colwill (2009). Enligt IP1 leder utbildningen inom säkerhet till en form av barriär i verksamheten mot olika säkerhetshot som kan förekomma.

25 Fokus läggs som tidigare nämnt inte bara på utbildning, utan även på integrering av den informationen och förändring av arbetssätt. Avsikten med detta beskrivs vara att förändra beteendet kring IS-säkerhet. Myndigheten beskrivs arbeta på ett tydligt sätt med att få medarbetaren att ta till sig informationen; de försöker ändra på bland annat attityder hos individer eller utförandet av vissa arbetsuppgifter. Något som blir tydligt i relation till detta är att myndigheten i viss mån även försöker att se till att de anställdas attityd mot

säkerhetsåtgärder är positiv - något som beskrivs som utmanande och är något som är i linje med Ki-Aires och Faily (2017). Som IP2 säger ska det “vara lätt att göra rätt”, då människan i sin natur tenderar att välja den lätta vägen och ibland gör saker den vet är dåligt (Rocha Flores & Ekstedt, 2016; Ki-Aires & Faily, 2017).

4.3 Framtidsbild och lagstiftning

I intervjuerna diskuterades framtiden utifrån flera olika aspekter: hur arbetet med säkerhet förväntas utvecklas i framtiden, medborgarnas förtroende för myndigheten och hur hotbilder, specifikt gällande social engineering, förväntas utvecklas. Givetvis går det inte att säga hur detta i praktiken kommer att utvecklas, vilket leder till att det blir ett svårt ämne.

Framtidsbilden i denna del kan på sin höjd endast betraktas som mer eller mindre välgrundade förutsägelser. Myndighetens framtidsbild beskrivs vara väldigt beroende av vilken politik som förs och vilka lagar som stiftas. Med anledning av detta gjordes valet att diskutera dessa två teman under samma rubrik då de allt som oftast berör varandra.

Den upplevda framtidsbilden är blandad. I linje med Aldawood och Skinner (2018) förväntar sig IP1 att myndighetens upplevda kontroll över hot som social engineering kommer att minska i takt med att kompetensen i samhället, och därmed eventuella angripares kompetens, ökar. IP1 beskriver även att vad som bör vara sekretessbelagt eller ej i vissa fall kan vara en tolkningsfråga. Fenomenet beskrivs som en gråzon vars omfattning, enligt IP1, förväntas växa i framtiden i takt med att myndigheten bearbetar allt fler typer av information med hjälp av exempelvis artificiell intelligens (AI). IP1 förutspår att man även kommer att få mindre kontroll över framtida säkerhetshot, men att man i dagsläget har kontroll på situationen. Som anledning nämns främst den tekniska utvecklingen som sker. Ett primärt verktyg som både IP1 och IP2 nämner för att myndigheten ska fortsätta utvecklas är utbildning - något som tidigare har berörts.

Myndigheten styrs likt andra organisationer inom offentlig sektor av regelverk och lagstiftning - något som inte alltid är fallet på samma sätt med organisationer inom privat sektor. Bland annat behöver de förhålla sig till offentlighetsprincipen när det kommer till utlämning av allmänna handlingar (Offentlighets- och sekretesslag [OSL], SFS 2009:400). Detta kan ses som en form av service som myndigheten ger till medborgarna i Sverige och kan kopplas till beskrivningen av service utifrån Mouton et al. (2014).

26

4.3.1 Drivkrafter: offentlig och privat sektor

Resultatet antyder, i linje med Baarspul och Wilderom (2011), att det finns avsevärda skillnader mellan privata och offentliga organisationers drivkrafter. IP1 hade stor erfarenhet av att arbeta i både privat och offentlig sektor medan IP2 endast hade arbetat på myndigheten. IP1 uppfattade det som att det fanns tydliga skillnader mellan privat och offentlig sektor när det gäller organisationers drivkrafter. Båda intervjupersonerna hade uppfattningen att företag i den privata sektorn kan agera med en större frihet då de till större del själva kan bedöma hur verksamheten bör skydda sina tillgångar och vad som är eller inte är en säkerhetsrisk. En myndighet beskrivs däremot, utifrån bland annat lagstiftning, vara tvungen att bedriva

verksamheten på ett visst sätt vilket innebär att man inte har samma frihet som exempelvis ett företag i privat sektor. IP1 beskriver även att privat och offentlig sektor skiljer sig åt väldigt mycket när det gäller drivkrafter då ett privat företag till stor del motiveras av monetära vinster och att myndigheter beskrivs drivas av sin skyldighet att förse medborgarna med service. Hur denna service förväntas ges och till vilken grad är något som beskrivs som politiskt styrt - ytterligare en drivkraft i myndigheten. IP1 nämner att man ständigt måste vara beredd på att skala upp och skala ner verksamheten i olika områden beroende på vilken politik som förs, vilket är något som beskrivs som en stor utmaning för myndigheten.

Som tidigare nämnt i 4.1 anser IP1 att myndigheten ser allvarligt på det ekonomiska hotet vid en potentiell social engineering-attack. IP1 menar att myndigheten omsätter mycket pengar som är tänkta att spenderas för att myndigheten ska kunna utföra de uppdrag som har satts upp. Blir man exempelvis av med pengarna på ett eller annat sätt så blir det svårt för myndigheten att utföra sina uppdrag. IP1 nämner även att något av det värsta som skulle kunna hända i samband med en social engineering-attack är att medborgarna och

medarbetarna tappar förtroendet för myndigheten. Detta menar IP1 försvårar myndighetens möjlighet att vara verksamma och att erbjuda service.

4.3.2 Förändring

Enligt IP1 är förändring inom myndigheten något som inte alltid är enkelt. När personen började arbeta på myndigheten för många år sedan beskrivs acceptansen för förändring ha varit betydligt lägre än vad den är idag. IP1 menar att det beror på att medarbetarna på andra håll har blivit medvetna om att världen ser annorlunda ut. IP2 beskriver att förändringsarbete kan vara svårt när det gäller att få med alla, samt att de även måste känna sig inspirerade utav förändringen som sker - något som är i linje med Ki-Aires och Faily (2017). IP1 menar att om individen har lättare att associera förändringen till personliga erfarenheter och sätta sig in i en situation så tar man åt sig lättare när det gäller exempelvis säkerhetsrelaterat beteende och användarmedvetenhet. Synen på förändring beskrivs även som något som kan se väldigt olika ut, då myndigheten är väldigt stor om man ser till svenska mått. Detta beskrivs leda till att vissa inte vill göra en förändring då de gjort samma sak i flera år, medan vissa är mer positiva till en förändring - även detta i linje med Ki-Aires och Faily (2017).

27 De intervjuade personerna besitter kunskap om IS-säkerhet inom den aktuella myndigheten och sitter på chefspositioner inom området. Det betyder att de inte representerar alla individer inom organisationen utan ger bilden sett från perspektivet av en chef inom IS-säkerhet inom den aktuella myndigheten, men det ger inte hela bilden av organisationen. Därmed så kan det finnas individer inom organisationer som inte har samma bild av IS-säkerhet - något som kan kopplas till det Ki-Aires och Faily (2017) nämner gällande motstridigheter inom en

organisation. Om en individ inte är villig till att göra förändringen så försöker denne hitta omvägar - så är människan uppbyggd, berättar IP2. Konceptet beskrivs som “slipper jag gå över det där berget och enkelt kan gå runt det så gör jag ju hellre det”.

Både IP1 och IP2 pratar om att förändring kring säkerheten hos myndigheten påverkas beroende på hur säkerhetsläget ändras i Sverige som nation. IP2 beskriver förändringsarbete runt rutiner och arbetssätt som något komplext. IS-säkerhetsrelaterade förändringar bör exempelvis åtföljas av en integration av denna förändring i verksamheten genom till exempel utbildningar som förklarar varför förändringen sker. Förändringsarbetet ska inte bara sätta upp ett hinder utan ska också förklara varför hindret kommer till och hur det förändrar arbetssättet för exempelvis en slutanvändare, beskriver IP2. IP1 nämner att arbetet runt förändring (specifikt förändringar gällande säkerhetsarbete) var mycket svårare vid början av sin tid hos myndigheten - något som beskrivs ha förbättrats sedan dess.

4.4 Rutiner

Myndigheten arbetar enligt IP2 väldigt processinriktat. Där tar de fram tydliga riktlinjer kring rutiner och arbetssätt. Det blir då enkelt för en anställd som följer dessa ramar, att även följa rådande policys, lagar och regelverk. Rutinerna och arbetssätten ska enligt de intervjuade vara väl genomarbetade. Detta gör det lätt att följa protokoll för att exempelvis avvisa

obehörig personal eller att hantera skadlig mjukvara. För att göra detta effektivt behöver man inrätta en effektiv säkerhetskultur, vilket även är något som både IP1 och IP2 påpekar i intervjun. Detta kan kopplas till Rocha Flores och Ekstedt (2016) gällande att en gemensam säkerhetskultur, som blir normen inom organisationen, kommer att påverka åtgärderna. Därför är det något som kan associeras till anställdas medvetenhet kring

informationssäkerhet, attityd och normativa övertygelser om olika hot. För att en

säkerhetskultur ska kunna upplevas som något positivt inom organisationen, behöver det inrättas effektivt (Rocha Flores & Ekstedt, 2016).

Enligt IP2 är rutinerna, arbetssätten och styrningen så väl genomarbetade på myndigheten så att en individ skall känna sig trygg i att denne gör rätt och håller sig inom lagens ramar när de följs. IP2 beskriver att det är dessa faktorer som styr och reglerar hur de arbetar inom

myndigheten. IP2 menar på att säkerhetsarbetet inte ska ses som en separat företeelse utan som en del som integreras med processer, rutiner och arbetssätt och något som ständigt utvecklas. IP2 nämner att då de arbetar väldigt strukturerat och processinriktat på

myndigheten möjliggör det en stabil kvalitetsnivå men man menar däremot att det finns en risk att denna typ av arbete hämmar kreativiteten hos de anställda. Att myndigheten till stor

28 del arbetar processinriktat menar IP2 innebär att de arbetar aktivt med att utveckla och

integrera säkerhet i beprövade rutiner och arbetssätt, som gör att individen arbetar kontrollerat. (Rocha Flores & Ekstedt, 2016)