Teknik och samhälle
Datavetenskap och medieteknik
Examensarbete
15 högskolepoäng, grundnivå
Mobilt BankID
En studie om säkerhetsriskerna och den äldre generationens bruk av
e-legitimation
Mobile BankID
A study of the security risks and the older generation’s usage of e-identification
Daniel Firulovic
Sanna Rönngård
Examen: Kandidatexamen 180hp Handledare: Mia Persson Huvudområde: Datavetenskap Examinator: Zahra Ghaffari Program: Systemutveckling, Applikationsutveckling
Sammanfattning
I Sverige är mobilapplikationen Mobilt BankID, med sina 7,8 miljoner användare år 2020 ett av de mest använda sätten att bekräfta sin identitet på internet eller för att ge autentisering med digital signatur. Applikationen är utvecklad av Finansiell ID-Teknik AB, ett företag som ägs av bankerna och accepteras som giltig identitetshandling av ett brett utbud av e-tjänster som tillhandahålls av myndigheter, sjukvård, banker och olika företag.
Som svenska medier rapporterat har det förekommit en stor mängd bedrägerier relaterade till användningen av Mobilt BankID, främst riktad mot äldre. Syftet med denna studie är både att undersöka identifierade säkerhetsrisker gällande applikationen genom en litteraturstudie av tidigare vetenskaplig forskning, populärvetenskapliga artiklar och tidningsartiklar, samt genom att kombinera semistrukturerade intervjuer och en enkätundersökning riktad till användare i åldersintervallet 60-80 år, undersöka om respondenterna är medvetna om befintliga säkerhetsrisker eller har blivit utsatta för bedrägerier. Slutligen
fastställer vi om respondenterna känner att de positiva aspekterna av att använda Mobilt BankID överväger de möjliga säkerhetsriskerna.
Resultaten visar att det inte finns någon tidigare vetenskaplig forskning som identifierar säkerhetsrisker gällande den svenska versionen av Mobilt BankID. En liten majoritet av respondenterna är medvetna om att vissa risker finns men endast ett fåtal har utsatts för bedrägerier eller upplevt några säkerhetsrelaterade problem. De flesta respondenterna tycks ha en positiv inställning till applikationen och anser den vara trygg och lätt att använda.
Abstract
In Sweden, the mobile application Mobilt BankID, with its 7,8 million users as of 2020 is among the most frequently used ways to confirm one's identity over the internet or to provide authorisation by digital signatures. The application is developed by Finansiell ID-Teknik AB, a company owned by the banks and is accepted as valid proof of identity by a wide range of e-services provided by the government, healthcare, banks and various companies.
As reported by Swedish media there has been a high volume of frauds related to the use of Mobilt BankID primarily targeting the elderly. The purpose of this study is to investigate identified security risks related to the application through a literature study of previous scientific research, popular science articles and newspaper articles, as well as by combining semi-structured interviews and a survey aimed at users in the 60-80 age range, investigating whether respondents are aware existing security risks or have been exposed to fraud. Finally, we are determining whether the respondents feel that the positive aspects of using Mobilt BankID exceed possible security risks.
The results we obtain show that there is no previous scientific research
investigating security threats posed to the Swedish version of Mobilt BankID. A weak majority of our respondents are aware that certain security threats exist but almost none have been exposed to attacks or experienced any security-related problems. Most of the respondents seem to have a positive attitude towards the application finding it trustworthy and easy to use.
Innehållsförteckning
1 Inledning
...
1
1.1 Syfte
...
1
1.2 Forskningsfrågor
...
2
1.3 Avgränsning
...
2
2 Teoretisk bakgrund
...
3
2.1 Svensk e-legitimation och Mobilt BankID
...
3
2.2 Kort historik
...
3
2.3 Teknisk specifikation
...
5
2.4 PKI
...
5
2.5 Säkerhetsproblem
...
6
2.5.1 Bedrägerier ...7 2.5.2 Säkerhetsåtgärder ...73 Metod
...
7
3.1 Exploratory Sequential Mixed Methods
...
7
3.2 Litteraturstudie
...
8
3.3 Litteratursökning
...
8
3.4 Pilotstudie - Semi strukturerade intervjuer
...
10
3.5 Enkätundersökning
...
10
3.6 Etiska riktlinjer
...
10
4 Resultat
...
11
4.1 Tidigare relaterad forskning
...
11
4.2 Resultatet av Pilotstudien
...
13
4.3 Översiktligt om resultatet av enkätstudien
...
13
4.4 Bakgrundsinformation
...
14
4.4.1 Fråga 1 ...15
4.4.2 Fråga 2 ...15
4.5.1 Fråga 3 ...16 4.5.2 Fråga 4 ...16 4.5.3 Fråga 5 ...17 4.5.4 Fråga 6 ...17 4.5.5 Fråga 7 ...18 4.5.6 Fråga 8 ...19 4.5.7 Fråga 9 ...19 4.5.8 Fråga 10 ...20 4.5.9 Fråga 11 ...20 4.5.10 Fråga 12 ...21 4.5.11 Fråga 13 ...21 4.5.12 Fråga 14 ...22 4.5.13 Fråga 15 ...23 4.5.16 Fråga 16 ...24
5 Analys & Diskussion
...
24
5.1 Besvarande av forskningsfråga 1
...
24
5.2 Besvarande av forskningsfråga 2
...
27
5.3 Besvarande av forskningsfråga 3
...
31
5.4 Metoddiskussion
...
36
5.4.1 Vald metod ...36 5.4.2 Alternativa metoder ...366 Slutsats
...
37
6.1 Framtida forskning
...
38
6.2 Tack/Acknowledgement
...
39
7 Referenser
...
40
A Bilaga 1
...
44
B Bilaga 2
...
45
1 Inledning
För att legitimera sig på nätet krävs det att man har en e-legitimation. Den mest använda e-legitimations tjänsten idag är BankID eller Mobilt BankID [1]. Vi ser att ökningen av Mobilt BankID har ökat markant genom åren, senast 2020 uppmättes antalet BankID användare vara ca 8.5 miljoner varav ca 7.8 miljoner använder sig av den mobila versionen av BankID [2].
Idag kan man utföra banktjänster hemifrån med hjälp av Mobilt BankID vilket gör att den blir en del av vår vardag. Vi kan bekvämt validera vår identitet på begäran online vid transaktioner med spelsajter och e-handel.
Det har däremot rapporterats om säkerhetsbrister i applikationen. TV4 Nyheterna och SVT meddelar att det har funnits stora säkerhetsbrister i applikationen, vilket har lett till att bedrägeribrott har kunnat utföras bl.a via telefon där personer ringer och utger sig för att vara någon annan för att sedan lura åt sig en stor summa pengar från den drabbade brottsoffret. Framförallt mot äldre har
bedrägerierna genom åren fördubblats [3,4]. Expressen rapporterar att det utförts brott mot bland annat äldre där personer har ringt och utgett sig vara
banktjänstemän och begärt en e-legitimering för att sedan kunna utföra en kapning av kontot [5].
Att en kommersiell bank i Sverige har möjligheten att identifiera dig som person har rötter tillbaka till 60-talet då bankerna började utfärda standardiserade
identitetskort som ett komplement till ett nytt system för att betala ut löner genom direkt insättningar på svenskarnas bankkonton [6].
Undersökningar visar att antalet BankID-innehavare för åldersspannen 61-70 ligger på 87,3% varav åldern 71-80 visar ett antal på 66,4%. Det skiljer sig från t.ex. åldersspannen 41-50 som ligger på 98,4% [2]. Det kan vara så att tekniken har tagit för stora steg fram på kort tid för våra äldre generationer, därför är det viktigt att försöka få klarhet i vilka problem den snabba utvecklingen kan medföra. I denna studie försöker vi få en djupare inblick i vilka upplevelser och åsikter äldre personer med den nya tekniken och det nya sättet att utföra bl.a. sina
banktjänster. Vi avser att ha användarnas perspektiv i fokus när vi utför studien.
1.1 Syfte
Eftersom Mobilt BankID är den mest använda applikationen att i dag legitimera sig mot olika typer av e-tjänster är det övergripande syftet med studien att etablera vilka säkerhetsrisker som identifierats av tidigare forskning. Vid tidpunkten för denna studie är Mobilt BankID trots sin popularitet, fortfarande inte granskat av den statliga myndigheten för digital förvaltning, vilket innebär att man endast har en uppskattning av säkerhet och pålitlighet gällande
applikationen [7]. Med denna information som utgångspunkt anser vi det vara av stort intresse att undersöka om annan oberoende granskning av säkerhet samt säkerhetsrelaterade problem existerar.
Då det har rapporterats mycket i media gällande bedrägerier kopplat till Mobilt BankID kan vi konstatera att det finns säkerhetsbrister med applikationen. Eftersom många av de rapporterade brotten riktats mot äldre målgrupper skulle det möjligen indikera att de är mer sårbara. Därför anser vi det vara relevant att bilda oss en uppfattning om denna målgrupp är medveten om säkerhetsriskerna eller själva blivit utsatta för brott.
Vidare avser vi att återge en överblick av målgruppens användningsvanor och områden för att påvisa om de positiva aspekterna av Mobilt BankID överväger säkerhetsriskerna. Genom att upplysa den äldre målgruppen om de tidigare samt nuvarande säkerhetsriskerna som existerar, har studien som målsättning att öka deras medvetenhet gällande detta ämne och på så vis minska risken att bli utsatta för liknande teknikrelaterade brott.
1.2 Forskningsfrågor
Med grund i ovan nämnda problemställning avser studien att besvara följande forskningsfrågor:
1 Vilka säkerhetsproblem har identifierats vid användning av Mobilt
BankID i Sverige enligt tidigare studier?
2 Är tilltänkt målgrupp medvetna om de säkerhetsrisker som finns med
Mobilt BankID och har de upplevt några problem när de nyttjat tjänsten?
3 Tycker de att de positiva fördelarna överväger de negativa aspekterna dvs
de identifierade säkerhetsriskerna?
1.3 Avgränsning
Personer i 60-80 års ålder s.k digitala immigranter eller personer som vuxit upp innan internet existerade för masskonsumtion besitter inte i de flesta fall inte lika stora tekniska färdigheter som personer i yngre åldrar [8]. Vi har därför valt att avgränsa oss till denna målgrupp för att undersöka deras utmaningar i vardagen med den tekniska lösningen. Att de pågående bedrägeribrotten är riktade mot just äldre har även motiverat denna avgränsning. Det finns heller inte mycket tidigare forskning inom området.
Vi har i denna studien även valt att undersöka Mobilt BankID och inte
användningen som sker på fil eller kort. Detta då den mobila versionen är den senaste i utvecklingsledet samt den som i dagsläget har flest användare [2]. Vidare har vi valt att fokusera på svenska versionen av Mobilt BankID, vilket får som följd att studien är avgränsad nationellt till Sverige och svenska användare i åldern 60-80 år.
2 Teoretisk bakgrund
I detta avsnitt ges en sammanfattning av hur Mobilt BankID fungerar ur ett tekniskt perspektiv samt användningshistorik.
2.1 Svensk e-legitimation och Mobilt BankID
E-legitimation ( även refererat till som e-leg, e-id eller eID ) är en elektronisk motsvarighet till id-handlingar likt körkort, pass eller id-kort. Syftet är främst att på ett säkert sätt kunna legitimera sig på en webbplats, eller vid användning av olika e-tjänster. Tjänsten kan även användas för att identifiera sig vid
telefonsamtal till myndigheter eller banker, samt för att utföra s.k e-signaturer ( elektronisk signatur ) vid inlämning av dokument till olika myndigheter t.ex inkomstdeklaration till Skattemyndigheten.
Den som utfärdar en e-legitimation kan ansöka om att få den granskad för
kvalitetsmärket Svensk e-legitimation. DIGG, den statliga myndigheten för digital förvaltning granskar då e-legitimationen och bedömer om den är pålitlig samt hur säker den är genom att tillämpa fyra så kallade tillitsnivåer, där fyra motsvarar störst säkerhet [9]. Trots att Mobilt BankID är en av de mest etablerade e-legitimationerna i Sverige är denna fortfarande inte granskad av DIGG. Enligt DIGG uppskattas Mobilt BankID motsvara tillitsnivå 3 [7]. Mobilt BankID ingår i den grupp av fyra e-legitimation applikationer för privatpersoner som idag är godkända av DIGG för att användas i myndigheternas e-tjänster. De övriga är AB Svenska Pass, Freja eID+, Telia E-legitimation ( utgått sedan hösten 2017, de som redan är utfärdade fungerar fram till utgångsdatum ) [9].
Mobilt BankID ägs, förvaltas och vidareutvecklas av företaget Finansiell ID-Teknik AB som i sin tur ägs av Danske Bank, Handelsbanken, Ikano Bank, Länsförsäkringar Bank, SEB, Skandiabanken och Swedbank [10].
De privatpersoner som har svenskt personnummer kan införskaffa Mobilt BankID genom sin bank. Det finns ingen satt åldersgräns för användning, dock måste omyndiga individer ha målsmans godkännande för att nyttja tjänsten.
Precis som när ett vanligt ID-kort utfärdas, måste kunden kunna styrka sin identitet för att få ut ditt mobila BankID. De banker som utfärdar Mobilt BankID till privatpersoner idag är Danske Bank, Forex Bank, Handelsbanken, ICA
Banken, Länsförsäkringar Bank, Nordea, SEB, Skandiabanken, Sparbanken Syd, Swedbank och Ålandsbanken. Tillsammans har dessa aktörer 8 miljoner
Internetbankskunder som har möjlighet att nyttja tjänsten [11].
2.2 Kort historik
Grunderna till Mobilt BankID börjar läggas redan 2001, vilket är året då Sverige är ordförandeland i EU. Vid denna tidpunkt förändras lagarna inom EU vilket innebär att en elektronisk underskrift kan likställas med en fysisk, vilket har sitt ursprung i att myndigheter börjar diskutera möjligheterna med att erbjuda
medborgare s.k “24-timmars tjänster”. På grund av den kostnad och tid som skulle krävas för att identifiera en hel befolkning och förse dem med e-legitimation riktades intresset mot internetbankerna. Med anledning av att det var den sektor
som vid tillfället hade den största elektroniska kundbasen där det var möjligt att garantera en enskild individs identitet.
I samband med detta gick de flesta stora svenska banker ihop och bildade ett konsortium med målsättning att utveckla en generell infrastruktur för
e-legitimationer som både skulle uppfylla krav från myndigheter och banker men även godtas av privatpersoner och företag. Detta resulterade att man i September 2002 bildade bolaget Finansiell ID-Teknik AB.
Den första versionen av BankID lanserades 2003 och användes för första gången för att genomföra en adressändring elektroniskt. Även om 27 000 personer använde tjänsten för att skriva under sin självdeklaration till
Skattemyndigheterna detta år, var e-legitimation fortfarande ett relativt okänt begrepp.
År 2005 använde över 500.000 svenskar BankID. I syftet att öka
användarvänlighet och funktionalitet lanserades BankID på kort. Till skillnad från den tidigare versionen som bestod av en fil som laddas ner på en persondator och krävde att man installerat BankID programmet, bestod BankID på kort av ett smartkort som används tillsammans med en speciell säkerhetsdosa, vilket innebär att inget program behöver installeras på enheten som används. Tillväxten av självbetjäningstjänster hos olika aktörer såsom privata företag, kommuner och landsting fortsatte att öka markant och redan under följande år, 2006
registrerades det 2 000 000 användningstillfällen under en månad.
År 2008 börjar man att planera för nästa version av BankID, BankID i mobil där e-legitimation lagras i mobilens sim-kort. Under hösten 2009 påbörjas ett
förhandstest av BankID i mobil av 1 000 kunder och den 14 april 2010 lanseras applikationen. Den snabba utvecklingen av appar och mobila tjänster bidrar till ett stort intresse för en mobil e-legitimation.
I Juni 2011 ersätts BankID i mobil av Mobilt BankID för mobiltelefoner och surfplattor, som fungerar med valfri mobil och internetoperatör.
Under perioden år 2014-2016 fortsätter antalet användare av BankID att öka. Man räknar med att ca 90% av Sveriges befolkning mellan 20-40 år har minst ett
BankID främst Mobilt BankID [12].
Idag år 2020 uppskattas antalet BankID användare vara 8.5 miljoner av vilka ca 7.8 miljoner använder sig av Mobilt BankID [2].
2.3 Teknisk specifikation
För att kunna använda sig av Mobilt BankID krävs det att du har en app med samma namn installerat på telefonen. Först och främst måste man logga in på sin internetbank och beställa ett så kallat “Mobilt BankID” innan man kan börja använda sig utav appens funktioner [13]. När man sedan både fått sitt mobila BankID och även laddat ner appen har man möjligheten att utföra inloggningar, identifieringar och digitala underskrifter genom att visa sin e-legitimation och ange din säkerhetskod.
Figur 2. I figuren ovan ser vi ett exempel på hur man legitimerar sig mot en myndighet som Arbetsförmedlingen.
E-legitimationen verifieras mot en aktuell spärrlista. Visar sig e-legitimationen vara giltig och korrekt säkerhetskod anges är det sedan möjligt att utföra den önskade handlingen [14].
2.4 PKI
PKI står för Public Key Infrastructure och är ett samlingsnamn för flertalet
lösningar där kryptering används. Det är inte enbart en teknisk lösning utan även en kombination av standardisering och juridik. De funktioner PKI bidrar med är Certifiering, verifiering och revokering (när man återtar ett certifikat). Det går med hjälp av PKI att bl.a. göra elektroniska signaturer på t.ex. webbplatser som kräver ytterligare verifiering, digitalt signera e-post och används även som inloggningsalternativ för inloggning på arbetsstationer [15].
Grunden till en elektronisk signatur är att Identifiera, Kryptera och Signera. Man ska visa mottagaren/sändarens identitet, göra informationen säker och samtidigt ge dokumentet en laglig status [16].
Figur 3. Figuren beskriver uppbyggnaden av en elektronisk signatur
Den gör det möjligt att kontrollera att en viss publik nyckel tillhör den påstådda ägaren. PKI förutsätter att där finns en certifikatutfärdare, som sedan kan återkallas vid behov. PKI har genom åren inte fått en så stor skara användare trots det funnits sedan 1990-talet [17]. Detta kan bero på bland annat att PKI har en svaghet i form av att själva certifikations utfärdaren kan underteckna ett certifikat för alla personer eller datorer. Detta kan innebära problem i länder vars myndigheter kan utnyttja sin auktoritära roll och utföra fientliga handlingar i form av certifikat skapade för parter man inte har affärsbevis för [18].
2.5 Säkerhetsproblem
Svd rapporterar att där funnits säkerhetsbrister i Mobilt BankID i en artikel redan från 2016 där förövaren lyckats logga in samtidigt som användaren och därmed kapat användarens mobila BankID [19]. Personer ringer och utger sig för att vara någon annan och därmed lyckas på något sätt skicka en signal till telefonen som gör att personen i fråga kan kapa användarens mobila BankID och komma åt en stor summa pengar.
Uppdateringar har skett från BankID’s sida men bedrägerier uppstår fortfarande i varierande former. Mobilt BankID har bl.a. fått en varningsfunktion som meddelar användaren så fort någon försöker använda tjänsten [20]. Man har varit väldigt tydlig från BankID’s håll och informerat om dessa bedrägerier via telefon, man har meddelat att man inte ska använda ditt mobila BankID vid något som helst
tillfälle när någon ringer och ber en att använda tjänsten i syfte att legitimera sig och godkänna något. Det är även viktigt att kontrollera att man legitimerar sig mot just det man har i avseende genom att dubbelkolla namnet innan man skriver in sin säkerhetskod [21].
Expressen rapporterar att polisen har sett 5-6 olika varianter på hur man försökt ro åt sig uppgifter från en användare. Varav ett där man skapat en falsk sida som kan se ut som t.ex. skatteverket. Ett annat är där bedragarna skickat sms och
utgett sig för att vara en bank, inkassoföretag eller myndighet och bett om uppgifter. Den sista varianten man rapporterar om är där bedragarna hackat ett facebook-konto och sedan kontaktat vänner till personen som blivit hackad och ber om uppgifter till deras BankID. Syftet har alltid varit densamma, att komma åt personens pengar [22].
2.5.1 Bedrägerier
SVT rapporterar i mars 2019 att bedrägerier mot äldre har fördubblats mellan 2018 och 2017. Totalt gjordes 3 700 anmälningar till polisen [23].
2.5.2 Säkerhetsåtgärder
M3 meddelar att Mobilt BankID uppdaterat sin app med funktionen att fråga efter platsinformation i syftet att motverka spåra och hantera id-bedrägerier. Detta har däremot inte varit ett krav och är fortfarande inte det [24].
3 Metod
3.1 Exploratory Sequential Mixed Methods
Efter en noggrann övervägning har vi konstaterat att endast använda kvalitativa eller kvantitativa metoder inte kommer att förse oss med fullständiga svar på studiens problemställning.
Enligt Cresswell är det i de situationer där forskaren både har som målsättning att generalisera insamlad data från en population samt utveckla en detaljerad
förståelse för ett fenomen eller koncept som berör den enskilde individen lämpligt att använda sig av mixed method design ( s.k blandad metod ) där både kvalitativa och kvantitativa element inkorporeras för att besvara de formulerade
forskningsfrågorna så fullständigt och korrekt som möjligt [25, s.50].
Eftersom vi valt att både undersöka säkerhetsproblem gällande Mobilt BankID samt överblicka målpopulationens upplevelser av dessa, ansåg vi det därför motiverat att utforma studien enligt s.k Exploratory Sequential Mixed Methods Design, där man med hjälp av kvalitativa metoder utformar “verktyg” för att sedan samla in och analysera kvantitativ data[25, s.266-277]. Se figur 4.
Den kvalitativa delen består av en litteraturstudie inom relevanta forskningsområden samt semistrukturerade intervjuer med subjekt från
målgruppen. Med hjälp av insamlad data utformas sedan en enkät för att utföra en kvantitativ undersökning där resultaten i sin tur analyseras och diskuteras. Syftet med den inledande kvalitativa undersökningen är att bilda oss en bättre
uppfattning om tidigare säkerhetsrisker med applikationen samt vår målgrupp. Avsikten är även att identifiera eventuella områden vi förbisett, för att sedan med hjälp av insamlad kunskap skapa en enkät som genererar ett mer sanningsenligt resultat.
Figur 4. Figuren beskriver arbetsflödet i Exploratory Sequential Mixed Methods samt hur vi applicerat denna metod i vår studie.
3.2 Litteraturstudie
Det finns flera syften med att genomföra en litteraturstudie, dels för att placera studien i kontext till tidigare forskning och få en djupare förståelse för området man avser att utforska, men även för att försäkra sig om att man identifierat nyckelproblem och frågor som inte redan besvarats [26, s.72-73]. Den inledande granskningen pekar på att det finns ett gap i existerande forskning och den fortsatta litteraturstudien kommer därför bestå av att lokalisera och analysera vetenskapliga artiklar som fokuserar på områden likt målgruppens användarvanor och förhållningssätt till mobila applikationer, samt de identifierade
säkerhetsrisker relaterat till användandet av PKI applikationer.
Som tidigare nämnt är forskning som avser just Mobilt BankID väldigt begränsat. Det medför att källorna även till stor del utgörs av populärvetenskapliga artiklar samt media publikationer.
3.3 Litteratursökning
För att lokalisera forskningsartiklar som är av relevans för aktuell frågeställning har vi främst använt oss av erkända vetenskapliga databaser likt:
● ACM ● IEEE ● ResearchGate ● SwePub ● Springer Link. ● Google Scholar
Populärvetenskapliga artiklar samt relaterad media och statistik har sökts via google och innefattar källor, som dagstidningar, nyhetsrapportering m.m.
Sökord som har använts är: ● Mobilt BankID ● BankID ● PKI ● E-legitimation ● Elektronisk legitimation ● Electronic Identification ● Online identification ● Elderly usability
● Mobile user interface for elderly ● Digital immigrants
Figur 5 nedan sammanfattar vår sökprocess samt resultatet och utgallringen av denna.
Anledningen till att vi valt att granska de 25 utvalda artiklarna är då vi ansett dessa möjligen innehålla användbar information för vårt arbete. Dessa artiklar innehöll i någon form sökorden vi använt för att lokalisera tidigare relaterad forskning. Bortfallen på 12 426 252 bestod av material vi ansåg vara för långsökt för att passa inom vårt ämnesområde.
För ytterligare utgallring valde vi att först fokusera på titlar som innefattade relevanta sökord, dessa har sedan granskats utifrån sammanfattningen. I de fall där sammanfattningen varit av intresse har vi sedan läst och utförligt granskat hela texten för att genomföra en slutgiltig bedömning om artikeln är av relevans för vår studie.
3.4 Pilotstudie - Semi strukturerade intervjuer
Pilotstudien fungerar som en provundersökning för att testa en del av det tilltänkta enkät formuläret och se vad som behöver korrigeras inför den riktiga undersökningen [27, s.172]. I denna studie utförs detta moment i form av kvalitativa semistrukturerade intervjuer med en liten testgrupp bestående av vänner och bekanta som ingår i målgruppen 60-80 år. På så vis innefattas formulerade frågor men ger även respondenten frihet att återge större
detaljrikedom eller ta upp frågor som ej innefattas av intervjumallen [26, s.188]. Valet av format främjar främst syftet att skapa oss en bättre bild av studiens målgrupp och om det är något område man förbisett, samt vad som behöver modifieras inför skapandet av den enkät som avser att besvara studiens problemställning.
3.5 Enkätundersökning
För att kunna få ett slutgiltigt svar på forskningsfrågorna denna studie ställer har vi valt att använda oss av en enkätstudie. Denna metod är kvantitativ och är ett effektivt sätt att på systematiskt vis samla in empirisk data från en större grupp deltagare för skapa en mer generell översikt av studiens målpopulation [26, s. 93-107]. Frågorna är utformade med grund i utförd litteraturstudie samt den information som tillkommit av pilotstudien. Genom att vara väl insatta i de teorier som frågorna ska spegla och integreras i kan vi på så vis garantera en hög
begreppsvaliditet. Utförd pilotstudie har även gett oss en möjlighet att testa reliabilitet d.v.s att tänkt material är tillförlitligt. Vid frågekonstruktion har man lagt stor vikt vid att tillämpa de principer som anges vara av stor betydelse vid utformningen av enkäter för att garantera hög kvalité på insamlad data, t.ex språk, tydlighet och tolkningsbarhet, samt att man undviker ledande frågor. De frågor som avser att mäta attityder är utformade enligt en femgradig Likert-skala, vilket innebär att informanten ombads att ta ställning till vart denne befinner sig mellan de två ytterligheter som presenteras [27, s.55-130].
3.6 Etiska riktlinjer
I denna studie förhåller vi oss till de forsknings etiska grundprinciperna: tillförlitlighet, ärlighet, respekt och ansvarighet som anges i All European Academics (ALLEA) skrift ”Den europeiska kodexen för forskningens integritet” [28]. Vi tillämpar tillförlitlighet då vi använt oss av välkända
analys av data för att garantera hög validitet. Eftersom vårt arbete innefattat både intervjuer och enkätundersökning har det även varit av största prioritet att
praktisera övriga principer: ärlighet, respekt samt ansvarighet gentemot våra respondenter. Deltagande har varit helt frivilligt och anonymt. Alla våra
respondenter har mottagit information om vilka vi är och syftet med studien, samt att insamlad data raderas när arbetet är slutfört. Gällande de respondenter som deltog i intervjuerna har vi erhållit deras godkännande efter att ha transkriberat materialet. Vi har även lagt stor vikt vid att garantera anonymitet genom att efterfråga så lite personliga detaljer som möjligt med undantag för det vi anser varit relevant för studien ( ålder, om man har/haft ett IT relaterat yrke.). Identitet för de som deltog i enkätundersökning förblir anonym även för oss författare, då denna publicerades i olika webbforum och det via svaren ej går att spåra och identifiera en specifik individ.
4 Resultat
4.1 Tidigare relaterad forskning
I detta avsnitt presenteras de fem vetenskapliga artiklar som vi efter utförd litteraturstudie valt att granska och anser vara av relevans för aktuell
problemställning. Frågorna till enkätstudien är utformade med information som tillkommit i från dessa studier samt resultatet av vår pilotstudie.
Sandered m.fl. studie avser att skapa en överblick av hur användandet av Mobilt BankID ser ut hos olika åldrar och kön, samt individens syn på hur deras
respektive bank förmedlar information om Mobilt BankID. För att undersöka detta skickades en online- och pappersenkät till deltagare i alla åldrar. Studien visade att åldersskillnaden inte var så stor i användandet men att attityden kring vilka domäner som borde få använda sig av Mobilt BankIDs funktioner var mer
varierande. Personer över 50 år ansåg att användningsområdet bör vara begränsat till endast myndigheter, medan yngre personer var mer öppna och gärna såg ett bredare användningsområde. Man kunde även konstatera att både män och kvinnor använder sig av Mobilt BankID lika mycket, men männen var däremot mer öppna för bredare användningsområden på t.ex. spelsajter och dylikt.
Kvinnorna i undersökningen ser gärna ett utfärds byte genom att Skatteverket tar ansvaret ifrån de svenska bankerna för e-legitimationen framöver. En gemensam punkt i studien var att deltagarna, oavsett ålder, instämde i hög grad att de upplever Mobilt BankID som en säker applikation [29].
I den andra artikeln vi valt ut undersöker Husz hur i Sverige de kommersiella bankerna i allt större utsträckning utfärdar och validerar identitetshandlingar, något som vilket i de flesta andra länder hanteras av statliga myndigheter. Författaren undersöker bakgrunden till detta fenomen genom att utforska hur identifiering skett ur ett historiskt perspektiv, dels hur ekonomiska intressen influerat vardagen. Vidare undersöker man de svenska bankernas väg till en mass handel av finansiella produkter och tjänster, samt hur detta har bidragit till bankernas engagemang i hanteringen av identifiering. För att besvara
ovanstående har författaren gjort en omfattande litteraturstudie av arkiverade och publicerade källor från banksektorn, statliga och parlamentariska kommittéer
samt företaget AB ID-kort. Även dagstidningar och tidskrifter från banker har använts i syftet att få tillgång till vardagliga metoder och attityder. Resultatet av studien påvisar att de Svenska bankernas involvering i utfärdande av
identitetshandlingar inte är något nytt fenomen utan sträcker sig tillbaka ända till 1960- talet och är främst drivet av ett intresse att identifiera den enskilde
konsumenten. Förutom pass som sällan används i vardagliga sammanhang är övriga ID- handlingar likt körkort och ID-kort utfärdade av banker eller företag som delvis ägs av banker. Även om ID-handlingar ursprungligen var frivilliga blev de i princip obligatoriska redan i början av 1970- talet på grund av att de krävdes identifikation för att utföra vardagliga bankärenden samt massdistribution från bankerna. Genom att hävda att ID-kortet skyddar ens tillgångar lyckades man etablera en koppling mellan ekonomi och identitet som bidragit till att identifiering blivit ett obestritt vardagligt moment [6].
Den artikel som närmast berör tidigare identifierade säkerhetsrisker gällande Mobilt BankID är Gjösteens studie från 2008 vilken exploaterar svagheter i det norska BankID systemet. Säkerhetsproblem har lokaliserats genom att författaren har gjort en så kallad baklänges konstruktion av BankID systemet. Man har analyserat säkerhets protokollen och identifierat fel som underlättar så kallade “man-in-the-middle”-attacker samt implementeringsfel som underlättar starka insider attacker. Man finner även att systemet lider av allvarliga integritet säkerhetsproblem. Av de erhållna resultaten drar man slutsatsen att den grundliga designen av BankID är defekt. Författaren menar att ett system som BankID vilket tillhandahåller känslig privat information såsom bankkonto samt har ansvaret gällande en individs tillgångar måste ha högsta möjliga
säkerhetsstandard. Man anser att norskt BankID inte uppfyller detta krav då man lyckats identifiera så pass många svagheter i systemet. Bankerna blev informerade om resultaten och en av de brister Gjösteen pekade ut hade vid publicerings
tillfället blivit korrigerad medan resterande säkerhetsproblem befann sig i en analysfas för att bli lösta [30].
Vidare har vi även valt att granska två artiklar som undersöker användning av mobila applikationer hos äldre målgrupper samt designprinciper och
kravinsamling gällande dessa. Bull’s studie erbjuder nya och värdefulla insikter designmässigt när man utvecklar mobila tjänster för den äldre generationen. Man har interagerat med slutanvändare och andra parter i denna studie för att få fram dessa nya insikter. Det som upptäcktes med deltagarna i studien var att de inte var emot digitaliseringen och användningen av mobil teknologi utan visar istället bara en osäkerhet i deras förmåga att använda dem. Man fann deltagarna att överväga riskerna för förvirring och istället välja en enklare väg för att uppnå sitt mål. I dagsläget finns fortfarande andra alternativ såsom att gå till en fysisk affär eller att gå till banken och utföra ärenden. Man fann att detta inte enbart var ett rutinmässigt val utan ett aktivt val för att kunna bevara den sociala interaktionen. Man meddelade deltagarna om olika Open Data-appar man tänkt utveckla såsom “Community Shopping” där man kan shoppa i pooler online. Denna idén var deltagarna lyriska över då det var ett bra sätt att bevara den sociala kontakten med bl.a. grannarna som man annars hade gått miste om vid vanlig online-shopping. Det mest anmärkningsvärda för vår del var när man tog upp
internetbank-hantering. Man uttryckte stor oro för säkerheten på dessa verktyg och misstrodde sin egna kompetens i hanteringen av tekniken för att undvika större förluster av sina pengar, antingen genom att trycka på fel knapp eller
genom att bli bedragna av kriminella. Deltagarna menar att man saknade en “ångra”-knapp som kan återhämta en från ens misstag. Förmågan att kunna återhämta sig från ett misstag hade skapat en större tillit hos deltagarna och ökat självförtroendet i brukandet av applikationen. Ett annat förslag var även att skapa en fördröjning mellan att utföra en åtgärd t.ex. signera något. Fördröjningen skulle skapas i momentet man trycker på “Signera” och att den faktiska signeringen gått igenom. Detta hade gett användaren tid på sig att avbryta en oönskad åtgärd [31]. Jakkaew’s artikel fokuserar på hur man kan förbättra kravinsamling vid
utveckling och utformning av mobila användargränssnitt för ökad
användarvänlighet hos äldre. Äldre individer kan ha svårare att tillgodogöra sig ny teknologi p.g.a begränsningar i fysisk eller kognitiv förmåga och man menar därför att det är viktigt att ha dem i åtanke i designprocessen. För att undersöka detta har författarna skapat en användarprofil av målgruppen genom att samla in data från intervjuer, observationer och enkäter för att sedan skapa scenarier där
deltagarna fått använda en prototyp för att testa användarvänlighet. En heuristisk utvärdering har genomförts av resultaten för att identifiera olika problem och man har sedan genom en iterativ process arbetat med att reducera dessa för att
uppfylla målgruppens krav. I studien drar man slutsatsen att metoden att använda sig av profilering och prototyper är ett effektivt sätt att förbättra
kravinsamling vid utveckling av mobila applikationer för äldre, samt att det bidrar till ökad tillgänglighet och användarvänlighet för målgruppen [32].
4.2 Resultatet av Pilotstudien
Intervjuerna genomfördes 19/2-26/2-2020 och totalt 5 personer i åldern 62-73 år deltog. Respondenterna intervjuades anonymt enligt intervjumall ( bilaga 1 ) i person eller per telefon, där samtalen spelades in för att sedan transkriberas. Efter transkribering har man återkopplat med respondenterna för att godkänna
materialet. Insamlad data har därefter analyserats med induktiv ansats utifrån en kvalitativ modell för att identifiera återkommande teman och förklaringar, samt redogöra för ny kunskap som tillkommit, vilket är redovisat i bifogad analystabell ( bilaga 2 ) [26, s.266-278]. Utförandet av intervjuer har resulterat i att vi har en mer fullständig bild av vår målgrupp, dess användarvanor och åsikter kring
säkerhet gällande applikationen, vilket tjänade syftet med pilotstudien. Resultatet indikerar att de frågor vi ställt enligt intervjumallen är relevanta även om de bearbetats för att bättre passa ett enkät format.
4.3 Översiktligt om resultatet av enkätstudien
Enkäten undersökningen genomfördes mellan 12/3-23/3-2020. Från början var det tänkt att distribution skulle ske både digitalt och i pappersform, men p.g.a
rådande pandemi togs beslutet att distribuering endast skulle ske digitalt med målsättning att samla in svar från ett minimum av 30 stycken deltagare. Den slutgiltiga versionen av enkäten skapades med Google Docs som är ett gratis online verktyg. Google Docs har även en tjänst som möjliggör det att enkelt skapa diagram och tabeller utifrån resultatet. Då vi båda har tidigare erfarenhet att arbeta med denna applikation föll valet naturligt att använda sig av detta verktyg för att skapa enkäten. Resultaten som presenteras i 4.4 till 4.5.11 redovisas i diagram genererade av Google Docs.
Vi ansåg att det mest effektiva sättet att nå ut till vår målgrupp och dessutom få fler att delta än de som ingår i vårt kontaktnät, var att publicera enkäten i olika grupper på Facebook. På detta vis kunde vi vid en första anblick vara transparenta med syftet och valet att delta i studien helt frivilligt. Beslutet att nyttja Facebook som publicerings forum var motiverat med att det är många äldre som använder och är aktiva på just denna plattform [33].
Man hade även kunnat välja att lokalisera och kontakta möjliga respondenter slumpmässigt via sidor som Eniro, Ratsit och Hitta.se. Men då ämnet kan upplevas som känsligt p.g.a medias rapportering om bedrägerier kopplat till Mobilt BankID medförde denna metod en risk att upplevas som integritetskränkande och därför generera färre respondenter.
Totalt fick vi in 170 stycken enkätsvar, vilket var betydligt mer än förväntat. Detta tack vare bekanta, vänner, familj och personer som deltog via publicering på våra personliga Facebook profiler samt från relevanta facebookgrupper sett till
målpopulation så som:
● “Pensionärsupproret - vi som tröttnat på att våra åldringar behandlas illa” ● “Stå upp för fattigpensionärerna”
● “Din kommande pension”
● “Stå upp för pensionärerna på riktigt” ● "Minst 1600;-/månad, efter skatt, i pension", ● “Stå upp för Sveriges pensionärer!”
● “Stoppa åtstramningen för Sveriges Pensionärer!” ● “Mammor i Malmö”
● “50-talister på Facebook” ● “Vi pensionärer”
I övrigt har enkäten genererat en väldigt liten mängd internt data bortfall på enstaka frågor vilket minimerar risken att göra felaktiga generaliseringar av vår målpopulation.
4.4 Bakgrundsinformation
Vi har valt att i denna enkätundersökning skala ner bakgrundsvariablerna till de mest essentiella för att på vis garantera våra respondenter anonymitet. Detta innebär att vi endast efterfrågar ålder då studien vänder sig till ett specifikt åldersspann samt om respondenten har eller har haft ett IT-relaterat yrke för att indikera om det finns teknisk specialkompetens. Övrig allmän
bakgrundsinformation likt könsidentitet eller familjeförhållanden anser vi inte vara av relevans för resultatet av vår studie och har därför valt att inte efterfråga denna information i enkäten [27, s.92-99].
4.4.1 Fråga 1
Fråga 1: Vänligen ange din ålder?
Figur 6. Åldersfördelningen i vår studie 4.4.2 Fråga 2
Fråga 2 : Har du eller har du tidigare haft ett IT-relaterat yrke?
4.5 Resultatet från Enkätstudien
4.5.1 Fråga 3
Fråga 3 : Använder du Mobilt BankID i dagsläget?
Figur 8. Andelen Mobil BankID-användare 4.5.2 Fråga 4
Fråga 4: Hur ofta använder du Mobilt BankID?
4.5.3 Fråga 5
Fråga 5: I vilka syften använder du Mobilt BankID?
Figur 10. Tabellen visar i vilka syften deltagarna använder Mobilt BankID. Övriga svar var: “Jobbet”, “Kivra” och “Tele2”.
4.5.4 Fråga 6
Fråga 6: Är du medveten om några säkerhetsrisker som finns med Mobilt BankID?
Figur 11. Diagrammet visar hur stor andel av respondenterna som var medvetna om säkerhetsriskerna som finns med Mobilt BankID.
4.5.5 Fråga 7
Fråga 7: Vilka säkerhetsrisker är du medveten om?
De sammanhängande svaren var “Inte identifiera sig med BankID på begäran av annan”, “Inte lämna ut lösenord, uppgifter eller koder”, “Kapning”,
“Telefonbedrägeri, i olika former”, “Hackad” och “Bedrägeri”.
Figur 12. Visar vilka specifika säkerhetsrisker respondenterna är medvetna om. 19 stycken respondenter gav unika svar så som: “Fishing”, “alla digitala tjänster utgör en stor risk i sig”, “internet aldrig säkert. Använder dator inte mobiltelefon med appar”, “Att någon annan får tag i inloggningsuppgifterna och kan då
parallellt inloggade från annan enhet”, “Handla på säkra sidor”, “inte lämna till okända personer”, “Kodavläsning stulen identitet”, “Att enbart använda det själv och vara mycket restriktiv”, “Att betalningen inte gått igenom”, “Har tidigare blivit skimmad i samband med att jag använt Bankid i kontakt med trafikverket”.
“Aldrig använda i publika nät”, “Finns alltid risker”, “Spam. triggar mail, virus, falska sajter”, “Intrång”, “Genom information”, “Kolla upp information man får”, “Slarv med inloggning, bara användas av kända sidor”, “Väljer bara säkra källor”, “Är noga med hur och var jag använder appen” och “Risken att obehöriga kan utföra förbjudna åtgärder i mitt namn”.
4.5.6 Fråga 8
Fråga 8: På vilket sätt påverkar denna vetskap din användning av Mobilt BankID?
Figur 13. Tabellen visar fördelningen hur respondenterna blir påverkade av vetskapen om säkerhetsriskerna med Mobilt BankID.
4.5.7 Fråga 9
Fråga 9: Har du eller någon du känner blivit utsatt för någon form av bedrägeri kopplat till Mobilt BankID?
Figur 14. Diagrammet visar om deltagarna känner någon som blivit utsatt för bedrägeri kopplat till Mobilt BankID eller om man själv blivit utsatt.
4.5.8 Fråga 10
Fråga 10: Hur säker anser du Mobilt BankID vara i dagsläget?
Figur 15. Tabellen visar hur säkert respondenterna anser Mobilt BankID vara i dagsläget.
4.5.9 Fråga 11
Fråga 11: Vad upplever du som positivt med Mobilt BankID?
Figur 16. Tabellen visar respondenternas positiva omdömen av Mobilt BankID.
4.5.10 Fråga 12
Fråga 12: Hur nöjd är du med Mobilt BankID i dagsläget?
Figur 17. Tabellen illustrerar hur nöjda respondenterna är med Mobilt BankID i dagsläget.
4.5.11 Fråga 13
Fråga 13: Inom vilka områden anser du att Mobilt BankID skulle kunna förbättras?
Figur 18. Diagrammet illustrerar inom vilka områden respondenterna anser att Mobilt BankID är i behov av vidare utveckling.
5,7% av respondenterna valde att själv ange förbättringsförslag som löd som följande:
“Kunna rösta i riksdagsvalet”, “Räcker med vanlig BankID i datorn”, “Är Ok”, “Vid tekniskt fel och uppdateringar av appen har det varit problem med felkoder. Har dock löst sig för min del”, “Information från banken om säkerhetsfrågor”,
“Säkerheten för äldre och sjuka (kanske dementa mm)” och “Bli smidigare inställning till BankID på fil i datorn”.
4.5.12 Fråga 14
Fråga 14: Beskriv med egna ord dina tankar och åsikter om Mobilt BankID?
Figur 19. Figuren ger en översikt av respondenternas tankar och åsikter gällande Mobilt BankID.
30 stycken respondenter (21%) gav svar av mer unik karaktär likt: “Synd att alla inte nyttjar qr koder”, “Har svårt att klara mig utan. Handikappad och kan inte gå ut, så jag är jätteglad att det har gått framåt så mycket.”, “Skönt att kunna göra mycket i telefonen och inte behöva fysisk kontakt, brev, besök etc”, “Har läst om bedrägeri där någon skickat fel och vill ha tillbaka pengarna. Men förstår inte hur de då lyckas komma åt känsliga uppgifter”, “Med lite försiktighet och medvetenhet kring bedrägeri är BankID ett smidigt sätt att använda vid bankärenden och på andra sätt!”, “Jag vill hellre använda bank id på fil men det är inte alltid tillåtet”, “Använder bara det när jag inte kan använda dosan med tråd till datorn”, “Att man måste kolla ordentligt att adressen är den jag har beställt. Det är lite läskigt att det är så lätt att klicka fram nåt sånt personligt via Mobilt BankID”, “Viktigt för användare att förstå att inte använda Mobilt BankID om de skulle känna tvivel vid något telefonsamtal”.
Respondenterna valde även att ge informerande svar som: “Viktigt för användare att förstå att inte använda Mobilt BankID om de skulle känna tvivel vid något telefonsamtal”.
4.5.13 Fråga 15
Fråga 15: Vänligen ange orsak till att du inte använder dig utav Mobilt BankID?
Figur 20. Tabellen illustrerar varför respondenterna inte använder sig utav Mobilt BankID.
4.5.16 Fråga 16
Fråga 16: Finns de något som skulle kunna motivera dig att börja använda dig av Mobilt BankID?
Figur 21. Diagrammet illustrerar vad respondenterna svarade på frågan “Finns där något som skulle motivera dig att börja använda dig av Mobilt BankID?” 7 stycken respondenter (46,7%) valde att uppge unika svar likt: “Svårt att säga, är tveksam”, “Blir tvingad till det”, “Undervisning”, “Bättre hälsa”, “Försöker
undvika smartphones”, “Större säkerhet” och “En pistol i ryggen”.
5 Analys & Diskussion
I detta avsnitt analyserar vi och diskuterar resultatet av studien samt valt metod för genomförandet.
5.1 Besvarande av forskningsfråga 1
1 Vilka säkerhetsproblem har identifierats vid användning av Mobilt
BankID enligt tidigare studier?
Under studiens gång och genom utförd litteratursökning har vi konstaterat att det saknas vetenskapliga studier som berör säkerhetsriskerna relaterade till Mobilt BankID. Det närmsta vi kommer i form av vetenskaplig evidens är Gjösteens studie från 2008 som identifierar säkerhetsproblem gällande Norskt BankID [30]. Även om detta är långt före den mobila versionen av BankID släpptes på
marknaden är studien fortfarande relevant eftersom Mobilt BankID likt sina föregångare tillämpar PKI infrastruktur för att skapa och autentisera digitala
signaturer. Applikationen utvecklas dock kontinuerligt för att möta såväl nya legala krav som förändrade säkerhetsbehov [34].
Centrala säkerhetsproblem som nämns av Gjösteen och det fortfarande rapporterats flitigt om i svensk media är så kallade:
Social engineering även kallat social-attack - Bedragaren utger sig för att vara någon annan och får på vis tillgång till användarens inloggningsuppgifter[35, s. 54-55]. Systemet autentiserar bedragaren eftersom denne har producerat en giltig digital signatur. I samband med Mobilt BankID är detta scenarion där bedragare kontaktat användare via telefon och utgett sig för att vara banken, företag eller annan trovärdig källa för att på så vis lura användaren att ange sina
inloggningsdetaljer.
Phishing attack - Exploaterar faktumet att många användare är oförmögna att avgöra om en webbsida är autentisk eller ej. I detta fall luras användaren att ange sina inloggningsuppgifter på en falsk sida som sedan ger bedragaren tillgång till dem[35, s.54-55]. Detta kan ske i form av falska e-postmeddelanden från bank, företag eller myndighet där användaren ombeds uppdatera sin uppgifter.
Att ovan nämnda former av bedrägerier förekommer än i dag beror främst på att den mänskliga faktorn alltid kommer att vara ett säkerhetsproblem oavsett hur sofistikerade säkerhetsåtgärder som vidtas[35, s.32]. BankID försöker förhindra dessa problem b.l.a genom att informera sina kunder om potentiella hot via sin hemsida. Förutom att varna för falska e-postmeddelanden listar de följande punkter vara speciellt viktiga att uppmärksamma för att inte kompromissa säkerheten vid användning:
● Ge aldrig bort koder från bankdosan till en person som ringer upp dig eller kontaktar dig över Facebook/Messenger. Det kan vara en bedragare som försöker beställa ett BankID i ditt namn.
● Använd aldrig BankID på uppmaning av någon annan. En bedragare kan använda det för att beställa ett BankID i ditt namn eller stjäla pengar. ● Läs alltid noga de texter som visas i BankID-appen: Var loggar jag in? Vad
skriver jag under?
● Om du misstänker att du är utsatt för bedrägeri så bör du spärra alla dina BankID, kontakta din bank och göra en polisanmälan.
● Aktivera notifiering om någon hämtar ett nytt BankID i ditt namn via BankID-appen [34].
Genom åren har även Finansiell ID-Teknik som utvecklar Mobilt BankID vidtagit en del tekniska åtgärder för att förbättra säkerheten gällande autentisering. I Mars 2017 togs första steget mot biometrisk autentisering med lanseringen av en betaversionen av Mobilt BankID för Android som gav stöd åt identifiering via fingeravtryck. Den färdiga versionen kunde laddas ner av användare i April samma år [36].
I Februari 2018 nådde man ytterligare en milstolpe då man släppte en ny version som fungerar tillsammans med Face ID vilket är namnet på den teknik Apple använder för ansiktsigenkänning. Både fingeravtryck och ansiktsigenkänning går
endast att använda tillsammans med de tjänster som godkänt metoderna, i annat fall ombeds användaren att ange säkerhetskod [37].
En trolig anledning till att alla tjänster inte godkänner dessa metoder är att biometrisk autentisering i sig själv kan vara problematisk. Autentisering med säkerhetskod ger ett tydligt avslag eller godkännande vid varje
autentiseringsförsök. Vid autentisering genom biometri, kommer den lagrade referensmallen av ansikte eller fingeravtryck sannolikt aldrig att exakt att stämma överens med den mall som härrör från de aktuella mätningarna vid ett inloggningsförsök. Exempelvis kan ansiktsuttryck/fingeravtryck skilja sig åt vid olika mätningar. Med hjälp av en algoritm mäter man likheten mellan
referensmall och aktuell mall. Användaren accepteras om likheten är över en fördefinierad gräns. Detta kan leda till felaktiga resultat i form av falsk positiv och falsk negativ. Att acceptera fel användare (falskt positivt) är ett givet
säkerhetsproblem, medan att avvisa en legitim användare (falskt negativt) skapar problem med tillgänglighet [35, s.60-61]. Ett annat säkerhetsrelaterat problem gällande biometri är att även om fingeravtryck är unika är det inte omöjligt att förfalska dem. Vi lämnar fingeravtryck i princip överallt och det har tidigare visat sig att det inte är speciellt svårt att konstruera gummifingrar som överlistar de flesta kommersiella system för fingeravtrycksigenkänning. Sammanfattningsvis är erfarenheterna av storskalig användning av biometriska system relativt begränsad [35, s.62].
Den uppdatering som kanske hittills haft störst betydelse sett ur ett
säkerhetsperspektiv var när man i September 2018 lanserade stöd för QR-kod i Mobilt BankID [38]. Enligt polisen minskade bedrägeribrotten kopplade till Mobilt BankID med 90% under våren 2019 och förlust av inkomster kopplat till
bedrägerier minskade från 40 miljoner kronor till 4 miljoner kronor i månaden [39]. QR är en förkortning av Quick Response och utvecklades 1994 av det
Japanska företaget Denso Wave. Koden är en vidareutveckling av vanlig streckkod och skiljer sig på det sätt att den är tvådimensionell och är som resultat kapabel till att lagra betydligt mer information [40]. När Mobilt BankID används vid inloggning på en tjänst på datorn ombeds användaren scanna en QR-kod. Då man konstaterat att vid många av de genomförda bedrägerierna har bedragaren
befunnit sig på en helt annan geografisk plats, kan man genom denna metod fastställa att det finns en fysisk närhet mellan de båda enheterna. Dock fungerar detta endast när man loggar in på en separat enhet och kan således inte användas vid inloggning på mobila applikationer på den enhet där Mobilt BankID är
installerat [41].
Förutom de säkerhetsproblem som redan har diskuterats, drar Gjösteen i sin studie slutsatsen att den grundläggande designen för Norskt BankID var defekt och direkt olämplig för ett system som ska tillhandahålla juridiskt bindande digitala signaturer och åtkomstkontroll till känslig information. Efter att ha simulerat olika attacker på systemet upptäcktes det att information skickas okrypterad mellan klient och server. Författaren påpekar det som ett elementärt misstag som hade kunnat åtgärdas genom att följa standard krypteringsprotokoll vid implementering.
Problemet utgjorde ett stort hot mot integritet men indikerade även att systemet var benäget att bli utsatt för kraftfulla insider attacker [30]. En inside attack
innebär att någon som arbetar inom organisationen korrumperar systemet eller utnyttjar dess svagheter till sin egen fördel [35, s.14].
Sammanfattningsvis ansåg man att inget system utvecklat av banker bör tillåtas bred användning utan rigorös offentlig utvärdering av oberoende experter. De Norska bankerna blev informerade om resultaten av studien och hade vid
tidpunkten för publicering korrigerat en av de brister man pekat ut. Eftersom det aldrig publicerades en uppföljningsstudie har vi i denna studie inte fastställt nuvarande status på säkerhet gällande Norskt BankID, då vi fokuserar på den svenska versionen [30].
På grund av avsaknaden av en motsvarande eller någon form av studie som undersöker säkerhet gällande den Svenska versionen av Mobilt BankID, är det inte möjligt att göra en jämförelse eller dra några paralleller till Norskt BankID. Följaktligen resulterar det i att vi i dagsläget är omedvetna om säkerhetsrisker som berör Mobilt BankID utöver de bedrägerier som det rapporterats om i svensk media och som bekräftats av Finansiell ID-Teknik.
5.2 Besvarande av forskningsfråga 2
2 Är tilltänkt målgrupp medvetna om de säkerhetsrisker som finns med
Mobilt BankID och har de upplevt några problem när de nyttjat tjänsten?
Utifrån resultatet av vår enkätstudie visar fråga 6 att 56,4% av respondenterna är medvetna om de säkerhetsrisker som finns med Mobilt BankID.
Figur 11. Diagrammet visar hur stor andel av respondenterna som var medvetna om säkerhetsriskerna som finns med Mobilt BankID.
Det visar även att 43,6% inte är medvetna om säkerhetsriskerna som existerar. Detta indikerar att det ändå finns en stor omedvetenhet inom målgruppen. Vi hade en förutfattad mening att de flesta, även äldre hade hört talas om
säkerhetsriskerna med dagens identifieringsteknik. Därför är resultatet av fråga 6 överraskande för oss.
I fråga 7 fick respondenterna som svarat “Ja” på föregående fråga (fråga 6) fritt skriva vilka säkerhetsrisker man var medveten om. Här kan vi dra slutsatsen att
respondenterna var medvetna om säkerhetsriskerna och det som rapporterats i media.
Figur 12. Visar vilka specifika säkerhetsrisker respondenterna är medvetna om. Respondenterna var medvetna om att inte identifiera sig med BankID på begäran av annan och inte lämna ut lösenord, uppgifter eller koder. Man var medvetna om att det pågick olika typer av bedrägeribrott i form av bl.a. telefonbedrägerier och kapningar av identitet. Man var medveten om att alltid vara försiktig med sitt BankID och alltid dubbelkolla vad man signerar för. Vi fastställer därmed att de 81 stycken respondenterna som svarade på fråga 7 en betydande medvetenhet i säkerhetsrisk-frågan med Mobilt BankID.
Utifrån fråga 8 “På vilket sätt påverkar denna vetskap din användning av Mobilt BankID?” kan man fastställa att 43 respondenter av 84 möjliga vidtar
Figur 13. Tabellen visar fördelningen hur respondenterna blir påverkade av vetskapen om säkerhetsriskerna med Mobilt BankID.
Det indikerar att de medvetna brukarna överväger att fortsätta använda appen men med större varsamhet.
38 respondenter meddelar att vetskapen inte påverkar deras användande. Endast 7 av totalt 84 respondenter meddelar i undersökningen att de använder appen i mindre utsträckning.
En överväldigande majoritet på 85,9% svarade “Nej” på fråga 9 : “Har du eller någon du känner blivit utsatt för någon form av bedrägeri kopplat till Mobilt BankID?”. Gällande denna fråga hade vi förutspått att antalet “Ja”-svarande skulle vara betydligt fler.
Figur 14. Diagrammet visar om deltagarna känner någon som blivit utsatt för bedrägeri kopplat till Mobilt BankID eller om man själv blivit utsatt.
Främst på grund av rapporteringen från media som målat upp en bild av att det är många som blivit bedragna genom bl.a. telefonbedrägerier [22, 23].
Figur 15. Tabellen visar hur säkert respondenterna anser Mobilt BankID vara i dagsläget.
Eftersom denna fråga besvarades av alla oavsett om de var medvetna om risker eller ej tolkar vi resultatet som att målpopulationen generellt anser Mobilt BankID vara ett säkert sätt att identifiera sig. Det här resultatet går i linje med Sandered’s undersökning där respondenterna graderade säkerheten som hög oavsett
åldersgrupp [29]. Husz beskriver i sin studie att Sverige har en tradition av bankers involvering i utfärdande och hantering av ID-handlingar som sträcker sig tillbaka till 1960-talet [6]. Den långa historiken samt det faktum att myndigheter godkänner bank utfärdade ID-handlingar, skulle kunna vara bidragande faktorer till varför målgruppen känner tilltro till applikationen och upplever den som säker. Även resultatet på fråga 5 skulle kunna tolkas som att respondenterna känner tillit till applikationen och dess säkerhet, då användning främst sker i
sammanhang som innebär hantering av en stor mängd känslig data.
Figur 10. Tabellen visar i vilka syften deltagarna använder Mobilt BankID. Sammanfattningsvis kan man fastställa att en svag majoritet av målgruppen är medvetna om säkerhetsriskerna.En möjlig anledning till detta är att en stor del av
respondenterna varken har eller känner någon som har upplevt problem med säkerheten vilket kan resultera i att man inte är medveten om existerande risker eller ser potentiella hot. Man kan även i fråga 3 se att de flesta av respondenterna eller 69,4% varken har eller haft ett IT-relaterat yrke.
Figur 8. Andelen Mobil BankID-användare.
Även detta skulle kunna vara en bidragande faktor till att så många respondenter inte är medvetna om säkerhetsrisker kopplat till Mobilt BankID. Man kanske saknar den tekniska kompetensen för att på egen hand identifiera vad som skulle kunna innebära en risk och kanske inte heller är speciellt intresserad av teknik/ elektronik och som följd av detta missat rapportering kring applikationen i media.
5.3 Besvarande av forskningsfråga 3
3 Tycker de att de positiva fördelarna överväger de negativa aspekterna dvs
de identifierade säkerhetsriskerna?
Som observerat ovan i resultatet på fråga 3 har 87,6% av respondenter uppgett att de brukar Mobilt BankID regelbundet. Vi kan därför anta att de bör ha en god insikt i vad de upplever som positivt eller negativt med applikationen.
Respondenterna förstärker även denna tes genom att svara i majoritet med “Några dagar i veckan” eller “Dagligen” på fråga 4 om hur ofta man använder Mobilt BankID.
Figur 9. Illustration över hur ofta deltagarna använder Mobilt BankID i vardagen. Eftersom flera av artiklarna som granskats i litteraturstudien tar upp svårigheter som äldre upplever vid användning av mobila applikationer och även osäkerhet kring säkerheten av dessa, var det av intresse att undersöka om de åsikterna delas av våra respondenter i samband med användning av Mobilt BankID [31,32]. I fråga 11 där respondenterna ombeds ange vad de som upplever som positivt med applikationen valde de flesta attribut som “Lätt att använda”(85,9%) och
“Smidig” (67,1%) vilket indikerar att målpopulationen generellt upplever Mobilt BankID som användarvänlig.
Fråga 11: Vad upplever du som positivt med Mobilt BankID?
Figur 16. Tabellen visar respondenternas positiva omdömen av Mobilt BankID. Påståendet stärks även av resultatet från fråga 12 där 132 respondenter eller 88,6% angav att de befann sig på en 4 eller 5 i skalan med hur nöjda de var med applikationens funktionalitet i dagsläget.
Figur 17. Tabellen illustrerar hur nöjda respondenterna är med Mobilt BankID i dagsläget.
Det var även endast 9,4% av respondenterna som enligt svaren på fråga 13 ansåg att användarvänlighet bör förbättras.
Figur 18. Diagrammet illustrerar inom vilka områden respondenterna anser att Mobilt BankID är i behov av vidare utveckling.
Det är därför troligt att man haft den äldre målgruppen i åtanke och inkluderat dem vid kravinsamling och utveckling av användargränssnittet som anges i Jakkaew m.fl studie [32].
Gällande de områden man anser att Mobilt BankID skulle kunna förbättras, valde endast 18,8% av respondenterna alternativet “Utökade användningsområden”på fråga 13 ovan. Detta kan jämföras med resultatet i Sandereds studie där den äldre målgruppen ansåg att Mobilt BankID skulle ha ett snävare användningsområde [29]. Däremot önskade nästan hälften av respondenterna 47% ökad säkerhet gällande Mobilt BankID. Vi kan därför dra slutsatsen att säkerhet har hög
prioritet hos målpopulationen och är enligt denna studie det område man helst ser en förbättring inom.
Säkerhet verkar även vara en avgörande faktor till varför 12,4% av
respondenterna väljer bort Mobilt BankID. Även om erhållna svar på fråga 15 “Vänligen ange orsaken till varför du inte använder dig av Mobilt BankID?” skiljer sig en del indikerar resultatet att flertalet uttrycker någon form av oro gällande säkerheten som anledning till varför man väljer bort applikationen.
Figur 20. Tabellen illustrerar varför respondenterna inte använder sig utav Mobilt BankID.
Av de berörda respondenterna uppger 6 stycken att de inte känner sig säkra att hantera tjänsten och som följd inte känner tillit till den.
I svaren berättar även 3 stycken respondenter att de väljer att inte använda applikationen som en säkerhetsåtgärd för att undvika att bli utsatta för bedrägerier.
På fråga 16 ombads dessa respondenter att motivera vad som skulle få dem att börja använda Mobilt BankID. Av svaren ges intrycket att de besitter en stark ovilja att nyttja tjänsten och endast kommer att använda applikationen om de blir tvungna p.g.a att andra alternativ saknas eller utgår.
Figur 21. Diagrammet illustrerar vad respondenterna svarade på frågan “Finns där något som skulle motivera dig att börja använda dig av Mobilt BankID?”
Utav 143 respondenter som använder sig av Mobilt BankID uttryckte 85 stycken personer sig i positiv bemärkelse på fråga 14: “Beskriv med egna ord dina tankar och åsikter om Mobilt BankID?”.
Figur 19. Figuren ger en översikt av respondenternas tankar och åsikter gällande Mobilt BankID.
14 stycken respondenter uppgav att de känner en viss oro över säkerheten och 7 stycken gav svar som uttrycker en negativitet mot tjänsten. Utifrån den här frågan kan vi få fram att en majoritet anser att de positiva aspekterna överväger de negativa. Många gav även unika svar som “Med lite försiktighet och medvetenhet kring bedrägeri är BankID ett smidigt sätt att använda vid bankärenden och på andra sätt!”
Utifrån fråga 14 ovan kan man dra slutsatsen att respondenterna är nöjda med appen. Där är ingen som tar upp ett konkret problem med själva applikationen eller tjänsten i sig utom två respondenter i fråga 14 som uttryckte kritik till struktureringen och designen på appen samt att det numera är det enda sättet att legitimera sig på.
Användargränssnittet är en aspekt vi hade tänkt lyfta fram för framtida forskning ifall det fanns indikation att många av våra respondenter uttryckt problem med användbarheten, men ingen utom en respondent framförde ett konkret
användbarhetsproblem med applikationen, som synes ovan. Det var även endast 14 respondenter utav 149 svarande som valde alternativet “Användarvänlighet” i flervalsfråga 13 “Inom vilka områden anser du att Mobilt BankID skulle kunna förbättras?” vilket pekar på att en betydande minoritet finner användbarheten som ett problem.
Figur 18. Diagrammet illustrerar inom vilka områden respondenterna anser att Mobilt BankID är i behov av vidare utveckling.
Sammanfattningsvis kan man tolka resultaten som att de flesta respondenterna önskar att se en förbättring av säkerheten gällande applikationen, men samtidigt har ett positivt omdöme av tjänsten. Därmed överväger de positiva fördelarna för användarna gentemot de negativa aspekterna av Mobilt BankID i vår
undersökning.
5.4 Metoddiskussion
I detta avsnitt utvärderar vi metoden vi valt att applicera, samt vilka alternativa metoder som eventuellt hade kunnat tillämpas.
5.4.1 Vald metod
Efter avslutad studie är det av vår uppfattning att beslutet att använda
Exploratory Sequential Mixed Method varit optimalt för att utföra studien med den tid och resurser vi haft. Genomförd litteraturstudie har utökat vår kunskap både gällande de tekniska aspekterna av applikationen, säkerhets implikationer, samt dess bakgrund sett ur ett samhällshistoriskt perspektiv. Vi har även genom att fördjupa oss i relaterad forskning fått en ökad förståelse för de många
utmaningar som den äldre generationen konfronteras med vid användandet av mobila applikationer.
Tillämpning av ytterligare ett kvalitativt element i form av semistrukturerade intervjuer har varit ett effektivt verktyg för kunna göra ett bättre urval gällande enkätfrågor. Detta har bidragit till att den kvantitativa enkätundersökningen försett oss med mer meningsfull primärdata. Vi anser att insamlandet av just primärdata varit nödvändigt för att besvara våra forskningsfrågor då det saknas tidigare forskning inom valt område. Det är även vår åsikt att det är betydelsefullt att samla in och analysera en större mängd data för att få en mer generell bild av vår målpopulation.
5.4.2 Alternativa metoder
Studien hade kunnat genomföras både med renodlade kvalitativa eller
kvantitativa metoder. Dock finns det en del brister med båda som bidrog till att valet föll på en blandad metod. Hade vi valt att begränsa oss till kvalitativa metoder och endast använt oss av litteraturstudier samt intervjuer hade ett övergripande problem varit att studien genomförs under en kort period. Eftersom
