Säkerhet i smarta hem:
användares agerande
HUVUDOMRÅDE: Informatik
FÖRFATTARE: Anton Eriksson, Joel Tjernström HANDLEDARE: Erik Bergström
JÖNKÖPING 2020 september
En fallstudie i användares möjligheter att agera och deras
agerande för att hålla smarta hemprodukter säkra.
Detta examensarbete är utfört vid Tekniska Högskolan i Jönköping inom [se huvudområde på föregående sida]. Författarna svarar själva för framförda åsikter, slutsatser och resultat.
Examinator: Ulf Seigerroth Handledare: Erik Bergström Omfattning: 15 hp (grundnivå) Datum: 2020-09-06
Abstract
This study explores how smart home users act to keep their smart products safe. The sample was identified in the literature as early adopters. These were studied through a qualitative case study with semi-structured interviews. Data were then analysed with a thematic analysis, which resulted in four themes: Lack of concern, In the hands of the manufacturer, Safety outside the product and Safety measures. The informants had different reasons and motivations for their common lack of concern, their experience of being able to influence product security the measures they could evoke and the measures they actually took. The informants' lack of concern is linked to the theory of the impact of worry on action and risk perception. The informants' problems in influencing security are supported by other literature. Their hypothetical measures are mainly outside the product. The actions they actually perform on the product are limited to basic security measures such as passwords, etc. Users find it difficult to influence the security of their products, unsafe products can easily fall victim to malicious individuals and influence others in their environment.
Keywords
Sammanfattning
Denna studie undersöker hur användare av smarta hem kan agera för att hålla sina smarta produkter säkra. Urvalet identifierades i litteratur som early adopters. Dessa studerades genom en kvalitativ fallstudie med semistrukturerade intervjuer. Data analyserades sedan med en tematisk analys, vilket resulterade i fyra teman: Avsaknad av oro, I händerna på tillverkaren, Säkerhet utanför produkten och Säkerhetsåtgärder. Informanterna hade olika anledningar och motivationer till sin gemensamma avsaknad av oro, deras upplevelse av att kunna påverka produkters säkerhet, de åtgärder som de kunde frammana och de åtgärder som de faktiskt gjorde. Informanternas avsaknad av oro länkas till teori om oros påverkan på agerande och upplevd risk. Informanternas problematik att påverka säkerheten stöds av annan litteratur. Deras hypotetiska åtgärder ligger i huvudsak utanför produkten. Det agerande de faktiskt utför på sina produkter är begränsat till grundläggande säkerhetsåtgärder som lösenord etc. Användarna har svårt att påverka säkerheten hos sina produkter, osäkra produkter kan enkelt falla offer för illvilliga individer och påverka andra i sin omgivning.
IoT, Internet of Things, smarta hem, smart hem, användare, säkerhet, agera, early adopter.
Innehållsförteckning
Abstract ... ii
KEYWORDS ... IISammanfattning ... iii
Innehållsförteckning ... iv
1
Introduktion ... 7
1.1 BAKGRUND ... 7 1.1.1 Internet of Things ... 7 1.1.2 Konsekvens av säkerhetsbrister ... 7 1.1.3 Användaren ... 8 1.2 PROBLEMBESKRIVNING ... 91.3 SYFTE OCH FRÅGESTÄLLNINGAR ... 9
1.4 OMFÅNG OCH AVGRÄNSNINGAR ... 9 1.5 DISPOSITION ... 9
2
Teoretisk bakgrund ... 11
2.1 ANVÄNDAREN ... 11 2.2 SÄKERHET ... 11 2.3 HINDER FÖR AGERANDE ... 11 2.4 ANVÄNDARENS AGERANDE ... 123
Metod och genomförande ... 14
3.1 FORSKNINGSANSATS ... 14
3.2 DATAINSAMLINGSMETODER OCH DATAANALYS ... 14
3.3 URVAL ... 15
3.4 ARBETSPROCESSEN ... 15
3.6 TILLFÖRLITLIGHET OCH TROVÄRDIGHET ... 17
4
Empiri ... 19
4.1 INTRODUKTION AV INFORMANTER ... 19 4.1.1 Informant A ... 19 4.1.2 Informant B ... 19 4.1.3 Informant C ... 19 4.1.4 Informant D ... 20 4.1.5 Informant E ... 20 4.1.6 Informant F ... 20 4.2 AVSAKNAD AV ORO ... 21 4.3 I HÄNDERNA PÅ TILLVERKAREN ... 234.4 SÄKERHET UTANFÖR PRODUKTEN ... 25
4.5 SÄKERHETSÅTGÄRDER ... 26
5
Analys ... 29
5.1 AVSAKNAD AV ORO ... 29
5.2 I HÄNDERNA PÅ TILLVERKAREN ... 29
5.3 SÄKERHET UTANFÖR PRODUKTEN ... 30
5.4 SÄKERHETSÅTGÄRDER ... 30
6
Diskussion och slutsatser ... 32
6.1 RESULTATDISKUSSION ... 32
6.1.1 Avsaknad av oro ... 32
6.1.2 I händerna på tillverkaren ... 33
6.1.3 Säkerhet utanför produkten ... 33
6.1.4 Säkerhetsåtgärder ... 34
6.2 METODDISKUSSION ... 34
6.4 VIDARE FORSKNING ... 36
7
Referenser ... 37
8
Bilagor ... 42
BILAGA 1–INTERVJUGUIDE ... 43
1
Introduktion
1.1 Bakgrund
1.1.1 Internet of Things
Internet of Things, IoT (översättning: Sakernas internet) är ett samlingsbegrepp för elektronik som antingen via dator eller egen förmåga kopplas upp mot internet (Nationalencyklopedin, 2020). Enligt Aqeel-ur-Rehman, Rehman, Muzaffar, Moiz, & Hasan (2016) definieras IoT som ett globalt nätverk av fysiska och virtuella saker kopplade till internet.
Under de senaste åren har antalet aktiva IoT-enheter vuxit i antal, från 15 miljarder år 2015 till 22 miljarder år 2018, och antalet förutspås stiga ytterligare till 40–75 miljarder enheter år 2025 (Columbus, 2016; Strategy Analytics, 2019). 54% av respondenterna i undersökningen Svenskarna och internet (Internetstiftelsen, 2019) svarade att de hade någon typ av IoT-enhet i hushållet.
En undergrupp inom IoT är Smarta enheter som även de ökat i popularitet (Malmqvist, 2018; You, Giovanni, Salerno, & Sharma, 2019). Smarta enheter används ofta i det smarta hemmet där sensorer, vitvaror och andra smarta enheter ansluts till internet för att via detta på håll kunna övervaka, få tillträde till, styra och övervaka en bostad (Fabi, Spigliantini, & Paolo Corgnati, 2016).
Det finns många definitioner av en smart enhet. Silverio-Fernándes, Renukappa och Subashini (2018) definierade en smart enhet som en enhet med autonomi, kontextmedvetande och konnektivitet. En enhet med kontextmedvetande kan genom sensorer bestämma vilka handlingar som ska utföras baserat på den situation den befinner sig i. Tre viktiga aspekter som definierar kontext i detta sammanhang är: plats, närvarande personer och närliggande resurser (Schilit, Adams, & Want, 1994). Exempelvis kan en smart termostat sänka värmen när den känner av att det är många människor i byggnaden. Definitionen av Silverio-Fernándes, m.fl., (2018) passar väl in på många av de produkttyper som marknadsförs som smarta produkter. Samtidigt som IoT-enheterna kraftigt har ökat i antal har också flertalet studier funnit att säkerheten hos denna typ av produkter ofta är undermålig (Lynch, m.fl., 2019; Sivaraman, Gharakheili, Fernandes, Clark, & Karliychuk, 2018; Aqeel-ur-Rehman, m.fl., 2016).
1.1.2 Konsekvens av säkerhetsbrister
Säkerhetsbrister i enheter är attraktiva för illvilliga individer att försöka utnyttja för att exempelvis komma över en enhets resurser och nyttja dessa i ett botnät (IBM, 2016). Ett botnät är en grupp av enheter som infekterats med skadlig kod och som styrs på håll av kriminella botnätsägare (IBM, 2016).
IT-säkerhetsföretaget Kaspersky informerade om att man under första kvartalet 2019 genom olika detekteringsmetoder upptäckte inte mindre än 100 miljoner attacker mot smarta enheter, där man under samma kvartal 2018 endast upptäckte 12 miljoner attacker (AO Kaspersky Lab, 2019). Det finns alltså ett uppmätt intresse av att försöka komma åt denna typ av enheter för att kunna nyttja dem i olika syften exempelvis för att attackera olika länder.
En attack som fick stora konsekvenser och utnyttjade enheter med säkerhetsbrister var när ett botnät attackerade DNS-leverantören (Domain Name System) Dyn med en DDOS (Distributed Denial of Service) attack (Antonakis, m.fl., 2017). I en DDOS-attack skickas stora mängder data från ett flertal enheter med målet att överbelasta en annan enhet eller tjänst. DNS är en kritisk tjänst för att internet ska fungera (Internetstiftelsen, 2020). Målet med attacken var att göra leverantören oförmögen att bedriva den för internet kritiska tjänsten DNS. DNS omvandlar en webbadress från text till den IP-adress den faktiska servern där resursen användaren vill få åtkomst till finns. Utan DNS kan majoriteten av användare och enheter, som inte känner till IP-adressen på annat sätt, inte översätta en webbadress och kan därmed inte kontakta den webbsida eller tjänst som önskas.
Attacken mot Dyn utfördes av ett stort botnät vid namn Mirai. Ett botnät består av ett antal nätverksenheter som har infekterats av skadlig kod och i sin tur kan fjärrstyras utan användarens eller ägarens vetskap. Det botnätens operatörer är intresserade av är att använda sina offers resurser; exempelvis bandbredd, processorkraft och elektricitet i eget syfte (IBM, 2016). Attacken gjorde det omöjligt för Dyn att leverera sina tjänster, vilket gjorde att flera stora företag fick störningar i sina tjänster. Exempel på drabbade verksamheter är bland andra Amazon, Github, Netflix, PayPal, Reddit och Twitter (Antonakis, m.fl., 2017).
1.1.3 Användaren
Rogers (2003) visar på innovatörer och early adopters (tidiga anammares) värde för tekniska innovationers framgång, då de har en stor påverkan på sina jämlikars vilja att anamma nya produkter eller innovationer. Early Adopters har varit viktiga i
spridningen av olika innovationer, exempelvis användandet av solpaneler för elektricitet i Dominikanska republiken (Rogers, 2003).
Termen early adopter beskrivs i ordboken Lexico (2020) som en person som börjar använda en produkt eller teknik så fort den blir tillgänglig.
Innovationer som upplevs som bättre jämfört med den innovation den ersätter och har en relativ kompatibilitet, prövbarhet och obeservationsmöjlighet, anammas snabbare än andra innovationer. Early adopters är nyckeln i en innovations sociala spridning, då de genom anammandet och spridningen av sin subjektiva utvärdering av innovationen påverkar sin omgivning (Rogers, 2003).
Enligt Rogers (2003) är early adopters viktiga för att tekniken skall spridas till den bredare massan och spridningen sker till stor del genom interpersonal kommunikation. Vilket innebär att användarnas beteende influeras av deras omgivande jämlikar. 1.2 Problembeskrivning
Mängden IoT och Smarta enheter har ökat kraftigt (Columbus, 2016; Strategy Analytics, 2018), och enligt ett flertal studier dras denna typ av enheter med säkerhetsproblem och brister (Aqeel-ur-Rehman, m.fl., 2016; Sivaraman, m.fl. 2018; Roman-Castro, Lopez, & Stefanos, 2018). Vissa av dessa brister kan dessutom utnyttjas för kriminell verksamhet (Kolias, Kambourakis, Stavrou, & Voas, 2017). Forskare och experter menar att tillverkare saknar incitament för att implementera och förbättra säkerhetsfunktioner i sina produkter (Bellman & van Oorschot, 2020; Sadler, 2017; Mansfield-Devine, 2016; Blythe, Johnson, & Manning, 2020). Flera studier har konstaterat en avsaknad av kunskap om användarna, specifikt early adopters och hur de interagerar med sina smarta hem (Wilson, Hargreaves, & Hauxwell-Baldwin, 2015; Gram-Hanssen & Sarah J, 2018; Sovacool & Furszyfer Del Rio, 2020; Marikyan, Papagiannidis, & Alamanos, 2019).
1.3 Syfte och frågeställningar
I problembeskrivning framgår att Smarta enheter ökat kraftigt i antal och att enheterna ofta har säkerhetsproblem som kan få konsekvenser. Flertalet studier konstaterar att det saknas kunskap om användarna och hur de använder sina smarta hem. Därför syftar denna studie till:
Att undersöka hur early adopters av smarta hem kan agera för att hålla dem säkra.
Och därmed är studiens frågeställning:
Hur agerar early adopters av smarta hem för att hålla sina smarta produkter säkra? 1.4 Omfång och avgränsningar
Detta arbete kommer att omfatta early adopters av smarta hem och de smarta enheter som finns i hemmet, som exempelvis smarta vitvaror, apparater och lampor. Programmerbara styrsystem (PLC), elektronisk utrustning med ett programmerbart minne för lagring av instruktioner för styrning och reglering av industriprocesser, kommer ej inkluderas i studien då de är anpassade för industrimiljö (NE Nationalencyklopedin AB, 2020). Studien undersöker early adopters av smarta hem i en svensk kontext, för att minska eventuella problem härstammande språkförbistringar och tolkningsfel samt för att fokusera studien.
1.5 Disposition
Rapporten kommer att först gå igenom den teoretiska bakgrund (kap. 2) som använts i studien, därefter redogörs för den datainsamlingsmetod och analysmetod (kap. 3) som
valts. Studiens urval, etiska aspekter och trovärdighet beskrivs. Därefter introduceras empiri (kap. 4), följt av analysdel (kap. 5) och diskussion (kap. 6). Sist bifogas referenslista, intervjuguide och informationsbrev.
2
Teoretisk bakgrund
Kapitlet ger en teoretisk bakgrund och förklaringsansats till studien och det syfte och frågeställningar som formulerats.
2.1 Användaren
Användaren är en central del i ett systems säkerhet, och forskare har konstaterat att enbart teknologi inte kan lösa säkerhetsproblem (Trček, Trobec, Pavešić, & Tasič, 2007). Användaren kan på olika sätt påverka säkerheten hos sina produkter, exempelvis genom att välja ett svårare lösenord (Guo & Zhang, 2018).
2.2 Säkerhet
För att skydda en enhet från obehöriga krävs någon form av säkerhetsåtgärder. Säkerhet, i allmän betydelse resultatet av åtgärder eller egenskaper som minskar sannolikheten för att olyckor eller andra oönskade händelser skall inträffa (NE Nationalencyklopedin AB, 2020). Utöver fysisk säkerhet så innefattas även informationssäkerhet då systemen behandlar information om användarna, informationssäkerhet syftar till att bevara informations konfidentialitet, tillgänglighet och integritet (ISO, 2018). Utöver enheternas fysiska resurser finns alltså en ytterligare resurs: användarnas information.
Flertalet studier har konstaterat att enheter under benämningen IoT/smarta enheter ofta dras med säkerhetsbrister och dålig design ur säkerhetssynpunkt (Sivaraman, m.fl. 2018; Aqeel-ur-Rehman, m.fl., 2016; Roman-Castro, m.fl., 2018). Vad detta beror på är inte fastställt, men forskare och experter argumenterar för att tillverkare saknar incitament att producera säkra produkter (Bellman & van Oorschot, 2020; Sadler, 2017; Mansfield-Devine, 2016; Blythe, m.fl., 2020). I studien av Sivaraman, m.fl. (2018), finns det säkerhetsbrister i produkter från små till stora företag, ett företags storlek är således ingen garanti för att en produkt är säker.
En undersökning gjord för PETRAS-IoT, konstaterade att bördan för säkerheten hos IoT produkter ofta landar på användaren (Blythe & Lefevre, Cyberhygiene Insight Report, 2017).
2.3 Hinder för agerande
Det är dock inte uppenbart för användaren vad som behöver eller kan göras för att lösa säkerhetsproblem. Forskare har konstaterat att det är svårt för användare att bilda sig en uppfattning av smarta produkters säkerhet. Detta skulle kräva ett omfattande analysarbete av de komplexa system utfört av individer med särskilda kunskaper inom säkerhet (Jacobsson, Boldt, & Carlsson, 2018). Samt att den information som kommuniceras från tillverkare till användare om produkters säkerhet inte är tillräcklig för att användare ska kunna fatta underbyggda beslut om sina produkter (Blythe, m.fl., 2019).
Ytterligare svårigheter för deras faktiska agerande innefattar att deras påverkan kan vara begränsad. En studie av Bellman och van Oorschot (2020) granskade 1014 olika säkerhetsråd, från 69 olika dokument och 49 olika organisationer. De fann att över 91% inte var faktiska råd utan eftersträvade utfall och att hela 69.6% var åtgärder som skulle behöva implementeras redan i designstadiet hos produkten. Sammantaget beskrivs att konsumentens möjlighet till påverkan är begränsad till att följa rekommendationer och att välja produkter omsorgsfullt, och på så sätt utöva sin köpkraft.
2.4 Användarens agerande
Oro, har i studier tidigare identifierats som en stark faktor i att vidta åtgärder. Att oroa sig för någonting innebär att man motiveras att vidta åtgärder. Man konstaterar också att oro huvudsakligen påverkas av tro om sannolikheten att något skall inträffa (Baron, Hershey, & Kunreuther, 2000). Sweeny och Dooley (2017) beskrev den positiva påverkan som oro har på individers agerande, nämligen att oro motiverar och drar uppmärksamheten till problem och situationer som kräver individens åtgärd, samt att oro förordar kritisk granskning av de alternativ individen har till sitt förfogande för att nå en lösning. Oro motiverar också individen till att vidta proaktiva åtgärder för att minska oron i sig (Sweeny & Dooley, 2017).
En studie från år 2015 undersökte användares riskfyllda beteenden inom informationssystem. Ett informationssystem är ett datorsystem som elektroniskt behandlar information och data (Dictionary.com, LLC, 2020). Studien konstaterade att ju mer användare upplever hot desto större är chansen att de vidtar åtgärder för att skydda sig (Ög ̆ütçü, Testik, & Chouseinoglou, 2015). Även om oro motiverar eller ger individen intention att agera, så finns det ytterligare mekanismer som påverkar individens agerande. Enligt forskning omsätts ungefär 50% av all intention i handling, även kallat intention-behaviour gap (Sheeran & Webb, 2016).
Baron, m.fl. Beskrev (2000) att oro till stor del påverkas av tron på sannolikheten att något skall inträffa, detta kan liknas vid nationalencyklopedins definition av risk. Där risk definieras som: möjligheten att något oönskat skall inträffa. I sammanhanget IoT/smarta enheter är två olika typer av risk intressanta, nämligen Privacy risk och Security risk. Privacy risk, (integritetsrisk) härrör en individs rätt att kunna ha kontroll över insamlingen, användningen och avslöjandet av sin data (E. Klobas, McGill, & Wang, 2019). Security risk (säkerhetsrisk) relaterar till de säkerhetsåtgärder som används för att skydda enheters eller tjänsters resurser såsom hårdvara, mjukvara eller data (E. Klobas, m.fl., 2019).
I tidigare studier har forskare konstaterat att upplevd risk har en viss påverkan på individers intention att använda smarta hem (E. Klobas, m.fl., 2019; Wang, McGill, & E. Klobas, 2018). Men att denna påverkan är minde än de upplevda fördelarna (Wang, m.fl., 2018). Dessutom har de olika typerna av risk olika påverkan på användarnas
intention att använda smarta hem, där integritetsrisken är den risktyp som har störst påverkan (Wang, m.fl., 2018).
3
Metod och genomförande
Kapitlet ger en översiktlig beskrivning av studiens arbetsprocess. Vidare beskrivs studiens ansats och design. Därtill beskrivs studiens datainsamling och dataanalys. Kapitlet avslutas med en diskussion kring studiens trovärdighet.
3.1 Forskningsansats
Enligt Blomkvist och Hallin (2019) är studiens ansats utav induktiv natur, då studien har ämnat skapa förståelse för hur individer upplever eller förstår ett problem eller en situation som de ställts inför. Ansatsen kan med hjälp av teori utveckla bättre förståelse för resultatet utifrån ett problem (Blomkvist & Hallin, 2019).
En fallstudie har använts för att i dess verkliga miljö på djupet studera fall av det problem som identifierats (Yin, 2018).
En fallstudie ger möjlighet att på djupet undersöka ett ämne eller ett fenomen. Något som karaktäriserar fallstudien är studerandet av fall i dess verkliga miljö och en förmåga att generera ymniga empiriska beskrivningar som kan leda till utvecklandet av ny teori. (Saunders, Lewis, & Thornhill, 2016).
För datainsamlingen användes semistrukturerade intervjuer (Blomkvist & Hallin, 2019). Den empiri som insamlats analyserades sedan med en tematisk analys (Saunders, Lewis, & Thornhill, 2016).
3.2 Datainsamlingsmetoder och dataanalys
För att lära sig om hur enskilda individer resonerar kring studiens frågeställning genomförs intervjuer. En intervju av öppen karaktär tillåter nya idéer och dimensioner av det studerade fenomenet. Detta skapar möjligheter att göra oväntade upptäckter, vilket är viktigt i kvalitativa studier (Blomkvist & Hallin, 2019).
I datainsamlingen har empiri insamlats via semistrukturerade intervjuer. En intervjuguide med frågeområden och tematiska frågor konstruerades och användes sedan som stöd under intervjuerna. Majoriteten av de frågor som ställdes under intervjun var inte konstruerade i förväg, utan anpassades och formulerades under intervjuns gång. Detta gav informanten möjlighet att ge ett egenformulerat svar och berätta fritt om sina upplevelser och tankar (Blomkvist & Hallin, 2019).
Genom att inledningsvis ställa så kallade öppna frågor, frågor där informanterna uppmuntras att svara som de själva önskar Saunders, m.fl., 2016). Öppna frågor, till skillnad från stängda frågor, syftar till att minska partiskhet (Saunders, m.fl., 2016). Partiskhet kan exempelvis uppstå om intervjuaren ställer stängda frågor med fasta svarsalternativ, då intervjuarens förutfattade meningar kan påverka den möjlighet som infomanten har att svara fritt. Detta kan leda till en partiskhet i empirin som då kan gynna en part på bekostnad av en annan, detta kan påverka resultatets validitet.
Följdfrågor så som Varför? och Hur då? uppmuntrar också informanten att ytterligare utveckla sitt svar (Saunders, m.fl., 2016).
Dataanalysen har bestämts som en tematisk analys (Saunders, m.fl., 2016). Då en tematisk analys ger en flexibel systematisk infallsvinkel för att analysera kvalitativa data (Saunders, m.fl., 2016). Tematisk analys kan användas för att analysera mindre och större mängder data, och kan generera ymniga beskrivningar, förklaringar eller nya teorier (Saunders, m.fl., 2016). När man använder tematisk analys för att analysera kvalitativa data så letar man efter teman i det analyserade data, man applicerar inte teman utifrån ett tidigare definierat ramverk (Saunders, m.fl., 2016).
3.3 Urval
Eftersom flera studier konstaterat en avsaknad av information om användare och deras interaktion med smarta hem (Wilson, m.fl., 2015; Gram-Hanssen & Sarah J, 2018; Marikyan, m.fl., 2019), och en studie specifikt konstaterat early adopters som en grupp för ytterligare studier (Sovacool & Furszyfer Del Rio, 2020) har urvalet bestämts som early adopters av smarta hem. Everett Rogers beskrev 2003 i sin teori om diffusionen av innovationer early adopters som centrala för spridningen av en innovation genom sina egenskaper. Informanterna skall alltså inneha och vara användare av smarta hemprodukter och teknologier, och därmed kunna betraktas som early adopters. Samtliga informanter har innehaft flera olika teknologier inom smarta hem, och även om vissa teknologier har börjat anammas av en större målgrupp, hade informanterna kombinationer av dessa teknologier, vilket ytterligare utmärker dem som early adopters.
Urvalet är icke slumpmässigt, och kan beskrivas som ett målmedvetet urval (Saunders, m.fl., 2016). Fördelen med ett målmedvetet urval är att det ger möjlighet att lyfta eller belysa viktiga teman inom forskningsområdet (Saunders, m.fl., 2016). Möjligheten att få generaliserbara resultat beskrivs som låga, men då man i induktiv forskning inte strävar efter statistiskt generaliserbara resultat är detta inte till någon nackdel för studien.
3.4 Arbetsprocessen
Efter en litteraturstudie och problemformulering formulerades ett antal intervjufrågor utefter identifierade viktiga områden av det studerade fenomenet. För att kunna referera till någon form av struktur under intervjun, formulerades 13 frågor som grund i intervjuguiden (se bilaga 1). Frågorna formulerades för att vara så öppna som möjligt med hänsyn till informanternas möjlighet att svara fritt, utan att styra temat på informanternas svar till det tema som undersöktes. Informanten uppmuntras då att själv avgöra vad vederbörande tycker är viktigt i sammanhanget. Under intervjuns gång kunde intervjuhandledarna, i samråd, styra temat mot det område som önskades om något uppfattades som intressant för studiens ändamål.
Den första kontakten med intervjurespondenterna togs via Facebook, då råd från myndigheter var att undvika nya fysiska kontakter (1177 Vårdguidens webbredaktion, Region Stockholm, 2020). Ett informationsbrev (se bilaga 2) skickades ut och agerade både som förfrågan om respondenter samt information till potentiella respondenter. Där studiens syfte och efterfrågade respondenter redogjordes för, samt etisk information och kontaktsätt till intervjuarna förmedlades.
När potentiella respondenter återkom med svar till författarna var det endast en respondent som inte uppfyllde de kriterier som ställts i urvalet (kap 3.6). Denna respondent inkluderades inte i studien då denne inte hade några smarta hemprodukter eller teknologier. Resterande respondenter uppfyllde de kriterier som ställts i urvalet, då de hade olika kombinationer av smarta teknologier och vissa uppvisade också andra tecken på att vara early adopters. Exempelvis genom spridningen av sin subjektiva utvärdering av produkten till personer i deras omgivning (Rogers, 2003).
Intervjuer utfördes per telefon och via de sociala kommunikationsplattformarna Microsoft Teams, Discord och Google Hangouts. Respondenterna fick själva välja kommunikationsmedium. Ljudupptagning gjordes med hjälp av bandspelare och inspelningsmjukvara där minst två simultana inspelningar gjordes för redundans. Intervjuerna transkriberades sedan ord för ord och överlämnades sedan till informanterna för kontroll om de önskade detta. Detta gav dem möjlighet att lyfta motsättningar och eventuella frågor. Detta ger en ökad trovärdighet hos den empiri som samlats in (Saunders, m.fl., 2016). Vissa intervjuer saknade vissa data, men kunde kompletteras via en uppföljningsintervju eller förtydliganden via text.
Som beskrivet i kapitel 3.2, analyserades transkriptionerna med hjälp av tematisk analys. Transkriptionerna färgkodades utefter teman relevanta till studiens frågeställning. Färgkodning gör texterna enkla att jämföra och överblicka. För att definiera de olika teman som konstaterats i arbetet så lästes och kodades alla transkriberingar utefter forskningsfrågan och minst tre gånger. Vid varje iteration sorterades de teman som identifierats och deras relevans för forskningsfrågan diskuterades, därefter beslutades om vissa teman skulle avföras eller slås samman respektive delas. Detta för att inte gå miste om nyanseringar i empirin och för att identifiera delar i empirin som viktiga för forskningsfrågans besvarande. Innan införing i studien avidentifierades transkriptionerna så att de längre inte kunde associeras med informanterna.
3.5 Etiska aspekter
Enligt Vetenskapsrådet (2002) finns det fyra huvudkrav som ett vetenskapligt arbete ska uppfylla och som även detta arbete kommer uppfylla:
• Informationskravet, som innebär att de individer som undersöks har rätt att bli informerade om studiens syfte.
• Samtyckeskravet, som innebär att de studerade individerna måste godkänna att bli studerade.
• Konfidentialitetskravet, som innebär att den data som samlas in under studiens gång måste anonymiseras innan studien publiceras. Information som ska analyseras måste därmed anonymiseras till den grad att den inte går att koppla till en informant.
• Nyttjandekravet, som innebär att den data som samlas in endast får användas till det ändamål informanterna informerats om.
Respondenternas deltagande är frivilligt och fram tills att data avidentifierats och publicerats har de möjlighet att avbryta sitt deltagande utan konsekvenser, då det i avidentifierade data inte är möjligt att urskilja enskilda informanters svar.
Utöver de forskningsetiska riktlinjer som formulerats av vetenskapsrådet, så har även den europeiska dataskyddslagstiftningen (GDPR) beaktats. Exempelvis artikel 12, 13 och 16, 17 och 25 där den enskilde personens rättigheter definieras och vilket sätt informationen skall kommuniceras till vederbörande beskrivs, i artikel 25 beskrivs inbyggt dataskydd och dataskydd som standard. Där krav ställs på lämpliga åtgärder för att skydda den information som behandlas (Europaparlamentet, 2016). För att beakta dessa krav har informanterna delgivits information om informationsinsamlingens ändamål och begränsningar. Informanternas möjlighet att få uppgifter korrigerade, raderade och deras rätt att återkalla sitt samtycke. Vidare har åtgärder vidtagits för att inte lagra personuppgifter på olämpliga platser såsom okrypterade USB-minnen eller i olika molntjänster.
3.6 Tillförlitlighet och Trovärdighet
Då studien ämnar undersöka en viss grupp har det urval som gjorts varit av stor vikt. Detta för att kunna samla in information som är användbar för att besvara studiens frågeställningar. Särskild vikt har lagts vid designen av de semistrukturerade intervjuerna, för att säkerställa att de frågor som ställts och den följd de ställts i inte förväntar sig ett specifikt svar av respondenten. Så många frågor som möjligt har låtits vara öppna för att respondenten själv skall få beskriva sina arbetsprocesser, åsikter och upplevelser. För att inte styras till att svara på ett eller annat sätt, det är informanten själv som bedömer det som vederbörande tycker är viktigt i sina arbetsprocesser. Eftersom semistrukturerade intervjuer är särskilt öppna i sin karaktär så kommer varje individs svar att skilja sig åt, då olika individer har olika tankeprocesser och erfarenheter. Men då kärnan i en tematisk analys med induktiv forskningsansats, är att teman identifieras och lyfts från empirin, så skulle studien teoretiskt sett kunna replikeras om samma frågeuppsättning, analysmetod, ansats och urval användes.
Intervjuguiden har itererats fram under olika överlägganden och slutligen testats i en testintervju. Den har justerats därefter. Denna intervju exkluderades sedan från empirin. Respondenterna har innan varje intervju fått information om de etiska faktorer som deltagandet i studien medför, och dessutom fått information om vilken typ av frågor som skulle ställas under intervjun. Därefter informerades informanterna om att de om de önskade kunde få transkriptionen av intervjun skickad till sig, så att de om de önskade kunde kontrollera att de inte missrepresenterats, eller påpeka rättningar eller feltolkningar av materialet. När det identifierats att data inte var tillräckligt djupgående för att tillförlitligt kunna tolka informanten, kontaktades informanten för att komplettera data via det medium som informanten behagade.
4
Empiri
Kapitlet ger en beskrivning av den data som samlats in i studien för att ge svar på studiens frågeställningar.
4.1 Introduktion av informanter
4.1.1 Informant A
Informant A beskriver smidighet och teknikintresse som del av grunden för sitt innehav av sina smarta enheter. Vederbörande beskriver sitt innehav som smart belysning, smart städutrustning och smart transportmedel.
Jag är lite teknikfreak så jag tycker det är roligt med teknik […] Jag har en Philips Hue version 2 brygga […] Sen har jag väl en Tesla som alltid är uppkopplad mot nätet, alltså en bil […] Sen har jag en robotdammsugare.
4.1.2 Informant B
Informant B beskriver sitt teknikintresse som en betydande del av grunden i sitt innehav, vederbörande beskriver sig även som en early adopter. Att vara med och testa nya saker är av stort intresse. Det finns ett stort intresse för Googles produkter där Informant B köpt majoriteten av deras produkter. Utöver en stor mängd Googleprodukter, har vederbörande även produkter från andra tillverkare så som Ikea och Philips. Produkterna innefattar smarta enheter i kategorierna belysning, högtalare, och säkerhet.
[…] men det är väl att som sagt den här early adopter att vara. Nu kommer det någonting som är fränt, och det här behöver jag och vill jag vara med på tåget och testa. […] Det är ju som sagt ett teknikintresse i botten, jag har väl nästan köpt varenda Googleprodukt de har lanserat. […] Jag har ett antal trådlösa rörelsesensorer för lampor med Ikea trådfri. Jag har ett gäng Philips hue lampor, och en hub till dem då. […] så har jag också en kamera och en nest-brandvarnare och ett antal Google home minienheter också.
4.1.3 Informant C
Informant C beskriver ett teknikintresse som grunden i sitt innehav, men också den förenkling, praktikalitet och smidighet som de enheterna ger vederbörande i vardagen. De huvudsakliga produkterna som informant C innehar är smart belysning, smarta högtalare och en smart hushållsprodukt. Informanten uttrycker att vederbörande är bekväm med den funktionalitet som nuvarande produkter ger, och skulle inte vilja byta bort denna.
Ja, det förenklar ju, till viss del, vardagen, särskilt lamporna. […] jag är lite teknikintresserad och jag tycker ju att det är kul med nya saker […]. Det kan ju tyckas lite onödigt, men samtidigt lite coolt. […] det tycker jag är suveränt, det skulle jag inte vilja byta.
4.1.4 Informant D
Informant D beskriver sig själv som nyfiken och intresserad av att testa ny teknik. Vederbörande beskriver också marknaden och produkterna som mindre konsumentvänliga.
Informant D har flertalet sensorer utplacerade i huset, som bland annat detekterar rörelse och samlar in data om temperatur, ljusnivåer och luftfuktighet. Två Google Home-enheter används också, dels för att ställa frågor till men också för röststyrning av exempelvis TV.
[...] man är nyfiken och vill testa. […] inte jätte konsumentvänligt alltid. Sen har jag multisensorer i hallar. 3 sensorer totalt. För att detektera rörelse i entréerna. […] När jag vill styra någonting eller fråga någonting i köket. […] styra TV.
4.1.5 Informant E
Informant E säger sig inneha ett stort teknikintresse, och tillfredsställer sig detta till stor del genom att ha sina smarta enheter. Enheter som håller länge, både funktionsmässigt och fysiskt, är att föredra för vederbörande. Denna tanke grundar sig i ekonomi, då Informant E förklarar att det är mycket dyrt att köpa nya enheter som inte är kompatibla med de gamla, då de gamla behövs kasseras.
Det nämns också att det är viktigt att “följa med i debatten” så att man kan hålla sig uppdaterad om andra människor upplever problem med vissa produkter. Sedan kan man bedöma själv om det är något man behöver ta hänsyn till.
Ja, för det första så tillfredsställer det mitt teknikintresse. det är nästan den viktigaste aspekten […]. Det är ju lätt att man investerar ganska mycket pengar och sen så kommer man ju till återvändsgränder […] skrota de gamla grejerna för att man ska in med nya prylar.
4.1.6 Informant F
Informant F spenderar mycket tid borta från huset och värdesätter därför enheter som övervakar huset högt. Kontroll, uppsikt och säkerhet är attribut som beskriver informantens smarta enheter. Vederbörande har tidigare arbetat som programmerare och beskriver sig själv som relativt erfaren inom smarta hem och hemautomation. Belysningsautomation i hemmet har informanten ägnat sig åt i 30 år.
En stor del av Informantens smarta enheter ansvarar för husets belysning. Att lampor i huset ska tändas automatiskt, utan mänsklig inblandning, är en självklarhet för Informant F.
Att ha bra kolla på vad som sker i huset verkar också ligga Informant F varmt om hjärtat. Det finns 30 temperaturgivare placerade runtom i huset som samlar in data och som sedan sammanställs för att kunna urskilja trender.
Jag har ett enklare liv, jag har ju ett resande jobb. Min säkerhet eller husets säkerhet kanske. […] jag är ju programmerare från början även om jag inte jobbar som det nu. Det [lampstyrning] har jag ju haft i nästan 30 år på olika sätt. […] Jag tycker inte jag ska behöva tända en lampa själv. […] Så jag måste ju ha koll på mitt hem, jag har ju allting loggat […] jag har ju trender över rubbet […] jag hade när jag räknade sist 30 temperaturgivare hemma, någonting sånt.
4.2 Avsaknad av oro Informant A:
Informant A uttrycker ingen oro mot att något skulle kunna hända dennes enheter. Informanten har svårt att se några faktiska konsekvenser av de produkter och den information de samlar in. Informationen som någon utomstående skulle kunna komma över inte är av jätteprivat natur enligt informanten, samt att vissa delar av den finns tillgängliga på internet sedan tidigare.
Det är ingenting jag går och funderar dagligen på kan jag säga. […] Den har ingen mikrofon vad jag vet så den får tillgång till kartan över lägenheten i princip. Och det kan man hitta på nätet från när lägenheten såldes. […] Jag kan inte se vad de kan komma åt jättemycket, det är ingen jätteprivat information som de kan komma åt om de skulle komma åt mitt WiFi exempelvis.
Informant B:
Informant B beskriver sig precis som Informant A, inte heller som orolig. Hen förklarar att om någon oro kring produktens säkerhet fanns, skulle produkterna inte användas överhuvudtaget. Informanten beskriver sig själv som insatt i ämnet och vilka eventuella risker som finns.
Nej, det skulle jag inte vilja säga att jag är. [...] en del blir ju väldigt nojiga de lägger ju till smarta produkter på ett eget SSID som bara är för smarta produkter. Men nä så nojig är jag inte. […] Men nej, då skulle jag inte använda dem alls om jag är orolig för den biten. […] Jag vet inte om, det kanske är naivt. Men nää jag är inte ett dugg orolig. [...] jag är väl hyfsat insatt i vad det finns för eventuella risker.
Informant C:
När informanten får frågan om vederbörande är orolig över säkerheten hos sina smarta produkter, så beskriver informanten en avsaknad av oro för de produkter hen har. Informanten beskriver även en okunnighet som anledning till avsaknaden av oro, samt att informanten inte ägnar potentiella konsekvenser någon större tanke. Produktens funktion blir istället prioriterad.
Nej, kanske inte på dom prylar jag har [...] Tror att svaret på båda är att jag är för okunnig. Att jag köper produkter som ska förenkla mitt liv utan att tänka på konsekvenserna. Det är ju bara några lampor tänker jag. Informant D:
Informant D uttrycker ingen oro över sina smarta produkter. Informanten beskriver de enheter denne har som icke farliga, och förklarar hur konsekvenserna kan vara allvarligare för en kaffebryggare som kan förmås att fatta eld. Detta till skillnad från informantens LED lampor som inte enligt informanten alstrar någon värme och därmed inte utgör något hot.
Nej jag har inte kommit så långt att jag känner att jag behöver vara orolig. jag har inget farligt uppkopplat, jag har inga kameror, jag har inga smarta lås. […] Jag har ingen kaffebryggare eller något annat som kan fatta eld uppkopplat. Jag har lampor som är LED och alstrar ingen värme, så jag känner mig inte så hotad.
Informant E:
Informant E utrycker ingen direkt oro, då hen inte besitter stora mängder känslig information. Informanten uttrycker dock en osäkerhet kring sin oro, där hen ifrågasätter sin inställning. Informanten tror att andra, mer prioriterade individer eller organisationer, löper större risk att bli attackerade än vederbörande. En liknelse görs vid en bank, där en bank skulle vara mer attraktiv för hackare, än vederbörande själv.
nej, det kan jag väl inte säga att jag har sprungit omkring och varit direkt orolig, det kan jag ju inte säga. Utan, jag har ju inte så mycket känslig information, men som sagt jag kanske borde vara mer oroligt än vad jag är. […] Så jag tror ju att det är många som är mer prioriterade, så därför springer jag inte omkring och är jätteorolig [...]. Hur prioriterad jag skulle vara att sätta in stor hackerattack emot. Jag förstår att en bank, det finns mer pengar att stjäla hos en bank [...].
Informant F:
Informanten beskriver en avsaknad av oro, men lyfter att hen inte vill att obehöriga ska kunna se hans information och på så sätt kunna kartlägga vederbörandes liv och dennes användande av sina smarta produkter.
Inte orolig på det sättet, men det är ju aldrig kul om någon annan kan kolla hur jag hanterar produkterna hemma. Det är ju ungefär som om du går och läser i brevlådan och tittar vilka brev man får du behöver ju inte öppna breven men du kan ju se vilka de kommer ifrån. […] det är ju mitt liv, jag vill ju inte att någon ska kartlägga mitt liv.
4.3 I händerna på tillverkaren
Informanterna beskriver en svårighet att utföra säkerhetsåtgärder för att påverka produktens säkerhet och flertalet menar att produktens säkerhet styrs av tillverkaren och dess prioriteringar. Utöver enkla saker som att konfigurera ett säkrare lösenord eller förhindra åtkomst till enheterna, är det upp till tillverkaren att bestämma hur säker en enhet ska vara.
Informant A:
Informant A beskriver en svårighet att själv påverka säkerheten hos sin smarta produkt och menar att tillverkaren/utvecklarna styr detta. Informanten menar att det inte går att tvinga utvecklaren att uppdatera produkten. Det förklaras även att tillverkaren inte bara styr när uppdateringar sker, utan även vilket skydd enheten har. Det enda informanten kan påverka själv är lösenordet. Om det är någonting informanten uppfattar som osäkert, blir konsekvensen att enheten slutar användas.
Nej, det är vad utvecklarna bestämmer skulle jag våga säga [...]. Det man sätter som lösenord, det kan man ju justera, men det är ju fortfarande utvecklarna som väljer vilken form av säkerhet dom vill implementera [...]. Det kan vara svårt o få en uppdatering. Jag kan inte själv säga till utvecklaren att uppdatera. […] Om det är nånting som har ett väldigt stort säkerhetshål, så får jag väl dra ur strömmen ur den, men än så länge har jag inte varit med om det. Sättet att få bort det är ju att sluta använda enheten.
Informant B:
Informant B beskriver sig vara i händerna på företaget Google. I ett exempel görs en jämförelse mellan Google och Linux, där informanten konstaterar att det är tillverkaren som styr vilka funktioner vederbörande har.
Man är ju i händerna på Google så att det mesta så man får ju hoppas att de inte blir elaka någon gång i tiden. […] det är ju ingen Linuxbox med script som jag kan programmera själv. Utan man har ju de funktioner som Google väljer att pytsa ut.
Informant C Beskriver att vederbörande ser få möjligheter att påverka sina enheters säkerhet utan att göra något utöver produkten i sig.
Inte som jag har sett, i så fall måste jag nog göra nånting utöver det som finns i produkterna.
Informant D:
Informant D beskriver en allmän svårighet att påverka säkerheten då vederbörande inte känner sig erfaren på området. Vederbörande försöker att utefter sin kunskap göra en riskbedömning av produkten eller tjänsten. Och sedan ta ställning till om vederbörande skall använda denna eller inte.
Jag tycker det är svårt att påverka säkerheten. Jag är inte kunnig på området, men läser så mycket jag kan eftersom jag tycker det är viktigt. […] Det jag gör är riskbedömning främst, och sedan väljer jag att köra produkter och tjänster, eller inte.
Informant E:
Informant E tror att det ofta finns säkerhetsbrister i produkterna och att ett enormt analysarbete skulle krävas för att analysera en produkts säkerhet, vilket enligt vederbörande få människor har kompetens att utföra. Utöver att hålla produkten uppdaterad, förklarar informanten att hen inte kan påverka produktens säkerhet.
Jag tror så att säga, att det finns ofta säkerhetsbrister, på något sätt, i produkter. […] Men ska du bedöma säkerheten mer i detalj, det är liksom, det skulle ju vara ett enormt analysarbete som ganska få personer har rätt kompetens för att genomföra. […] Själva produkten kan jag ju inte omedelbart påverka. […] Ja, det är ju som jag säger, att man håller dem uppdaterade.
Informant F:
När Informant F blev tillfrågad vad användare kan göra för att öka säkerheten svarade vederbörande att ett alternativ är att stänga internetuppkopplingen helt.
Ett effektivt sätt att påverka säkerheten är enligt informanten att göra enheten strömlös och på så sätt förhindra kommunikation. Påföljden blir då att den då slutar fungera. Informanten liknar detta med att inte ha enheterna överhuvudtaget.
Ja det är väl att stänga internetuppkopplingen i så fall. Det är väl det enda man kan göra. […] Ja, produkterna ska ju fungera. Och dra ur batterier eller strömmen då fungerar de ju inte. Det är ju det ultimata. […] Att inte ha dem egentligen.
4.4 Säkerhet utanför produkten
Samtliga informanter föreslår säkerhetslösningar som är centrerade utanför produkten. Informant A:
De möjligheter som användaren beskriver för att påverka enheternas säkerhet är centrerade utanför enheten i sig. Informanten beskriver att det är viktigt att skydda det trådlösa nätverket, samt att skydda internetanslutningen med hjälp av en brandvägg. Informanten tillägger att det redan är vanligt att routrar som vanligtvis används för att ansluta till internet redan har en brandvägg inbyggd i sig.
Det enda jag kan ändra är väl lösenordet till WiFi men som sagt, WiFi går ändå att bryta sig in på någon sekund. Förutom det så enheterna i sig, nej. […] Ja, ett starkare WiFi-lösenord mer än så skulle jag våga säga att det inte finns. Och ja en router som har en brandvägg, men vilken router har inte det.
Informant B:
Informant B pratar om åtgärder som går att applicera på det lokala nätverket. Vederbörande förklarar att man kan skapa egna SSID (Service Set Identifier) för att skilja på WiFi-nät. Ett nät kan användas explicit för smarta produkter. Informanten poängterar att detta inte är något denne gör själv.
[...] en del blir ju väldigt nojiga de lägger ju till smarta produkter på ett eget SSID som bara är för smarta produkter. […] Nä, det är väl som sagt. Vilken säkerhet du har på ditt trådlösa nätverk så och möjligtvis att lägga dem på sitt eget SSID.
Informant C:
Informant C förklarar att man kan skydda nätverket enheterna sitter på med en brandvägg eller liknande, men att i själva produkterna saknas det möjligheter att vidta åtgärder.
Aa, jag vet inte om man kan göra nånting med nån brandvägg eller vad man nu skulle kunna göra, men, i produkterna kan jag liksom inte se att det finns, åtgärder o vidta.
Informant D:
Informant D beskriver att man kan skanna datatrafiken i sitt nätverk och spåra data. Hen påpekar att man inte kan veta vad den skickade data innehåller och att om man känner sig oroad utav detta, bör man göra sig av med produkten. Vederbörande har även utforskat åtgärder som involverar VLAN (Virtual Local Area Network), ett sätt att särskilja olika logiska nätverk mjukvarumässigt, men att det inte alltid verkar vara en bra lösning då det ibland även begränsar funktionaliteten.
Man kan skanna sin datatrafik i sitt nätverk för att ta reda på när går data ut, man kan inte veta vad som är i [...]. Men du kan ändå bara analysera det du kan inte göra något åt det. Då får man nog skrota den då om man känner sig oroad. […] Jag har kollat lite på vad som går att göra med VLAN, men det verkar inte vara en självklar lösning eftersom det även begränsar funktionaliteten ibland.
Informant E:
Informant E har kunskap om flera sätt att skydda smarta produkter och den miljö de sitter i. En lösning informanten själv implementerat är en DMZ (DeMilitarized Zone). En zon som är skild från det ordinära nätverket.
En annan åtgärd informanten beskriver är att låta bli att koppla upp saker som inte används.
Så jag satte den på en demilitariserad zon ett DMZ, där jag bara släppte fram en enda IP adress utifrån. […] Jag behöver inte koppla upp saker som jag inte använder till exempel.
Informant F:
Informant F förklarar att en bra hantering av brandväggen gör att man kan få en överblick på sitt smarta hem. Där kan man styra enheters tillgång till Internet eller förhindra att de uppdateras. Användare kan använda sig utav en signalanalysator som analyserar trafiken i nätet, men detta är något som endast lämpar sig för avancerade användare, menar informanten.
Ja, kan man hantera brandväggen bra, så går det att få en överblick. För det är ju bara att strypa allt. För det går ju strypa även uppdateringar, om jag vill det. I brandväggen kan jag säga att den här enheten få inte ha tillgång till internet. […] Att inte använda dem, man kan ju alltid naturligtvis om man går väldigt djupt. Sätta upp en signalanalysator så kan man väl se vad de gör. Men det är väl lite overkill för de flesta privatpersoner.
4.5 Säkerhetsåtgärder
Detta tema behandlar de faktiska åtgärder som informanterna utför för att göra sina produkter säkrare.
Informant A:
Informant A utför grundläggande åtgärder för att hålla sina enheter säkra. Vederbörande håller sina enheter uppdaterade, genom att kolla efter information i enheternas appar.
Ser till att mina enheter är uppdaterade. Borde kolla på utvecklarnas hemsidor efter uppdateringar men gör ej det. Om enheten har en app så brukar jag öppna den lite då och då.
Informant B:
Det trådlösa nätverket är säkrat med standarden WPA2, vilket ska vara säkert i jämförelse med ett öppet trådlöst nätverk, menar Informant B.
Informanten har säkrat upp sitt trådlösa nätverk, med kryptering och ett enligt informanten besvärligt lösenord. I övrigt har informanten inte vidtagit några ytterligare åtgärder annat än att följa tillverkarens rekommendationer och standardinställningar.
Det hänger ju lite höll jag på att säga, sitter du på ett öppet eget trådlöst nätverk så vem som helst kan sniffa trafiken utifrån. Så då är de ju inte speciellt säkra. Jag tror ju ändå i och med att jag kör WPA2 säker...kryptering så. […] Nej, det har jag inte gjort utan jag kör ju egentligen standard setup på alltihopa. […] Out of the box.
Informant C:
Informant C gav några exempel på saker man kan göra för att öka säkerheten. Men, utöver att ha unika lösenord, är det inget som vederbörande gör själv, utöver det som levereras standard från internetleverantören. Informanten förklarar också att vederbörandes Bose-produkter uppdateras ofta, då hen ofta är inne i den mjukvaran, men att lamporna nog inte uppdateras lika ofta då hen inte är inne i den mjukvaran lika ofta.
[...] Jag har inte gjort något vad gäller brandvägg heller, Telias standardrouter och nät, men har åtminstone ändrat lösenordet. […] Lösenorden är unika. […] Om jag uppdaterar produkterna? Det gör jag med Bose-prylarna för det systemet är jag inne i rätt ofta. Lamporna går mest av sig själv och jag är sällan inne i Telldus-systemet så det uppdateras nog inte.
Informant D:
Informanten beskriver att det som vederbörande gör för att hålla sina enheter säkra, är att informanten gör recherch på de produkter och tjänster som är intressanta för vederbörande, och väljer att baserat på den riskbedömning som vederbörande gör att använda dem eller inte. Informanten beskriver också att denne valt att inte koppla upp vissa av sina smarta produkter till molntjänster utan har valt att styra dessa lokalt.
Då kan man koppla till deras molntjänst och styra grejerna ifrån sin app utifrån det lokala nätverket. Men jag har valt att inte göra det. […] Det är väl typ det enda jag har gjort för att visa eventuella intressenter att jag
bryr mig om säkerhet. […] Det jag gör är riskbedömning främst, och sedan väljer jag att köra produkter och tjänster, eller inte.
Informant E:
Informant E beskriver några utav de saker vederbörande själv kan eller har utfört i sitt smarta hem. Informanten nämner att regelbundna uppdateringar är viktiga och att en konfiguration av själva nätet, bland annat en demilitariserad zon, tillåter användaren att hålla borta och styra obehörig trafik.
Informanten förklarar också att det är mycket svårt att bedöma säkerheten i detalj hos produkterna. Ett enormt analysarbete och rätt kompetens krävs för att utföra detta. Utöver detta så skulle man behöva analysera eventuellt krypterade data, vilket är nästintill omöjligt, enligt informanten.
Man kan ju se till att hålla uppdaterat i den mån det finns uppdateringar för saker. […] så går det ju när man placerar grejer på till exempel ett hemnätverk, så kan också konfigurera själva nätet, även på små hemnätverk. Det går ju ha demilitariserade zoner som gör att man håller borta trafik som kommer utifrån, och inte ger access till hela nätet och sådär. […] Men ska du bedöma säkerheten mer i detalj, det är liksom, det skulle ju vara ett enormt analysarbete som ganska få personer har rätt kompetens för att genomföra. […] Och även om jag har hyffsade kunskaper så kan ju inte jag bedöma vad som händer med den informationen som skickas. Även om det skickas krypterad information, [...] men liksom vad den används till, det vet i fasen om nån kan bedöma. Informant F:
Informant F förklarar att vederbörandes brandvägg är konfigurerad att stoppa det mesta av den trafik som inte behövs för normal funktion och på så sätt gör nätverket säkrare. Alla icke nödvändiga portar i brandväggen är stängda, enligt informanten.
Jag har ju strypt ganska mycket i brandväggen även för utgående trafik. Jag vill ju gärna veta vilka portar, alla portar som inte behöver vara öppen är ju stängda. […] Dels så har jag ju slagit på all säkerhet som går i brandväggen och de fortfarande ska fungera. […] Ja inte mer än som jag har gjort då, I routern inkommande mot internet. Att det stoppar där.
5
Analys
Kapitlet ger svar på studiens frågeställningar genom att behandla insamlad empiri och teoretiskt ramverk.
5.1 Avsaknad av oro
Ett genomgående tema i studien är samtliga informanters avsaknad av oro. Deras resonemang för sin avsaknad av oro skiljer sig dock åt. Temat skildrar informanternas gemensamma avsaknad av oro och deras kringliggande resonemang.
Informanterna A, D och C beskriver en svårighet att se konsekvenser av sina enheter. Där A inte säger sig besitta någon känslig information. Delar av den information A besitter, finns redan tillgänglig på Internet. A säger sig inte heller kunna påverka säkerheten, och undrar varför man då ska oroa sig. Informant Ds resonemang är att de enheter hen har, inte har tillräckligt allvarliga konsekvenser för att vederbörande ska känna någon oro. C förklarar sin icke-oro som ett resultat av okunnighet inom ämnet. När Informant B beskriver olika åtgärder så beskriver denne individer som vidtar dessa åtgärder som nojiga, och förklarar att om denne haft oro för sina produkter, skulle produkterna inte användas. Detta ställningstagande sticker ut i mängden, där informanten avfärdar individer som vidtar åtgärder för att skydda sig som nojiga. Informant E säger sig inte besitta stora mängder känslig information. Informant Es resonemang bygger på att andra individer eller organisationer är högre prioriterade att bli attackerade än Informant E själv. Informant F utryckte ingen oro, men motiverade aldrig varför.
5.2 I händerna på tillverkaren
Samtliga informanter är överens om att det finns en brist på säkerhetsåtgärder användare kan utföra i produkterna. Deras resonemang skiljer sig dock åt. Temat skildrar informanterna uppfattning om hur de kan skydda sina produkter och vad som inte går att skydda.
Informanter A och B förklarar att tillverkaren är den som hanterar säkerheten i produkterna. A nämner att användare inte kan göra mer än att vänta på uppdateringar och B förklarar att produkternas funktion styrs av tillverkaren och kan inte konfigureras grundligt av användaren.
Informant C ser få möjligheter att påverka produktens säkerhet i sig.
Informant D beskriver sig själv som okunnig inom området, och saknar därför kunskap om säkerhetsåtgärder.
Informant E förklarar att det krävs ett enormt arbete och en kompetens få människor besitter för att analysera en produkts säkerhet. Utöver att hålla produkten uppdaterad, finns det få sätt att hålla den säker.
Informant F föreslår inga lösningar utöver att stänga av produkten helt och hållet för att begränsa enhetens kommunikation. Detta liknas med att inte använda produkten överhuvudtaget.
5.3 Säkerhet utanför produkten
När användarna själva får beskriva sätt som man som användare kan påverka sin produkts säkerhet, så behandlar deras säkerhetsåtgärder sällan själva produkten i sig. Temat Säkerhet utanför produkten behandlar de säkerhetsåtgärder informanterna beskriver sig kunna utföra för att påverka miljön produkten vistas i.
Informanterna A, B och C beskriver åtgärder som direkt skyddar det trådbundna och trådlösa nätverket, exempelvis en brandvägg eller starkare WiFi-lösenord.
Informanter D och E beskriver sätt att separera nätverket de smarta produkterna sitter på från det ordinarie nätverket. E förklarar att VLAN kan användas, men att det kan begränsa funktionalitet, och E förklarar att en DMZ kan användas för att endast exponera utvalda enheter mot Internet.
Informant F förklarar att en bra hantering av brandväggen kan förhöja säkerheten. Där kan man begränsa enheters möjlighet att uppdateras eller nå Internet överhuvudtaget. Detta lämpar sig mer mot avancerade användare då man behöver analysera trafiken, menar informanten.
5.4 Säkerhetsåtgärder
I temat säkerhetsåtgärder analyseras de säkerhetsåtgärder informanterna vidtagit för att hålla sin information och sina produkter säkra.
Fyra av informanterna, A, B, C och E, förklarar att de gör grundläggande säkerhetsåtgärder, exempelvis uppdaterar produkterna och följer tillverkarnas rekommendationer. Informanter A och E kollar regelbundet efter uppdateringar. C förklarar att högtalarsystemet ofta uppdateras då tillhörande applikation ofta används och påminner användaren om uppdateringar, men att lamporna inte uppdateras lika ofta då den applikationen inte används lika frekvent.
Informant D gör en riskbedömning innan produkter används. De produkter som anses osäkra används ej, alternativt körs de lokalt, utan tillgång till molntjänster.
Informant E har konfigurerat en DMZ och styr trafiken i nätverket, men har svårt att bedöma vad som händer med trafiken som skickas, trots goda kunskaper.
Informant F förklarar att brandväggen är konfigurerad att stoppa all trafik som inte behövs för produkternas funktion. Alla icke nödvändiga portar i brandväggen är stängda.
6
Diskussion och slutsatser
Kapitlet ger en beskrivning av studiens resultat. Vidare beskrivs studiens implikationer och begränsningar. Dessutom beskrivs studiens slutsatser och rekommendationer. Kapitlet avslutas med förslag på vidare forskning.
6.1 Resultatdiskussion
Syftet med studien var Att undersöka hur early adopters av smarta hem kan agera för att hålla dem säkra, och studiens frågeställning var således: Hur agerar early adopters av smarta hem för att hålla sina smarta produkter säkra?
Studien har grundat sig i en konstaterad avsaknad av kunskap om hur användare och early adopters använder sina smarta hem. Då tidigare forskning varit centrerad runt integritet, säkerhet och teknologier, så föll det sig intressant att undersöka hur early adopters agerade när det kom till säkerhet givet den bakgrund som också presenterats i denna studie.
6.1.1 Avsaknad av oro
Informanterna beskriver tillsammans en avsaknad av oro för deras produkters säkerhet men de har olika motiveringar till sin avsaknad av oro. Vissa menar att avsaknaden beror på svårigheten att se eventuella konsekvenser av sina enheter. Medan andra menar att de resurser som obehöriga skulle kunna få åtkomst till, är av lågt värde eller redan finns offentligt. Men de konsekvenser som informanterna lyfte i sina resonemang var ofta relaterade till integritetsrisk, som i litteratur påvisats ha en starkare påverkan på användarnas beteende än säkerhetsrisk (Wang, m.fl., 2018). Detta i kontrast med säkerhetsrisk och de globala konsekvenser som exempelvis botnät av enheter kan generera (Antonakis, m.fl., 2017).
Användarna är helt enkelt inte oroade över de potentiella säkerhetsbrister som smarta produkter kan föra med sig. Oro har i tidigare forskning konstaterats vara en stark motivator till agerande, en oroad individ motiveras dessutom att för en given situation söka och kritiskt granska lösningar på det problem individen står inför (Sweeny & Dooley, 2017). Detta för att förhindra ett oönskat eller dåligt utfall. En av informanterna resonerade om att denne var lågt prioriterad att sätta in en attack mot, detta går också i linje med litteraturen där tron om sannolikheten att något negativt skall hända också påverkar individens oro och sedermera motivationen att agera (Baron, m.fl., 2000). Tron på sannolikheten att något negativt skall inträffa kan också relateras till individens upplevda risk som i litteratur visat sig vara en påverkande faktor i användares intention till att använda smarta hem (E. Klobas, m.fl., 2019; Wang, m.fl., 2018). En av informanterna, motiverade inte sin avsaknad till oro, denna informant var dock den som av de sex informanterna vidtagit flest säkerhetsåtgärder. Detta skulle kunna bero på att
individen motiverats att vidta proaktiva säkerhetsåtgärder för att minska sin oro (Sweeny & Dooley, 2017).
6.1.2 I händerna på tillverkaren
När användarna fick beskriva vad man som användare kunde göra så var det många som kände sig begränsade i vilka åtgärder de kunde vidta. När de fokuserade på produkten i sig blev möjligheterna att vidta några större åtgärder ytterst få, som att exempelvis välja lösenord med omsorg, ha unika lösenord eller se till att hålla sina produkter uppdaterade i den mån tillverkaren publicerar uppdateringar. Vissa av individerna menade att man är i tillverkarnas händer, då det är tillverkarna som bestämmer vilka säkerhetsåtgärder eller funktioner som skall implementeras i produkterna. Samtidigt beskriver en informant att tillverkaren är den som bestämmer om uppdateringar skall skickas ut. Samma informant beskriver också att om en allvarlig säkerhetsbrist skulle uppdagas, så finns alternativet att inte använda produkten till dess att den är uppdaterad, eller om tillverkaren inte skulle uppdatera produkten för att åtgärda så har man alltid valet att slänga produkten.
Men frågan kvarstår om användarna faktiskt skulle vidta de åtgärder som de föreslagit speciellt relaterat till den tillfredställelse och underlättande som många beskriver att de får av sina enheter, vissa beskriver att de inte skulle vilja vara utan sina enheter. Detta styrks av det faktum att Wang 2018 konstaterade att upplevda fördelar väger tyngre än de upplevda riskerna i individernas intention. Även om de skulle motiveras av oro, finns ett distinkt avstånd mellan initiativ och handling. Där initiativ endast i ungefär 50% av fallen omsätts i handling (Sheeran & Webb, 2016).
Vissa av användarna beskrev att det var svårt att bedöma hur säkra deras produkter var, och menade att det skulle krävas en omfattande kompetens och analysarbete för att ta reda på hur säker en smart produkt var. Få av användarna nämnde säkerhet relaterat till införskaffandet av sina produkter och en informant beskrev att säkerheten hade vederbörande inte reflekterat över förrän efter att produkterna var inhandlade och användes. Svårigheten att hitta information och bilda sig en uppfattning om en produkts säkerhet får stöd i litteraturen (Blythe, m.fl., 2019). Men problematiken kvarstår då studier har konstaterat att denna typ av produkter ofta dras med säkerhetsproblem och dålig design ur säkerhetssynpunkt (Sivaraman, m.fl. 2018; Aqeel-ur-Rehman, m.fl., 2016; Roman-Castro, m.fl., 2018). Något som gäller både större och mindre leverantörer av denna typ av produkter (Sivaraman, m.fl. 2018). Detta innebär att samtidigt som användarna har svårt att påverka säkerheten hos produkten, så producerar tillverkare produkter med säkerhetsproblem.
6.1.3 Säkerhet utanför produkten
När användarna lyfte olika sätt man kan skydda sina produkter på så låg en stor del av de föreslagna lösningarna utanför själva produkten i sig, ofta var lösningarna relaterade
till nätverket som man kör enheterna på. Vissa användare beskrev att man kunde separera nätet för att öka säkerheten, medan andra användare mer riktade sig mot kontroll och styrning av den trafik som skickas mellan internet och de smarta enheterna. Några användare beskrev att man kunde analysera den trafik som skickades men att det ändå skulle vara svårt att utröna vad data innehöll och vart den skickades.
Det faktumet att användarnas föreslagna åtgärder ligger utanför produkten i sig utöver grundläggande säkerhet som att använda lösenord, i samspel med kap 6.1.2, visar detta att det är svårt för användarna att påverka själva produktens säkerhet, utan att man som användare behöver utföra åtgärder runtom sina enheter. Som att exempelvis styra trafik på nätverket eller att separera olika delar av nätverket. Denna svårighet att påverka produktens säkerhet i sig liknar de slutsatser som Bellman och Van Orschoot (2020) drog efter att ha analyserat ett stort antal säkerhetsråd riktade mot IoT.
6.1.4 Säkerhetsåtgärder
Det visade sig att majoriteten av informanterna utförde grundläggande säkerhetsåtgärder, så som att regelbundet uppdatera produkterna och följa tillverkarnas rekommendationer. Informanterna uppdaterar sina produkter regelbundet, men de produkter som används mer frekvent, och då eventuellt själva talar om när de behöver uppdateras, också uppdateras oftare. Informant C ger ett exempel där högtalarna ofta uppdateras medan lampsystemet ofta halkar efter, då mjukvaran till lamporna används mer sällan.
Vi ser dock en skillnad i vad informanterna säger och vad de faktiskt gör. På flera frågor svarar de att det inte finns någon åtgärd överhuvudtaget, men många utav de applicerbara åtgärder de föreslår utför de inte själva. Detta agerande förklaras delvis, när några informanter föreslår åtgärder som separerar eller blockerar delar av nätverket. Då menar de att funktionen hämmas och att de därför ibland avstår från dessa åtgärder. Vissa åtgärder förklaras också endast vara lämpliga för avancerade användare, där bland annat kompetenskrävande trafikanalyser behöver utföras.
6.2 Metoddiskussion
Den induktiva ansats och valet av fallstudie som forskningsdesign har hjälp studien skapa förståelse för hur individer upplever eller förstår en situation som de möter, samt att undersöka detta i den miljö de faktiskt befinner sig i.
Valet av semistrukturerade intervjuer som datainsamlingsmetod var ett lämpligt val då semistrukturerade intervjuer gett oss en riklig empiri. Intervjuernas utförande var problematiskt till en början, då intervjuarna inte tog frågeställningarna tillräckligt djupt för att få uttömmande argumenterade svar. Detta resulterade i att två intervjuer fick följas upp med kompletteringsintervjuer och i två fall fick intervjuerna kompletteras med förtydliganden via text. Samtliga informanter erbjöds att läsa igenom sina
