1 Örebro Universitet
Handelshögskolan - Informatik Uppsatsarbete, 15 hp
Handledare: Fredrik Karlsson Examinator: Gunnar Klein HT-18/2019-02-11
Molntjänster
Skiljer sig den upplevda informationssäkerheten i SaaS-baserade molntjänster mellan utvecklare och privatpersoner?
Robin Köhn 1997-07-02 Hossam Hasan Hamid 1996-02-17
2
Abstract
The purpose with this study was to find out how professional system developers perceive security related to cloud services, to see if it differs from how private individuals perceive security documented in studies that have been done before. We used a survey that we sent out in forums for developers. With this study, we hope to carry out the knowledge-gap on the subject. We believe that cloud providers may find this information useful to provide better and more secure applications that makes people perceive the security as more trustworthy. Our research indicates that developers perceived two out of three aspects in CIA’s triad of information security to be secure. CIA, which stands for Confidentiality, Integrity and Availability is a definition of information security that we have used to measure the perceived security. Our respondents perceived Integrity and Availability as secure, while they perceived the
Confidentiality to be riskier. Developers seem to be concerned that their data is accessible to unauthorized parts while it’s stored in the cloud. Former studies seem to indicate that individuals perceive security in the cloud as a risk. Our study, as well as another one made by Cloud
Research Partners, who used the same measurements for perceived security seem to indicate that developers only perceive one out of three aspects in CIA’s triad as a risk. According to our studies, it seems like developers perceive the security as more secure than individuals. However, we are not able to draw a general conclusion whether this is true or not, since more research with the same measurements on the subject is necessary. However, we can draw the conclusion that the confidentiality in cloud services is not perceived as secure as the integrity and availability according to our population of developers.
Keywords: CIA, Cloud computing, Cloud services, Cloud, Developers, Perceived security, Security, Informationssäkerhet, Upplevd säkerhet
3
Innehållsförteckning
Molntjänster ... 1 Abstract ... 2 Introduktion ... 4 1.1 Bakgrund: ... 4 1.2 Syfte:... 8 1.3 Frågeställning: ... 8 1.4 Avgränsning: ... 8 1.5 Målgrupp: ... 9 2. Tidigare forskning ... 9 3. Metod: ...123.1 Bakgrund till metodval och planerat utförande: ...12
3.2 Tillvägagångssätt för tidigare forskning ...13
3.3 Urval: ...14 3.4 Enkät...15 3.5 Analysmetod ...16 3.6 Metodkritik ...17 3.7 Etik ...18 4. Resultat ...19 Resultat av konfidentialitet ...20 Resultat av integritet ...23 Resultat av tillgänglighet ...26 5. Analys/Diskussion ...29 5.1 Analys av resultat ...29
5.2 Diskussion av resultat och tidigare forskning ...31
5.3 Diskussion av resultat och praktiska implikationer ...32
6. Slutsats ...34
Referenslista ...36
4
Introduktion
1.1 Bakgrund:
De senaste åren har det skett en stor mängd dataintrång där både privatpersoner och företag fått information som lagrats på molntjänster stulen eller offentliggjord (Ismail, 2017, 21 Augusti). European Union Agency for Network and Information Security (2013), förkortat ENISA,
definierar molntjänst incidenter som “a breach of security or a loss of integrity that has an impact on the operation of network and information system core services, which public administrations and market operators provide. The ‘reportable incident’ is the one that has deemed significant impact”. Ett exempel på detta är det kända dataintrånget hos Tesla där en grupp hackare tog kontroll över Teslas molntjänst för att generera kryptovalutor. Just detta intrång är väldigt häpnadsväckande då Tesla enligt egen utsaga är ett företag som specialiserar sig på just
molntjänstbaserad informationssäkerhet, men ändå förlorat kontrollen av sin data (Krok, 2018, 21 februari).
National Institute of Standards and Technology (NIST) i USA, definierar molntjänst på följande vis: “Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction” (Chen & Zhao, 2012). Molntjänster är alltså ett sätt att exempelvis lagra data utan att behöva ha det sparat lokalt på den enhet som används. Datan är då åtkomstbar oavsett vilken enhet man använder sig av, kravet är att man har en uppkoppling och tillgång till molntjänsten.
NIST delar upp molntjänster i tre service modeller. Den modell vi har valt att fokusera på är SaaS - “Software as a service”. Detta på grund av att SaaS-baserade molntjänster är det som används mest frekvent. NIST beskriver SaaS som en applikation som distribueras bland många användare (Mell & Grance, 2010). Användare behöver inte själva se över driften för tjänsten, detta är molntjänstutvecklarens eller distributörens uppgift. Med driften menar man servern, nätverk och lagring. SaaS-baserade molntjänster kan användas på en hel del sätt. Ett exempel för
5 att komma åt dessa är via en klient som installeras på en enhet som exempelvis en dator eller mobiltelefon. Det går även att komma åt dessa tjänster via en webbläsare. Exempel på en SaaS-baserad molntjänst är Google drive eller iCloud (Mell & Grance, 2010). De andra tjänsterna som vi valt att inte ta hänsyn till i denna studie är IaaS och PaaS. Vi har valt att inte ta hänsyn till dessa då de är mer lämpade för kommersiellt syfte.
Företag som erbjuder SaaS tjänster försöker konstant hålla en låg ITSR (IT security risk) inom molntjänstbaserade applikationer, dock så sker det fortfarande incidenter som skadar skyddsvärd information. Utvecklare har underskattat de risker som kommer i samband med molntjänster. (Loske, 2015). Risker som kan uppkomma i samband med molntjänster kan vara att
konfidentialitet inte uppnås vilket kan resultera i att obehöriga parter kan komma åt skyddade data. En annan risk med molntjänster kan vara att integritet inte uppnås. Det skulle kunna få konsekvenser som innebär att obehöriga kan modifiera den data du lagrat, eller att man inte kommer åt data man sparat på grund av att tjänsten tillfälligt ligger nere (Zissis & Lekkas, 2010). SaaS-molntjänster används i hela världen av både företag och privatpersoner trots att dataintrång liknande det ovan nämnda sker och rapporteras i media. Enligt Kornblith (2016) så beräknas molntjänster lagra 86% av all data åt företag år 2019. Man beräknar även att datan i molntjänster kommer att tripplas från 2014 till 2019. Genom en molnlösning kan företag sänka sina kostnader, öka sina intäkter, bli mer agila och öka sin konkurrenskraft. Den starka valutan idag är nämligen inte amerikanska dollar, det är data (Dohlmann, 2018). Trots detta så har det publicerats
uppmaningar inom media till att “don’t put too much trust in the cloud.” (Thompson, 2012, 10 augusti). Ett exempel på en molntjänst som ändå används dagligen världen runt är iCloud. År 2016 beräknades antalet användare av iCloud till 782 miljoner (Smith, 2016, 14 februari).
Analytiker företaget Gartner (2017) har konstaterat att mer än 20 % av offentlig verksamhets IT-budget numera investeras i molnet. De drar, utifrån detta, slutsatsen att 47 % av offentlig verksamhet aktivt använder molntjänster och förutspår att utgifterna för molntjänster kommer att öka med i genomsnitt 17 %
6 I samband med att molntjänster blir mer och mer vanligt så får även en större andel människor en uppfattning angående hur de upplever informationssäkerheten kring dessa tjänster. Tidigare forskning indikerar att unga personer upplever molntjänster som säkrare än äldre personer (Rosenlund & Mårtensson, 2016). En intressant fråga är dock om den upplevda
informationssäkerheten skiljer sig mellan privatpersoner och utvecklare som använder
molntjänster på en daglig basis och på en mer professionell nivå än privatpersoner. Elliot (2016) indikerar att systemutvecklare har en bättre analytisk förmåga och högre hjärnkapacitet inom det limbiska systemet än privatpersoner. Det limbiska systemet är den del i hjärnan som påverkar känslor, i synnerhet rädsla (Bailey, 2018). Detta kan påverka hur man upplever
informationssäkerhet. Vår hypotes är att privatpersoner upplever molntjänster som mer osäkert jämfört med utvecklare då vi tror att deras upplevelse förstärks av ständig medierapportering kring incidenter, jämfört med utvecklare som dagligen använder molntjänster och förmodligen själva aldrig varit med om något dataintrång.
Med hjälp av en definition av informationssäkerhet som kallas Confidentiality, Integrity & Availability, förkortat CIA, kan man ta reda på om något kan klassas som säkert. Det är alltså tre aspekter som existerar för att se om något kan anses som säkert. Konfidentialitet innebär att data enbart är tillgängligt av den behöriga. Riktighet innebär att data och information inte kan
manipuleras av obehöriga. Tillgänglighet innebär att data och information är tillgängligt när den efterfrågas av användaren (ISO, 2017).
Molntjänstleverantörer försöker med olika metoder säkerställa informationssäkerheten kring dessa tjänster. Ett bra exempel på en metod som används för att uppnå konfidentialitet är datakryptering. Datakryptering innebär att man konverterar data från ett läsbart format till ett kodat format. En metod som används för att uppnå både integritet och tillgänglighet är backups. Detta innebär att data kan bli återställd om den skulle bli manipulerad eller förloras på något sätt (Rouse, 2014). Man försöker även använda sig av olika säkerhetsverktyg, exempelvis web application firewalls. Ett sådant skydd sätter olika regler för HTTP-konversationer, som i regel skyddar mot vanliga attacker som exempelvis SQL-injektioner (Kinney, 2017).
7 Informationssäkerhet definieras av Myndigheten för samhällsskydd och beredskap som:
”Informationssäkerhet är den övergripande säkerheten som omfattar både tekniskt (IT-säkerhet) och administrativt (regler och rutiner) skydd och syftar till att informationen alltid skall vara korrekt, tillgänglig som avsett och skyddad från obehörigt tillträde” (Andersson, Hedström, Karlsson, 2016). Det finns dock en skillnad mellan faktisk informationssäkerhet och upplevd informationssäkerhet. Enkelt uttryckt så kan exempelvis en molntjänst vara osäker men ändå upplevas som mer säker på grund av andra faktorer som exempelvis det utformade gränssnittet. Detta innebär inte att molntjänsten nödvändigtvis är säkrare, utan enbart att den upplevs som säkrare av användaren. Upplevd informationssäkerhet definieras av Oscarson (2007) som den upplevda faktiska informationssäkerheten.
Vi ser ovan att det är skillnad på faktisk informationssäkerhet och upplevd informationssäkerhet. Anledningen till varför vi valt att just fokusera på den upplevda informationssäkerheten är för att det subjektiva en användare känner för en tjänst och informationssäkerheten bakom är väldigt viktigt. Utan tillit så kommer förmodligen inte molntjänsten att användas, då människors oro påverkar användandet av molntjänster (Arpaci, Kilicer & Bardakci, 2015). Den faktiska
informationssäkerheten förklarar Halaweh & Fiedler (2008) som objektiv, alltså hur säkert något faktiskt är utifrån olika mätningar. Vi kommer att belysa den upplevda subjektiva
informationssäkerheten och hur den skiljer sig mellan privatpersoner och utvecklare i denna studie.
8
1.2 Syfte:
Syftet med denna undersökning är att kartlägga utvecklares upplevda informationssäkerhet kring SaaS-baserade molntjänster, för att ta reda på ifall den skiljer sig mot tidigare rapporterad
upplevd informationssäkerhet för privatpersoner. Detta görs i syfte att försöka fylla
kunskapsluckan som existerar kring ämnet vilket kan vara relevant för molntjänstleverantörer och framtida forskare.
1.3 Frågeställning:
Hur skiljer sig den upplevda informationssäkerheten i SaaS-baserade molntjänster mellan utvecklare och privatpersoner?
1.4 Avgränsning:
Vi kommer undersöka hur utvecklare upplever informationssäkerheten kring molntjänster för att sedan jämföra resultatet mot tidigare forskning som redan finns där det fastställs hur den upplevs av privatpersoner. Med utvecklare så menar vi människor som har ett jobb där en privat inkomst genereras genom systemutveckling. Ett exempel på ett sådant yrke kan vara systemutvecklare. Vi har valt att inte ta hänsyn till faktorer som ålder och kön. Det vi vill belysa med denna studie är huruvida vår hypotes stämmer, det vill säga om systemutvecklare upplever
informationssäkerheten på ett annat sätt än privatpersoner, och vi anser inte att ålder och kön är relevant för att kunna påvisa detta. Den inriktning på molntjänster vi valt att förhålla oss till är SaaS-baserade molntjänster. Anledningen till detta är för att dessa tjänster är vanligast för privat bruk. Inom SaaS så ingår tjänster som Google Drive och Dropbox.
9
1.5 Målgrupp:
Denna studie kan komma att vara relevant för molntjänstföretag eller andra intressenter av molntjänster samt framtida forskare kring ämnet. Om en viss grupp anser att molntjänster upplevs osäkert så kan det vara ett stort problem för företagen, då upplevd informationssäkerhet kommer att avgöra hur pass mycket molntjänsterna används. Genom att veta vilka de behöver fokusera på så har de en utgångspunkt att jobba från när de förbättrar upplevelsen av tjänsterna. Forskare kan även ha nytta av studien för att kunna kompensera för de kunskapsluckor som existerar inom ämnet. Vi kommer även att komma med råd angående praktiska implikationer till molntjänstleverantörerna baserat på de resultat vi kommer att få.
2. Tidigare forskning
I en studie utförd av företaget Fujitsu, som undersökte upplevelsen av informationssäkerhet för privatpersoner kom man fram till att privatpersoner är oroliga över den personliga datan som lagras på SaaS- molntjänster. En anledning till detta är medias rapportering om ständiga tillfällen där regeringen eller konsumentföretag samlar in data om människor för att använda det till sin fördel (Fujitsu, 2010). Viktiga punkter man kom fram till i undersökningen var att trots att konsumenter av molntjänster var medvetna om riskerna så ställdes dessa risker mot de fördelar en molntjänst erbjuder. Människor använder alltså molntjänster trots en upplevd osäkerhet kring informationssäkerheten.
En undersökning gjord på ett universitet i Pakistan utförde en liknande studie som Fujitsu. Här var dock 91% av respondenterna oroliga över molntjänster och dess informationssäkerhet. I artikeln fastställer man att en faktor till varför en sådan stor andel respondenter anser att molntjänster är en risk för informationslagring beror på att Pakistan är ett U-land. Författarna menar att invånare i Pakistan generellt besitter sämre kunskap när det gäller teknologi och specifikt vad gäller molntjänster. Även om majoriteten i denna studie hade hört talas om “cloud computing” så var de fortfarande skeptiska till dess informationssäkerhet därmed resultatet av
10 studien (Abid, Jan, Mustafa, & Faridi, 2012). Detta stärker vår hypotes om att den kunskap man besitter kring molntjänster påverkar hur dessa upplevs.
I en annan studie gjord på Linköpings Universitet presenterades ett motsatt resultat som gjordes med hjälp av samma metod vi tänkt använda, nämligen enkätfrågor. Av 88 respondenter så var det 70 av dessa som använde någon typ av SaaS-baserad molntjänst. 26 respondenter av dessa 88 ansåg molntjänster som säkra, 18 upplevde däremot inte att det var säkert att använda sig av molntjänster, resterande 44 hade ingen åsikt eller ansåg att informationssäkerheten skiljer sig mellan olika baserade molntjänster. Det var alltså en majoritet som upplevde SaaS-baserade molntjänster som säkra (Rosenlund & Mårtensson, 2016).
En annan studie har gjorts på ämnet av Myndigheten för samhällsskydd och beredskap, I studien undersöktes förekomsten av incidenter relaterade till molntjänster. Av de organisationer som besvarade enkäten hade 84 % inte upplevt några incidenter. De som hade upplevt incidenter fick även klassificera incidenten enligt följande alternativ: avbrott i tjänsten, dataförlust, förvanskning av information och att obehöriga fått åtkomst till informationen. Kategorierna är således
relaterade till begreppen konfidentialitet, riktighet, och tillgänglighet (ISO, 2017). Nästan 100 % svarade att incidenterna har rört avbrott i tjänsten. Det bör dock poängteras att studien inte undersökt orsakerna till dessa avbrott (Hellberg, Islam, Karlsson, 2018).
År 2008 gjordes en studie för att kolla över vilka utmaningar som IT-chefer och CIO (chief information officer) ansåg skulle medföras med att använda sig av molntjänster inom
verksamheten. Studien visade att den största anledningen till varför man inte ska implementera molntjänster var just de brister man kan hitta i informationssäkerheten. På en skala mellan 1–5 där dessa respondenter fick svara på vilka utmaningar man kan finna i att använda molntjänster i företag så hittades 9 stora utmaningar, 74% av 244 respondenter rankade informationssäkerhet mellan 4-5, där 5 är “väldigt viktigt” (Zhou, Zhang, Xie, Qian, & Zhou, 2010).
I en studie som gjorts av Maghrabi (2014) med syftet att ta reda på just den upplevda informationssäkerheten kring molntjänster hos både experter och universitetsstudenter så fastställde man att 50% av respondenterna inte var säkra kring huruvida deras data var säker på
11 molntjänster. 37,5% ansåg att deras data var säker och 12.5% upplevde inte att datan var lagrad på ett säkert sätt. Man kunde även se att 30% av respondenterna litar tillräckligt mycket på molntjänstleverantörerna för att använda molntjänster, 30% är neutrala, 17,5% litar delvis på leverantörerna, 12.5% litar på leverantörerna och 7.5% av respondenterna litar inte alls på dem (Maghrabi, 2014).
Cloud Research Partners har utfört en studie vars syfte var att kartlägga vilka dom största hoten är gentemot molntjänster där man frågade över 2000 konsulter, specialister och annat folk som arbetar med IT. Man kom fram till att 53% av de tillfrågade ansåg att det största hotet är att obehöriga parter ska få tillgång till den lagrade datan, det är alltså konfidentialitet som upplevs som största hotet om man skall koppla detta till CIA’s triad. Man kom även fram till att 53% av de tillfrågade uttryckte rädsla över den informationssäkerhet som tillhandahålls av
molntjänstleverantörer. Detta är en ökning från 45% år 2015 som påvisades i en annan studie av Kornblith (2016).
Vi ser här att det är skillnad på resultaten från de studier som gjorts. Det kan bero på en hel del faktorer, ett exempel skulle kunna vara storlek på studierna samt vart de är utförda. Det skiljer sig även flera år mellan undersökningarna och med tanke på att molntjänster fortfarande var ett nytt fenomen för några år sedan så hade inte folk tillräckligt med kunskap och tillit mot
tjänsterna och den informationssäkerhet de erbjuder. Vi kan dra slutsatsen från dessa studier att det finns en kunskapslucka kring upplevelsen av informationssäkerhet kring molntjänster, detta på grund av att studier som gjorts inte kommer fram till samma resultat samt mäter den upplevda informationssäkerheten på olika sätt. Detta gör det svårt för oss att dra en slutsats kring huruvida den upplevda informationssäkerheten skiljer sig mellan utvecklare och privatpersoner utifrån tidigare forskning.
12
3. Metod:
3.1 Bakgrund till metodval och planerat utförande:
För att samla in den nödvändiga datan till vår studie så valde vi att genomföra en kvantitativ studie. Den kvantitativa metod vi använde var en enkätundersökning. Detta innebär en induktiv analys. En enkätundersökning används för att samla in data från en stor grupp på ett
standardiserat och systematiskt sätt, vilket vi ansåg var optimalt för denna studie. Enkäter
används frekvent och är brett accepterat inom informatikområdet (Oates, 2006). Med hjälp av en enkätundersökning så kunde vi nå ut till många personer under en kort tid. Vi tror att utvecklare inte har så mycket tid till övers då de förmodligen vill prioritera sitt jobb, detta fick oss att välja enkätundersökning framför exempelvis personliga intervjuer som hade varit mer tidskrävande och omständigt för båda parter. Vi skickade ut vår enkät på tre olika forum som riktar sig till systemutvecklare. De forum vi valde att skicka ut enkäten till var följande: Kodapor, Kodapor Karriär samt Swerigs Code. Dessa forum valdes då de är låsta och enbart medlemmar har tillgång till innehållet, samt att de är skapta för just systemutvecklare. Detta bidrog till att vi kunde vara relativt säkra på att det var just systemutvecklare som såg och besvarade vår enkät. Enligt Bryman (2018) så kan man förbättra svarsprocenten genom att kontakta potentiella respondenter innan man skickar själva enkäten till dem. Detta anses som “god sed på nätet”, vilket vi valde att applicera. Vi publicerade ett inlägg på forumen vi tänkt skicka ut enkäten på innan vi skickade ut enkäten och informerade att det inom kort kommer att komma en enkät till medlemmarna och att vi uppskattade om vi kunde få ett svar på denna. Vi analyserade och jämförde resultatet från vår enkät mellan privatpersoner och utvecklare samt även använde oss av tidigare forskning.
13
3.2 Tillvägagångssätt för tidigare forskning
För att hitta tidigare forskning som är relevant till vår frågeställning så använde vi oss först och främst av 3 olika databaser: Scopus, Primo & Google Scholar. Vi använde oss även av
sökmotorn Google för att hitta andra relevanta tidningsartiklar och inlägg om ämnet. Vi började vår förstudie med att tillsammans identifiera relevanta sökord som skulle hjälpa oss att hitta artiklar som behandlar vårt ämne. Relevanta sökord för oss är nyckelord som behandlar vårt ämne, då vår studie handlar om informationssäkerhet & molntjänster, specifikt upplevd
informationssäkerhet så försökte vi hitta sökord som var relevanta för dessa ämnen. Vi började med att söka på enstaka ord som “security” och “molntjänster” för att hitta artiklar som tog upp dessa ämnen. Ovanstående ord satte vi senare ihop för att få mer relevanta artiklar som tar upp informationssäkerhet i molntjänster. Sedan utökade vi denna sökning ytterligare genom att lägga till ord som “upplevd” och “perceived” för att hitta forskning om den upplevda
informationssäkerheten. Vi sökte på ord som exempelvis “Cloud security” “perceived security cloud” och “Cloud-computing perceived security” samt även svenska ord som “upplevd säkerhet molntjänster” och “molntjänster säkerhet”. För att senare avgöra om en artikel är relevant så säger Oates (2006) att man först o främst kollar nyckelorden för en artikel. Innehåller sedan en artikel de nyckelord man anser är relevanta till studien så är det en artikel som bör läsas
överskådligt.
Artiklarna vi valt från Scopus & Primo är peer-reviewed. Att en artikel är peer-reviewed innebär enligt Oates: “academics unknown to an article’s authors assess its suitability and quality before a decision is taken on whether to publish in in the journal.” (Oates, 2006, S.74). Även fast artiklarna är peer-reviewed så har de granskats då vi inte anser att artiklar som är peer-reviewed utesluter kritisk granskning. Andra artiklar vi hittat från sökmotorn Google samt databasen Google Scholar har vi granskat och varit mer kritiska mot för att vara säker på att dessa varit sanningsenliga och relevanta då dessa inte är peer-reviewed. Vi har valt att ställa upp sökorden och artiklar i tabell 1 nedan så att det enklare går att se vilka sökord som är kopplade till vilka artiklar. Detta är en idé som Webster & Watson (2002) tar upp för att enkelt hålla koll på vilka nyckelord som använts.
14 Tabell 1:
3.3 Urval:
En bra tumregel vid urvalsstorlek vid småskaliga undersökningar ligger på minst 30 deltagare (Oates, 2006). Om man däremot kollar på en känd formel som finns hos Surveymonkey där man kan räkna ut den urvalsstorlek som krävs, så kan man med hjälp av följande formel beräkna urvalsstorleken:
Z innebär konfidensnivån på studien. Det är alltså ett mått på hur pålitligt resultat kommer att vara. Konfidensnivån för den här undersökningen är satt till 90 %, vilket enligt Körner och Wahlgren (2015) betyder att man i 90 fall av 100 får ett resultat som innebär att i 90 av 100 fall så ligger det faktiska medelvärdet inom konfidensintervallet. Enligt Körner och Wahlgren (2015) använder man sig dock oftast av en konfidensnivå på 95% för att få ett sådant tillförlitligt resultat som möjligt. Vi har dock valt en lägre konfidensnivå då vi anser att det är mer realistiskt till denna studie på grund av det begränsade antalet respondenter vi troligtvis kommer att få. E
15 värdet i formeln är felmarginalen. Vi har valt en relativt hög felmarginal, nämligen 8%. Oates nämner dock att professionella forskare normalt sätt strävar efter en felmarginal på cirka 3% (Oates, 2006). Vi anser dock att den småskaliga studie vi kommer göra kommer att begränsa oss till en högre felmarginal för att kunna få ett generaliserat resultat. N är detsamma som
populationen. Enligt SCB så finns det 71293 anställda mjukvaru-och systemutvecklare m fl i Sverige (SCB, 2018). Detta är alltså vår population. Med hjälp av dessa siffror i formeln så får vi en urvalsstorlek på 105. Vi kommer alltså att sträva efter att få 105 respondenter som är
utvecklare. Skulle vi däremot följa de siffror som används vid storskalig forskning där man följer riktlinjer för att få ett sådant tillförlitligt resultat som möjligt skulle vi behöva 1052 respondenter. Detta anser vi är utanför vår tidsram och våra resurser och har därför valt att dra upp
felmarginalen till 8% och dra ner konfidensnivån till 90%. Detta innebär att resultatet kommer att stämma med 82–98% säkerhet.
3.4 Enkät
Syftet med vår enkät var att hjälpa oss besvara frågeställningen för vår undersökning. Anledningen till varför vi valt att ställa frågorna på så vis att man får rangordna risken på de frågor som ställts i enkäten, är för att vi anser att det hade blivit svårt för respondenterna att svara på frågorna med egen text eller färdiga svarsalternativ. Vi valde därför att ställa frågor som visar på diverse risker som kan finnas hos molntjänster. Respondenter fick rangordna svar från 1-5 där 1 är att man tycker att det är en låg risk att just den incidenten som beskrivs skulle ske, med 5 menas att det är en hög risk. Vi valde även att ha med frågan ifall respondenterna använder sig av molntjänst eller inte för att se ifall en skillnad kan finnas på grund av just den faktorn. För att få fram frågor vars uppgift är att besvara vår frågeställning valde vi att utgå ifrån en definition av informationssäkerhet som anses vara en standard. CIA, som återfinns i ISO-standarden, står för Confidiality, Integrity & Availability. CIA är alltså grundpelare till våra frågor. Enkäten bygger på denna triad. Det ställdes tre frågor för varje begrepp inom CIA. Detta valde vi för att se om det skiljer sig mellan de olika aspekterna i triaden. Alternativa angreppssätt hade kunnat vara att istället försöka mäta den upplevda informationssäkerheten som viss tidigare
16 forskning gjort, för att på ett sådant sätt kunna jämföra våra resultat med tidigare studier. Vi anser dock att vårt angreppssätt att använda oss av en definition av informationssäkerhet med hjälp av CIA stärker vår studie markant då det blir tydligt vilka aspekter inom
informationssäkerhet vi mäter och efterfrågar.
Vi valde att använda oss av rangordnade svar i form av en likertskala för att på ett enklare sätt kunna kvantifiera alla svar. Det blir ytterst svårt att analysera datan om alla respondenter skulle ges möjligheten att svara i fritext, då det är låg chans att respondenterna skulle svara inom samma ramar. Trots att vi valde att ställa frågor på ett sätt som inte kräver någon förkunskap om informationssäkerhet inom molntjänster så anser vi att det hade blivit för svårt för respondenten att ge oss ett relevant svar i textform.
3.5 Analysmetod
En kvantitativ strategi som valts i denna studie inbegriper en speciell kunskapsteoretisk och ontologisk position. Denna metod gör att vi kan beskriva skillnader mellan människor när det gäller de variabler som är aktuella (Bryman, 2018). Vi har valt att genomföra både en analys av den kvantitativa data vi själva samlat in, men även en sekundäranalys på data som redan finns tillgängligt inom samma område. Anledningen till att vi valt att inkludera en sekundäranalys är på grund av att en sekundäranalys innebär en möjlighet att få tillgång till data för en bråkdel av de kostnader som skulle krävas om man skulle göra studien på egen hand (Dale, 1988), det innebär även att vi kan jämföra den datan vi själva samlar in med existerande data och jämföra dessa för att uppnå vårt önskade resultat. När vi analyserar den kvantitativa data som samlats in så kommer vi att använda oss av univariat analys. Detta innebär en analys av en variabel i taget. Variabler i vårt fall är frågor i enkäten. En univariat analys är den enklaste formen av analys och görs för att summera och hitta mönster i den data man besitter (Bryman, 2018). När det är dags att redovisa empirin som blivit insamlad från enkäterna så har vi valt att använda oss av diagram. Diagram tillhör de allra vanligaste metoderna för beskrivning av kvantitativa data. Den främsta fördelen är att de är lätta att tolka och förstå (Bryman, 2018).
17 Likertskalan, som vi kommer att använda oss av i utformningen av enkäten, är i grunden ett filterindikatormått avseende en uppsättning attityder som rör ett visst tema eller område. Målet med en Likertskala är att mäta intensiteten i en känsla eller upplevelse som rör det aktuella området eller temat (Bryman, 2018). Det råder delade meningar inom forskningen och statistiker när det gäller huruvida en sådan skala är en intervallskala eller ordinalskala. I en studie gjord av Wu & Leung (2017) konstaterar man att en Likertskala oftast används som en intervallskala då det är fullt möjligt att göra det, men att det dock bör betraktas som en ordinalskala om man pratar i strikta termer. Vi kommer att använda oss av Likertskalan som en intervallskala då det gör det möjligt för oss att räkna ut ett medelvärde samt en standardavvikelse på vår empiri.
Standardavvikelse är i grunden ett statistiskt mått på hur mycket de olika värdena för en
population i genomsnitt avviker från medelvärdet (Bryman, 2018). Detta anser vi kommer bidra till att studiens empiri blir enklare att förstå och analysera. En standardavvikelse som är låg innebär att värden ligger relativt nära medelvärdet och därmed är det en liten spridning på resultatet. En hög standardavvikelse är motsatsen och innebär att det är en hög spridning på resultatet. En vanligt förekommande variabel för att kunna dra en slutsats är att använda sig av varianskoefficient som oftast förkortas till CV. CV räknas ut genom att dela standardavvikelsen med medelvärdet. Detta kommer vi att applicera för att få ett tydligare resultat från enkäten. Det finns inget standardiserat mått på vad som anses vara låg eller hög standardavvikelse då varje studie är unik, däremot finns det en tumregel som innebär att om CV <1 så är det en relativt låg spridning och när CV > 1 anses det som en relativt hög spridning (Coefficient of variation, 2018, 13 december).
3.6 Metodkritik
För att samla in vår kvantitativa data valde vi att använda oss av forum som är utformade för systemutvecklare. Dessa forum var låsta så att enbart medlemmar hade tillgång till innehållet. Detta valde vi istället för att samla in data på systemutvecklingsföretag då vi ansåg att den typ av insamling var utanför vår tidsram och resurser. Vi ansåg att forumen var tillräckligt relevanta. Det medför dock en risk då vi inte kan säkerställa att respondenterna faktiskt arbetar som systemutvecklare även fast de valde detta svarsalternativ i enkäten. För att motverka detta valde
18 vi att ta med en definition av vad en systemutvecklare är, och gav respondenterna alternativet att svara huruvida de ansåg att den definitionen överensstämmer med deras yrke. Något annat som kan anses vara en svaghet med vår studie är att vi valt att mäta den upplevda säkerheten med hjälp av CIA’s tre aspekter, då detta inte alltid gjorts inom tidigare forskning. Vi anser dock att detta angreppssätt gör det tydligt vilka aspekter som faktiskt upplevs på ett visst sätt, vilket gör studien mer nyanserad. Om vi exempelvis får samma resultat på tre frågor gällande
konfidentialiteten så stärker detta vårt resultat. Vi kan inte dra en övergripande slutsats då vår studie kommer att stämma med 82–98% säkerhet. Detta kan anses vara en svaghet med denna studie. Vi anser dock att 82–98% säkerhet är ett tillräckligt relevant resultat med tanke på studiens begränsningar.
3.7 Etik
Vi kommer förhålla oss till god forskningssed genom att utföra kvalitativt god forskning och samtidigt skydda de individer som deltar i forskningen. Detta görs för att studien skall anses vara etisk rätt (Vetenskapsrådet, 2017). Oates (2006) skriver i sin bok om hur viktigt det är att få respondenter som deltar i en undersökning ska känna sig trygga och betydelsefulla för undersökningen i sig, samt att de på något sätt ska få ut något utav att delta i studien. Vi har därför valt att visa respekt mot de tillfrågade utvecklarna genom att skicka enkätfrågorna så tidigt som möjligt så att de kan svara på enkäten när det väl passar de och inte behöva känna sig
stressade av en kort tidsram. Detta medför att vi får genomtänkta svar som kan användas för att besvara vår frågeställning. De blev även informerade en kort tid innan vi började skicka ut enkäterna där vi informerade utvecklarna att det inom kort kommer att skickas ut en enkät som vi uppskattar om vi skulle kunna få svar på. Vi var tydliga med att poängtera i enkäten att alla svar är anonyma med tanke på att namn, personnummer eller andra faktorer som kan spåras tillbaka till respondenterna inte finns med i enkäten. Respondenter behöver därför inte oroa sig för att någon data ska kunna spåras tillbaka till dem, då människor generellt sett är mer benägna att ge sanningsenliga svar om det görs anonymt (Ong & Weiss, 2000).
19
4. Resultat
Resultatet av enkätundersökningen redovisas nedan i form av en univariat analys där varje variabel presenteras var för sig. Enkäten är utformad på ett sådant sätt att respondenterna gavs svarsalternativen 1 till 5, där 1 innebär väldigt låg risk och 5 innebär väldigt hög risk. Första frågan på enkäten var frågan om respondenten var över 18 år. Detta på grund av att begränsa studien till enbart myndiga personer, då detta har gjorts inom tidigare forskning och vi ville försöka hålla oss inom liknande ramar för att enklare kunna jämföra vårt resultat med befintlig forskning. Av alla utvecklare som svarat på enkäten så var samtliga över 18 år. Den andra frågan som ställdes var om respondenten använde någon molntjänst. Även här så svarade samtliga respondenter ja. Den tredje frågan var om respondenten arbetar som
systemutvecklare/mjukvaruutvecklare. Här svarade också alla respondenter ja. Alla som svarade på enkäten var alltså äldre än 18 år, använder någon molntjänst samt arbetar som utvecklare. Efter dessa frågor så ställdes tre frågor som är utformade för att kopplas till konfidentialitet, dvs ett av de tre målen inom CIA.
20
Resultat av konfidentialitet
Figur 1: Redovisning av hur stor risk respondenterna anser att det är att en obehörig person kan komma åt det de lagrat i en molntjänst.
Figur 1 visar att majoriteten av respondenterna har valt alternativ 3. Detta innebär att de anser att det finns en risk att en obehörig person kan komma åt datan i en molntjänst, men risken är inte hög. 14.7% valde svarsalternativ 1, alltså en väldigt låg risk. 22,4% av respondenterna valde svarsalternativ 2, vilket innebär en låg risk. Majoriteten på 27,6% valde dock svarsalternativ 3, vilket kan liknas med en neutral risk. 19% valde hög risk medan 16,4% valde väldigt hög risk. Räknar vi ut ett medelvärde på frågan kan vi se att vi hamnar på en trea, detta innebär att
respondenterna generellt anser att det finns en risk men som varken är hög eller låg, utan neutral. Här får vi ett medelvärde på 3, en standardavvikelse på ~1,29 och en variationskoefficienten på ~ 0,43. Variationskoefficienten förkortas CV och beskriver vilken spridning värdena har.
21 Figur 2: Redovisning av hur stor risk respondenterna anser att det är att en anställd hos en
molntjänstleverantör stjäl det som lagrats i en molntjänst.
Figur 2 visar att respondenterna generellt sett ansåg att det var en låg risk att en anställd skulle stjäla det som lagrats i en molntjänst. 21,6% av respondenterna valde svarsalternativ 1, alltså en väldigt låg risk. 36,2% av respondenterna valde svarsalternativ 2, även det en låg risk. 18,1% valde 3, vilket motsvarar en neutral risk. 15,5% valde hög risk medan 8,6% valde väldigt hög risk. Tonvikten i grafen ligger här på den låga sidan. Förtroendet för de anställda hos
molntjänstleverantörerna är uppenbarligen högt. Här får vi ett medelvärde på 2,54, en standardavvikelse på ~ 1,23 och en CV på ~ 0,48
22 Figur 3: Redovisning av hur stor risk respondenterna anser att det är att staten kräver tillgång till den data som finns i en molntjänst.
Figur 3 visar att majoriteten ansåg att det var en hög risk att staten skulle kräva tillgång till något som lagrats i en molntjänst. Tonvikten i grafen ligger på den högra sidan, alltså hög risk. 20,7% av respondenterna valde svarsalternativ 4, vilket innebär en hög risk. 28,4% av respondenterna valde svarsalternativ 5, vilket innebär en väldigt hög risk. 23,3% av respondenterna valde neutral risk. 11,2% av respondenterna valde låg risk och 16.4% valde väldigt låg risk. Här får vi ett medelvärde på 3,34, standardavvikelse på ~ 1.42 och en CV på ~ 0,43. Dessa tre frågor var riktade till begreppet konfidentialitet. Här kan man se att respondenterna generellt sett upplever en större risk kring konfidentialiteten.
23
Resultat av integritet
Följande tre frågor var utformade för att kopplas till integritet inom CIA:
Figur 4: Redovisning av hur stor risk respondenterna anser att det är att en obehörig person kan ändra eller manipulera den data som lagrats i en molntjänst
Här kan man se att majoriteten av respondenterna anser att det är låg risk att en obehörig person kan manipulera den data som lagrats i en molntjänst. 24,6% av respondenterna valde
svarsalternativ 1, alltså en väldigt låg risk. 35,1% av respondenterna valde svarsalternativ 2, alltså en låg risk. 21,9% valde en neutral risk. 13,2% valde en hög risk och enbart 5,3% valde en väldigt hög risk. Tonvikten i grafen ligger på den vänstra sidan, alltså en låg risk. Endast ~5% ansåg att det var en hög risk att data kan manipuleras. Här får vi ett medelvärde på 2,39, en standardavvikelse på ~ 1.15 och en CV på ~ 0,48.
24 Figur 5: Redovisning av hur stor risk respondenterna anser att det är att den data som lagrats på en molntjänst raderas utan deras vetskap.
Figur 5 visar att majoriteten av respondenterna anser att det är en låg risk att datan kan raderas utan deras vetskap. 24,3% av respondenterna valde svarsalternativ 1, alltså en väldigt låg risk. 25,2% av respondenterna valde svarsalternativ 2, alltså en låg risk. 20,9% valde en neutral risk. 16,5% valde en hög risk och enbart 13% valde en väldigt hög risk. Tonvikten i grafen ligger på den vänstra sidan, alltså en låg risk. Här får vi ett medelvärde på 2,69, en standardavvikelse på ~ 1.35 och en CV på ~ 0,5.
25 Figur 6: Redovisning av hur stor risk respondenterna anser att det är att den data som lagrats på en molntjänst inte krypteras och därmed blir enklare att manipulera.
Även här så ansåg majoriteten att generellt sett är en låg risk att data ej krypteras och på sådant sätt blir enklare att manipulera. 20,2% av respondenterna valde svarsalternativ 1, alltså en väldigt låg risk. 24,6% av respondenterna valde svarsalternativ 2, alltså en låg risk. 20,2% valde en neutral risk och 16.7% valde en hög risk. Här var det dock en relativt stor andel som ändå tyckte att det var en väldigt hög risk, nämligen ~18%. Generellt sett så ansåg dock majoriteten att integriteten upplevs som pålitlig när det gäller molntjänster. Tonvikten i grafen ligger på vänster sida, alltså en låg risk. Här får vi ett medelvärde på 2,89, en standardavvikelse på ~ 1.4 och en CV på ~ 0,48. Dessa tre frågor var utformade för att kopplas till integritet inom CIA vilket vi kan konstatera upplevs som en mindre risk än konfidentialiteten.
26
Resultat av tillgänglighet
Följande tre frågor var utformade för att kopplas till tillgänglighet inom CIA:
Figur 7: Redovisning av hur stor risk respondenterna anser att det är att den data som lagrats i en molntjänst inte är tillgänglig när de vill komma åt den.
Figur 7 visar att majoriteten anser att det är en risk att data ej är tillgänglig när de vill komma åt den. Även om risken inte är hög så anser de ändå att det är en risk. 19,8% av respondenterna valde svarsalternativ 1, alltså en väldigt låg risk. 20,7% av respondenterna valde svarsalternativ 2, alltså en låg risk. 30,2% av respondenterna valde svarsalternativ en neutral risk. 17,2% valde en hög risk och enbart 12.1% valde en väldigt hög risk. Tonvikten i grafen ligger runt
vänster/mitten. Här får vi ett medelvärde på 2,81, en standardavvikelse på ~ 1.28 och en CV på ~ 0,45.
27 Figur 8: Redovisning av hur stor risk respondenterna anser att det är att den data som lagrats i en molntjänst blir oåtkomlig därför att molntjänster ligger nere.
Figur 8 visar på att majoriteten anser att det är en risk att molntjänsten tillfälligt skulle ligga nere när man vill komma åt sin lagrade data. Enbart 12,1% av respondenterna valde svarsalternativ 1, alltså en väldigt låg risk. 23,3% av respondenterna valde svarsalternativ 2, alltså en låg risk. 27,6% valde en neutral risk. 23,3% valde en hög risk och 13,8% valde en väldigt hög risk. Här får vi ett medelvärde på 3,03, en standardavvikelse på ~ 1.23 och en CV på ~ 0,4.
28 Figur 9: Redovisning av hur stor risk respondenterna anser att det är att en molntjänst läggs ned vilket resulterar i att alla data förloras permanent.
Figur 9 visar att majoriteten av respondenterna anser att det är en låg risk att en molntjänst läggs ned och dess data förloras permanent. 22,4% av respondenterna valde svarsalternativ 1, alltså en väldigt låg risk. 31% av respondenterna valde svarsalternativ 2, även det en låg risk. 21,6% valde en neutral risk. 12,9% valde en hög risk och enbart 12,1% valde en väldigt hög risk. Tonvikten i grafen ligger på den vänstra sidan som innebär en låg risk. Här får vi ett medelvärde på 2,6, en standardavvikelse på ~ 1.3 och en CV på ~ 0,5.
Vi kan konstatera att tillgängligheten upplevs mindre riskfyllt än konfidentialiteten.
Vi kan se att variationskoefficienten på alla resultat ligger under 1. Detta antyder att det är en låg standardavvikelse och därmed en låg spridning på värde i förhållande till medelvärdet.
29
5. Analys/Diskussion
I detta kapitel så har vi analyserat empirin som presenterades i föregående kapitel samt utfört en analys mot de tidigare studier som presenterats.
5.1 Analys av resultat
Det vi kan se utifrån den empiri som samlades in från de första tre frågorna gällande hur konfidentialiteten upplevs kring molntjänster är att majoriteten valde svarsalternativ 3 på den första frågan som löd: “Hur stor risk anser du generellt sett att det är att en obehörig person kan komma åt det du lagrat i en molntjänst?”.
På nästa fråga som löd: “Hur stor risk anser du generellt sett att det är att en anställd hos en molntjänstleverantör stjäl det du lagrat i molntjänsten?”, valde majoriteten svarsalternativ 2, alltså en lägre risk. Respondenterna ansåg alltså inte att det är en hög risk att data blir stulet av en anställd hos en molntjänstleverantör.
Sista frågan kring konfidentialitet löd: “Hur stor risk anser du generellt sett att det är att staten kräver tillgång till den data som finns på molntjänsten?” Här valde majoriteten av
respondenterna svarsalternativ 5, alltså en hög risk.
Generellt sett kan vi se att respondenterna anser att konfidentialiteten är en större risk, men detta på grund av att frågan angående staten drar upp medelvärdet markant. Detta kan vara på grund av att man inte riktigt kan skydda sig mot staten på samma sätt som hackers, då staten har en viss typ av makt som inte privatpersoner har. Detta resultat kan likställas med Cloud Research
Partners studie som även dom frågade professionella IT-arbetare och kom fram till att
konfidentialiteten är det som anses vara största hotet gentemot molntjänster (Kornblith, 2016). Gällande hur integriteten upplevs kring molntjänster så samlades empiri in på samma sätt, nämligen tre frågor som var relaterade till integritet. Första frågan löd: “Hur stor risk anser du
30 generellt sett att det är att en obehörig person kan ändra eller manipulera den data du lagrat i en molntjänst?” På denna fråga valde majoriteten svarsalternativ 2, alltså en låg risk.
Nästa fråga löd: “Hur stor risk anser du generellt sett att det är att din data raderas från
molntjänsten utan din vetskap?”, Även här valde majoriteten svarsalternativ 2, alltså en låg risk. Sista frågan gällande integritet löd: “Hur stor risk anser du generellt sett att det är att din data inte krypteras och på så sätt blir enklare att manipulera?” Även här valde majoriteten svarsalternativ 2.
Generellt sett kan vi dra slutsatsen att respondenterna upplever integriteten kring molntjänster som en mindre risk än konfidentialiteten.
Även när det gällde tillgänglighet samlades empirin in på samma sätt. Vi hade tre frågor som var relaterade till tillgänglighet.
Första frågan gällande tillgänglighet löd: “Hur stor risk anser du generellt sett att det är att data som lagras i en molntjänst inte är tillgänglig när du vill komma åt den?”. På denna fråga valde majoriteten svarsalternativ 3. De ansåg alltså att det var en relativt stor risk, men att den inte är hög.
Nästa fråga löd: “Hur stor risk anser du generellt sett att det är att din data blir oåtkomlig för att molntjänsten tillfälligt ligger nere?” Även här valde majoriteten svarsalternativ 3.
Sista frågan kring tillgänglighet löd: “Hur stor risk anser du generellt sett att det är att en
molntjänst du använder läggs ned vilket resulterar i att all data förloras permanent?” Här svarade majoriteten 2, alltså en relativt låg risk.
Även här kan vi dra slutsatsen att respondenterna upplever tillgängligheten kring molntjänster som en mindre risk än konfidentialiteten.
31 En aspekt inom CIA’s triad, konfidentialiteten, upplevs alltså vara mer riskfylld, medans
tillgängligheten och integriteten upplevs vara mindre riskfyllda.
5.2 Diskussion av resultat och tidigare forskning
Utifrån vår empiri kan vi konstatera att utvecklare generellt sett upplever konfidentialiteten som en större risk än integriteten och tillgängligheten. De anser alltså att konfidentialiteten är det största upplevda hotet gällande molntjänster. Cloud Research Partners fick även dom detta resultat när dom utförde en studie för att ta reda på vilken risk som upplevs som störst gentemot molntjänster. De använde sig av CIA för att mäta den upplevda informationssäkerheten. De konstaterade att konfidentialiteten upplevs som största risken (Kornblith, 2016). Detta anser vi stärker vårt resultat markant, då vi mätte den upplevda informationssäkerheten på samma sätt och även fick samma resultat. Jämfört med tidigare forskning gjord av Fujitsu (2010) så kom man fram till att privatpersoner i stor utsträckning upplever informationssäkerheten kring
molntjänster som osäkert. Studien i Pakistan utförd av Abid, Jan, Mustafa, & Faridi (2012) visar även här att respondenterna upplevde informationssäkerheten kring molntjänster som osäkert. Några gemensamma faktorer som fastställdes var att båda dessa undersökningar gjordes när molntjänster fortfarande var ett nytt fenomen vilket kan vara en bidragande faktor till varför undersökningarna kom fram till just det resultatet, och att det därför skiljer sig från vårt resultat. Zhou et al (2010) utförde en studie för att se vilka utmaningar som finns med att implementera molntjänster inom företag, här konstaterade man att informationssäkerhet var största anledningen till varför man bör avstå från att implementera molntjänster. Denna studie gjordes mot IT-chefer och CIO’s vilket kan liknas med utvecklare till en viss nivå då båda grupperna besitter stor kunskap kring IT. Även denna studie gjordes i tidigt skede då molntjänster började etablera sig på marknaden, därav det liknande resultatet mot den tidigare forskningen. En bidragande faktor till varför upplevelsen skiljer sig tror vi är att utvecklare besitter mer kunskap kring molntjänster. Rosenlund och Mårtenssons (2016) utförde en liknande studie som vår där man undersökte privatpersoners upplevelse av informationssäkerhet inom molntjänster, här kom man fram till att majoriteten av respondenterna upplever molntjänster som säkra. En bidragande faktor till varför detta resultat skiljer sig mot de andra skulle kunna vara för att denna undersökningen gjordes ett
32 par år efter resterande forskning men även för att de inte valde att mäta den upplevda
informationssäkerheten med hjälp av CIA’s triad, och därför kan ha fått ett annat resultat. Vid det här laget har folk hunnit få en större kunskap och förståelse för molntjänster och de används mer frekvent av mer människor. Den största anledning till att dessa studier verkar visa på olika resultat är enligt oss att forskare använt olika metoder för att mäta den upplevda
informationssäkerheten. Detta gör det svårt för oss att dra en övergripande slutsats, då vi valt att tydligt mäta olika aspekter inom CIA’s triad. Detta ansåg vi skulle stärka vår studie då vi kan se om det finns ett mönster gällande varje aspekt. Det bidrar dock till svårigheter att koppla vår studie gentemot tidigare forskning.
5.3 Diskussion av resultat och praktiska implikationer
Utifrån vår empiri kan man se att respondenterna upplever konfidentialitet som en större risk än resterande aspekter inom CIA. Detta innebär att respondenterna generellt sett är oroliga över vilka som har tillgång till den sparade datan i molntjänsten. Resultatet av detta kan medföra att färre använder sig av molntjänster och istället använder sig av lokal datalagring (Arpaci, Kilicer & Bardakci, 2015). Man kan dock se att det är frågan om staten som påverkar en hel del. Detta kan vara något för molntjänstleverantörer att fundera på. De bör ge ut information huruvida de skulle agera ifall staten skulle begära tillgång till data som lagrats. Detta är något som regleras av lagar och användaren av en molntjänst bör informeras vad som gäller. För att se till att ingen annan än de behöriga har tillgång till datan så är ett praktiskt råd till molntjänstleverantörer att jobba med exempelvis kryptering av datan för att göra det oläsbart för obehöriga, en enkel hash kryptering fungerar inte längre utan man måste arbeta med mer avancerade
informationssäkerhetslösningar. Ett annat råd är att implementera ett “vulnerability managementprogram”, som används för att hitta brister i applikationer (Kinney, 2017). Frågorna kring integritet hade en större spridning än resterande aspekter men respondenterna upplevde generellt en låg risk kring integritet. Vi ser att det är kryptering som respondenterna är mest oroliga för, med tanke på att konfidentialiteten upplevdes som en stor risk. Om datan inte är krypterad och ett dataintrång skulle ske skulle det vara enkelt för någon obehörig att ändra/ta
33 bort den sparade data som finns. Molntjänstleverantörer måste alltså se till så all data som är sparad är krypterad för att säkerställa integriteten men även erbjuda backups så att man kan återställa data till ett skede innan datan blivit manipulerad eller gått förlorad. Att använda sig av en Web Application Firewall skulle även kunna stärka den upplevda integriteten.
Molntjänstleverantörer bör även utföra applikationskontroller som letar efter fullständiga data för att se om något gått snett med den lagrade datan (Kinney, 2017).
Gällande resultatet kring tillgänglighet kan vi se att respondenterna upplever tillgängligheten som en mindre risk än konfidentialiteten. Respondenterna har alltså ett bra förtroende för tillgängligheten kring molntjänster generellt. Det bör dock understrykas att ~ 25–37% tog hög/väldigt hög risk på dessa frågor. Med andra ord finns det ändå en hel del som känner oro över att inte ha tillgång till sin data eller förlora den helt. Även om en användare själv kan göra egna backuper av datan lokalt så ska enligt oss även molntjänstleverantörer erbjuda dessa funktioner för att förstärka informationssäkerheten samt tillgängligheten, då detta skulle minimera risken för att viktiga data skulle gå förlorad (Rouse, 2014). Andra praktiska
implikationer molntjänstleverantörer bör införa för att säkerställa tillgängligheten skulle kunna vara att använda sig av en Web application firewall, förkortat WAF, eller att använda sig av Distributed Denial of Service Attack-skydd, förkortat DDOS-skydd (Kinney, 2017).
Generellt så är det svårt för molntjänstleverantörer att tillhandahålla en applikation där man kan garantera en fullständig informationssäkerhet. Men med hjälp av att se problemen genom CIA så kan säkerhetsexperter arbeta holistiskt och försöka fastställa en säkerhetsstrategi som fungerar övergripande (Kinney, 2017). Vi rekommenderar därför alla molntjänstleverantörer att alltid ha CIA i åtanke när man arbetar med informationssäkerhet, samt att ha existerande forskning och då även vår studie i åtanke, där man kan se att det är konfidentialiteten som upplevs som den största risken. Detta innebär att företag måste arbeta mer med att garantera användare att ingen obehörig person skall kunna komma åt den data som lagras på molntjänster.
34
6. Slutsats
Utifrån vårt resultat kan vi dra slutsatsen att respondenterna upplever konfidentialiteten som den största risken. Vi kan även dra slutsatsen att respondenterna upplever integriteten och
tillgängligheten som mindre riskfyllt än konfidentialiteten. Utvecklarna som deltog i studien upplever olika svagheter kopplade till de olika aspekterna i CIA. Två av tre delar uppfylls om man mäter med hjälp av CIA’s triad. Vi kan inte dra en slutsats kring huruvida molntjänster upplevs som säkert eller inte generellt. Informationssäkerheten enligt CIA fungerar nämligen inte för att dra en sådan slutsats då de tre aspekterna inte är fristående komponenter. Med de resultat som finns i de tidigare studier vi hänvisat till kan man se att privatpersoner verkar uppleva molntjänster som mer osäkra än säkra. Utifrån detta kan vi se att det skiljer sig jämfört med vår population som upplevde två av tre aspekter inom CIA som säkra. Cloud Research Partners som utfört en studie på mer än 2000 konsulter och experter kom även dom fram till att
konfidentialiteten upplevs som största hotet. De mätte den upplevda informationssäkerheten på samma sätt som oss, alltså med hjälp av CIA. Detta stärker sanningshalten i vår studie då vi fått samma resultat och även mätt den upplevda informationssäkerheten på samma sätt. Utifrån vår studie samt den som är gjord av Cloud Research Partners så skiljer sig alltså den upplevda informationssäkerheten mellan utvecklare och privatpersoner. Vi kan dock inte dra en övergripande slutsats kring huruvida detta stämmer eller inte på grund av den bristande forskningen och studiens begränsningar samt på grund av att vi har valt att mäta den upplevda informationssäkerheten med hjälp av CIA, vilket inte alltid använts i tidigare studier. Det vi däremot faktiskt kan dra en slutsats kring är hur varje aspekt upplevs av vår population. Här har vi konstaterat att majoriteten av respondenterna upplevde konfidentialitet som den största risken medan de upplevde integritet och tillgänglighet som mindre riskfyllt. En intressant slutsats vi kan dra från denna studie är att samtliga respondenter använder molntjänster trots höga siffror på upplevd oro. Denna studie kan bidra med att hjälpa molntjänstleverantörer att se vilka skillnader som finns mellan privatpersoner och utvecklare vad gäller informationssäkerheten kring deras tjänster samt vilka aspekter inom CIA som behöver stärkas för att upplevas som mer säkra. Vi har kommit med praktiska råd som molntjänstleverantörer bör ha i åtanke när de
utvecklar/tillhandahåller molntjänster sett till de skillnader vi hittat mellan de tre aspekterna. Några av råden är att de bör arbeta mer med kryptering, web-application firewalls samt
DDOS-35 skydd. Med tanke på att det inte finns mycket forskning kring ämnet så bidrar denna studie även till att fylla den kunskapslucka som existerar gällande den upplevda informationssäkerheten kring varje aspekt i CIA’s triad. Med tanke på studiens begränsningar så skulle dock mer forskning kring ämnet behövas för att kunna dra övergripande slutsatser. Vi rekommenderar även framtida forskare att använda sig av samma mått på upplevd säkerhet. Ett bra mått som ger ett tillförlitligt resultat är CIA’s triad, vilket vi använt och rekommenderar för att få konsekventa resultat, vilket kommer att bidra med en mer nyanserad bild av upplevd informationssäkerhet.
36
Referenslista
Abid, M. H., Jan, F., Mustafa, T., & Faridi, M. S. (2012). Cloud Computing: A General User’s Perceptions and Security Issues at Universities of Faisalabad, Pakistan. International Journal of Computer Science Issues (IJCSI); Mahebourg, 9(5), 375–380.
URL: https://search-proquest-
com.db.ub.oru.se/docview/1270656166/980F4B8BB17B4937PQ/1?accountid=8028
Arpaci, I ., Kilicer, K & Bardakci, S. (2015). Effects of security and privacy concerns on educational use of cloud services. Computers in Human Behavior, 45(C), 93-98. doi: 10.1016/j.chb.2014.11.075
Bailey, R. (2018, 28 Mars). The Limbic System of the Brain. ThoughtCo. Hämtad 2018-12-16 från https://www.thoughtco.com/limbic-system-anatomy-373200
Bryman, A. (2018). Samhällsvetenskapliga metoder. Stockholm: Liber.
Chen, D., Zhao, H. (2012). Data Security and Privacy Protection Issues in Cloud Computing. Computer Science and Electronics Engineering (ICCSEE), 2012 International Conference on, 1, 647-651. DOI: 10.1109/ICCSEE.2012.193
Coefficient of variation. (2018, 13 December). I Wikipedia. Hämtad 2019-01-09 från https://en.wikipedia.org/wiki/Coefficient_of_variation
Dohlmann, V, E. (2018, Augusti 22). Därför kan många företag inte skydda sin data i molnet. Hämtad 2019-01-03 från
https://businesstech.idg.se/multi-cloud-ar-framtiden-om-du-klarar-37 sakerheten/
Elliot, E. (2016, 21 Oktober). Are programmer brains different?. Medium. Hämtad 2018-12-19 från https://medium.com/javascript-scene/are-programmer-brains-different-2068a52648a7 Dekker, M., Liveri, D., & Lakka, M (2013). Cloud Security Incident Reporting: Framework for reporting about major cloud security incidents. Hämtad från ENISA Webbplats:
https://www.enisa.europa.eu/publications/incident-reporting-for-cloud-computing
Fujitsu Research Institute. (2010). Personal data in the cloud: A global survey of consumer attitudes. Hämtad 2018-12-05 Tillgänglig:
http://www.fujitsu.com/downloads/SOL/fai/reports/fujitsu_personal-data-in-the-cloud.pdf Meulen, R. (2018). Understanding Cloud Adoption in Government. Hämtad 2018-12-05 från https://www.gartner.com/smarterwithgartner/understanding-cloud-adoption-in-government/ Halaweh, M., & Fidler, C. (2008). Security perception in e-commerce: Conflict between
customer and organizational perspectives. Computer Science and Information Technology, 2008. IMCSIT 2008. International Multiconference on, 3, 443-449. Doi:
10.1109/IMCSIT.2008.4747280
Ismael, N. (2017, 21 Augusti). 300% increase in attacks on cloud services. Information age. Hämtad 2018-12-13 från https://www.information-age.com/300-increase-attack-cloud-services-123468079/
ISO. (2017). ISO/IEC 27000:2017 Information technology - Security techniques - Information security management systems - Overview and vocabulary: International Organization for Standardization (ISO).
38 Kornblith, S. (2016). Are cloud Security concerns overblown?. Information management journal, 50(4), 17-17. URL:
https://oru-se-primo.hosted.exlibrisgroup.com/primo-explore/fulldisplay?docid=TN_gale_ofa466412138&context=PC&vid=46OREBRO_V1&lang=s v_SE&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&que ry=any,contains,Security%20cloud%20computing&offset=0&fbclid=IwAR1qTBkhHx9XrJHLh VVARUDho80oaluQZB-SloRMmseYki_Z0-lbs2tT6u0
Krok, A. (2018, 21 februari). Tesla's cloud service hacked to mine cryptocurrency.
Roadshow. Hämtad 2018-11-05 från https://www.cnet.com/roadshow/news/tesla-cloud-service-
hacked-to-mine-cryptocurrency/?fbclid=IwAR3F4UP_-Gi144VT2ydIzjqZi8kXRw8e80EOCVNrnIhlIO5a-ejs9dsJjzg
Körner, S., & Wahlgren, L. (2015). Statistiska metoder. Lund: Studentlitteratur.
Loske, A. (2015). IT Security Risk Management in the Context of Cloud Computing: Towards an Understanding of the Key Role of Providers’ IT Security Risk Perceptions (1st ed. 2015 ed.). Wiesbaden: Springer Fachmedien Wiesbaden.
Maghrabi, L. A. (2014). The threats of data security over the Cloud as perceived by experts and university students. In 2014 World Symposium on Computer Applications Research (WSCAR). 1–6. https://doi.org/10.1109/WSCAR.2014.6916842
Mell, P., & Grance, T. (2010). The NIST Definition of Cloud Computing. Communications Of The Acm, 53(6), 50.
https://search.ebscohost.com/login.aspx?direct=true&db=afh&AN=51189663&site=ehost-live
Mårtensson, E., & Rosenlund, T. (2016). Privatpersoners upplevelse av säkerhet i molntjänster (Kandidatuppsats). Linköping: Institutionen för ekonomisk och industriell utveckling,
39 Linköpings universitet. Tillgänglig:
http://www.diva-portal.org/smash/get/diva2:1074152/FULLTEXT01.pdf?fbclid=IwAR2hIVHplJlIWICQEJ9nM D0t04VIgC5Ov10O4t3Q2g2HUDkpoQYjlj50p7Q
Andersson, A,. Hedström, K,. & Karlsson, F. (2016). Terminologi och begrepp inom informationssäkerhet: Hur man skapar en språkgemenskap. (MSB976). Hämtad från Myndigheten för samhällsskydd och beredskap Webbplats:
https://www.msb.se/RibData/Filer/pdf/28002.pdf
Hellberg, A, S., Islam, S., & Karlsson, F. (2018). Säkerhet vid molnlösningar. (MSB1196). Hämtad från Myndigheten för samhällsskydd och beredskap Webbplats:
https://www.msb.se/RibData/Filer/pdf/28496.pdf
Oates, B. J. (2006). Researching information systems and computing. London: SAGE Publications Ltd
Ong, A. D., & Weiss, D. J. (2000). The impact of anonymity of responses to sensitive questions. Journal of Applied Social Psychology, 30(8), 1691-1708.
http://dx.doi.org/10.1111/j.1559-1816.2000.tb02462.x
Oscarson, P. (2007). Actual and Perceived Information Systems Security (PhD dissertation, Linköping Studies in Information Science, 18). Linköping: Linköping universitet, Institutionen för ekonomisk och industriell utveckling. Hämtad 2018-12-15 från
http://www.diva-portal.org/smash/record.jsf?pid=diva2%3A16984&dswid=-8783
Rouse, M. (2014). confidentiality, integrity, and availability (CIA triad). Hämtad 2018-12-26 från https://whatis.techtarget.com/definition/Confidentiality-integrity-and-availability-CIA
40 Smith, J. (2016, 14 februari). Apple has over 11 million Apple Music subscribers, 782 million iCloud users. ZDNet. Hämtad 2018-12-03 från https://www.zdnet.com/article/apple-has-over-11-million-apple-music-subscribers-782-million-icloud-users/
Statistiska centralbyrån. (2018). 20 vanligaste yrkena för män. Hämtad 2018-12-05 från
https://www.scb.se/hitta-statistik/statistik-efter-amne/arbetsmarknad/sysselsattning- forvarvsarbete-och-arbetstider/yrkesregistret-med-yrkesstatistik/pong/tabell-och-diagram/20-
vanligaste-yrkena-for-man/?fbclid=IwAR0_huqD2dXn3zjh7PqB0Gj0UaSxTjkdSs7nELhcNjXn4LonQR1t-cbMHEM Subashni, S, & Kavitha, V. (2011). A survey on security issues in service delivery models of cloud computing. Journal of Network and Computer Applications, 34(1), 1-11. URL:
http://www.inf.ufsc.br/~frank.siqueira/INE6514/Artigos2012/%23DiogoBratti%23%20A%20sur vey%20on%20security%20issues%20in%20service%20delivery%20models%20of%20cloud%2 0computing.pdf
Thompson, C. (2012, 10 augusti) Hacked Journalist: Don't Put Too Much Trust in Cloud. CNBC. Hämtad 2018-12-10 från https://www.cnbc.com/id/48611864
Vetenskapsrådet. (2017). God forskningssed. Hämtad från
https://www.vr.se/download/18.2412c5311624176023d25b05/1529480532631/God-forskningssed_VR_2017.pdf
Kinney, W. (2017, January 19). How to ensure the availability, integrity, and confidentiality of your apps. Hämtad 2019-01-03 från https://f5.com/we-make-apps-go/safer/how-to-ensure-the-availability-integrity-and-confidentiality-of-your-apps
Webster, J., & Watson, R. T. (2002). Analyzing the Past to Prepare for the Future: Writing a Literature Review. MIS Quarterly, 26(2), xiii–xxiii.
41
primo.hosted.exlibrisgroup.com/primo-explore/fulldisplay?docid=TN_wos000176079000002&context=PC&vid=46OREBRO_V1&lan g=sv_SE&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab& query=any,contains,analyzing%20the%20future&sortby=rank&offset=0
Wu, H., & Leung, S.-O. (2017). Can Likert Scales be Treated as Interval Scales?—A Simulation Study. Journal of Social Service Research, 43(4), 527–532.
https://doi.org/10.1080/01488376.2017.1329775
Zhou, M., Zhang, R., Xie, W., Qian, W., & Zhou, A. (2010). Security and Privacy in Cloud Computing: A Survey. In 2010 Sixth International Conference on Semantics, Knowledge and Grids, 105–112. Doi: https://doi.org/10.1109/SKG.2010.19
Zissis, D., & Lekkas, D (2010). Addressing cloud computing security issues. Future Generation Computer Systems, 28(3), 583-592. doi https://doi.org/10.1016/j.future.2010.12.006
42
