Säkerhetsrisker med Kinas sociala kredit - ett system bortom räddning?

Uppsala universitet

Inst. för informatik och media

Säkerhetsrisker med Kinas sociala kredit - ett

system bortom räddning?

Pelle Bäckström & Hannes Vilemsons

Sammanfattning

Denna studie ämnar att granska Kinas sociala kreditsystem (eng. Social Credit System) ur ett informationssäkerhetsperspektiv. Systemet påverkar alla kinesiska medborgare och går ut på att individer tilldelas en poäng som är menad att representera hur pålitliga och

uppriktiga dessa är. Utför individen handlingar som den kinesiska staten anser moraliskt goda ökar poängen men utför denna istället handlingar som staten inte anser moraliskt goda så minskar poängen. I studien har semistrukturerade intervjuer med säkerhetsexperter genomförts för att identifiera risker och därefter har förslag på åtgärder från en standard för informationssäkerhet givits för att stävja dessa risker. En rad säkerhetsrisker har identifierats och placerats in under någon av egenskaperna i den så kallade CIA-triangeln, som är en industristandard inom arbetet med informationssäkerhet. Slutsatsen som dras är att en del åtgärder från standarden kan vidtas för att minska riskerna, men det är inte troligt att Kina kommer att göra detta då det går emot systemets verksamhetsmål. Eftersom systemet är unikt och saknar motstycke idag sett till utformning och komplexitet är det svårt att tillämpa traditionella ramverk för informationssäkerhet på det. Dock är inte alla identifierade risker unika för Kinas system, och resultaten från studien kan ändå bidra med värdefulla insikter till säkerhetsarbetet med andra system som hanterar känslig information.

Nyckelord:

Säkerhetsrisker med Kinas sociala kredit - ett system bortom räddning? 0

1 Inledning 3

1.1 Bakgrund 3

1.2 Problemformulering/kunskapsbehov 6

1.3 Syfte och forskningsfrågor 7

1.4 Avgränsningar 8

1.6 Disposition 8

2 Teori 9

2.1 Traditionell övervakning jämfört med Kinas SCS 9

2.2 Systemets struktur (NCISP) 11

2.3 Begrepp 12 2.3.1 Informationssäkerhet 12 2.3.2 Säkerhetsrisker 12 2.4 ISO 27000 12 2.5 Ramverk 14 3 Metod 18 3.1 Datainsamlingsmetodik 18 3.2 Forskningsprocess 18 3.3 Förberedande datainsamling 18 3.4 Urval av informanter 19 3.5 Semistrukturerade intervjuer 20

3.6 Intervjumall och genomförande 20

3.7 Transkribering 21

3.8 Analys av transkribering 21

3.9 Dokumentanalys 22

4 Empiri 23

4.1 Redogörelse för intervjuer 23

4.1.1 Hur man kan skydda sig från en attack eller läcka 23 4.1.2 Konsekvenser av en eventuell läcka eller attack 24 4.1.3 Risker med att privata aktörer (banker, hi-tech företag och handelsjättar)

deltar i utvecklingen av Kinas SCS 24

4.1.4 Hur IT-säkerheten påverkas av att de fem IT-plattformar som utgör SCS är utvecklade av olika entiteter men ska kommunicera med varandra i en

infrastruktur 25

4.1.5 Risker med offentliggörande av individers poäng på Credit china-hemsidan 26

4.1.6 Risker med att “samla in allt” 27

4.1.7 Risk för bulvaner och identitetsstölder 28

4.1.8 Risker med oregistrerade invånare 28

4.2 Resultat av dokumentanalys 28

5 Analys av empiri 31

5.1.1 Konfidentialitet 32 5.1.2 Integritet 32 5.1.3 Tillgänglighet 32 5.1.4 Ägande 34 5.1.5 Riktighet 34 5.1.6 Användbarhet 36 5.1.7 Äkthet 36

5.2 Sammanställning av CIA och ISO-27000 37

6 Diskussion och slutsats 38

6.1 Diskussion och generalisering 38

6.2 Slutsatser och reflektion om arbetet nått målet 39

Källförteckning 41

Bilagor 43

1 Inledning

I avsnittet presenteras först bakgrunden till studiens ämne. Därefter beskrivs

problemformuleringen, syftet med studien samt studiens avgränsning. Slutligen beskrivs uppsatsens disposition.

1.1 Bakgrund

Kina är världens befolkningsrikaste land. Med sina 1,4 miljarder invånare utgör Kinas befolkning ungefär 18,5% av världens totala befolkning (Worldometers.info, 2020). Landets ledning har ansett sig ha svårigheter att styra över den stora befolkningsmängden vilket har lett till problem i landet, bland dessa social oro och kriminalitet (Creemers, R., 2018). För att bekämpa detta presenterade ledningen 2014 en ambitiös plan för att öka kontrollen över individers åsikter, beteende och kommersiella aktiviteter, kallad Social Credit System (förkortad SCS) (Liang, F., Das, V., Kostyuk, N. & Hussain, M.M., 2018). Det går ut på att individer tilldelas en poäng som är menad att representera hur pålitliga och uppriktiga dessa är. Utför individen handlingar som den kinesiska staten anser moraliskt goda ökar poängen men utför denna istället handlingar som staten inte anser moraliskt goda så minskar poängen (Mac Síthigh, D. and Siems, M. 2019).

Systemet skiljer sig alltså från traditionell kreditvärdighet, trots att det är härifrån det härstammar, inte minst eftersom även social, rättslig och politisk ställning har inverkan på ens poäng. Detta medför, enligt författarna Liang, F. et al., att individer som inte respekterar statens regler och normer eller det kommunistiska partiet riskerar att stängas ute från ekonomisk och finansiell sektor, likväl som de förlorar tillgång till statligt stöd och offentliga tjänster (2018). Även de som bryter regler kan förlora tillgång eller frihet i den finansiella/ekonomiska sektorn genom sanktioner som till exempel indragna marknadstillstånd och förlorad skattereduktion (Liang, F., et al., 2018).

stort datasetet kommer att bli, men med tanke på dess ambitiösa omfattning kan den komma att bli världens största (ibid.).

Den andra delen av systemet är ett belönings- och bestraffningssystem för den kinesiska befolkningen. Vilka belöningar och bestraffningar individen får bestäms direkt av hur hög dennas poäng är. Belöningar för en hög poäng kan innefatta påskyndade visum-processer, uppgraderade biljetter när man reser kollektivt eller möjligheten att få ta förmånligare lån. Bestraffningar däremot kan innebära att man begränsas möjlighet att starta ett företag, nekas att köpa fastigheter eller till och med flygbiljetter (Ramadan, Z. 2018).

Tidigare liknande pilotprojekt har endast varit i mindre skala och begränsade till en specifik stad eller provins, och har också begränsats till ett enda område, till exempel privatpersoners kreditvärdighet. Med införandet av det nya systemet skulle detta utvecklas till ett nationellt övergripande system där kinesiska invånare måste delta, vare sig de vill eller inte (Creemers, R., 2018).

Insamlingen av data i form av individers handlingar sker på en mängd olika sätt. Ett av dem är en genomgående övervakning av individers beteende på internet där allt vad de skriver, sidor de besöker och timmar per dag som läggs på datorspel observeras. Ett annat är en utbredd användning av övervakningskameror på offentliga platser, kameror som idag ofta är väldigt sofistikerade och kan använda sig av ansiktsigenkänning för att koppla personer till handlingar (Creemers, 2017). En blandning av finansiell och icke-finansiell data samlas in. Finansiell data kan vara kontoutdrag, skattedeklarationer, lån och andra transaktioner. Icke-finansiell data kan innehålla personlig och social information som anställning, utbildning, kriminell historia och användning av sociala medier (Liang, F., et al., 2018).

Figur 1 ger en översiktsbild av dataflödet inom SCS. Data, som delas upp i kategorierna finansiell och icke-finansiell samlas in från en mängd olika källor och skickas till kinesiska staten med hjälp av plattformar som NCISP. Insamlad data utvärderas och kategoriseras, och används slutligen för att tilldela den berörda individen en belöning eller bestraffning. De prickade linjerna representerar inofficiella men förväntade roller för privata aktörer i konstruerandet av SCS (Liang, F., et al., 2018).

Figur 1 - _{​Flöde för data inom SCS ​}(Creemers, 2017)

Vidare är det vanligt att dessa IT-företag tvingas dela med sig av insamlad data till externa aktörer, till exempel staten, i ändamål de påstår kan vara marknadsföring eller i public service-syften (Van Dijck, 2014). Forskare har dock menat att denna data lika gärna kan användas till att intensifiera massövervakningen av befolkningen (Lyon, 2014).

Kinas Social Credit System är fortfarande under utveckling, och landet har som mål att driftsätta systemet i sin helhet under 2020.

1.2 Problemformulering/kunskapsbehov

Med ett så ambitiöst projekt som SCS och det enorma dataset som systemet ska bygga på finns det många utmaningar att klara av, och ett centralt problem är IT- och

informationssäkerheten. Till att börja med tillåter big data-teknologier ackumulering av känslig information gällande individer, och att denna information samlas in behöver i Kina inte kommuniceras till den berörda individen (Shorey & Howard, 2016). Vidare är

informationsinsamlingen utspridd över många olika aktörer, dels privata aktörer som till exempel IT-företag, bland annat Alibaba men också statliga myndigheter. För att slå ihop deras data behövs många kopplingar mellan många olika databaser. Att göra dessa kopplingar mellan databaser som behandlar så pass känslig data kan utgöra en

säkerhetsrisk för invånarna, till exempel i form av identitetsstölder om data skulle hamna i fel händer _{​(Chorzempa, M., et al. 2018)​. Andra forskare har uttryckt oro över att}

konfidentialiteten hos medicinsk data om hälsotillstånd för individer inte är tillräckligt hög (Beck, E.J., et al, 2016). Det försvårar även identifieringen av vem som är den primära aktören i övervakningen när flera aktörer hjälps åt i insamlingen av data (Liang, F., et al., 2019).

Chorzempa, M., et al. skriver att de fruktar att SCS utvecklas i så snabb takt att man inte hinner utveckla stödjande teknologi för säker och exakt insamling och hantering av data som systemet ska bygga på, och att systemet kommer förlora legitimitet och i värsta fall

misslyckas helt om fel och säkerhetsrisker inte tas itu med. De poängterar att oavsett hur mycket säkerhetsåtgärder som vidtas, så kommer läckor ske eller attacker att lyckas (2018).

Kinas regering har enligt Liang F., et al. också tidigare visat att de inte tar

informationssäkerhet på tillräckligt stort allvar. E_{​fter att journalister visat att det är}

råder kring hur privata aktörer och staten delar data mellan varandra har journalisterna och civilrättsliga förespråkare uttryckt oro angående informationssäkerhet i landet (2018).

Det återstår fortfarande många frågetecken och etiska problem i anslutning till systemet, främst riktat mot personlig integritet och informationssäkerhet. Som tidigare nämnt möjliggör big data-teknologier ackumulering av detaljerad personlig information, ofta utan att individer informeras. Dessa data kan bland annat komma att användas för politiska syften. När data från flera olika källor aggregeras kan personlig information och integritet röjas eller

undermineras. Många kinesiska medborgare har redan uttryckt oro över sin personliga information i systemet (Lee, C.S., 2019).

1.3 Syfte och forskningsfrågor

Det behövs kunskap om vilka säkerhetsrisker ett så enormt system som detta utsätts för, samt hur liknande hot kan stävjas eller lindras för system med liknande komplexitet. Eftersom Kina är världens befolkningsrikaste land och systemet är tänkt att innefatta samtliga medborgare saknar det motstycke idag vilket medför att ämnet är relativt obehandlat och kunskapen är ny._{​ För att öka studiens generaliserbarhet kommer Kinas} sociala kreditsystem användas som undersökningsobjekt för att förhoppningsvis generera kunskap som kan visa sig vara användbar för andra system, till exempel system som

behandlar känslig data som personlig eller medicinsk information, eller komplicerade system med flera sammankopplade entiteter och aktörer. Exempel på sådana system kan vara ett system som behandlar kunddata på en bank där både känsliga finansiella och personliga data lagras.

I studien kommer en industristandard för informationssäkerhet känd som CIA-triangeln att användas (Whitman & Mattord, 2016). De potentiella säkerhetsriskerna som identifieras kommer kopplas ihop med CIA-triangeln för att belysa vilken aspekt av informationssäkerhet risken berör. CIA-triangeln beskrivs under kapitel 2.5 “Ramverk”.

journalister redan uttryckt oro över den relativt enkla processen att komma åt personliga data är det av intresse att undersöka denna risk och potentiella konsekvenser. Tidigare forskning har nämnt ett fåtal potentiella hot, men några konkreta risker eller förslag på hur dessa skulle kunna motverkas har inte presenterats. Trots att systemet är unikt av sitt slag idag kan andra system av liknande komplexitet eller som behandlar personliga data dra nytta av de i studien identifierade riskerna samt förslag till förbättringar, exempelvis

kundhanteringssystem inom banksektorn. Syftet med undersökningen blir alltså att granska Kinas sociala kreditsystem ur ett informationssäkerhetsperspektiv med hjälp av

CIA-triangeln, för att utvinna användbar kunskap om hur man kan motarbeta risker som system i liknande skala eller komplexitet kan ställas inför. Den frågeställning som ligger till grund för studien är:

Vilka informationssäkerhetsrisker utsätts ett komplext system som Kinas SCS för, och kan en standard för informationssäkerhet förebygga dessa risker?

1.4 Avgränsningar

Kinas Social Credit System är ett enormt system med många olika aspekter och med data i centrum. Uppsatsen intresserar sig inte för i vilket format data kommer eller hur information utvinns ur data, utan intresserar sig endast för metoder data samlas in på samt hur det lagras i syfte att sedan identifiera säkerhetsrisker med dessa.

SCS omfattar också både människor och organisationer, dvs. systemet är tänkt att ge en poäng åt både individer men också företag för att mäta deras trovärdighet (Liang, F. et al, 2018). I denna studie har vi endast valt att intressera oss för den enskilda individen och kommer inte behandla organisationer eller hur de påverkas av SCS samt dess säkerhetsrisker.

1.5 Disposition

I _{​kapitel tre​} presenteras och motiveras de två datainsamlingsmetoderna som valts för studien, intervjuer och dokumentanalys. Även processen att planera och genomföra dessa beskrivs.

I _{​kapitel fyra​} presenteras och kategoriseras resultaten från intervjuerna och dokumentanalysen.

I _{​kapitel fem​} analyseras materialet från empirin med hjälp av det valda teoretiska ramverket i syfte att svara på studiens forskningsfråga.

2 Teori

I avsnittet presenteras den tidigare forskning gjord på ämnet som anses vara nödvändig för problematiseringen av området, följt av en presentation av NCISP som är en plattform med central roll inom SCS. Efter det presenteras väsentliga begrepp för studien samt en

introduktion till ISO-standarden 27000, en standard för informationssäkerhet som är tänkt att hjälpa svara på uppsatsens frågeställning. Slutligen presenteras uppsatsens teoretiska ramverk, den utökade CIA-triangeln, vars sju egenskaper kommer återkopplas till i analysen.

2.1 Traditionell övervakning jämfört med Kinas SCS

Författarna Liang, F. et al. menar att kina bedriver så kallad “big data surveillance” och att en stor konsekvens av detta är att större mängder offentliga och privata data kan samlas ihop av staten och andra aktörer (2018). Medan traditionell övervakning syftar till att övervaka specifika objekt och information, har denna nya metod av övervakning enligt Liang, F. et al som mål att “övervaka allting om alla, vid varje tidpunkt” (2018). De västerländska sociala medierna, till exempel Facebook och Twitter, är blockerade i Kina och ersatta med kinesiska motsvarigheter där användarna inte har samma frihet i vilken data de väljer att dela om sig själva (Bamman, D., O’Connor, B. & Smith, N., 2012). Vidare beskrivs “big data surveillance” som en prediktiv analysmetod, med huvudmål att analysera till synes osammanhängande data och hitta oförutsedda mönster. Författarna menar att detta nya tillvägagångssätt, som karaktäriseras av att “samla allt”, förändrar traditionell datainsamling på tre sätt:

(1) Till skillnad från den traditionella övervakningen där datainsamlingen är avsiktlig och explicita datainsamlingstekniker används, riktar sig det nya tillvägagångssättet mot hela befolkningen i landet, utan urskillning. Massiva mängder data om individer samlas från olika källor och aggregeras.

(2) Där den traditionella övervakningen hade mål och intentioner, saknas detta ofta nu. Istället aggregeras privat information och data innan dess faktiska

(3) Individer vet inte exakt hur de övervakas och det är inte alltid känt för den som blir övervakad vilken aktör det är som samlar in dess data, eller för vilket ändamål. Olika datainsamlingstekniker är subtila och osynliga för medborgarna, vilket förvärrar de rådande maktförhållandena mellan medborgare och staten, inte minst genom att politiska mål är inbäddade i algoritmerna.

Vidare skriver Liang, F. et al. att gränsen mellan staten och kommersiell sektor börjar suddas ut (2018). Eftersom staten inte har medel för att skapa innovativa processer för att hantera och analysera stora mängder data så har specialiserade kommersiella entiteter, som hi-tech företag, börjat spela en allt större roll i att understödja dessa processer. Utöver detta har teknikexperter och andra aktörer från företag börjat jobbat för att möta statens begär genom att utveckla en rad olika teknologiska lösningar, till exempel ansiktsigenkänning. Denna integrering av statlig och privat sektor gör det svårt att identifiera vem som den primära ansvariga aktören för övervakningen.

Utöver detta så har företag länge delat data om sina användare med tredjepartsaktörer, ofta i marknadsföringssyfte. Författarna menar att denna data nu återanvänds för andra syften. Till exempel delar handelsjätten Alibaba och söktjänsten Baidu finansiella och sociala data om sina användare med staten. Data från den kommersiella sektorn, som till exempel telefon, sociala medier och bank, kan understödja övervakning vilket kan medföra nya säkerhetsimplikationer (Liang, F. et al., 2018). Vidare så har flera av dessa större privata företag egna kreditsystem för att rangordna sina egna användare, Alibaba har till exempel utvecklat sitt Sesame Credit. Författarna skriver att det är värt att notera att dessa parallella experiment på marknaden fungerar som en viktig motor för staten att innovera, testa och flytta potentiella välfungerande funktioner till det statligt styrda SCS. Detta samarbete mellan stat och privata aktörer går båda vägarna, då Alibaba tillkännagav att mindre än 20% av den data som används för att utvärdera personlig kredit i Sesame Credit kommer från dem själva, och att över 80% kommer från andra källor, i synnerhet från statliga databaser (Liang, F. et al., 2018).

2.2 Systemets struktur (NCISP)

NCISP (National Credit Information Sharing Platform) beskrivs som ryggraden i Kinas SCS (Liang, F. et al., 2018). Det är en nationell IT-plattform som utvecklades av National

insamlade från 42 centrala och 32 lokala myndigheter. Även 50 privata aktörer (däribland Baidu och Alibaba) har bidragit med data till NCISP. Denna nationella IT-plattform har redan lagrat över 10,7 miljarder datapunkter rörande handel, individer och statliga angelägenheter. Dessa dataset innehåller dels offentlig information som administrativa licenser och tidigare bestraffningar, dels privat information som medborgares namn och ID-nummer. Dataseten berör både företag och handel, men även privata individer. En liten del, 32 av dataseten, berör sociala organisationer och statliga angelägenheter. En tredjedel (119 av dataseten) berör så kallad “trust-breaking information”, som inkluderar typ av bestraffning samt tidpunkt, låga kreditpoäng och kriminell historia. 37 av dataseten berör belöningsrelaterad information, så kallad “individual honors” och volontärarbete, alltså handlingar och utmärkelser som kan ge belöningar (Liang, F., et al., 2018).

Av de 400 dataseten i NCISP, är 384 rubricerade med en av tre följande rubriker: _​public sharing_​, _{​limited sharing​} och _{​intergovernment sharing​}. Tre fjärdedelar av dataseten (284 st) är markerade som public sharing, vilket innebär att de är offentliga och att allmänheten kan ta del av dessa. Runt 70 dataset ligger under limited sharing och dessa berör främst

information relaterad till bestraffning, men författarna menar att det inte framgår exakt vem som har tillgång till denna information (Liang, F., et al., 2018).

NCISP är en av minst fem centrala IT-plattformar som Kina utvecklar för att lagra och utvärdera kreditrelaterade data. De fyra andra är Credit China, Credit Reference Center, National Enterprise Credit Information Publicity System och List of Dishonest Persons

Subject to Enforcement. Alla dessa plattformar har utvecklats av olika entiteter, men centrala myndigheter kräver att de delar och utbyter information med varandra. Till exempel

2.3 Informationssäkerhet och säkerhetsrisker

Informationssäkerhet definieras av USAs The Committee on National Security Systems (CNSS) som skyddandet av information och dess kritiska element, vilket inkluderar systemen samt hårdvaran som använder, lagrar eller skickar informationen (Whitman & Mattord, 2016). Termen kan ses som en “paraply-term” som inkluderar flera begrepp, bland andra datasäkerhet samt nätverkssäkerhet. Det handlar alltså om att skydda informationen, det som finns i och skickas mellan databaser samt aktörer, från att hamna i fel händer. Ett centralt koncept som ofta används inom informationssäkerhet är den så kallade

C.I.A-triangeln, se “Ramverk”.

En säkerhetsrisk är enligt författarna Whitman och Mattord när hot möter sårbarhet (2016). Finns till exempel ett hot i form av en hackare som vill komma åt känslig information, och en sårbarhet i form av en svaghet i systemet så föreligger en risk att informationen hamnar i orätta händer. Man kan då minska risken att ett intrång inträffar genom att förbättra skyddet av systemet. En stor del inom informationssäkerhet är just riskhantering, alltså processen att identifiera risker, bedöma sannolikheten att risken inträffar och konsekvenserna det skulle få, samt att behandla risken, dvs. att välja en strategi för att kontrollera risken. Ett system kan aldrig vara 100% säkert, utan det gäller att identifiera och hantera risker för att i största möjliga utsträckning få ner sannolikheten att en risk inträffar samt reducera konsekvenserna det skulle få (ibid.).

2.4 ISO 27000

ISO (International Standard Organization) är en organisation som arbetar med att ta fram standarder för många olika branscher och ISO 27000-serien är deras standard för

informationssäkerhetshantering. Serien består av sex delar, ISO 27000-27005 och erbjuder organisationer ett effektivt och strukturerat arbetssätt för att förbättra sin interna kontroll över informationssäkerheten (Svenska Institutet för Standarder, 2020).

ISO 27000 - Översikt och terminologi

Är en introduktion till serien. Den presenterar begrepp och definitioner och förklarar syfte och vad man kan tjäna på att använda serien (Informationssakerhet.se, 2020).

Beskriver kraven för upprättande, införande, underhåll och förbättringsarbete gällande ledningssystem för informationssäkerhet samt krav för bedömning och behandling av informationssäkerhetsrisker. Om ISO-standarden ska efterlevas måste organisationen leva upp till dessa krav._{​ ​ISO 27001 är utformad så den ska vara tillämpbar på alla slags}

organisationer, oberoende av vilken bransch, storlek eller verksamhet det gäller (Svenska Institutet för Standarder, 2020).

ISO 27002 - Riktlinjer för informationssäkerhetsåtgärder

Erbjuder en bred översikt och generella beskrivningar av olika områden som anses viktiga när man arbetar med informationssäkerhet. Dokumentet kallar sig själv för “en startpunkt för att utveckla organisations-specifik vägledning” och kan användas som en referens för val av säkerhetsåtgärder vid införande av ett ledningssystem för informationssäkerhet. ISO 27002 bygger på ISO 27001 genom att ge en beskrivning på de olika kontroller/åtgärder som kan införas för att nå upp till kraven som presenteras i ISO 27001 (Whitman, M.E., & Mattord, H.J., 2016).

ISO 27003 - Vägledning vid införande av ledningssystem för informationssäkerhet Erbjuder hjälp att tolka vad kraven i 27001 innebär (Svenska Institutet för Standarder, 2020).

ISO 27004 - Mätning av informationssäkerhetsåtgärder

Beskriver hur man kan övervaka och mäta effekten av införandet av ledningssystemet samt kraven från ISO 27001(Svenska Institutet för Standarder, 2020).

ISO 27005 - Riskhantering för informationssäkerhet

Beskriver den följande processen för riskhantering: Etablera kontext, riskidentifiering, riskbedömning, riskbehandling, riskacceptans, kommunikation av risk och slutligen övervakning av risk och bedömning av processen (ITGovernance.co.uk, 2020).

2.5 Ramverk

C.I.A-triangeln har länge varit en central standard inom området informationssäkerhet. Det är en modell som består av tre karaktärsdrag som information har, konfidentialitet

Figur 2 _{​C.I.A-triangeln​} (Whitman & Mattord, 2016)

Modellen existerar som en påminnelse om att ett IT-system som inte tar dessa tre egenskaper i beaktning inte kan anses vara säkert (Whitman & Mattord, 2016). Författarna skriver vidare att medan de bedömer att dessa egenskaper fortfarande är viktiga är de idag inte tillräckliga för att adressera den ständigt utvecklande miljön. Hoten mot konfidentialitet, integritet och tillgänglighet har utvecklats till en lång rad incidenter som till exempel medveten eller omedveten skada, förstörelse, stöld, omedveten eller obehörig modifiering eller annan olämplig användning av data. De har således utökat modellen med ytterligare egenskaper/karaktärsdrag som de anser att information har. Denna utökning ska öka modellens robusthet för att bättre adressera komplexiteten i den nuvarande informationssäkerhetsmiljön (Whitman & Mattord, 2016). Nedan följer de totalt sju egenskaperna samt en förklaring till dessa.

Konfidentialitet: Informationen är endast tillgänglig för behöriga personer och system, och ska inte avslöjas för någon annan än dessa. Konfidentialiteten bryts om obehöriga personer får tag i information. Författarna ger några förslag på hur konfidentialitet hos information kan beskyddas:

- Informationsklassificering - Säker dokumentlagring

- Applicering av generella säkerhetspolicys

Vidare skriver författarna att konfidentialitet, likt de flesta andra egenskaperna för information, är beroende av de andra egenskaperna. Det är även den egenskap som är mest relaterad till personlig integritet. Värdet i konfidentialitet är särskilt hög när det gäller personlig information, till exempel om anställda, kunder eller patienter. Människor som gör transaktioner med en organisation, privat eller statlig, förväntar sig att deras information hålls konfidentiell och problem uppstår om den inte gör det. Konfidentialiteten kan brytas både medvetet och omedvetet. Konsumenter ger upp personlig information nästan dagligen i utbyte mot bekvämlighet. Ett exempel på detta kan vara medlemskort för rabatter, där ens köpmönster registreras. Andra exempel är registrering på hemsidor, svar på online-enkäter, webbresurser eller nerladdning av gratis mjukvara. All denna aktivitet genererar personlig information som kan kopieras, replikeras, distribueras, säljas och sammanställas i helhetsprofiler av individer (Whitman & Mattord, 2016).

Integritet: Information ska vara hel, komplett och okorrumperad. Integriteten bryts om data korrumperas genom skada, förstörelse eller annan störning av dess autentiska värde. Korruption kan ske när information lagras eller överförs och många virus och maskar är designade just för att korrumpera data. En metod för att upptäcka sådana förändringar i data är att regelbundet jämföra filstorlek (Whitman & Mattord, 2016).

Tillgänglighet: Informationen är i korrekt format och tillgänglig vilket resulterar i att behöriga personer och system kan komma åt informationen. Exemplet som Whitman och Mattord använder för att beskriva tillgänglighet är ett bibliotek där endast specifika personer får låna böcker. Enbart efter att en behörig person har identifierat sig får denne tillgång till informationen, som kommer i formen av en bok och i ett språk som personen förstår (2016).

Ägande: Det ska vara tydligt vem som har tillgång och kontroll över informationen. Författarna påpekar att ägandeskapet kan brytas utan att konfidentialiteten bryts, men inte tvärtom. En databas kan läcka ut till obehöriga och således bryta ägandeskapet, men är berörda data fortfarande krypterade så är konfidentialiteten fortfarande intakt (Whitman & Mattord, 2016).

Användbarhet: Informationen som samlas in ska ha något slags värde eller syfte och inte samlas in endast för insamlandets skull. Författarna skriver att stora mängder demografiska data kan vara överrumplande för en enskild individ att ta till sig och därmed sakna värde, medan samma data kan vara värdefull för till exempel en politikers nästa kampanj i ett område (Whitman & Mattord, 2016).

Äkthet: _{​Informationen är genuin och i sitt original till skillnad från reproducerad eller} fabricerad information. Information har äkthet när den är i samma form som när den skapades, placerades, lagrades eller förflyttades. Exempelvis är förfalskade e-mail där avsändaren kan vara någon annan än man tror.

3 Metod

Detta kapitel syftar till att presentera och motivera metodval samt tillvägagångssätt för insamlingen och behandlingen av data. Undersökningen har baserats på en kombination av litteraturstudier, intervjuer och dokumentanalys. Insamling av data, urvalsprocess vid val av informanter, beskrivning av intervjuerna samt behandling av empiriskt underlag från

intervjusvaren återges för att ge en förklaring till hur studien genomförts.

3.1 Forskningsstrategi

Fallstudie har valts som forskningsstrategi för studien. Målet med fallstudier är att skapa en detaljerad insikt i de komplexa relationer och processer hos den entitet man undersöker (Oates, 2006, s.143). Det passar undersökningen eftersom systemet ska undersökas på djupet och flera datainsamlingsmetoder kommer att användas. Som Briony J. Oates skriver i Researching Information Systems kan studier av en specifik instans ge insikter och kunskap som kan vara relevanta i andra situationer, vilket kan tillämpas i studien eftersom Kinas system undersöks för att ge underlag för organisationer som hanterar liknande känslig data som SCS (Oates, 2006, s.141).

En fallstudie har fyra karaktärsdrag:

- Fokus på djup före bredd: _{​Undersökningen ämnar att få så mycket detaljer om en} instans hos systemet (informationssäkerheten) som möjligt.

- Naturlig miljö: _{​Även om SCS ännu inte har lanserats i sin helhet existerar det i den} mån att det är under utveckling med planerad driftsättning år 2020, och med tidigare pilotprojekt som ursprung. Systemet har således inte skapats för studien utan existerar utanför den.

- Holistisk studie: _{​Fokus på komplexa relationer och processer framför att isolera} individuella faktorer. Undersökningen ämnar att ge en överblick av var säkerhetsrisker kan uppstå för ett stort system.

- Multipla källor och metoder: _{​Flera datainsamlingsmetoder kan användas, i denna} studie i form av semistrukturerade intervjuer samt dokumentanalys.

kan karaktäriseras som vad Goldkuhl kallar vägledande kunskap (2011). Vägledande kunskap kan ses som råd om hur man bör göra, i det här sammanhanget blir det att det kan vara värt att överväga att implementera en standard för informationssäkerhet om man står inför någon av de i uppsatsen identifierade riskerna.

3.2 Datainsamlingsmetodik

Uppsatsen använder sig av metodtriangulering vilket innebär att studien har använt sig av två eller fler datainsamlingsmetoder (Oates, 2006, s. 37-38). Detta är vanligt i fallstudier eftersom man vill undersöka någonting på djupet (Oates, 2006, s. 145). Den primära

datainsamlingen kommer från två semistrukturerade intervjuer med säkerhetsexperter för att identifiera säkerhetsrisker gällande SCS. Intervjuer valdes därför att de är effektiva när ämnen ska behandlas detaljerat och på djupet, och för att det går att granska att den man intervjuar är rätt person för att svara på frågorna (Oates, 2006, s.198).

För att sedan kunna identifiera konkreta tillvägagångssätt för att i någon mån motverka säkerhetsriskerna för SCS har en dokumentanalys på ISO-standarden 27000 genomförts. Dokumentanalys är en effektiv datainsamlingsmetod då man kan komma över mycket data snabbt, billigt och lättillgängligt (Oates, 2006, s.241). Dokumentanalys är vanligt i fallstudier då man vill skapa en djup förståelse för någonting, vilket medförde att det var en naturlig kandidat i denna studies datainsamlingsmetod.

3.3 Forskningsprocess

beprövade industristandarden för informationssäkerhet ISO-27000.

3.4 Förberedande datainsamling

En litteraturgranskning kan göras för att identifiera kunskapsluckor inom ett ämne och för att placera in en studie i en kontext av vad som tidigare har publicerats (Oates, 2006). En insikt från litteraturgranskningen var att artiklarna beskrev systemet och dess komponenter, men säkerhetsriskerna behandlades endast kort och utan förslag på åtgärder. Åtgärder för att motverka risker inom informationssäkerhet identifierades som ett obehandlat ämne i kontexten av Kinas SCS. För att skapa en förståelse för Kinas system och formulera relevanta intervjufrågor studerades tidigare forskning i ämnet. Sökningarna skedde på engelska i databaserna Google Scholar samt Uppsala universitetsbibliotek som finns

tillgänglig via Studentportalen. Det primära sökfrasen som användes var “China social credit system”, till en början ensamt och sedan i kombination med orden “privacy”, “data”,

“integrity” och “security”. De artiklar från litteraturgranskningen som använts i studien har dels utgjort kapitel 1.1 “Bakgrund” och även kapitel 2.1 och 2.1 i “Teori”.

De artiklar som beskriver Kinas sociala kreditsystem är publicerade efter 2014, då det var då planen för hur det system som konstrueras idag publicerades av Kinas regering. Mycket av litteraturen som behandlar systemet hänvisar eller grundar sig i denna plan. För litteratur som inte direkt handlar om Kinas SCS, till exempel CIA-triangeln eller IS-forskning i allmänhet, tilläts publiceringsåret vara tidigare än 2014.

3.5 Urval av informanter

Informanterna behövde vara mycket kunniga inom informationssäkerhet med flera år av erfarenhet för att ge en gedigen beskrivning av säkerhetsriskerna. Det ansågs även viktigt att de aktivt arbetade med informationssäkerhet då det är en ständigt förändrande miljö. De två valda informanterna är av olika bakgrund vilket kan anses vara kompletterande för varandra. Den första har en teknisk kunnighet om informationssäkerhet vilket är värdefullt i identifieringen av konkreta risker. Den andra har erfarenhet från arbetet med

informationssäkerhet i bankvärlden, vilket kan komma medföra insikter om studiens

Den första är anställd vid Uppsala universitetet och beskriver sig mer som en “intresserad lekman” snarare än en säkerhetsexpert. Trots detta var personen ett självklart val som informant då författarna haft denna som lärare de senaste tre åren och alltid kunnat vända sig till personen med frågor i ämnet. Under kursen “Informations- och IT-säkerhet” blev det ännu tydligare att personen var väl kunnig inom området, främst inom de tekniska

aspekterna av IT-säkerhet, då en föreläsning om olika attacker hölls med tillhörande demonstrationer av tillvägagångssättet. Under den förberedande datainsamlingen uppkom frågan om någon av dessa tidigare beskrivna attacker kunde vara ett hot mot Kinas SCS, och informanten tillfrågades om deltagande i studien. Denna informant kommer att refereras till som “Adjunkten”.

Den andra arbetar med informationssäkerhet hos en bank verksam i Sverige och bidrar med annan typ av kunskap. Med flera års arbetslivserfarenhet av arbetet med IT-säkerhet kan en bredare bild av riskerna fås. Snarare än de tekniska aspekterna kan motiv bakom attacker, konsekvenser och faktiska erfarenheter av attacker vara mycket intressant för uppsatsen, och därför var det även självklart att denne informant skulle tillfrågas om deltagande. Vidare är det intressant för studien då banker som finansiell institution är där som Kinas SCS har sitt ursprung, mer exakt i olika kreditvärdighetsprogram. Informanten har många års erfarenhet av att jobba med informationssäkerhet rörandes data väldigt lik den data som finns inom SCS, och den branschkunskap som denne besitter gjorde informanten till en värdefull tillgång som säkerhetsexpert. Denna informant kommer att refereras till som “Bankmannen”.

3.6 Semistrukturerade intervjuer

intressanta teman lätt kan missas. Detta var en viktig anledning till att det semistrukturerade formatet valdes då en mer öppen och fri intervju, ibland liknande en diskussion, i vissa fall kan generera bredare kunskap inom ämnet än ett mer strukturerat upplägg.

3.7 Intervjumall och genomförande

Intervjun delades in i tre delar: (1) en kort bakgrund om systemet som lästes upp för informanten, (2) ett antal frågor dels angående informanternas yrke och informationssäkerhet i allmänhet, dels frågor grundade i litteraturstudien och CIA-triangeln och (3) övriga reflektioner ifall informanten ville tillägga något som författarna råkat missa. Intervjumallen återfinns under Bilaga 1. De båda intervjuerna följde samma mall, med olika vinklade följdfrågor beroende på vart diskussionen var på väg i samband med svaren. Frågorna var breda och utredande vilket medföljde långa svar och olika följdfrågor. Då de olika informanterna besitter olika typ av kunskap var det naturligt att anpassa intervjun enligt det. Frågorna var dock formulerade för att fånga studiens syfte och forskningsfråga på ett tydligt sätt, med förankringar i tidigare forskning samt vald teori.

På grund av den rådande pandemin genomfördes de båda intervjuerna på distans. Den första genom applikationen Zoom med både bild och ljud och den andra via mobiltelefon, då endast med ljud. Samtalen inleddes med att fråga de intervjuade om de godkänner att ljudet spelas in, vilket de båda gjorde. Efter att bakgrunden lästs upp för informanterna följde en fråga om de kunde beskriva sina arbetsområden. Efter det mynnade intervjun ut i sin tänkta semistrukturerade form där den intervjuade för det mesta hade ordet och svarade på det ställda frågorna medan följdfrågor sköts in där det fanns behov. Den första intervjun varade i ungefär 30 minuter och den andra i drygt 50 minuter.

3.8 Transkribering

Transkriberingen ägde rum under följande dagar efter intervjuerna. Även om

3.9 Analys av transkribering

När transkriberingen färdigställts kunde analys av transkriberingen ske. Målet var att kategorisera insamlade data från intervjuerna till det teoretiska ramverket som valts för uppsatsen, modellen CIA-triangeln. När intervjuerna transkriberats gjordes en tematisk analys av dokumenten i syfte att samla in centrala teman i materialet. Tematisk analys lämpar sig enligt Hjerm et al. bra för kvalitativa studier där data kommer från intervjuer (2014). Teman och kategorier identifierades ur det insamlade materialet för att underlätta analysen och skapa en överblick. Exempel på teman var bland annat personlig integritet, övervakning och bedrägeri, vilket kunde placeras in i kategorier som risker, hot och

konsekvenser. Dessa teman och kategorier kunde sedan placeras in under respektive gren i den utökade CIA-triangeln, beroende på vilken dataegenskap de påverkade mest.

Transkriberingen fastställde slutligen att inga fler intervjuer behövde genomföras. Svaren de två informanterna gav samt ämnena de tog upp var så pass lika och tillräckligt uttömmande att en utförlig analys kunde genomföras. Fler säkerhetsexperter hade kunnat intervjuas för att öka studiens validitet och reliabilitet, genom att ge starkare grund till de påståenden som presenteras. Att endast två informanter intervjuats kan begränsa studiens praktiska bidrag till informationssäkerhetsarbetet, eftersom det kan ses som en för svag grund. Det betyder dock inte att svaren från de två genomförda intervjuerna saknar användning, och det är dessa svar som beskrivs i empirin och analyseras senare i uppsatsen.

3.10 Dokumentanalys

Det finns flera standarder gällande informationssäkerhet, men ISO 27000-serien valdes av tre anledningar:

1. ISO-27000 är en internationell standard och är inte endast applicerbar i ett specifikt land som vissa andra standarder.

2. Standarden är framtagen och verifierad av experter från flera olika delar av världen (sentor.se, 2020).

4 Empiri

Avsnittet inleds med att presentera informanterna som intervjuats för uppsatsen och följs av en redogörelse av vad informanterna berättade under intervjuerna. Då informanterna på grund av sina olika kompetensområden inte fick identiska frågor har svaren från intervjuerna valts att presenteras baserat på deras övergripande ämne.

4.1 Redogörelse för intervjuer

Här presenteras utdrag ur intervjuerna med frågor och svar som visat sig relevanta för att besvara frågeställningen, då de berör en direkt risk som kan kopplas till CIA-triangeln. De första frågorna är bredare i sin formulering för att sedan följas upp med mer systemspecifika frågor rörande Kinas SCS.

4.1.1 Hur man kan skydda sig från en attack eller läcka

Adjunkten svarar: _{​“Egentligen går det inte att skydda något på internet, det är väl just det”.} Med Credit china-hemsidan i åtanke menar han att istället för offentliga listor med individers poäng, skulle en bättre lösning vara att endast lämna ut informationen på förfrågan där den som efterfrågar får identifiera sig med någon motsvarighet till exempelvis BankID. Samtidigt påpekar Adjunkten att just denna tillgänglighet av information används som ett verktyg: _​“för nu har de tänkt att den här tillgängligheten ska vara något bra för du ska vilja undvika att bli svartmålad för att vi hänger ut dig.”

Ett annat viktigt skydd är att ha redundans i data i form av backups som man kan återställa systemet till om en dataförlust sker. Adjunkten påpekar vikten av detta speciellt nu när allting är digitaliserat. _​“​Om de inte har kontrollerat att backupen faktiskt fungerarar så kan de ju få in felaktiga data, någonting som kraschar system, och så backar de upp den här felaktiga informationen och då kan de ju inte gå tillbaka till korrekt information ifall de inte har flera

steg i backups._​” _​Arbetet med backups måste alltså ske stegvis för att inte riskera att felaktiga

data sparas i en backup.

Bankmannen menar att det i allmänhet är en kombination av teknik och mänskliga åtgärder. Den tekniska delen kan bestå av antivirusprogram, brandväggar och olika former av

genom medvetande och säkerhetstänk hos människor: _{​“IT-säkerhetsarbetet är jobbigt, och} ibland hoppar man över saker eller försöker komma runt det”. _​Han menar att man inte bör sätta i rutin att runda säkerheten. Vidare menar informanten att vanliga säkerhetsproblem som att låna ut varandras lösenord på en arbetsplats kan få större konsekvenser om det är en arbetsplats där människors sociala kredit kan ändras, till exempel på en bank: _{​“En sådan} kultur på arbetsplatsen, att låna varandras lösenord och inlogg, kan fungera i många år men plötsligt dyker en bedräglig transaktion upp. Då kan det bli en omöjlighet att identifiera den ansvarige_​”.

4.1.2 Konsekvenser av en eventuell läcka eller attack

Adjunkten: _{​“I det här fallet är det ganska stora konsekvenser just eftersom det handlar om} människors frihet att göra saker”_​. Han fortsätter att följderna av en dålig credit score bland annat påverkar möjligheterna att ta lån, att resa eller att ansöka visum vilket har en väldigt stor inverkan på privatpersoners liv. Informanten lyfter också fallet med två konkurrerande företag, där ett av företagen kan försöka hacka hemsidan som publicerar olika företags poäng för att svartlista konkurrenten och ge denne en låg poäng: _{​“ingen kommer vilja göra} affärer med dig och du kommer gå under”_​.

Bankmannen menar att det huvudsakligen för banker handlar om förtroende. “_{​Det är en} förtroendebrist som uppstår. Man kan ju tänka sig ett tankeexperiment om allmänheten får bristande förtroende för våra elektroniska lösningar eller får bristande förtroende för vår förmåga att hålla konto- och kundinformation hemlig”. _​Informanten fortsätter att det kan medföra förlorade affärer och finansiell risk. För privatpersoner säger informanten att det såklart påverkar mycket att beläggas med näringsförbud eller besöksförbud, “_{​om den} dessutom är orättfärdig vilket den löper en stor risk att vara med en sån här metod”_​. Informanten säger att sådana åtgärder ska prövas genom rättsliga instanser där individer har rätt att försvara sig, och inte genom poängsystem.

4.1.3 Risker med att privata aktörer (banker, hi-tech företag och handelsjättar) deltar

i utvecklingen av Kinas SCS

Adjunkten påpekar att det leder till att man får fler angreppsvägar. _{​“Om man har flera privata} aktörer som lägger in delsystem med lösningar som de anser vara bäst kan det leda till massiva bakdörrar”_​. Vidare beskriver informanten att detta skulle kunna ge en angripare tillgång till hela systemet beroende på hur delsystemen är ihopsynkade. Adjunkten

data från ansiktsigenkänning som utvecklats av privata aktörer. Informanten belyser detta med fallet där man i Kina testat möjligheten för invånare att ta ut pengar från en bankomat med bara ansiktet som identifikation.

Bankmannen menar att det är viktigt att hålla reda på vem som har tillgång till information och vem som kan använda den:_{​ “Jag menar nu ser vi att Apple och Google går ihop och} försöker hitta någon form utav socialt kontrollsystem för att underlätta smittspårning. Men det är klart att det där kan ju missbrukas”. _​Vidare fortsätter Bankmannen med att det kan vara en dålig idé för staten att ta del av information som privata aktörer innehar, till exempel när FBI eller CIA vill att Apple släpper kod för att ta sig in i enskilda telefoner för att bekämpa organiserad brottslighet. _{​“Men jag har den största förståelsen i att Apple håller emot. Som} indirekt betyder att man därigenom skyddar brottslingar. Med det enkla skälet att var ska det sluta då? Om man har möjlighet att gå in genom bakdörrar i system och lösa upp

krypteringssystem”. _​Bankmannen menar att påståendet att Kinas SCS skulle skydda befolkningen är en täckmantel för att kontrollera medborgare och inskränka frihet.

4.1.4 Hur IT-säkerheten påverkas av att de fem IT-plattformar som utgör SCS är

utvecklade av olika entiteter men ska kommunicera med varandra i en infrastruktur

Adjunkten: _{​“Så länge som de har satt upp vissa standarder så påverkar det inte så mycket”.} Denne betonar att det är viktigt att specificera vilken typ av information som behövs av en plattform för att kunna hämta ut eller skicka information till en annan och därmed uppnå ett samspel mellan delsystemen _{​“Så att det handlar mycket om att man har bestämt från början.} För att interagera med ett visst system så måste det hålla viss standard på informationen som skickas, annars får man inga vettiga svar tillbaka”_​. Informanten ger även förslag på hur detta kan uppnås: _{​“Då kan man till exempel lägga till att förutom att det ska vara vettig} information som skickas, så lägger man till krav på hur man säkerställer att du är den du anger dig för att vara. Så att du har någon typ av säkerhetsspärr innan du ens får börja skicka information till systemet“. _​Adjunkten påpekar dock att med alla hundratals

systemet går ner så har vi en backup, vilket är vettigt att ha. Däremot om de lagrar smådelar av datan på olika ställen så kan man få problem om ett system går ner och man inte har tillgång till informationen längre.” _​Informanten fortsätter dock med att säga att detta sätt att lagra data är bättre om någon faktiskt skulle lyckas ta sig in i systemet eftersom de då bara får tillgång till en liten del av informationen, som dessutom kan vara värdelös utan resten av all data.

Bankmannen: _{​“IT-miljön kan bli ett kan bli ett lapptäcke där säkerheten och skiktning av} säkerheten inte har gått hand i hand med systemutvecklingen”_​. Vidare fortsätter

informanten: _{​“Man ska utgå ifrån att alla systemlösningar som är IT-baserade, och det gäller} säkert också icke-IT-baserade systemlösningar, det är inte en fråga att _​om_​ de blir hackade utan det är en fråga om _​när_​ de blir hackade. Allt du utsätter dig för i en IT:fierad miljö kommer att bli föremål för olika attacker”.

4.1.5 Risker med offentliggörande av individers poäng på Credit china-hemsidan

Adjunkten nämner risken med att en hemsida kan bli offer för något som kallas “defacing”. Det innebär att en falsk sida som liknar originalsidan laddas upp istället för den riktiga sidan. “Ja, för du kan ju ganska lätt “defacea” en hemsida och lägga upp en liknande hemsida fast med annan information. Ofta när du kör defaceing så är det att du byter ut hela hemsidan och säger att “Den här hemsidan är helt värdelös, vi är bättre än er, vi har hackat er” men om du vill göra det snyggare och försiktigare så går du in och ändrar lite småsaker så att ingen lägger märke till det”. _​Informanten tar också upp lanseringen av den svenska sidan Lexbase som exempel på risker med att känslig information blir offentlig för allmänheten: “_{​Folk kollade ju upp allt möjligt och svartmålade folk fast de var oskyldiga just för att de hade} liknande namn eller bodde på den adressen där någon hade bott tidigare, så det är väl den risken, att privatpersoner blir uthängda och svartmålade”.

Bankmannen belyser vikten i att säkerställa informationens riktighet. _{​“Du kan ju tänka dig} också hur människor som har tillgång till de här systemen kan manipulera det. Om jag har en granne som jag inte tycker om, och jag råkar ha tillgång till de här systemen.”

Även Adjunkten nämner denna risk: _{​“Det beror helt på vem som ha tillgång till att skicka in} data. Om du till exempel sitter och jobbar på en bank så kommer någon in som du inte gillar så kan du ju sänka dennes credit score. Det blir ju korrekt information sett ur systemets synvinkel men det är någon annan som har gett in fel information.” _​Han menar att data kan ha integritet ur ett CIA-perspektiv, trots att den saknar äkthet.

4.1.6 Risker med att “samla in allt”

Båda informanterna såg risker med att så enorma mängder data samlas in och att man på förhand inte vet hur data som samlas in kommer att användas. Bankmannen kallade denna sorts data för “överskottsinformation” och berättade att i Sverige finns det tydliga regler om hur denna information får användas och ska hanteras. Han fortsatte med att säga: _{​“Det är} väl i den bästa av världar vällovligt om man fångar in två flugor i en smäll, men det finns risker med det. Det här med social kontroll, och personlig integritet och så vidare. Där det är fråga om att skydda individen. Personlig integritet är oerhört viktig”_​. Informanten fortsätter med att säga att även om funktioner som “Hitta min iPhone” är utvecklade i ett välmenande syfte så har de sina baksidor.

Gällande myndigheters insamling av data anser han också vara en fråga om förtroende: “Rättsstaten, medborgare och invånare i ett land, i ett geografiskt område ska känna förtroende för att det jag gör som är privat, det stannar privat , och där är det liksom samhället som har bevisbördan att saker och ting är privat, och det är därför den här [Sveriges] lagstiftningen finns”

Adjunkten_​ anser att personlig integritet inte existerar i Kina: _{​“De tänker inte på det viset alls,} iallafall kinesiska staten. Medborgarna kanske vill ha den här personliga integriteten men

staten säger att ‘Nej du får inte ha den, du behöver den inte’”_​.

Adjunkten ifrågasatte också “Jag har inget att dölja-mentaliteten” som denne anser att många människor har: _​“​Det handlar inte om vad de _​kan_​ göra, det handlar om vad de kan

göra _​med_​ den här informationen sen. Det handlar inte om att du eventuellt har gjort något

dumt, att du har något att dölja. Utan det handlar om _​varför_​ ska de veta det här? _​Varför_​ ska

4.1.7 Risk för bulvaner och identitetsstölder

Adjunkten_​ lyfte att det kan finnas risker att bulvan-förhållanden kan uppstå med SCS motsvarande till exempel målvaktssystemet för bilar som existerar i Sverige. Informanten menar att någon till exempel skulle kunna ta på sig att göra något som skulle sänka dennes credit score i utbyte mot pengar.

Bankmannen_​ höll med, och ansåg att _​“​Uppfinningsrikedomen är obegränsad”_​. Man skulle till exempel kunna ta ett mer förmånligt lån i en annan persons namn om denne hade en bättre “credit score”, eller använda systemet för att tvätta pengar. Denne ansåg att ett

poängsystem som SCS är att _{​“lägga alla ägg i en korg”​}, medan de i ett demokratiskt samhälle är mer utspridda.

4.1.8 Risker med oregistrerade invånare

Slutligen uttryckte Adjunkten oro över problemet med oregistrerade invånare i Kina. Många i landet föds på landsbygden utan att registreras, vilket skulle betyda att de aldrig skulle få en credit score. Det skulle då leda till att de skulle låsas ut från områden som till exempel finansiell sektor.

4.2 Resultat av dokumentanalys

De utvalda kapitlen ur ISO-standarden som kan vara till användning för besvarandet av frågeställning

Dokumentanalysen utfördes som tidigare nämnt främst på del 27002 i ISO 27000-serien eftersom den erbjuder konkreta åtgärder för att förbättra informationssäkerheten inom en organisation. När konkreta risker gällande SCS identifierats utifrån intervjuerna med säkerhetsexperterna undersöktes ISO 27002 för att söka efter åtgärder för att motverka dessa risker. Nedan följer kapitel i ISO 27002 som har en koppling till någon av de identifierade säkerhetsriskerna och således kan användas för att svara på studiens frågeställning:

I kapitlet står att ledningen bör se till att anställda “är tillräckligt informerade om sina roller och ansvar ifråga om informationssäkerhet innan de ges åtkomst till känslig information eller informationssystem”.

Vidare står det i kapitlet att alla anställda bör ha tillgång till en anonym rapporteringskanal för att kunna rapportera överträdelser mot informationssäkerhetspolicyn, tillhörande regelverk eller rutiner.

Kapitel 8.1.1 “Inventering av tillgångar”

För att onödig information inte ska existera i ett system rekommenderar ISO-standarden att information i systemet kontinuerligt ska inventeras. Den aktuella organisationen ska

identifiera tillgångar som är relevanta för livscykeln för information och sedan dokumentera deras betydelse för organisationen, alltså motivera varför informationen är värd att spara. Med livscykeln för information menas en återkommande process bestående av skapande, bearbetning, lagring, överföring, radering och förstörelse för att ständigt försäkra sig om att endast relevant information existerar i systemet.

Kapitel 8.1.2 “Ägarskap av tillgångar”

Information i ett system bör tilldelas en ägare som bär ansvar för att data i systemet är korrekt klassificerad och skyddad, samt att endast rätt personer har åtkomst till data.

Kapitel 8.2.1 “Klassificering av information”

Standarden säger att information “bör klassas i termer av rättsliga krav, värde, verksamhetsbetydelse och känslighet för obehörigt röjande eller modifiering”. Vilken skyddsnivå som information ska klassificeras som bedöms genom analys av den aktuella informationens konfidentialitet, riktighet och tillgänglighet. Denna informationsklassning ska ge den som arbetar med informationen tydliga riktlinjer för hur den bör hanteras och

skyddas.

Kapitel 9.1.1 “Regler för styrning av åtkomst”

Principen “Need-to-know basis” presenteras och innebär att en anställd endast ska ha tillgång till information den behöver för att utföra sin arbetsuppgift

Varje användare bör ha ett unikt konto för att hållas ansvarig för sina handlingar, delade konton tillåts ej. Lämplig autentiseringsteknik ska väljas för att garantera en användares påstådda identitet. Biometriska metoder, tokens, smarta kort och kryptografiska hjälpmedel kan användas om stark autentisering eller identitetsverifiering krävs.

Kapitel 9.2.6 “Borttagning eller justering av åtkomsträttigheter”

Åtkomsträttigheterna för anställda och externa användare, till information och ska tas bort vid avslutande av deras anställning, avtal eller uppdrag eller justeras vid förändringar.

Kapitel 12.4 “Loggning och övervakning”

Här står att användaraktiviteter, avvikelser, fel och informationssäkerhetshändelser bör registreras i loggar där de kan bevaras och granskas. Bland det som bör ingå i en

händelselogg kan nämnas användarkonto, systemaktivitet, tid och datum samt inaktivering av säkerhetsverktyg som antivirusprogram eller intrångsdetekteringssystem.

Kapitel 17.2.1 “Tillgänglighet för informationsbehandlingsresurser”

Om tillgången till ett informationssystem inte kan garanteras bör redundanta enheter och redundant arkitektur övervägas. Dessa redundanta informationssystem bör testas för att se till att övergången till dem fungerar felfritt vid behov. Kapitlet påpekar dock att införandet av redundans medför risker med avseende på riktighet och konfidentialitet, och att detta bör beaktas när utformningen av redundanta informationssystem görs.

18.1.3 “Skydd av dokumenterad information”

Kapitlet skriver att dokumenterad information bör skyddas från förlust, förstörelse,

förfalskning, obehörig åtkomst och otillåten utgivning. Ett skydd som matchar informationens säkerhetsklassning bör väljas, och krav på lagringsmedia samt lagringstid bör sättas.

Organisationen bör ha riktlinjer för lagring, arkivering, hantering och gallring av

5 Analys av empiri

Med hjälp av den utökade CIA-triangeln kan en rad säkerhetsproblem identifieras i Kinas sociala kreditsystem. De svar som fåtts av säkerhetsexperterna har analyserats och

placerats in under någon av de sju kategorierna som CIA-triangeln använder för att beskriva information, tillsammans med kapitel ur ISO-27002 med relevanta förslag till förbättring.

5.1 Konfidentialitet

Vad som ska vara konfidentiellt blir mer och mer tvetydigt i kontexten för Kinas SCS. I den traditionella informationssäkerheten ses konfidentialitet som fundamentalt för personlig integritet, men som Adjunkten säger i kapitel 4.1.1 används den i Kina på ett annat sätt. Att människors personliga poäng publiceras på en offentlig hemsida för allmän beskådning används som ett verktyg för att styra individers beteende. Informationen om en individs poäng saknar totalt konfidentialitet, vilket går emot vad som enligt CIA-triangeln kan betraktas som ett säkert system.

I Kinas SCS är en individs sociala kredit inte klassificerad information och därmed inte skyddad, trots att den bör vara det enligt ISO-27002 Kap 8.2.1. Om den sociala krediten hade klassificerats efter dess känslighet för “obehörigt röjande eller modifiering” skulle den få en hög skyddsnivå då en individ påverkas starkt av sin poäng. I det kinesiska systemet såväl som i vilket annat system som helst bör alltså information tilldelas en skyddsnivå och inte publiceras offentligt för allmänheten.

5.2 Integritet

5.3 Tillgänglighet

I fallet med Kinas SCS är tillgängligheten problematisk, främst eftersom det inte framgår vem som ska ha tillgång till informationen. Enligt Whitman och Mattord så handlar tillgänglighet om att se till att _{​behörig​} personal har tillgång till informationen i rätt format (2016). I det här fallet kan i princip vem som helst ta del av en individs kreditpoäng via Credit china-hemsidan vare sig det är en bank, arbetsgivare eller granne. Ett sätt att hantera detta är som

Adjunkten påpekade i kapitel 4.1.1, att endast lämna ut uppgifterna på begäran, för att åtminstone få kontroll över vem som använder information.

En annan aspekt kan dock vara tillgängligheten hos själva informationen som utgör grunden för den publicerade poängen. Denna information hålls i stort dold för medborgarna och aggregeras ihop till en poäng bakom kulisserna. De myndigheter och privata aktörer som använder informationen kan använda de fem nämnda IT-plattformarna för att dela data mellan varandra vilket underlättar för tillgängligheten. Här uppstår säkerhetsproblem ifall systemet går ner och en databas blir otillgänglig, som båda säkerhetsexperterna har påpekat. Beroende på hur backup-hanteringen gått till uppstår olika typer av risker. Om samma data lagras på alla databaser har man god beredskap för om en databas förstörs: hämta informationen från en annan databas och återställ den förstörda. Dock är det

samtidigt en risk då en attack enbart behöver lyckas en gång för att ge en inkräktare tillgång till all information. Det andra sättet, som Adjunkten nämnde i kapitel 4.1.4, är att dela upp information och enbart lagra fragment av data i de olika databaserna i en så kallad

distribuerad databas. Denna metod försvårar tillgängligheten då det involverar flera steg och flera databaser behöver synkroniseras för att systemet ska fungera. Fördelen är dock att en lyckad attack enbart ger inkräktaren tillgång till fragment av data, vilket _​kan​ vara värdelöst i sig självt, om det visar sig att just denna data inte betyder någonting utan annan data eller kontext.

Gällande tillgängligheten bör redundans finnas i data enligt ISO 27002 kapitel 17.2.1

bör beaktas när utformningen av redundanta informationssystem görs. Det är en ständig balansgång mellan att garantera tillgänglighet och se till att data enbart är tillgänglig för dem som har rätt till det och i rätt form. Redundansen kan dock i fallet med Kinas SCS vara önskvärt då det kan få stora följder både för individ som samhälle om systemet blir

otillgängligt eller om fel upptäcks och en återställning behöver göras till en tidigare backup. Slutligen innehåller kapitel 18.1.3 riktlinjer för hur dokumenterad information ska skyddas. Krav på lagringstid så väl som krav på lagringsmedia bör sättas, och hänsyn bör tas till att lagringsmedia kan försämras över tid. Man bör fastställa rutiner för att säkerställa åtkomst till data.

5.4 Ägande

Under denna kategori har Kinas SCS stora problem. Det är inte tydligt vem som har kontroll och tillgång till informationen. Det är som tidigare nämnt ett antal myndigheter och privata aktörer som tillsammans skickar in hundratals datapunkter till systemet varje minut, och en vanlig medborgare kan aldrig vara säker på var dennes personliga information hamnar. Den information som tidigare bara funnits i till exempel en handelsjättes databas, har nu

aggregerats ihop tillsammans med data från andra aktörer och därmed har ägandeskapet över denna information blivit otydlig, vilket medför säkerhetsrisker. Båda informanterna har i kapitel 4.1.2 svarat att det är viktigt att veta var informationen hamnar och vem som har möjlighet att använda den, vilket man inte gör i det här fallet. Bankmannen påpekar i kapitel 4.1.3 att eftersom en dålig poäng har så pass stora konsekvenser för en individ så är

spårbarheten extra viktig. Det är omöjligt att svara på vem som har tillgång till denna individs information och vem som använder den, samtidigt som denna individ plötsligt helt kan stängas av från finansiell sektor utan att veta varför.

Här är kapitel 8.1.2 i ISO 27002 relevant, som betonar vikten av ägarskap. Att tilldela information en ägare som bär yttersta ansvar över att data är skyddad och endast rätt personer har tillgång till den skulle motverka de nuvarande riskerna med bristfälligt ägande inom SCS. Både ISO (kap. 9.1.1) och Bankmannen nämner begreppet “need-to-know basis”, att anställda endast ska ha tillgång till information de behöver för sin arbetsuppgift. Skulle anställda inom SCS vara tvungna att följa en sådan princip skulle man kunna

Överföring av ägandeskap inom SCS är viktigt när data transporteras. Om en privat aktör samlar in data bör denna aktör endast anses vara ägare över den så länge den inte har skickats vidare till staten. När överföringen har skett bör ägandeskapet ha övergått till den statliga myndighet som mottagit data. Den privata aktören bör då inte heller längre ha tillgång till data, vilket ISO 27002 tar upp i kapitel 9.2.6.

5.5 Riktighet

Informationens riktighet blir svår att garantera när det, som Bankmannen säger i kapitel 4.1.5, förmodligen är hundratusentals personer som har möjlighet att göra ändringar i systemet. Båda informanterna har uttryckt oro för att en person som till exempel jobbar på en bank har möjlighet att sänka poängen för en annan, kanske för någon som denne inte tycker om eller om någon som vill sänka en konkurrents poäng i utbyte mot en muta. Denna nya information har rätt format och ser riktig ut i systemet, trots att den egentligen inte är korrekt. Viktigt att påpeka är att riktighet för data kan förloras både medvetet och omedvetet. Det betyder att det också kan vara mänskliga misstag som ligger till grund för att riktighet saknas hos informationen. I båda fallen blir det svårt att avgöra vad som är riktigt och vad som inte är det, och även om man upptäcker något som är felaktigt blir det svårt att spåra källan till problemet, som nämnt under föregående punkt “Ägande”.

ISO 27002 kapitel 7.2 “Under anställning” har punkter som kan hjälpa till att förebygga de risker som nämnts ovan. Som tidigare nämnt står det i kapitlet att ledningen bör se till att anställda “är tillräckligt informerade om sina roller och ansvar ifråga om informationssäkerhet innan de ges åtkomst till känslig information eller informationssystem”. Ansvar är nyckelordet i detta sammanhang, och människor som arbetar med data som påverkar en individs sociala kredit bör vara medvetna om vad det kan få för konsekvenser för individen. Vidare står det i kapitlet att alla anställda bör ha tillgång till en anonym rapporteringskanal för att kunna rapportera överträdelser mot informationssäkerhetspolicyn, tillhörande regelverk eller rutiner. Detta kan användas för att minska fallen där någon medvetet försöker sänka en annan persons poäng eftersom den ansvarige löper risk att rapporteras om överträdelsen upptäcks, samtidigt som ett medvetandeprogram om roller och ansvar kan göra att den anställde tänker efter innan ändringar görs vilket minskar förekomsten av misstag.