En pandemis påverkan på informationssäkerheten för distansarbetare

Examensarbete på kandidatnivå, 15 hp Systemvetenskapliga programmet

SPB 2021.03

EN PANDEMIS PÅVERKAN PÅ INFORMATIONSSÄKERHETEN

FÖR DISTANSARBETARE

2

Abstract

This paper aims to increase the knowledge regarding information security for a teleworker

and the impact the pandemic has on the information security. To investigate this impact the

data gathering method used for this paper is separated into two parts. The first part is

interviews with IT administrative personnel and the second part is a survey distributed

among employees and personnel at Umeå University. The results from the interviews show

that the respondents' perception of the difference between the information security for a

teleworker and a campus worker is not that significant because there were people even before

the pandemic who teleworked. However, the general knowledge of university guidelines for

information security was low. The results from the survey show that the employees think they

have good general awareness on information security. Although the results also show that

there are employees that do not care about following guidelines and some that think the

guidelines are unclear. The conclusion suggests that the compliance to guidelines may be

lower than the employees claim and that the employees feel a need for more support and

conditions for them to be able to follow the guidelines to a larger extent.

3

Förord

Detta examensarbete motsvarar 15 högskolepoäng och är en avslutande examination inom det

systemvetenskapliga programmet med inriktning mot design, interaktion och innovation på

Umeå universitet. Vi skulle vilja rikta vår tacksamhet till både ITS samt Umeå Universitet för

all kunskap, material och deltagande, det har haft en stor betydelse för vårt arbete. Sedan skulle

vi även vilja tacka vår handledare Rikard Harr för att han väglett oss genom arbetet med sin

kunskap och uppmuntran samtidigt som han ställt upp för oss flertal gånger med sina tankar

och förslag.

4

Innehållsförteckning

1. Inledning ... 6

1.2 Syfte... 7

1.3 Frågeställning ... 7

1.4 Avgränsning ... 7

2. Relaterad forskning ... 7

2.1 Informationssäkerhet och informationssäkerhetshot ... 7

2.1.1 Informationssäkerhet ... 7

2.1.2 Informationssäkerhetshot... 8

2.2 Informationssäkerhetshot på campus och distans samt riktlinjer ... 9

2.2.1 Informationssäkerhetshot på campus ... 9

2.2.2 Informationssäkerhetshot på distans ... 10

2.2.3 Nuvarande riktlinjer från Myndigheten för samhällsskydd och beredskap ... 11

2.3 Informationssäkerhetsåtgärder ... 12

3.1 Forskningsstrategi ... 17

3.2 Urval ... 17

3.3 Intervjuer ... 18

3.4 Enkäter ... 18

3.5 Genomförande ... 18

3.6 Dataanalys ... 19

3.7 Etiska överväganden ... 20

3.8 Metodkritik... 20

4. Resultat ... 21

4.1 Del 1 ... 21

4.1.1 Varierad inställning till informationssäkerhet ... 21

4.1.2 Förekommande informationssäkerhetshot ... 22

4.1.3 Upplevda säkerhetsöverträdelser ... 23

4.1.4 Låg medvetenhet om policys ... 24

4.1.5 Låg efterlevnad av informationssäkerhetsregler ... 25

4.1.6 Överensstämmande syn på åtgärder för ökad informationssäkerhet ... 25

4.2 Del 2 ... 26

4.2.1 Varierad användning av säkerhetsåtgärder ... 26

4.2.2 Skiftande medvetenhet och hög insikt av informationssäkerhet ... 27

4.2.3 Minimala förändringar av arbetssättet ... 27

5

4.2.4 Faktorer för ökad efterlevnad av informationssäkerhetsregler ... 28

4.2.5 Behov av vägledning och information ... 29

5. Analys ... 30

5.1 Varierad inställning till informationssäkerhet ... 30

5.2 Skiftande medvetenhet mellan policys och informationssäkerhet ... 31

5.3 Lågt ansvar för efterlevnad av informationssäkerhetsregler ... 31

5.4 Behov av stöd och krav ... 32

6. Diskussion ... 32

7. Slutsats ... 36

Bilagor ... 38

Bilaga 1 ... 38

Intervjufrågor ... 38

Bilaga 2 ... 40

Enkätfrågor ... 40

Bilaga 3 ... 44

Individuellt bidrag ... 44

Referenser ... 45

6

1. Inledning

År 2020 förändrades världen efter att Covid-19 tog fart och startade en pandemi som resulterade i social distansering och distansarbete. Flera länder runt om i världen stängde sina gränser, arbetsplatser och skolor tillämpade distansarbete och allt detta gjordes för att kunna minska smittspridningen. Folkhälsomyndigheten i Sverige uppmanade alla företag som kan utföra distansarbete att tillämpa det, något som lett till att flera företag och organisationer anpassat sig efter folkhälsomyndighetens önskan för att kunna bidra till en trygg arbetsmiljö under dessa annorlunda omständigheter (Folkhälsomyndigheten, 2021). På grund av Covid- 19 har intresset för och behovet av informationssäkerhet ökat till följd av den sociala distanseringen och rekommendationer om distansarbete (Folkhälsomyndigheten, 2021).

Ämnet är på grund av detta relevant att vidare undersöka.

1.1 Bakgrund

Informationssäkerhet är något som har en viktig roll i dagens samhälle. Tekniken har tagit

större plats och människor använder sig av den i alla möjliga miljöer till exempel på arbetet,

skolan eller på fritiden. Desto mer IT växer i samhället ju större blir risken för att vi ska utsättas

för cyberbrott eller skadliga program som kan spridas runt på internet. På grund av detta

kommer informationssäkerhet behöva ta en större roll i framtiden för att kunna skydda data

från att förstöras eller manipuleras (MSB, 2015). Information är något som är viktigt för alla

organisationer och kan utifrån behovet behöva skyddas vid olika tillfällen. På grund av

information går det att göra flera olika saker, det går till exempel att sprida information, det

går att lagra den samt styra olika processer med den. Information är alltid värdefullt, olika

exempel på värdefull information är det som står i patientjournalen eller personuppgifterna

på banken. Dessa exempel av information är något man vill ska skyddas från att manipuleras

eller förstöras. På grund av detta måste man skydda informationen, vilket leder oss till

informationssäkerhet (MSB, 2015). Informationssäkerhet brukar kunna sammanfattas som att

det antingen på ett tekniskt eller administrativt sätt med hjälp av olika skyddsåtgärder går ut

på att skydda informationstillgångar (Försvarsmakten, 2013). Informationssäkerhet är det

som leder till att alla möjliga verksamheter får en ökad kvalité samtidigt som företagen är

trovärdiga för sina kunder, investerare och andra parter. Informationssäkerhet innebär att

man till exempel inför olika administrativa regelverk såsom tekniskt skydd med krypteringar

eller brandväggar. Sedan även fysiskt skydd som ger skal och brandskydd. Med dessa olika

tillvägagångssätt är det möjligt att skydda informationen på ett väl fungerande sätt (MSB,

2015). Det finns ofta relativt olika sätt att hantera informationssäkerheten i organisationer,

vilket leder oss till frågan hur väl informationssäkerheten hanteras i samband med

distansarbete i dessa märkliga tider?

7

1.2 Syfte

Syftet med detta arbete är att skapa ökad förståelse för hur informationssäkerheten har påverkats i och med den snabba omställningen från arbete på den fysiska arbetsplatsen till arbete på distans. Detta i samband med Covid-19 för att kunna se hur informationssäkerheten har hanterats under den rådande pandemin.

1.3 Frågeställning

För att uppnå syftet med detta examensarbete kommer dessa frågor att besvaras:

• Vilka informationssäkerhetshot aktualiseras i samband med en övergång till distansarbete?

• Hur förhåller sig distansarbetande individer till informationssäkerhetsåtgärder?

• Vilka åtgärder bör implementeras för ökad informationssäkerhet i framtiden i samband med distansarbete?

1.4 Avgränsning

Distansarbete är något som sker i alla möjliga olika organisationer. På grund av detta har vi i denna uppsats valt att avgränsa oss till Umeå universitet gällande distansarbete. Vi anser att denna avgränsning kommer kunna ge oss en djupare inblick än om vi jämför flera olika organisationer. Vi har även valt att avgränsa oss till en specifik institution på universitetet för att få ännu djupare förståelse och lättare kunna dra slutsatser kring resultatet.

2. Relaterad forskning

I detta avsnitt presenteras forskning som rör informationssäkerhet i allmänhet, informationssäkerhetshot för en campus- respektive distansarbetare, riktlinjer för informationssäkerhet och informationssäkerhetsåtgärder.

2.1 Informationssäkerhet och informationssäkerhetshot

2.1.1 Informationssäkerhet

I dagsläget är information en av de viktigaste tillgångarna för många organisationer. För att det ska finnas en trygghet inom dessa organisationer behöver de tillämpa olika tillvägagångssätt för att kunna säkra sina system och informationen som hanteras. Detta leder till att de bör följa vissa mål som finns inom informationssäkerheten för att kunna nå en önskad effekt gällande hanteringen av information. Det finns tre mål och dessa är konfidentialitet, tillgänglighet och integritet på engelska förkortat som (CIA) (Jesan, 2006).

Konfidentialitet, det vill säga sekretessen betyder att systemets information ska vara trygg

från att obehöriga får tag i informationen. Inom ett företag eller en organisation kan detta

handla om personlig information för en anställd men det kan även röra en patients

8

journaluppgifter. Ifall dessa personers information inte bevaras på ett säkert sätt kan detta leda till att den organisation som tillhandahöll informationen får ett dåligt rykte eller till och med förlorar sin verksamhet på grund av dess konsekvenser. Integritet innebär att informationen som bevaras inom en organisation ska vara fullständig. Den ska inte ändras av en utomstående och ifall information avsiktligt eller oavsiktligt manipuleras kommer det leda till att informationens trovärdighet sjunker enormt. Om en kunds bankuppgifter till exempel exponeras eller manipuleras minskar trovärdigheten för bankens förvaltning av säkerhetsuppgifter. Tillgänglighet innebär att informationen alltid ska finnas tillgänglig, det ska alltid gå att få tag i informationen oavsett. Även om en organisation till exempel blir av med sina datorer som förvarar all information bör det finnas säkerhetskopior för att kunna återställa all data (Jesan, 2006).

Information är något som kan visas i alla möjliga former. Det kan skrivas på papper, lagras elektroniskt, skickas via postbrev eller e-mejl, förmedlas i konversationer eller visas på filmer.

Definitionen av informationssäkerhet anses vara det som skyddar informationen och de olika elementen som informationen bär på, till exempel systemen och hårdvaran som gör det möjligt att använda, lagra och överföra information. Informationssäkerhet är inte en produkt eller tjänst, snarare en process eftersom tekniken förändras och användningen leder det till att säkerhetsprocesserna för tekniken också måste utvecklas för att kunna bredda sin komplexitet.

Syftet med informationssäkerhet är att kunna försäkra om en minskad risk för att informationssäkerhetsrisker ska kunna utvecklas inom en organisation (Solms och Niekerk, 2013).

2.1.2 Informationssäkerhetshot

Informationssäkerhetshot finns i många olika former där några exempel är sabotage, spionage

och manipulering av data. Informationssäkerhetshoten är inte enbart attacker från en

cyberkriminell utan de inkluderar informationssäkerhetshot som kan orsakas av mänskliga fel

och de som kan orsakas av naturkatastrofer. Vilka informationssäkerhetshot som är viktigast

är väldigt organisationsspecifika eftersom ett hot endast är ett hot om det finns svagheter som

kan utnyttjas av andra. Dessa svagheter kan se relativt olika ut beroende på organisationen och

ifall det finns svagheter betyder det inte att de utnyttjas (Vacca, 2009). En

informationssäkerhetsöverträdelse kan vara förödande för en organisation, organisationens

verksamhet skadas på ett sätt som leder till att den inte kan fortsätta som vanligt. Ryktet för

organisationen kan förstöras och det kan även innebära en finansiell förlust eftersom de måste

stå för kostnaderna som tillkommer med att hantera en informationssäkerhetsöverträdelse

(Vacca, 2009). Gällande informationssäkerhetshot gjordes det en undersökning via statistiska

centralbyrån år 2018. Där man ville få fram ett resultat från olika företag som hade upplevt

problem gällande säkerheten av informationen i företagets miljö. Tanken var att kunna ta reda

på samt kartlägga olika åtgärder som är kopplade till informationssäkerhet. Ett sätt för dem

att kunna undersöka informationssäkerheten bland svenska företag var genom att titta på vad

för olika typer av problem företagen utsattes för. Resultaten visade att 2 % av företagen med

10 eller fler anställda hade upptäckt att deras konfidentiella data inom företaget avslöjades. 8

9

% av företagen hade även insett att deras data hade förstörts eller förvanskats (Statistiska Centralbyrån, 2021).

En annan form av informationssäkerhetshot är molntjänster på grund av vissa egenskaper som är problematiska utifrån ett säkerhetsperspektiv enligt Ramgovind, Eloff och Smith (2010). För att kort definiera vad en molntjänst är beskriver PTS (2018) en molntjänst som en internetbaserad tjänst som erbjuder datalagring, programkörning och andra IT-funktioner.

Det som dock kan anses vara problematiskt med molntjänster är att leverantörerna av molntjänsterna har rätt till åtkomst av den information som lagras i molnet. Rätten innefattar att de får både läsa den information som finns i molnet men även dela denna information, vilket i slutändan leder till ett informationssäkerhetsproblem. Det kan även vara ett informationssäkerhetshot mot en verksamhet på grund av placeringen av molntjänsten, de restriktioner som sätts på den data som lagras men även på grund av användarvillkoren (Ramgovind, Eloff och Smith, 2010). Vidare skriver Ramgovind, Eloff och Smith (2010) att en av de största utmaningarna gällande implementering av molntjänster är att de ska kunna hantera säkerheten. För att kunna lösa denna utmaning kräver det att det läggs ett visst fokus på hur informationssäkerhet fungerar, det bör finnas en molnintegritet som kan uppnås ifall det olika policys och riktlinjer verkställs. Om detta uppnås kan molntjänster bli en otrolig informationsteknikslösning. De teman som anses vara kärnan gällande analyser av strategisk informationssäkerhet av molntjänster är molntjänsters säkerhetspolicys, molnets tydlighet och dess säkerhetspåverkan. När användarna utforskat dessa teman kan detta leda till att en informationssäker molnlösning implementeras. Däremot finns det flera fördelar med molntjänster. Molntjänster har utvecklat IT-branschen enormt eftersom de erbjudit marknaden ett sätt att lagra data med en otrolig kapacitet som är en flexibelt skalbar datorkraft som matchar den elastiska efterfrågan och dess tillgång. Trots att det finns vissa informationssäkerhetshot kopplat till molntjänster så är användningen av molntjänster ett effektivt sätt att hantera säkerheten på i olika molnapplikationer (Ramgovind, Eloff och Smith, 2010).

I avsnittet nedan presenteras vilka informationssäkerhetshot det är som kan uppstå i universitetsmiljöer samt i distansmiljöer. Riktlinjer från MSB tas upp för att ge en insyn till hur det går att förebygga informationssäkerhetshot vid distansarbete.

2.2 Informationssäkerhetshot på campus och distans samt riktlinjer

2.2.1 Informationssäkerhetshot på campus

Informationssäkerhet i universitetsmiljöer är något man trott är bristfälligt sedan år 1975.

Eftersom universitet blir utsatta för cyberattacker på grund av två olika anledningar. Den

första är på grund av den stora mängd data universiteten besitter, och det andra är för att

användningen av deras informationssystem är öppna för allmänheten. Det måste fastställas en

balans gällande informationsutbyte för att det ska finnas en viss säkerhet som gör att

tillgångarna inom informationssystemen inte påverkas på ett negativt vis. Ifall det blir problem

med registreringar eller obehöriga betygsförändringar kan detta leda till att universitetets

10

trovärdighet och säkerhet ifrågasätts. Ifall man förstår sig på informationssäkerhetshot och de utmaningar som kan uppstå, kan det påverka att man undviker att förlora stora mängder av data som är viktiga för universitetet. Ett exempel på informationssäkerhetshot på campus är University of Texas i Austin’s Business School där olagliga händelser har tagit plats. Det visade sig att cirka 200 000 elektroniska register hade öppnats och exponerades för allmänheten, dessa register innehöll personuppgifter. Detta har lett till att flera olika experter är överens om att universitet är en av de minst trygga miljöerna gällande informationssäkerhet (Rezgui &

Marks, 2008).

Vidare går det att presentera Computer Service Department på Zayed University i Dubai.

Där de rapporterat flera informationssäkerhetshot som utförts de senaste åren har innehållit programvaruattacker, tekniska programvarufel, avsiktlig handling till spionage/överträdelse, avsiktlig handling till sabotage, stöldhandling och informationsutpressning. Personalen på deras institution ansåg sig vara utrustade med de bästa säkerhetssystemen där de ständigt arbetar hårt med övervakningen kring externa attacker just för att mer än 48% av deras informationssäkerhetshot utgjordes av externa parter. Vidare ges det fler exempel på olika sätt att skydda sig mot informationssäkerhetshot enligt Rezgui och Marks (2008). Flera exempel som ges är lösenordsverifiering, virusskydd, brandväggar, förebyggande informationssäkerhetspolicys, utbildning om informationssäkerhet för personal och utbildning av rapporteringar kring dess överträdelser, samt övervakning av datoranvändning (Rezgui & Marks, 2008).

2.2.2 Informationssäkerhetshot på distans

Covid-19 blev ett akutläge som ökade beroendet av distansarbete, detta ledde till att pandemin ökade nivåerna av informationssäkerhetshot enormt mycket. Det har framkommit att angriparna av dessa informationssäkerhetsattacker inte behövt ändra sitt tillvägagångssätt.

Eftersom det på grund av omständigheterna blivit lättare för dem att kunna utforska användarens miljö, på grund av den minskade informationssäkerhet vid distansarbete (Furnell, 2020). Just för att individerna var sårbara under pandemins gång var de mer mottagliga för att klicka på olika länkar, ladda ner skadliga filer utan att ha olika skydd som man vanligtvis brukar ha på sin fysiska arbetsplats. Tekniken som har använts för att man ska kunna arbeta på distans har även här varit väldigt osäker. Ett exempel på detta är Zoom, som under pandemins utveckling blivit ett pålitligt verktyg för att kunna ha möten och konferenser på distans. Vid ett tillfälle förstod man dock att informationssäkerheten på Zoom inte var lika pålitlig som man hade trott. Även om detta inte är fallet i dagens situation, bevisar det att övergången till distansarbete haft sina risker med informationssäkerheten (Furnell, 2020).

Andra informationssäkerhetshot som kan uppstå vid distansarbete är kopplat till den teknik

som finns i ett smart hem. Ett smart hem är ett hem med fler integrerade enheter med modern

teknik som fokuserar på bekvämlighet och effektivitet i hemmet. Vanliga

informationssäkerhetshot som kan uppstå på distans är interna vilket sker om den

cyberkriminella befinner sig i närheten av hemmet. Det kan även uppstå externa hot som utförs

via internetuppkopplingen. Den mest använda metoden för att skydda mot

11

informationssäkerhetshot är nyckelkryptering, som antingen är symmetrisk eller asymmetrisk. De som attackerar det smarta hemmet vill nå den lagrade informationen som finns i molntjänsterna eller vill förstöra hemmets infrastruktur. De olika informationssäkerhetshot som en cyberkriminell använder för att hacka sig in i det smarta hemmet är de nedanstående metoderna (Mocrii, Chen, och Musilek, 2018).

1. Lösensumma, denna metod går ut på att den cyberkriminella hackar sig in och krypterar offrets enhet och kräver sedan en lösensumma för att ge nyckeln till enheten.

2. Exploatering av mjukvaran utnyttjar användarens lathet till sin fördel. Många användaren behåller default lösenordet för en ny enhet och bryr sig inte om att hålla enheten uppdaterad vilket gör den sårbara för attacker.

3. Imitation är en metod där den cyberkriminella låtsas vara offret och använder dennes uppgifter för att ändra saker i nätverket.

4. Avlyssning är en metod som kan kompromissa konfidentialiteten genom att den cyberkriminella får åtkomst till offrets router genom att hen får åtkomst till all trafik som strömmar genom hemmet. Om den kriminelle befinner sig i närheten av hemmet kan de med speciell hårdvara fånga meddelande från hemmets enheter och på så sätt få tag på information.

5. Förnekande av tjänst är en metod som går ut på att krascha enheten genom att skicka många förfrågningar eller korrupta meddelande så att enheten inte kan hantera dessa och den cyberkriminella kan på så sätt hindra offret från att få tillgång till internet.

I övergången från campusarbete till distansarbete så har Myndigheten för samhällsskydd och beredskap (MSB) skapat olika riktlinjer för organisationer så de kan säkerställa informationssäkerheten vid distansarbete. Detta presenteras nedan.

2.2.3 Nuvarande riktlinjer från Myndigheten för samhällsskydd och beredskap

Som organisation, anställd eller arbetsgivare bör man skydda sig från de risker som uppkommer vid distansarbete, nu i dagsläget finns det flera åtgärder som kan åtas.

Organisationen behöver först och främst se till att de anställda har rätt arbetsutrustning och infrastruktur (CERT-SE, 2020). Ett informationssäkerhetshot för en distansarbetare är bland annat nätverket hemma. Det är därför viktigt för organisationen att kunna erbjuda de anställda tillgång till arbetets nätverk. Detta bör göras krypterat genom VPN-anslutning som helst har en tvåfaktorsautentisering. Att kunna erbjuda tillgång till arbetets nätverk till de anställda som jobbar på distans ökar belastningen på organisationens IT-infrastruktur och ökar även kraven på organisationens IT-avdelning. Det finns flera svaga punkter i säkerheten för en distansarbetare på grund av att det är troligt att många av distansarbetarna har bredbandsanslutna hem där flera enheter är uppkopplade vilket kan vara allt ifrån bärbara datorer till termostater. Dessa enheter uppdateras sällan och är inte säkra (CERT-SE, 2020).

Förebyggande åtgärder som den anställda kan påverka är att se till att den tekniska

utrustningen i hemmet är uppdaterad. Den anställdes privata moln eller privata utrustningen

bör inte användas till arbetet. Anslutningen till jobbets nätverk och all kommunikation till

12

organisationens tjänster bör ske genom VPN. Bandbredden och internet kapaciteten bör kontrolleras tills de är tillräckliga. Medan den anställde arbetar är det en god idé att koppla från alla onödiga enheter som till exempel streamingtjänster. Detta för att säkerställa hög internetkapacitet. Tvåfaktorsautentisering och starka lösenord bör finnas till alla användarkonton. Det är även viktigt att vara medveten om vilken typ av information som hanteras i hemmet och hur den hanteras. Det bör behandlas korrekt eftersom det finns en större risk för att känslig information kan läckas ut från hemmet jämfört med på arbetsplatsen (CERT-SE, 2020). De förebyggande åtgärder som arbetsgivaren kan följa är att säkerställa så de anställda känner till de policys och rutiner som bör utföras för ett säkert arbete på distans.

Arbetsgivaren bör ge de anställda förutsättningar för att kunna nå de resurser som behövs via VPN. Arbetsgivaren behöver även se till att det finns tillräcklig bemanningen på IT- supportfunktionerna. Distribution av programvara bör överlåtas till IT-administrationen eftersom det sällan finns ett behov för vanlig användare att installera nya programvaror. Icke auktoriserad programvara bör blockeras. Sedan bör även de anställda använda sig av godkända applikationer. På grund av de rådande omständigheterna med Covid-19 har acceptansen kring avvikelser från de normala säkerhetsstandarderna ökat. Anställda har även lätt att ta genvägar om det inte får tillräckligt med hjälp och stöd för att arbeta informationssäkert. Detta gör det ännu mer viktigt för arbetsgivare att se till det finns rätt förutsättningar för de anställda att hålla en hög säkerhetsstandard även i hemmet (CERT-SE, 2020).

För att uppfylla ökad informationssäkerhet finns det informationssäkerhetsåtgärder som hjälper till att hindra dessa informationssäkerhetshot. Dessa informationssäkerhetsåtgärder kommer beskrivas nedan.

2.3 Informationssäkerhetsåtgärder

Något som brukar nämnas inom informationssäkerhet är de risker som kan uppstå. Dessa risker handlar om att de skulle kunna leda till att värdet på en verksamhet minskar just för att varje risk leder till en ökad kostnad. Dessa kostnader behöver inte vara så stora, händelsen som dock lett till kostnaden kan ge verksamheten minskad trovärdighet (Blakley, McDermott och Geer, 2001). För att man ska kunna se till att informationssäkerhetsrisken minskar används olika policys, dessa policys vägleder och avgör till exempel hur man ska gå tillväga och vem som bör hantera en viss typ av information i verksamheten. Efter att dessa policys definierats vill man se till att de efterföljs, detta går att göra när olika processer blandas ihop med tekniska mekanismer, här finns det generellt fyra olika kategorier som kan efterföljas (Blakley, McDermott och Geer, 2001).

• Skyddsåtgärder där dessa processer och det tekniska ska se till att förhindra olika negativa händelser från att ske.

• Detekteringsåtgärder som ska varna en verksamhet ifall en negativ händelse sker.

• Svarsåtgärder som ska hantera konsekvenserna av resultatet från händelsen som kan ha skett och sedan se till att återställa verksamheten till en trygg miljö efter händelsen har behandlats.

• Säkerhetsåtgärder där man ska validera effektiviteten och ett alternativ som ger drift

av skydd, reaktions och upptäcktsåtgärder.

13

En sista punkt som även har en viktig roll är att fastställa effektiviteten av dessa olika tillvägagångssätt. Detta innebär att policys och skydd ständigt vidareutvecklas för att det ska finnas en nytta av att använda det i framtiden (Blakley, McDermott och Geer, 2001).

Fortsättningsvis finns det exempel på olika informationssäkerhetsåtgärder som använts i praktiken enligt Statistiska Centralbyrån (2021). Här ville man undersöka ifall dessa företag hade vidtagit några säkerhetsåtgärder för att försöka förhindra exponeringen av konfidentielldata, intrång samt attacker, för att slippa förlust av data inom företaget. 90 % av företagen använde sig av uppdatering av operativsystem samt programvaror, denna åtgärd var mest förekommande inom energi och återvinningsbranschen där 97–99% av företagen tillämpade det. En annan lösning som 83 % av företagen vidtog var att de hade tillämpat en molnbaserad lösning. Ännu en punkt som undersöktes år 2019 var kompetensen inom informationssäkerhet. Kompetensen kring detta brukar finnas internt med vissa anställda som är specialiserade inom detta, dock brukar det även finnas externa parter som anställs för att kunna försäkra om en god säkerhet inom verksamheten. Denna undersökning resulterade i att 59 % av företagen hade anställt en extern arbetare för att bidra till en ökad informationssäkerhet. Dessa olika aktiviteter som genomfördes av de externa parterna var allt ifrån backup av data, riskbedömningar, test av IT-säkerhet till utbildning om IT-säkerhet. 56

% av företagen använde sina interna parter för samma arbetsuppgifter (Statistiska Centralbyrån, 2021).

Med Covid-19 insåg man väldigt snabbt att inte endast de som arbetade inom informationssäkerhet skulle ha färdigheterna för att kunna utöva sitt arbete tryggt hemifrån utan att det ska finnas en viss nivå av cyberkunnighet hos alla arbetare. Det blev även tydligt att dessa behov behövde vägledas genom pandemins gång för att minska cyberattackerna mot organisationer och individer (Furnell, 2020). I Storbritannien hade National Cyber Security Centre det vill säga NCSC, sammanfattat flera viktiga frågor som varje organisation bör se till att utföra. Där fanns det till exempel olika typer av stöd med inlärningsmaterial till de anställda. De hade även strukturerat upp en lista med de bästa tipsen för att kunna känna sig säker online med olika videokonferenser och flyttningar av affärer (Furnell, 2020).

• Skydda din e-post med ett starkt och separat lösenord.

• Installera de senaste programvaror och app uppdateringarna.

• Aktivera tvåfaktorsautentisering på din e-post.

• Lösenordshanterare bör användas för att hjälpa dig få ett säkert lösenord.

• Säkra smartphones och surfplattor med skärmlås.

• Säkerhetskopiera alltid din viktigaste data.

Åtgärderna i listan ovan är bra för att skydda information men för att förtydliga så är

informationssäkerhetsåtgärder av design inte tänkt att göra en process mer effektiva. Vanliga

säkerhetsåtgärder är lösenord, multifaktorautentisering och en nyare

informationssäkerhetsåtgärd är diskkryptering. Informationssäkerhetsåtgärden

diskkryptering kan ta upp till en minut. Alla dessa informationssäkerhetsåtgärder ökar tiden

det tar för en anställd att ta sig in på sin digitala enhet och sänker effektiviteten i

inloggningsprocessen. De anställda vill snabbt kunna logga in och sätta igång med arbetet, om

14

säkerhetsmekanismen är för långdragen kommer det skapa en irritation bland de anställda.

Det är därför viktigt att risken och informationssäkerhetsåtgärden matchar så att den är rimlig i förhållande till varandra. En inloggningsprocess som tar 10 minuter med informationssäkerhetsåtgärderna är ett exempel på där risken inte är rimlig i förhållande till informationssäkerhetsåtgärden och kommer skapa stor frustration i organisationen och kan på långsikt påverka organisationen negativt (Vacca, 2009). En informationssäkerhetsåtgärd som skapar en frustration hos användaren kan orsaka säkerhetsöverträdelser.

Den mänskliga faktorn kan många gånger var orsaken till säkerhetsöverträdelser. Det är därför viktigt att de som arbetar inom organisationen är välinformerade gällande informationssäkerhet och har en rimlig inställning mot det. Annars kan den mänskliga faktorn skada organisationen. Inställningen mot informationssäkerhetsåtgärder beror på hur stor börda de utgör för de anställda. Det som påverkar attityden är ifall arbetsuppgifter tar längre tid att utföra, egenskaperna för att utföra arbetet blir färre, säkerhetsprocessen tar lång tid eller kräver att den anställde har mer att minnas. Detta kan leda till att attityden försämras och risken ökar för att informationssäkerhetsåtgärder frångås (Parkin, van Moorsel och Coles, 2009). Eftersom informationssäkerhetsåtgärder ofta medför begränsningar för arbetet och de ofta kan frångås på grund av mänskligt beteende finns det även möjligheter att nyttja mänskligt beteende för att göra bättre informationssäkerhets val. De som står för besluten kring informationssäkerheten bör skapa sig en uppfattning av de mänskliga faktorerna som kan bli informationssäkerhetsrisker. För att de ska kunna ta beslut och anpassa informationssäkerhetsinfrastrukturen runt de anställdas användningsbehov. Att en anställd har egenskaper som kan orsaka informationssäkerhetsrisker är inte nödvändigtvis något dåligt, dessa egenskaper är ofta något som eftertraktas. Det visar att den anställda är villig att nyttja möjligheter och ta risker för organisationen. På grund av detta bör informationssäkerhetsåtgärderna och policyn för organisationen vara att vissa risker är okej att ta i vissa situationer medan det samtidigt bör framgå vilka risker som aldrig är okej. Detta arbete kan även hjälpa till att förändra attityden mot informationssäkerheten och identifiera de främst förekommande problemen (Parkin, van Moorsel och Coles, 2009).

En långsiktig strategi för ökad informationssäkerhet som Sharbaf (2014) förespråkar är ett tiodimensionellt ramverk. Detta ramverk innehåller punkter som bland annat lyfter att en organisation bör skapa en utbildning och etablera träning för att öka medvetenheten för informationssäkerheten i organisationen. En annan punkt som tas upp är att alla i organisationen bör involveras för ansvaret till informationssäkerheten för att de anställda inte ska överlåta ansvaret till IT avdelningen. Sedan bör även en policy för informationssäkerhet utvecklas och det bör ses till att den anammas. Med en informationssäkerhetspolicy kan säkerhetsriskerna minskas och policyns mål är att se till att processerna hela tiden utvecklas.

En annan punkt som lyfts i ramverket är att en mekanism bör skapas för att utvärdera och

övervaka informationssäkerheten inom organisationen. Denna mekanism bör mäta om

exponeringen minskar eller ökar. En annan viktig punkt i ramverket är att de behov och

intressen som organisationen har måste även stöttas av informationssäkerheten. Ett

informationssäkerhetsprogram som kan stötta de mål som en organisation har blir även

15

framgångsrika. Om informationssäkerhetsprogrammet inte ligger i linje med organisationens behov kan det istället utgöra en informationssäkerhetsrisk (Sharbaf, 2014).

2.4 Summering

Den relaterade forskningen har sammanfattats för att kunna ge en avslutning för flera punkter som kan vara tillämpningsbara för att besvara frågeställningarna. Exempel på dessa punkter är informationssäkerhetshot, informationssäkerhetsåtgärderna som kan vidtas och framtida strategier som kan tillämpas.

Rezgui och Marks (2008) skriver att flera experter inom informationssäkerhet anser universitetsmiljöer vara en av de minst informationssäkra miljöerna, detta enligt en kvantitativ undersökning med 435 institutioner som sedan bekräfta att endast ett fåtal universitet erbjuder utbildning om informationssäkerhet. Universitetsmiljöer besitter otroligt stora datamängder samtidigt som de har öppet tillträde för allmänheten gällande dess beståndsdelar. Detta innebär att det bör finnas en viss balans för att det ska kunna försäkras om att universitetets informationstillgångar inte påverkas. Om inte kan informationssäkerhetshot uppstå och leda till att stora mängder av data förloras och förvanskas när olika betygsförändringar eller exponering av personuppgifter sker (Rezgui och Marks, 2008). Zayed University är ett exempel som har rapporterat hur många informationssäkerhetshot som helst mot universitetet, dessa hot har kunnat vara programvaruattacker, spionage eller överträdelse, sabotage, informationsutpressning och så vidare. Dock går dessa informationssäkerhetshot att undvikas på flera sätt med andra informationssäkerhetsåtgärder, några exempel av dessa är virusskydd, brandväggar och policys (Rezgui och Marks, 2008).

För informationssäkerhetshot på distans har detta ansetts vara mer sårbart för användaren eftersom det inte finns samma förutsättningar för att kunna arbeta lika informationssäkert på distans som på campus. Anledningen till detta är för att många inte är medvetna om att deras datorer hemifrån till exempel inte besitter liknande virusskydd som på arbetsplatsen eller att de överhuvudtaget inte tänker på hur man kan arbeta på ett informationssäkert sätt på distans.

Något man då har insett med Covid-19 är att kunskapen kring cyber kunnighet brast hos arbetare ifall de inte redan arbetade med informationssäkerhet, eftersom de klickade på länkar, laddade ner skadliga filer och var helt enkelt mer mottagliga för att göra misstag kring informationssäkerheten (Furnell 2020). Vidare skriver Furnell (2020) att de säkerhetsåtgärder som den anställda kan göra för att säkerställa hög informationssäkerhet är att se till att nedanstående punkter är uppfyllda:

• Installering av senaste programvaror och app uppdateringarna på arbetsdatorn.

• Aktivering av tvåfaktorsautentisering på e-post.

• Säkert lösenord genom användning av lösenordshanteraren.

• Skärmlås på smartphone och/eller surfplattor.

• Säkerhetskopiering.

(CERT-SE 2020) fortsätter med att lista upp fler punkter på säkerhetsåtgärder som anställda

bör tänka på i samband med distansarbete.

16

• Det finns ett starkt lösenord till olika inloggningar.

• Regelbundet byte av lösenord.

• Arbetsrelaterad användning av VPN.

• Den digitala enhet som används i arbetet tillåts inte användas av utomstående.

• Arbetsrelaterade data lagras inte i privata molntjänster.

• Den tekniska utrustningen (bredband, router, datorer etc.) som finns i hemmet är uppdaterade.

• Icke arbetsrelaterade tjänster (ex. streamingtjänster) används inte under arbetstid.

Arbetsgivaren har också en stor del i att säkerställa att det finns rätt förutsättningar för de anställda för att kunna hålla en hög informationssäkerhetsstandard på campus och på distans.

De informationssäkerhetsåtgärder som arbetsgivaren kan ta till för att öka informationssäkerheten är att se till att (CERT-SE, 2020):

• De anställda har kännedom om de rutiner och policys som finns för informationssäkerhet.

• Tillräcklig bemanning på IT-supportfunktionerna.

• Det finns förutsättningar att nå nödvändiga resurser via VPN.

• IT-administrationen överlåts ansvaret för distribution av programvara.

• Icke auktoriserade programvara blockeras.

• Anställda använder sig av godkända applikationer.

De informationssäkerhetsåtgärder som finns kan sorteras under fyra olika kategorier skyddsåtgärder, detekteringsåtgärder, svarsåtgärder och säkerhetsåtgärder. Dessa kategorier hanterar informationssäkerhetshoten på olika vis. Skyddsåtgärderna innefattar processer som ska se till att förhindra säkerhetsöverträdelser. Detekteringsåtgärder handlar om att varna verksamheten om det sker en säkerhetsöverträdelse. Svarsåtgärder kan hantera resultatet av en säkerhetsöverträdelse och kan se till att återställa verksamheten. Medan den sista kategorin informationssäkerhetsåtgärder hanterar validering av effektivitet samt ser till att det finns reaktionsåtgärder och drift av skydd, upptäckt och reaktionsåtgärder (Blakley, McDermott och Geer, 2001).

En strategi som kan hjälpa en verksamhet förbättra sin informationssäkerhet är ett tio dimensionellt ramverk. Detta ramverk handlar om att se till att processerna för informationssäkerheten fortsätter att utvecklas och hålla en hög kvalitet. De tio dimensionerna innefattar bland annat att se till att de anställda får träning och utbildning och involveras i processen, ser till att alla i organisationen involveras i ansvaret för informationssäkerheten samt att organisationens mål och behov stöttas av informationssäkerhetsprogrammet. Dessa exempel är några av de punkter som ramverket lyfter (Sharbaf 2014).

Fortsättningsvis presenteras metodavsnittet, där redovisas de olika insamlingsmetoderna som använts för fallstudien samt hur de utförts för att samla in data till arbetet.

3. Metod

17

I detta avsnitt presenteras den forskningsstrategi som följdes för fallstudien och nedan kommer det nämnas flera punkter som har berört fallstudien.

3.1 Forskningsstrategi

Vår huvudsakliga forskningsstrategi var att använda oss utav en fallstudie. En fallstudie är en datainsamlingsmetod där ett specifikt fall eller fenomen undersöks. Detta fall används sedan för att kunna dra slutsatser i ett större forskningsperspektiv (NE, u.å). Vilket vi ville kunna göra då tanken var att undersöka ett specifikt universitet och institution för att där kunna gå djupare och lättare dra slutsatser kring detta. Om istället flera universitet och institutioner undersökts skulle troligen detta arbete inte fått samma djup eller liknande slutsatser eftersom det skulle skilja sig för mycket mellan de olika universiteten och institutionerna.

Syftet med denna fallstudie var att få olika perspektiv från olika parter inom samma organisation om hur de agerar informationssäkert i samband med distansarbete.

Forskningsstrategin för denna undersökning består av två olika delar, den första delen innehåller en genomgång av relaterade forskningen och den andra delen innehåller både kvalitativa och kvantitativa undersökningsmetoder. Den första delen av forskningsstrategin innehåller olika vetenskapliga artiklar samt litteratur, denna litteratur identifierar vad informationssäkerhetshot är, hur dessa kan uppstå men även vilka metoder som finns för att kunna bekämpa dessa. De olika sökmotorer som använts för att hitta litteratur är Google Scholar, ACM och ScienceDirect. Den andra delen av forskningsstrategin är baserad på vilka informationssäkerhetshot de anställda på Umeå universitet som arbetar på distans upplever samt vad de gör för att undvika säkerhetsöverträdelser. För att kunna få kunskap om det som sker, har det utförts semistrukturerade intervjuer med tre olika personer som har god kunskap inom informationssäkerhet på Umeå universitet. Merriam och Tisdell (2016) skriver att det vi använder oss av är en mixad forskningsmetod eftersom både intervjuer och en enkät tillämpats i fallstudien. Vilket innebär att en blandning av kvalitativa metoder och kvantitativa metoder används för att kunna besvara forskarfrågor. För att vi skulle få flera olika perspektiv om hur det går att arbeta informationssäkert på distans, genomfördes en enkätstudie för att få insyn i hur de anställda arbetar på distans.

3.2 Urval

Ett bekvämlighetsurval utfördes gällande valet av institution att undersöka. Med detta menas

att vi kontaktade en viss institution på universitetet (Hartman, 2004). Gällande urvalet till de

tre intervjuerna kontaktade vi de som har god kunskap om informationssäkerhet på

universitetet, en från ITS och två från institutionen. Vi skickade en förfrågan via mejl ifall de

ville delta i vår fallstudie och de alla tackade ja till detta. På grund av etiska skäl presenterades

inte basuppgifter om dessa respondenter, just för att det finns integritetsskäl specifikt till de

som intervjuats. De blev givna alias för att de skulle känna sig trygga med att delta i

intervjuerna. Innan enkäten skickades ut till alla arbetare på institutionen informerades de om

att de som arbetar på distans minst tre dagar i veckan skulle besvara enkäten. Detta

säkerställde att de personer som svarade på enkäten hade tillräcklig erfarenhet av

18

distansarbete för att kunna bidra till ökad kunskap efter undersökningen. Sedan fick de anställda själva avgöra ifall de ville ta del av vår enkät.

3.3 Intervjuer

Intervjuer är en vanlig metod för insamling av data och förekommer i de flesta kvalitativa undersökningar. En intervju är en bra metod i en situation där beteende inte kan observeras eller tolkas. Det finns tre olika strukturer för en intervju, dessa är strukturerad, semistrukturerad och ostrukturerad intervju. En strukturerad intervju har en bestämd följd av frågor som ställs exakt efter manus. Medan en ostrukturerad intervju har öppna frågor, flexibilitet i både följden av frågor och i uttalandet av frågorna. Denna struktur är mer som en konversation och används oftast vid ett tillfälle då relevanta frågor är svåra att formulera eftersom forskaren inte har bra koll på forskningsområdet ännu (Merriam och Tisdell, 2016).

En djupintervju är en passande metod när undersökningsområdet handlar om ett känsligt ämne, det finns ett behov av ett detaljerat svar, i ett tillfälle då det lätt kan uppstå missförstånd, för ett ämne där deltagaren kan behöva hjälp att uttrycka sina känslor, av det praktiska skälet att det är lättare att få en person att delta eller i en situation där kontexten är viktig att förstå (Keegan, 2009).

I detta arbete har ett flertal semistrukturerade intervjuer utförts. En semistrukturerad intervju är en intervju som är mindre strukturerad. De flesta av frågorna var nedskrivna medan vissa frågor blev spontana följdfrågor. Frågorna behövde inte komma i en viss ordning och sättet som frågorna ställs behöver inte vara exakt likadana till varje intervjutillfälle. Denna typ av intervju som vi utfört kan ge mer ingående svar eftersom det ger möjlighet för reaktion och vidare undersökning av oväntade svar (Merriam och Tisdell, 2016). För att säkerställa att intervjufrågorna och ordningen av de var bra valde vi att göra en pilotintervju. Eftersom vår pilotintervju gav utförliga svar, behövde vi inte göra några förändringar till intervjufrågorna, på grund av det valde vi att behålla resultatet till vår fallstudie.

3.4 Enkäter

En enkät är en datainsamlingsteknik som ofta används för insamling av kvantitativdata.

Kvantitativdata fokuserar mer på karaktärsdrag, fakta och relationer mellan olika händelser medan intervjuer är av en kvalitativ form och analyseras på ett annat sätt än enkäter ofta gör (Merriam och Tisdell, 2016). Kvantitativa frågor är stängda frågor medan kvalitativa är öppna frågor. Eftersom vi valde att ställa en del öppna fritextfrågor där respondenten har möjlighet att utveckla sina svar lite djupare, vilket leder till att enkäten blir en blandning av kvantitativa och kvalitativa frågor (Merriam och Tisdell, 2016).

3.5 Genomförande

Alla tre intervjuer utfördes via Zoom, där en av oss intervjuade och den andra transkriberade.

Innan varje intervju ställdes frågan till respondenten ifall vi fick spela in intervjun för att kunna

få med all information, varav de alla svarade ja. Varje respondent fick ett alias för att undvika

att respondentens identitet skulle avslöjas då vi sagt att de skulle vara anonyma i fallstudien.

19

Innan enkäten skickades ut till de anställda på institutionen så utfördes en pilotenkät för att säkerställa att enkäten fungerade som den skulle och för att se ifall frågorna gick att besvara på ett utförligt sätt. Vi kontaktade en anställd på institutionen som deltog i pilotenkäten, efter detta gjordes små ändringar. Vi bestämde oss för att behålla svaret från respondenten eftersom frågorna inte behövde korrigeras, efter det skickades enkäten ut till de resterande på institutionen. Vi skickade ut en digital enkät via verktyget Microsoft Forms. Enkäten undersökte de anställdas perspektiv och erfarenheter av informationssäkerhet. Anledningen till att vi valde att göra en enkät istället för en intervju är för att de typ av frågor vi ville ställa kunde bli för känsliga att göra i en intervju, då en intervju blir relativt utlämnande och det finns risk att respondenten inte vågar säga sanningen. Enkäten började med att presentera syftet med undersökningen och vilka enkäten var utformad till. Vi hade bestämt att det skulle vara en anställd på Umeå universitet som jobbar minst tre dagar i veckan på distans. Detta krav satte vi för att säkerställa att de personer som svarar på enkäten har tillräcklig erfarenhet som distansarbete för att kunna bidra till ökad kunskap efter undersökningen. Sedan skrevs en definition av informationssäkerhet för att respondenterna skulle förstå begreppet och för att eventuella misstolkningar skulle undvikas. Frågorna som valdes till enkäten byggde på den information vi fick från intervjun och den relaterade forskningen. Vi ansåg det vore intressant att undersöka de påståenden och antaganden som våra respondenter gjort i intervjun om bland annat hur väl de anställda följer riktlinjer för informationssäkerhet och anledningen bakom detta. Frågan där vi ger exempel på olika säkerhetsåtgärder är baserad på den relaterade forskning vi hittade om de säkerhetsåtgärder som anställda kan göra för att få en ökad informationssäkerhet.

3.6 Dataanalys

Den dataanalys som genomfördes i detta arbete är en tematisk analysmetod som används för att tolka den data som samlas in. En tematisk analys är en analysmetod som används för att analysera och identifiera mönster i kvalitativdata som sedan tolkas genom denna metod. En tematisk analys är inte bunden av ett teoretisk åtagande utan är ett verktyg som kan tillämpas över fler olika teoretiska ramar. En tematisk analys går ut på att identifiera teman och koder från kvalitativdata genom en systematisk procedur. En tematisk metod har inte enbart som syfte att sammanfatta innehållet från den data som samlats in. Målet är att tolka viktiga funktioner i datainnehållet och att skapa en tvåstegs granskningsprocess för att säkerställa en hög kvalitet på analysen (Clarke och Braun, 2016).

Tematisk analys är en metod som bör tillämpas när syftet är att förstå tankar, beteenden eller upplevelser vilket gör det till en lämplig analysmetod för forskningsfrågan vi bedriver.

Denna metod är utformad efter att man ska hitta vanliga och delade betydelser inom data och

inte för att undersöka unika upplevelser från endast ett dataobjekt. Med den tematiska

analysen skapas det olika teman för att man ska kunna omformulera eller koppla in olika delar

av data (Kiger och Varpio, 2020). Processen består av sex olika steg för den tematiska analysen,

dessa presenteras kort. Steg ett är att läsa av all data det vill säga hela texten av

transkriberingarna för att kunna identifiera olika mönster från all data. Steg två handlar går ut

på att anteckna om data som kan vara intressant, frågor samt olika kopplingar i kodtext, vilket

20

i vårt fall var med olika begrepp. Steg tre består av att identifiera olika teman, genom att koppla ihop olika likheter i transkriberingarna. Syftet för steg fyra är att granska ifall de teman som identifierats är lämpliga och giltiga att använda, för att undvika “svaga” teman. Allt detta görs för att kontrollera att de teman som fastställts har en koppling till all insamlad data. Steg fem definieras de teman officiellt och de namnges för att visa vad de täcker i temat. Steg sex handlar om att skriva ner den sista analysen av det som hittas i all data, skillnaden är att detta skrivs ut i löpande text jämfört med de andra stegen som mest bestod av kommentarer och frågor (Kiger och Varpio, 2020). Jämfört med andra kvalitativa metoder är den tematiska analysen en rättfram metod att lära sig av, just för att det inte behövs någon användning av teori för att man ska få fram analysen, det betyder att det kan vara helt induktivt. Denna metod är effektiv eftersom analyseringen av data är det som leder till att forskarna kan sammanfatta och lyfta fram de funktioner som anses vara viktiga samtidigt som man kan tolka de stora datamängderna (Kiger och Varpio, 2020).

Tillämpningen av den tematiska metoden i detta arbete utfördes efter resultatet från de två undersökningsmetoderna var klara. Vi läste transkriberingarna av de tre intervjuerna och planen för oss var att kunna identifiera olika mönster i texterna. Dessa olika mönster gjorde det sedan möjligt för oss att identifiera olika teman. När detta sedan sammanställdes fick vi fram olika teman med olika innehåll av data, på grund av detta är både resultatet för intervjuerna och enkäten skrivna i olika teman, utifrån den tematiska analysens sex olika steg.

3.7 Etiska överväganden

Vid insamlingen av data har ett stort fokus lagts på att följa de fyra olika huvudkraven inom etiska regler samt principer som är skrivet av Vetenskapsrådet (2002). Med detta menas att varje deltagare fått information om vad syftet med undersökningarna är samtidigt som det presenterats hur utförandet ska gå till. Vi presenterades även att deltagandet var frivilligt från alla parter och de blev informerade om att de tacka nej till att svara på frågor ifall de ville det.

Sedan blev de även tillfrågade ifall vi fick spela in intervjuerna för att kunna transkribera intervjuerna i detalj, vilket alla deltagare gav sitt medgivande till. Vi tog hänsyn till att varje respondent skulle anonymiseras gällande all information om individen och skapade på grund av detta alias till de som deltog i intervjuerna. Vi utförde en enkät eftersom vi ansåg det var ett tryggare tillvägagångssätt för dem att kunna vara ärliga när de besvarar frågorna samtidigt som det kunde bidra till mer utvecklade svar. På grund av institutionens storlek kan det finnas en rädsla bland de anställda att någon skulle kunna lista ut vem som svarat vad, på grund av detta anonymiserades samtliga deltagare.

På grund av dessa åtgärder bör det inte gå att identifiera deltagarna, detta innebär att vi uppfyller de fyra huvudkraven för individskyddet. Dessa huvudkrav är informationskravet, samtyckeskravet, konfidentialitetskravet och nyttjandekravet (Vetenskapsrådet, 2002).

3.8 Metodkritik

På grund av den pågående pandemin utfördes de tre semistrukturerade intervjuerna på distans

via Zoom. Detta är något som kan anses vara en nackdel enligt Eriksson och Hultman (2014)

eftersom fysiska intervjuer ger möjligheten att kunna tolka kroppsspråket samt situationerna

21

som uppstår under intervjuns gång bättre. Trots det finns det fler fördelar som Archibald et al.

(2019) nämner med Zoom. Vilket är att det är ett verktyg som är lätt att använda och det blir lättare för respondenterna att lägga tid på att delta i en intervju om de kan göra intervjun var som helst. Utöver detta finns det även funktioner i Zoom som kan vara användbara vid en intervju, vilket är skärmdelning och inspelningsalternativ.

Vid valet av enkät ville vi att de anställda på institutionen skulle dela med sig av sina erfarenheter av informationssäkerhet i samband med distansarbete. Något vi dock upptäckte i efterhand var att enkäten inte levererade så många oväntade svar eftersom vi på flera frågor hade formulerat alternativ som de behövde välja mellan. Dock anser vi att det huvudsakliga med enkäten var att deltagarna skulle vara anonyma samtidigt som de delade med sig av sina upplevelser. Anonymiteten tillät respondenterna att uttrycka sig fritt utan att behöva oroa sig över att deras identitet avslöjades, vilket vi anser var positivt för vårt resultat.

4. Resultat

Det här kapitlet skildrar det resultat som insamlades i de tre intervjuer som genomfördes samt ställs mot de enkätsvar som båda berör säkerhetspolicys, vanor för informationssäkerhet och vilka konsekvenser som kan uppstå om olika informationssäkerhetsåtgärder inte följs.

Resultatet är strukturerat efter intervju och enkätguiderna men vissa svar har placerats om för att uppnå ökad läsbarhet. Vi har delat upp resultatet i två delar där del 1 är intervjuernas resultat och del 2 är enkätens resultat som presenteras. Namnen som nämns i resultatet är alias för respondenterna och könen behöver inte överensstämma med namnen, dessa är de alias som vi använder oss av:

• Petter (Alias)

• Jonathan (Alias)

• Robin (Alias)

4.1 Del 1

4.1.1 Varierad inställning till informationssäkerhet

Inställningen till informationssäkerhet bland de anställda ansåg Petter och Robin varierade på deras arbetsplatser. Petter påstod att en del tar det på allvar medan andra inte och förklarade att:

“Men det finns ju som ofta inställningen, men jag har ju ingenting viktigt. Men det där att man inte har någonting viktigt kan ju om man får ett intrång i en sån dator till exempel kan det ju i sin tur leda vidare till att man kan komma åt andra saker.”

− Petter

22

Robin menade att det ser olika ut om man jämför universitetet och ITS eftersom man kommit olika långt gällande medvetenheten kring informationssäkerheten. Jonathan påstod däremot att han tror att de flesta ändå var väldigt medvetna eftersom IT har en viss roll inom institutionen.

Inställningen till informationssäkerhet kan givetvis spela en roll hur informationssäkerheten ser ut på institutionen men det är då också intressant att se vilka informationssäkerhetshot som är vanligt förekommande på institutionen. Detta kommer vidare beskrivas under nästa rubrik.

4.1.2 Förekommande informationssäkerhetshot

När frågan ställdes om vilka informationssäkerhetshot som är mest förekommande på arbetsplatsen svarade respondenterna lite olika. Petter hävdade att det är mycket intrångsförsök och sa:

“Vi har ju hundratusentals om inte miljontals intrångsförsök på våra servicesystem varje vecka. Och som försöker logga in från olika håll i världen. Ständigt pågående. Sen har vi ju också allt som att har att göra med epost bedrägerier. Det är ju i parti och minut. Det är ständigt ständigt ständigt. Och det krävs oerhört lite för att det ska slinta till.”

- Petter Jonathan påstod att det största hotet var att man lagrar data på olika molntjänster. Han menar att säkerheten på molntjänster inte är den bästa eftersom det är svårt att veta vem som har tillgång till informationen som läggs upp där. Robin besvarade frågan genom att kolla på ett bredare perspektiv. Han delade upp hoten i nationella och internationella hot och förklarade:

“för universitetet är våra servrar till exempel fyllda med forskningsdata som kan vara väldigt intressant för andra länder för att kunna utveckla sin egen näringskedja och livsutveckling. Sedan har man hot internt då man kan ha en missnöjd medarbetare eller kan det ske en olycka eller incident internt”.

- Jonathan Robin menade att hoten förändras ständigt vilket gör det viktigt att hålla sig informerad för att få en uppdaterad version av hotbilden för att kunna förhålla sig till den. Dessa informationssäkerhetshot gav en bild av hur det ser ut på arbetsplatsen.

Jonathan och Petter svarade väldigt lika på frågan gällande vilka informationssäkerhetshot

som finns för en anställd som arbetar på campus respektive på distans ställdes. Petter sa att

skillnaden är att det är mycket som hamnar utanför universitetets kontroll. Universitetet kan

inte kontrollera vilka routrar, system, wifi som finns i hemmet eller om barn är inne på datorn

och drar på sig ett virus. Att jobba hemma menar Petter lägger mer ansvar på den enskilde, på

campus är miljön mycket mer kontrollerad. Jonathan säger samma sak gällande att miljön

hemma är mycket osäkrare jämfört med på campus och menar att internetleverantörer är

hopplösa eftersom de sällan uppdateras. Robin menar att skillnaden visar sig lite olika utifrån

23

vart man sitter både vart man sitter på campus och vart man sitter på distans. Robin förklarar att:

“Om jag till exempel sitter på ITS så har vi satt på ett skalskydd ett sånt som är yttre brandväggar som man säger på våra klientnät, där vi strävar efter att ha de så nedstängt som möjligt.”

- Robin Robin säger vidare ifall man däremot sitter hemma bör man koppla upp sig mot VPN. När många jobbar hemma finns det risk att de använder sin privata dator vilket utgör en säkerhetsrisk eftersom den förmodligen inte har samma antivirusprogram och säkerhetspatchar som jobbdatorn.

Vidare gällande frågan om vilka aktiviteter som är mest känsliga respektive minst känsliga var alla respondenter överens om att det var hantering av personuppgifter. Petter ansåg däremot att aktiviteterna inte bör rankas som mer eller mindre känsliga eftersom det då finns en risk att man slappnar av och struntar i att följa säkerhetsåtgärder för de mindre känsliga aktiviteterna vilket då leder till en säkerhetsöverträdelse. Detta tror han dock inte är något som den vanliga anställda behöver fundera över i sitt arbete förutom om man då är forskare. För forskare är det viktigt för dem att veta var och hur de kan lagra sin forskningsdata. Känsliga personuppgifter kan inte lagras var som helst, speciellt inte på vilka molntjänster som helst.

Som forskare får man inte laga sin data på till exempel Onedrive. Det är inte heller informationssäkert för studenter att skriva en personuppgift där ett namn finns med på molntjänster som Dropbox eller Google Drive. Petter förklarar att det viktigaste är att den anställda vet var vad man får lagra var för då spelar det ingen roll vilken plats den anställda befinner sig på. Det Jonathan lyfter i följdfrågan som handlar om konsekvenser för universitetet/den anställda till huvudfrågan “Vilka är de största informationssäkerhetshoten för en anställd som arbetar på campus respektive på distans?” att precis som Petter sa att konsekvenserna blir att det läcks data som är känslig och därför är viktigt med hantering av personuppgifter och GDPR vilket är en speciellt viktig fråga för forskare. Jonatan hävdar att data kan exponeras vid dåligt hemmanätverk och riskerar att obehöriga får åtkomst till informationen. Detta kan i sin tur få följder för universitetet och institutionen bland annat i form av böter.

För att vidare undersöka valde vi att fråga om vilka upplevelser av säkerhetsöverträdelser s0m respondenterna eller andra anställda på institutionen haft.

4.1.3 Upplevda säkerhetsöverträdelser

Gällande upplevelser av säkerhetsöverträdelser var Petter den enda respondenten som hade

konkreta exempel där en anställd blivit utsatt för en säkerhetsöverträdelse. Dessa exempel

handlar dels om ett Ransomeware mejl som en anställd klickade på vilket gjorde att

Ransomeware kunde gå rakt in i dokumenten på servern. Detta slutade lyckligt eftersom det

var tidigt på morgonen, vilket gjorde att det fanns backuper. Det räckte med att den anställda

bara startade om sin dator och tog backup från föregående natt. Det andra exemplet som Petter

gav var en anställd som satte upp en RaspberryPi dator som blev hackad innan den anställda

24

hann byta lösenord. I detta fall upptäcktes även detta snabbt och datorn rensades och ställdes om. Robin hade inget exempel men förklarade att det finns externa hot, där målet för dem är hacka sig in och stjäla forskningsdata. Detta kan göras så pass proffsigt att det knappt märks.

Hoten kan komma från flera olika stater.

Vidare valde vi att undersöka varför just dessa säkerhetsöverträdelser skedde och vilka typer som var vanligast. Något som endast Petter lyfte var anledningen till att han ansåg dataintrång var det främst förekommande säkerhetshotet på universitetet var att Umeå universitet har många känsliga uppgifter. Petter berättade att:

“Umeå universitet fick ju stänga ner åtkomst till eposten bara för någon vecka sen, på grund av ett säkerhetshot. Det är ständigt pågående. Allt ifrån enskilda hackare till organiserade statliga myndigheter. Och hur stort hotet är på ett sätt kan ju att ha och göra med vilken typ av verksamhet man bedriver”.

- Petter

Det respondenterna påstår att de anställda behöver mest hjälp med gällande informationssäkerhet handlar ofta om utbildning. De anställda behöver oftast någon att förklara hur och varför man ska göra på ett visst sätt. Vissa behöver hjälp med att uppdatera operativsystem, sätta upp datorer, fixa kryptering på disken och bli påmind om att uppdatera programvaror och datorer. Robin säger att han ger indirekt hjälp till de anställda genom att ta fram systematiska arbetssätt och utvärderar information i utvecklingsprojekt som sedan klassificeras.

För skapa en bredare förståelse kring informationssäkerheten på institutionen lades fokus på medvetenheten bland de anställda och vilken vikt som läggs på informationssäkerhet.

4.1.4 Låg medvetenhet om policys

Gällande policys och ifall de fanns eller följdes var svaren väldigt delade mellan de tre respondenterna. För respondenten Petter var det osäkert ifall dessa policys vände sig specifikt till distansarbete, han var medveten om att dessa existerade på en central front på universitetet. Det han kunde kommentera var ifall policys fanns på institutionen vilket det inte fanns i skriftligt format, utan snarare mer informella riktlinjer för hur man bör gå tillväga.

Jonathan ansåg att de policys som i dagsläget existerar inte är tydliga och anser därför att dessa

inte är något han följer, just för att dessa policys inte kommer kunna förklara för en anställd

hur man bör gå tillväga för att lösa ett problem etc. De formella och informella policys som

finns menar respondenterna inte förändrats så mycket på grund av Covid-19. Enligt Petter har

distansarbete varit relativt aktuellt rätt så länge, då många har haft chansen att arbeta

hemifrån sen innan. Givetvis har detta ökat nu på grund av den pågående pandemin men det

har alltid funnits folk som har jobbat på distans. Det har snarare handlat om hur

undervisningen bör gå till och inte om säkerheten. Robin ansåg att de säkerhetspolicys som

fanns nu var utdaterade och sa att det var på grund av detta som de hade uppdaterats och inte

på grund av Covid-19. Just för att det ska förtydligas kring vilka verktyg man bör använda när

man arbetar på distans, exempel han gav var att man bör använda VPN, Zoom, Teams.