EXAMENSARBETE
Privatpersoners kunskap kring
identitetsstölder på internet samt dess
skyddsåtgärder
Alexandra Vasmatzis
2014
Filosofie kandidatexamen Systemvetenskap
FÖRORD
Detta examensarbete har genomförts på institutionen för system- och rymdvetenskap vid Luleå Tekniska Universitet som en avslutande del av mina studier på det systemvetenskapliga pro-grammet. Arbetet genomfördes under vårterminen 2014 och dess omfattning är 15 högskole-poäng.
Jag vill tacka de personer som gjort denna studie möjlig. Harriet Nilsson och Dan Harnesk som givit mig stöd och konstruktiv kritik under processen, de respondenter som har avsatt tid för att medverka i min studie och min kära mor som har korrekturläst mitt arbete om och om igen. Ett stort tack vill jag även rikta till min familj för det stöd som de givit mig under utbildningens gång och ett särskilt tack till min sambo för hans enorma tålamod under den här tiden.
SAMMANFATTNING
Samtidigt som användningen av internet i hemmet fortsätter att öka varje år sker det även en ökning av identitetsstölder på internet. Att detta har blivit ett vanligt problem i dagens samhälle kan härstamma i vår oerfarenhet när det gäller att förhindra och hantera olika typer av attacker. Privatpersoner erbjuds ingen säkerhetsträning eller dylikt såsom de anställda på ett företag utan måste på egen hand tillägna sig den kunskap kring identitetsstölder och dess skyddsåtgärder som krävs för att de skall kunna skydda sig mot brottet.
ABSTRACT
While the Internet use at home continues to increase every year there is also an increase in identity theft on the Internet. The fact that this has become a common problem in today’s society may be originated from our inexperience when it comes to preventing and managing various types of attacks. Individuals are not offered any safety training or similar like the employees of a company and must on their own acquire the knowledge concerning identity theft and its se-curity measures necessary for them to be able to protect themselves against the crime.
The purpose of this study is to investigate what knowledge individuals possess regarding iden-tity theft on the Internet and the security measures that can be taken to protect their ideniden-tity. The study seeks to answer what security measures individuals adopt to protect their identity and if there are security measures that they have knowledge of but choose not to adopt and in such cases why. A theoretical framework was developed through a literature review in the field. This was initially used as the foundation for the empirical study, consisting of personal semi-struc-tured interviews, and later in the analysis of collected data.
INNEHÅLLSFÖRTECKNING
1 Inledning ... 1 1.1 Bakgrund ... 1 1.2 Problembeskrivning ... 2 1.3 Syfte ... 2 1.4 Foskningsfrågor ... 3 1.5 Avgränsningar ... 3 2 Teori ... 4 2.1 Internet ... 4 2.1.1 Digital identitet ... 4 2.2 Identitetsstöld ... 4 2.2.1 Social engineering ... 5 2.2.2 Spam ... 6 2.2.3 Spyware ... 6 2.3 Säkerhetsmedvetenhet ... 6 2.4 Tekniska skyddsåtgärder ... 72.5 Säkert beteende vid användningen av internets tjänster ... 8
2.5.1 E-handel och banktjänster ... 8
2.5.2 Sociala nätverk ... 9
2.5.3 E-post ... 9
2.6 Mänskliga faktorn ... 9
2.7 Varför väljer en individ att skydda sig eller inte? ... 10
2.7.1 Protection motivation theory ... 11
3 Metod ... 13 3.1 Forskningsansats ... 13 3.2 Forskningsstrategi ... 13 3.3 Fallstudie ... 13 3.4 Litteraturgenomgång ... 14 3.5 Urval ... 14 3.6 Datainsamling ... 14 3.6.1 Transkribering ... 15 3.7 Analys av data ... 15
3.8 Validitet och reliabilitet... 17
3.8.1 Validitet ... 17
3.8.2 Reliabilitet ... 17
4.1 Användning av internet ... 18
4.2 Identitetsstöld ... 18
4.3 Säkerhetsmedvetenhet ... 20
4.4 Tekniska skyddsåtgärder ... 21
4.5 Säkert beteende vid användningen av internets tjänster ... 22
4.6 Mänskliga faktorn ... 24 5 Analys ... 26 5.1 Användning av internet ... 26 5.2 Identitetsstöld ... 26 5.3 Säkerhetsmedvetenhet ... 28 5.4 Tekniska skyddsåtgärder ... 29
5.5 Säkert beteende vid användningen av internets tjänster ... 30
5.6 Mänskliga faktorn ... 31
5.7 Motivation till att inte vidta skyddsåtgärder ... 32
6 Diskussion & Slutsatser ... 33
1
1 INLEDNING
DETTA KAPITEL PRESEN TERAR BA KGRUND O CH PROBLEMB ESKRIVN IN G T ILL STUD IENS ÄMNE. VIDAR E REDOG ÖR S FÖR STUD IENS SYFTE, FORS KN IN GSFRÅGOR SA MT A V GRÄN
S-NIN GAR.
1.1 BAKGRUND
I dagens samhälle har internet blivit en del av många människors vardag och den dagliga an-vändningen av internet i hemmet fortsätter att öka varje år (Findahl, 2013). Människor upp-muntras i allt högre grad till att använda sig av tjänster på internet och kan i vissa fall rentav vara tvungna till detta (Furnell & Clarke, 2012). Många av de tjänster som ständigt ökar i an-vändning såsom e-handel och sociala medier (Findahl, 2013) kräver att vi uppger våra person-uppgifter för att få tillgång till dessa. Dessa personperson-uppgifter kan sägas tillhöra vår digitala iden-titet, ett begrepp som erhållit stor innebörd i det nya Web 2.0 där interagering och personal-isering har fått ett ökat inflytande (Takahashi & Bertino, 2011). Begreppet kan definieras som en digital representation av en individs kända information.
Då utlämningen av våra personuppgifter kan resultera i stöld av vår identitet är det viktigt att vi skyddar dessa när vi använder de olika tjänsterna som internet erbjuder. En identitetsstöld de-finieras ofta som en olaglig användning av en annan individs personuppgifter (Copes & Vie-raitis, 2009; White & Fisher, 2008) och kan begås av olika skäl men vanligtvis av ekonomiska där förövaren exempelvis köper varor eller tjänster i någon annans namn (Takahashi & Bertino, 2011). I Sverige finns det ingen straffbestämmelse för handlingen och därför finns det inte hel-ler någon brottsstatistik för identitetsstölder. Handlingen blir först straffbar när uppgifterna an-vänds på ett olagligt sätt såsom i trakasseri- eller bedrägerisyfte (SOU 2013:85).
Enligt den nationella trygghetsundersökningen (Färdeman, Hvitfeldt & Irlander, 2014) uppgav 3 % av Sveriges befolkning att de har blivit utsatta för någon typ av bedrägeri under år 2012. Av dessa var 32 % någon form av bedrägeri på internet. Det är dock möjligt att det finns ett mörkertal bakom dessa siffror. Roberts, Indermaur och Spiranovic (2013) menar på att det är svårt att uppskatta hur många individer som drabbas av identitetsstölder på internet då de drab-bade ofta är omedvetna om hur gärningsmannen lyckats stjäla deras personuppgifter. En under-sökning genomförd av Synovate (2003) visade på att hälften av de drabbade inte kände till hur deras personuppgifter hade stulits.
2
ser identitetsstölder som ett enkelt, lönande och relativt riskfritt brott (Copes & Vieraitis, 2009). Enligt Koops et al. (2009) beror ökningen av identitetsstölder på att det är relativt enkelt att få tag i de informationsenheter som vår identitet representeras av på grund av den transparens som finns hos behandlingen av personuppgifter på internet. De anser även att ökningen av identi-tetsstölder beror på oerfarenheten hos användare samt leverantörer av tjänster när det gäller att förhindra och hantera olika typer av attacker på internet.
1.2 PROBLEMBESKRIVNING
Kritzinger och von Solms (2010) menar att hemanvändare är särskilt sårbara för identitetsstöl-der på internet. Detta finns det enligt dem många faktorer som bidrar till där en av de väsent-ligaste faktorerna är att hemanvändare ofta är omedvetna om de risker som tillkommer vid an-vändningen av internet och vad som krävs för att de skall kunna skydda sin personliga inform-ation. Privatpersoner erbjuds ingen säkerhetsträning och har inte heller någon teknisk personal som arbetar för att säkra deras användning av internet likt de anställda på ett företag (Anderson & Agarwal, 2010). De måste istället själva ta ansvar över deras säkerhet på internet och vidta de skyddsåtgärder som krävs för att skydda sig. Detta kräver en viss kunskap både kring de tekniska skyddsåtgärder som finns men även kring hur vi själva kan bete oss för att på bästa sätt skydda oss vid användningen av internet. Vilken kunskap har privatpersoner kring dessa områden och var existerar det brister?
Endast hälften av svenskarna använder sig av tekniska skyddsåtgärder för att skydda sig mot identitetsstölder på internet medan en fjärdedel inte själva vet om de använder sig av några sådana (Nuance Communication, 2010). En studie genomförd av National Cyber Security Al-liance år 2004 visade på att majoriteten av internetanvändare inte förstår de skyddsåtgärder som de känner till (Lee, Larose & Rifon, 2008). Beror den låga användningen av skyddsåtgärder på en okunnighet kring dessa eller finns det andra underliggande faktorer som bidrar till denna? Identitetsstölder kan ha allvarliga konsekvenser för den drabbade och det krävs ofta mycket tid och pengar för att offret skall kunna återhämta sig efteråt (Sweeney, 2006). Men samtidigt som identitetsstölder ökar på internet visar siffror på att mindre än 40 % av den svenska befolk-ningen känner sig oroliga för denna typ av stöld (Nuance Communication, 2010). Detta är oro-väckande då studier pekar på att individer som oroar sig mindre för identitetsstölder löper en större risk att drabbas (Gilbert & Archer, 2012). Varför känner sig inte fler individer oroliga över att drabbas av brottet när det ständigt ökar? Detta väcker funderingar om det finns en kunskapsbrist kring identitetsstölder, dess konsekvenser och utbredning.
1.3 SYFTE
3
1.4 FOSKNINGSFRÅGOR
Vilka skyddsåtgärder vidtar privatpersoner för att skydda sin identitet vid användningen av internet?
Finns det skyddsåtgärder som privatpersoner har kunskap om men som de inte vidtar och i sådana fall varför?
1.5 AVGRÄNSNINGAR
4
2 TEORI
KAPITLET PRESEN TERAR DEN TEOR ETISKA REFER ENSRA M AV B EFINTLIG TEORI SO M AN-VÄND S I STUD IENS IN S A MLING O CH ANA LYS A V D ATA .
2.1 INTERNET
Studien behandlar de identitetsstölder som sker på internet, något som gör det viktigt att förklara internet som begrepp. Det är även viktigt att beskriva den digitala identitet som vi förfogar över vid användningen av internet.
Nätverk möjliggör delning av information (Brookshear, 2009). De består av datorer som är kopplade till varandra på så vis att data kan skickas mellan dessa. Internet är ett nätverk vilket består av miljontals små nätverk som kan kommunicera med varandra (Whitman, Mattord, Mackey & Green, 2013). När en dator är uppkopplad till ett nätverk så finns det en möjlighet till att denna blir offer för obehörig åtkomst och skadegörelse (Brookshear, 2009). Att stänga av datorn då denna inte används är därför viktigt för att skydda sig mot de hot som uppstår i samband med en uppkoppling till internet (National Cyber Security Alliance, 2014).
2.1.1 DIGITAL IDENTITET
Alla människor har vi en identitet vilken gör oss unika. Även vid användningen av internet förfogar vi över en identitet, vår digitala identitet. Denna kan enligt Takahashi och Bertino (2011) användas för olika ändamål. Den kan användas för att fastställa vår identitet såsom ett pass eller för att fastställa vår behörighet likt ett körkort. Takahashi och Bertino delar in den digitala identiteten i fyra olika typer av information:
Beskrivande information såsom namn, personnummer och passnummer.
Biometrisk information såsom fingeravtryck.
Information kring användaraktiviteter såsom sökningar på internet och transaktioner i e-handel.
Identifierare såsom inloggningsuppgifter och pseudonymer som individen använder för att interagera med system samt med andra individer på internet.
2.2 IDENTITETSSTÖLD
En identitetsstöld innebär en olaglig användning av en annan individs personuppgifter (Copes & Vie-raitis, 2009; White & Fisher, 2008). För att undersöka vilken kunskap privatpersoner förfogar över kring dessa krävs det inledningsvis en förståelse för identitetsstöldernas förfarande och konsekven-ser.
5
Offer för identitetsstölder är ofta inte medvetna om att de har drabbats (Milne, 2003) och det kan dröja flera månader innan de upptäcker detta (Merritt, 2014). Det är därför viktigt att pri-vatpersoner övervakar sina konton och kreditupplysningar regelbundet. När offret väl har upp-täckt att hon eller han har drabbats krävs både en stor del tid och pengar för att offret skall kunna återhämta sig (Sweeney, 2006; White & Fisher, 2008). Den drabbade kan tvingas att ta ledigt från sitt arbete för att kräva rättelse av felaktiga uppgifter hos myndigheter eller företag (SOU 2013:85). Identitetsstölder kan dock även ha andra konsekvenser på de drabbade än tids-mässiga och ekonomiska. De kan uppleva ett antal negativa känslotillstånd såsom förnekelse, misstro och ilska (Foley, Barney, Foley, Lee, Fergerson, Sarrel, Nelson & Frank, 2009). Det sistnämnda tillståndet kan ha sitt ursprung i övertygelsen om att man själv aldrig skulle kunna drabbas av en identitetsstöld. De drabbade kan även känna sig otrygga samt uppleva hela situ-ationen som kränkande (SOU 2013:85).
Takahashi & Bertino (2011) menar att identitetsstölder kan begås av olika skäl och delar in dessa i tre olika kategorier. De kan begås av ekonomiska skäl där någon annans identitet an-vänds för att erhålla tjänster, varor eller ekonomiska resurser. De kan begås av kriminella skäl för att inte bli gripen för ett brott som man har begått. Här framställer sig brottslingen istället som någon annan. De kan även begås för att helt enkelt anta någon annans identitet och kallas då identitets kloning.
Det finns olika sätt att begå en identitetsstöld på internet. Alla identitetsstölder innefattar dock ett antal moment där gärningsmannen först måste få tillgång till personuppgifterna och därefter använda dem (SOU 2013:85). Nedan följer tre av de vanligaste metoderna som kan användas i kombination eller var för sig för att inledningsvis få tag i offrets personuppgifter.
2.2.1 SOCIAL ENGINEERING
Vid social engineering används den sociala förmågan för att övertyga människor att ge ut in-formation till angriparen (Whitman et al., 2013). Social engineering kan ta många olika former där phishing och advance fee scam är några av de vanligaste.
Vid phishing eller nätfiske som det kallas på svenska försöker angriparen att hämta känsliga uppgifter från användaren genom att imitera elektronisk kommunikation från en källa som off-ret anser är tillförlitlig (Larson, 2010). Det finns en mängd olika typer av nätfiske och de ut-vecklas ständigt (Dwan, 2004). Många härstammar i e-post och kan gå till på så sätt att använ-daren vidarebefordras till ett företags webbplats som är identisk med den som använanvän-daren van-ligtvis besöker vid användning av företagets tjänster. Andra kan vidarebefordra användaren till ett företags legitima webbplats för att därefter be användaren att mata in uppgifter i ett pop-up formulär som sedan kan urskiljas av angriparen.
6 2.2.2 SPAM
Spam är oönskad e-post som kan leda användaren till webbsidor som installerar skadlig pro-gramvara och spionprogram på användarens dator (Furnell & Dowland, 2008). De vanligaste typerna av spam berör hälsoprodukter och kommersiella produkter. De kan innehålla bilagor med skadlig programvara som installeras på datorn i de fall då offret väljer att öppna dem (Whitman et al., 2013). Det kan vara väldigt svårt att urskilja ett spam och även experter inom området anser att det ibland kan vara svårt att se skillnad på dessa och legitim e-post (Dwan, 2004).
2.2.3 SPYWARE
Spyware eller spionprogram som de kallas på svenska installeras på datorn genom att användare öppnar eller laddar ner bilagor från e-post eller webbplatser (Biegelman, 2009). Detta lockas användarna till genom frestande erbjudanden såsom gratis musik. Dessa spionprogram kan där-efter användas för att samla in personliga uppgifter från offret. Detta bland annat genom att registrera användarens tangenttryckningar och på så sätt komma över lösenord, bankkontoupp-gifter och andra känsliga uppbankkontoupp-gifter. På United States Computer Emergency Readiness Team’s webbplats kan man urskilja ett antal kännetecken som kan indikera på att ett spyware har in-stallerats på en dator (McDowell & Lytle, 2009). Exempel på dessa är:
Ständigt uppkommande pop-up fönster.
Nya verktygsfält visas i webbläsaren.
Omdirigering till andra webbplatser än de som matats in i adressfältet.
Webbläsarens startsida har förändrats.
Nya ikoner visas i aktivitetsfältet.
Datorn förefaller plötsligt väldigt långsam när du öppnar program och bearbetar upp-gifter.
2.3 SÄKERHETSMEDVETENHET
Inom företag används ofta begreppet säkerhetsmedvetenhet när man talar om att mäta och öka den kunskap och inställning som de anställda förfogar över kring säkerhet. Begreppet kan även applice-ras i studiens hemanvändarperspektiv och är därför viktigt att bilda sig en förståelse om.
7
För att öka en individs säkerhetsmedvetenhet kan verktyg såsom policys, riktlinjer och kurser användas (Kritzinger och von Solms, 2010). Dessa verktyg används ofta i företag för att minska på säkerhetsrisker (Anderson & Agarwal, 2010). Exempelvis kan de anställda tränas i hur tek-nologi används på ett lämpligt sätt. Såsom de anställda i ett företag har hemanvändare dock ingen tredje part som ser till att de tillämpar dessa verktyg och därför ansvarar de i stället själva över detta.
2.4 TEKNISKA SKYDDSÅTGÄRDER
För att kunna skydda oss mot de olika metoder som används för att stjäla personuppgifter på inter-net krävs det att vi vidtar tekniska skyddsåtgärder som försvårar möjligheten för angripare att ge-nomföra denna typ av stöld.
Enligt Holt och Turner (2012) är det viktigt att använda sig av olika former av skyddande pro-gramvara för att möjliggöra en ökad motståndskraft mot identitetsstölder.
Antivirus, adware och antispyware är närbesläktad mjukvara som används för att identifiera och ta bort skadlig programvara från datorer (Holt & Turner, 2012). Mjukvaran minskar även sannolikheten för att den skadliga programvaran installeras på datorn inledningsvis. Det är dock viktigt att denna även genomför fullständiga genomsökningar av datorns filer då vissa av dessa mjukvaror inte kan hitta spyware när de övervakar en dator i realtid (McDowell & Lytle, 2009). Därför kan det vara bra att schemalägga regelbundna automatiska genomsökningar i mjukva-rans inställningar.
För att minska alla typer av attacker vid uppkopplingen till internet är det viktigt att användaren förfogar över en lämplig brandvägg (Biegelman, 2009). Denna filtrerar den nätverkstrafik som når fram till datorn och ger omedelbara varningar vid skadlig programvara, något som stödjer användaren i att skydda sig mot identitetsstölder (Holt & Turner, 2012). För att brandväggen skall kunna skydda datorn mot alla typer av attacker måste den dock vara korrekt installerad (Brookshear, 2009). Det är viktigt att den alltid är aktiverad då datorn kan bli mer sårbar för skadlig programvara i de fall då brandväggen stängs av (Windows, 2014).
8
att så mycket som 45.2 % av internetanvändarna inte har den senaste och mest säkra versionen av webbläsare.
För att förhindra att angripare får tillgång till den information som finns på datorn är det viktigt att säkra sin router (National Cyber Security Alliance, 2014). Detta kan bland annat ske genom att ändra det förinställda lösenordet för routern till ett starkare lösenord.
Marshall och Tompsett (2005) menar att även om användaren vidtar tekniska skyddsåtgärder såsom antivirus program och brandvägg är det möjligt att attacker kan ske. De tekniska skydds-åtgärderna är reaktiva och de tenderar därför att inte arbeta lika snabbt vid de tillfällen då at-tacker äger rum. Därutöver kan dessa program endast identifiera de atat-tacker som de redan kän-ner till genom de uppdateringar som behöver ske konstant (Brookshear, 2009). En dator måste ha blivit attackerad av ett virus innan ett skydd mot detta kan skapas, något som kan liknas med hur ett vaccin endast kan produceras när en individ redan har blivit smittad av ett virus. Detta är något som är viktigt att ha i åtanke som användare. Om en användare känner sig helt skyddad och därför tar risker som han eller hon inte skulle ha tagit i vanliga fall så finns det en stor möjlighet att användaren drabbas av en identitetsstöld genom att angriparen infekterar datorn och därefter hämtar uppgifter från denna (Marshall & Tompsett, 2005).
2.5 SÄKERT BETEENDE VID ANVÄNDNINGEN AV INTERNETS TJÄNSTER
E-handel och sociala nätverk är två av de tjänster som ständigt ökar i användning bland Sveriges befolkning (Findahl, 2014). Att läsa och skriva e-post samt att genomföra bankärenden är även de aktiviteter som vi genomför ofta. Då användningen av dessa tjänster kan bidra till att vi drabbas av en identitetsstöld är det viktigt att titta på vad vi bör känna till för att skydda vår identitet under denna.
Ansvaret för att förhindra identitetsstölder ligger enligt Norm (2012) på tre olika grupper. Dessa grupper består av konsumenter som tillhandahåller sin information, organisationer som samlar in och använder denna och de lagstiftande organen som reglerar hantering av informationen. Norm menar att om vi konsumenter inte agerar säkerhetsmedvetet tjänar det inte heller någon-ting till hur väl de andra två grupperna än försöker att förhindra brottet.
2.5.1 E-HANDEL OCH BANKTJÄNSTER
I och med att transaktioner av känsliga uppgifter sker både i e-handel och vid användningen av banktjänster så kan liknande riktlinjer följas för att skydda sin identitet vid användningen av dessa.
9
Vid e-handel kan användaren även skydda sig genom att undersöka det företag som hon eller han planerar att handla ifrån (National Cyber Security Alliance, 2014). Användaren kan bland annat söka efter recensioner och omdömen om företaget.
2.5.2 SOCIALA NÄTVERK
Furnell och Botha (2011) menar att människor delar sin personliga information alltför fritt på sociala nätverk. En kombination av födelsedatum, kontaktinformation och familjeuppgifter kan stödja angriparen i att genomföra en identitetsstöld. Sociala nätverk erbjuder ofta sina använ-dare någon typ av inställning där använanvän-daren kan ange hur personlig information skall delas. Furnell och Botha menar att användare dock sällan inser att dessa inställningar existerar och att de i många fall saknar förståelse för hur inställningarna kan användas.
Facebook är ett stort socialt nätverk som används av många människor världen över. För att användare skall kunna skydda sin personliga information erbjuder Facebook inställningar som fastställer vem som kan ta del av användarens olika typer av information (Furnell & Botha, 2011). Användaren kan välja på att en typ av information skall vara synlig för alla, endast för vänner, för vänners vänner eller för ett skräddarsytt antal individer.
2.5.3 E-POST
De flesta av oss får en stor mängd e-post skickade till oss dagligen. Många av dessa kan vara skadliga och resultera i att vår identitet blir stulen om vi inte antar ett säkert beteende vid vändningen av tjänsten. Ett sätt att förhindra de skadliga varianterna från att öppnas är att an-vända sig av e-post filtrering och på så sätt filtrera bort dessa så att de inte mottas av anan-vändaren (Davinson & Sillence, 2010).
Det är viktigt att användare är väldigt försiktiga när de väljer att öppna e-post bilagor då dessa kan innehålla skadlig programvara (Bradley, 2006). Enligt Biegelman (2009) bör användare alltid vara misstänksamma mot oönskad e-post som ber dem att mata in personliga uppgifter. Dessa meddelanden innehåller ofta en länk som vidarebefordrar användaren till en webbplats där denne uppmanas att mata in personliga uppgifter. Enligt Biegelman så ber organisationer och myndigheter i regel inte privatpersoner att skicka personliga uppgifter via e-post.
2.6 MÄNSKLIGA FAKTORN
Människor kan ofta sägas vara den svagaste länken ur ett säkerhetsperspektiv, något som gör det viktigt att titta på användarens egen förmåga och begränsning när det gäller att skydda sin identitet på internet.
10
Vi människor har en begränsad kapacitet att minnas. Detta gör det viktigt att de säkerhetssteg som hemanvändare måste genomföra i sina datorer är enkla, förståeliga samt lätta att upprepa (Partida & Andina, 2010). Furnell (2006) menar att majoriteten av hemanvändare endast kan utföra en liten del av alla de konfigurations- och underhållsåtgärder som krävs för att de skall kunna skydda sig mot de hot som internets användning medför.
Brookshear (2009) menar att även då de tekniska skyddsåtgärderna kan vara väldigt komplexa för en användare att vidta så är det användarens oförsiktighet som är ett av de största hindren för ett bra skydd. Användare väljer enkla lösenord, de delar dem med vänner och de ändrar dem inte i god tid. De installerar även okända program på datorn, något man inte bör göra utan att ha försäkrat tillförlitligheten för dessa först.
Ett bra lösenord består inte av ett ord eller en fras som enkelt kan förknippas med användaren enligt Biegelman (2009). Lösenord skall vara långa och innehålla en variation av tecken. Det är även viktigt att skapa olika lösenord för olika konton (National Cyber Security Alliance, 2014). En studie genomförd av Tam, Glassman och Vandenwauver (2010) visar på att använ-dare har en god förståelse för vad som utgör ett bra lösenord och vad som utgör ett mindre bra lösenord, men att de på grund av rädslan för att glömma bort lösenorden väljer enklare och mindre bra varianter istället.
Enligt Biegelman (2009) är det viktigt att användaren byter lösenord ofta. Tam, Glassman och Vandenwauver (2010) menar på att även om användare känner till metoder för bra lösenords-hantering så väljer de att inte följa dessa av bekvämlighetsskäl och i de fall då de inte upplever att de själva kommer att drabbas av negativa konsekvenser. Därför menar de att det är viktigt att göra användaren medveten om de negativa konsekvenser som en dålig lösenordshantering kan medföra.
2.7 VARFÖR VÄLJER EN INDIVID ATT SKYDDA SIG ELLER INTE?
Utövandet av ett säkerhetsbeteende är något som vi människor motiveras till av olika skäl. För att förstå varför en individ väljer att inte vidta skyddsåtgärder krävs det att vi tittar på de faktorer som påverkar valet.
Furnell och Clarke (2012) menar att det finns en grupp av användare som är medvetna om risker och vet hur de kan skydda sig men som ändå väljer att inte göra detta. Denna grupp av använ-dare utgör enligt dem en stor utmaning då det krävs en förståelse för deras underliggande psy-kologi.
11
2.7.1 PROTECTION MOTIVATION THEORY
Protection motivation theory (PMT) formulerades 1975 av Ronald W. Rogers och användes till en början av forskare inom hälsovården för att kunna förklara på vilket sätt människor förändrar sina hälsobeteenden som svar på besked om hälsorisker (Lee, Larose & Rifon, 2008). PMT menar att vår kognitiva bedömning av ett hot kan väcka en önskan att skydda oss vilket kan resultera i faktiska försök till detta. PMT har under åren fått en bred användning och har appli-cerats i olika typer av forskning. Forskning inom informationssäkerhet och säkerhetsbeteende hos internetanvändare har använt teorin flitigt (Lee, Larose & Rifon, 2008; Anderson & Agarwal, 2010; Cheolho, Jae-Won & Rosemary 2012; Komatsu, Takagi & Takemura, 2013; Gurung, Luo & Liao, 2009). Av denna anledning samt då PMT sägs vara den mest kraftfulla förklarande teorin för förutsägning av avsikter att vidta skyddsåtgärder (Anderson & Agarwal, 2010) kommer teorin att användas i denna studie för att skapa en förståelse för varför privat-personer väljer att inte vidta skyddsåtgärder som de förfogar en kunskap om.
FIGUR 1. PROTECTION MOTIVATION THEORY OCH DESS KOMPONENTER
Teorin består av sex olika komponenter vilka påverkar individens avsikt att skydda sig när denne upplever ett hot. Med upplevd allvarlighetsgrad avses hur pass allvarligt hotet upplevs. Med upplevd sårbarhet åsyftas den grad till vilken en individ känner att hotet kommer att in-träffa. Med upplevd responseffektivitet avses den upplevda effektiviteten av de förebyggande åtgärder som rekommenderas för att minska på eller eliminera skadliga hot. Med upplevd
12
13
3 METOD
DETTA KAPITEL INN EHÅ LLER EN B ESKRIVN IN G A V DEN FOR SKN IN GSMETO D SOM AN VÄ NDS I STUD IEN SA MT MO TIVER ING TILL VA LE T A V DEN NA . KAPITLET BEHA NDLAR ÄVEN HUR VA
-LET AV METOD KO MMER ATT PÅVERKA STUD IENS VALID ITET SA MT R ELIA B ILITET.
3.1 FORSKNINGSANSATS
De två huvudsakliga forskningsansatserna som används för att bedöma förhållandet mellan te-ori och forskning är induktiv och deduktiv tete-ori (Bryman & Bell, 2013). Studien innehar en deduktiv ansats. Det krävdes inledningsvis en god förståelse för området för att jag skulle ha möjlighet att utforma en studie som undersöker vilken kunskap privatpersoner förfogar över kring identitetsstölder på internet samt tillgängliga skyddsåtgärder. Studier med en deduktiv ansats inleds med att ett ramverk av befintlig teori skapas (Bryman & Bell, 2013), något som givit mig en bra kännedom kring ämnet. Det teoretiska ramverket styr sedan hur insamlings-processen av studiens data går till och testas slutligen mot empirin (Bryman & Bell, 2013). I och med den ökade förståelsen i ämnet har det teoretiska ramverket bidragit till att de frågor som utformats för att användas i datainsamlingsprocessen erhållit högre validitet. Studier med en induktiv ansats inleds istället med en undersökning varifrån ny teori skapas genom att man drar generaliserbara slutsatser från undersökningens resultat (Bryman & Bell, 2013).
3.2 FORSKNINGSSTRATEGI
En studies forskningsstrategi styr insamlingsprocessen och analysen av data (Saunders, Lewis & Thornhill, 2009). Studien använder sig av en kvalitativ forskningsstrategi. Jag ville skapa en djup förståelse för mina respondenters kunskap kring identitetsstölder och dess skyddsåtgärder och var därför intresserad av deras egna upplevelser, något som är möjligt i den kvalitativa forskningen som betonar hur individen uppfattar och tolkar sin sociala verklighet (Bryman & Bell, 2013). Kvalitativ forskning fokuserar på icke-numerisk data såsom ord. Intervju är en vanlig datainsamlingsmetod inom denna och som analysmetod används ofta kategorisering av data. Kvantitativ forskning fokuserar istället på numerisk data där enkäter vanligen används för insamlingen av data och statistik och grafer för analyseringen av denna. Om valet hade legat på en kvantitativ forskningsstrategi hade resultatet från undersökningen saknat djup.
3.3 FALLSTUDIE
14
3.4 LITTERATURGENOMGÅNG
För att kunna ta fram den teoretiska referensram som skulle skapa en djupare förståelse kring området och därefter användas vid utformningen av datainsamlingsprocessens frågor samt vid analysen av framtagen data genomfördes en litteraturgenomgång. Denna bestod utav sökningar efter relevant teori för att kunna skapa mig en bild av vad kunskap inom identitetsstölder och dess skyddsåtgärder inrymmer samt varför individer väljer att skydda sig eller inte. Sökningarna genomfördes främst i Luleå Tekniska Universitets biblioteksdatabas Primo men även i Google Scholar samt i Google Books. Sökord användes i kombination och inkluderar bland annat ”iden-tity theft”, ”iden”iden-tity fraud”, ”cybercrime”, ”security online”, ”home user”, ”internet security”, ”security awareness”, ”protective behavior”, ”safeguard” samt ”protective measures”. Vid sök-ningar av vetenskapliga artiklar kontrollerades att dessa var referentgranskade i syfte att upp-rätthålla vetenskaplig standard.
3.5 URVAL
Vid valet av de respondenter som skulle stå för undersökningens data genomfördes ett bekväm-lighetsurval på fem respondenter. Ett bekvämbekväm-lighetsurval innebär ett urval av de individer som finns tillgängliga för forskaren under studien (Bryman & Bell, 2013). Valet av urval skedde utifrån de möjligheter jag som forskare hade att genomföra undersökningen med den in-samlingsmetod som valts. Respondenterna förfogar därför över någon typ av anknytning till mig. De krav som jag utgick från vid valet av respondenter var att dessa använder sig av internet i hemmet via datorer.
3.6 DATAINSAMLING
Intervju är den mest använda metoden i kvalitativ forskning och en bra metod för att erhålla ingående och utförliga svar (Bryman & Bell, 2013). Detta passade min studie då jag ville erhålla en djup förståelse för privatpersoners kunskap kring identitetsstölder och de skyddsåtgärder som finns.
15
Fem intervjuer genomfördes i var och en av respondenternas hemmiljö. Detta då jag ville skapa en lugn och ostörd miljö där respondenten kunde känna sig bekväm samtidigt som vi båda kunde fokusera på intervjun. Att miljön för intervjuerna var stillsam var även viktigt då dessa spelades in och för att på så sätt inte reducera kvaliteten på inspelningarna (Saunders et al., 2009).
Inspelningarna skedde med hjälp av min mobiltelefon. En fördel med att spela in intervjuer är att forskaren kan koncentrera sig på att ställa frågor och lyssna på respondenten (Saunders et al.,2009). Detta var viktigt i min studie då det uppkom frågor som inte fanns med i intervju-guiden men som kunde fånga upp intressanta aspekter och därför krävdes det att jag fokuserade på respondentens svar under intervjuns förlopp. I semistrukturerade intervjuer är det respon-dentens ståndpunkter som är viktiga och därför skall intervjun helst röra sig i olika riktningar beroende på vad denne tycker är relevant (Bryman & Bell, 2013).
3.6.1 TRANSKRIBERING
Då intervjuerna spelades in behövdes därefter transkribering av dessa ske där intervjun återgavs i ord. Denna aktivitet är väldigt tidskostsam och ska helst ske så fort som möjligt efter det att intervjun har skett för att undvika en ansamling av inspelningar (Saunders et al.,2009). Tran-skriberingen av undersökningens intervjuer skedde i god tid av denna anledning men även då det var möjligt att jag genom tidiga transkriberingar kunde upptäcka nya teman som var intres-santa att gå in på under de resterande intervjuerna (Bryman & Bell, 2013).
3.7 ANALYS AV DATA
16
FIGUR 2. KATEGORISERING AV INSAMLAD DATA.
Då studien är av deduktiv ansats användes mitt teoretiska ramverk vid analysen av data. Ram-verket användes för att inledningsvis utforma kategorier. Detta genom att jag utgick från ram-verkets olika kapitel och delade in deras textinnehåll i olika sammanhängande delar från vilka jag utformade kategorier genom att rubricera dessa. Exempel på kategorier som härleddes från kapitlet 2.2, vilket berör identitetsstöldernas förfarande och konsekvenser, är ”Definition av identitetsstöld”, ”Upptäckten av en identitetsstöld”, ”Konsekvenser av en identitetsstöld” samt ”Skäl till att begå en identitetsstöld”. Därefter inleddes en genomgång av de transkriberingar som intervjuerna resulterat i. Här fästes relevanta delar av de data som samlats in till de kate-gorier som skapats. Delar av dessa data kunde vara meningar, ord eller hela paragrafer. Även ett fåtal nya kategorier som härleddes från intervjuernas insamlade data uppstod under proces-sen. Exempel på sådana kategorier är ”Brottets allvarlighetsgrad”, ”Varför brottet ökar” samt ”Har drabbats eller känner någon som drabbats”. Avslutningsvis kunde jag sedan urskilja relat-ioner mellan befintlig teori och empiri genom att jämföra kategorierna och de data som fästs till dessa med det textinnehåll i det teoretiska ramverket varifrån kategorierna till en början härletts. De likheter och olikheter som funnits har sedan lyfts fram i rapportens analyskapitel och leder till de slutsatser som presenteras i rapportens senare del. När de gällde de kategorier som hade härletts från intervjuernas data kunde mestadels relevanta delar av det teoretiska ram-verket fästas till dessa. I ett fall fick jag genomföra fortsatta sökningar efter relevant litteratur som kunde relatera till kategorin.
Utforma kategorier från teoretiskt
ramverk
Genomgång av transkriberingar
Fästa relevant data till kategorier
Jämföra kategorier-nas data med
rela-terad teori
17
3.8 VALIDITET OCH RELIABILITET
Validitet handlar om huruvida man observerar, identifierar eller mäter det man säger sig mäta (Bryman & Bell, 2013). Här tittar forskaren på om resultaten från en undersökning hänger ihop eller inte. Reliabilitet visar på om en undersöknings resultat skulle bli detsamma om undersök-ningen genomfördes på nytt.
3.8.1 VALIDITET
I och med att studien använde personliga intervjuer som datainsamlingsmetod så kunde jag säkerställa att de svar som utformar studiens insamlade data härstammar från de respondenter som intervjuats. Hade enkäter istället använts skulle det inte ha varit möjlighet att kontrollera att en enkät fyllts i av en enda individ (Saunders et al.,2009). För att kunna presentera bra och relevanta slutsatser krävs det att svaren kan kopplas till en och samma individ så möjliga sam-band kan urskiljas.
De teman som intervjuguiden innehåller stärkte studiens validitet genom att intervjuerna inte förlorade fokus från det som studien vill svara på (Saunders et al.,2009), något som är möjligt vid semistrukturerade intervjuer där olika riktningar kan tas beroende på vad respondenten an-ser är relevant.
Extern validitet handlar om huruvida resultaten från en undersökning kan generaliseras (Bry-man & Bell, 2013). Studien förfogar över låg extern validitet och kan därpå inte generaliseras. Detta då studien bestod utav en fallstudie, något som enligt Bryman och Bell (2013) medför en avsaknad av generaliserbarhet, men även då den urvalsstrategi som användes är en typ av icke-sannolikhetsurval (Bryman & Bell, 2013).
3.8.2 RELIABILITET
I och med bristen på standardisering i de semistrukturerade intervjuer som används som data-insamlingsmetod är det inte realistiskt att säga att studien skulle kunna upprepas och visa på samma resultat (Saunders et al.,2009). För att ge forskare en möjlighet att ta del av och förstå hur studien genomförts och på så sätt stärka studiens reliabilitet har valet av forskningsmetod och motiveringen till detta beskrivits detaljerat.
18
4 EMPIRI
DETTA KAPITEL PRESEN TERAR RESULTA T ET FRÅ N DEN DA TAINSA MLING SOM SKETT I FORM AV INTERVJUER . DE FEM RESPO NDEN TERN A B ESTOD UTA V FREDR I K, EMIL, ANNA, LISA O CH
EVA .
4.1 ANVÄNDNING AV INTERNET
Samtliga av de fem respondenterna använder sig dagligen av internet i hemmet. Fredrik och Emil kopplar även upp sig till internet via datorer på sina arbetsplatser. De har enligt dem själva en relativt god datorvana medan de övriga respondenterna anser sig ha en medioker sådan. Tjänster som samtliga använder sig av är e-handel, sociala nätverk, e-post och banktjänster. Annan användning av internet som nämns är att söka fram information samt att läsa nyheter. Den digitala identiteten anser respondenterna består av något som knyter an till dem själva som individer under deras användning av internet. Eva definierar begreppet som ”ditt namn, person-nummer och bankkonto”. Lisa anser att hennes profil på Facebook utgör en del av hennes digi-tala identitet. Fredrik menar att hans inloggningsuppgifter till olika konton tillhör denna. Endast Lisa känner sig helt säker vid användningen av internet och anser sig känna till de risker som internet för med sig. Detta då hon menar att hon kan utläsa sådant som hon bör vara obser-vant på via sin banks hemsida. Ingen av de övriga respondenterna känner sig säker vid använd-ningen. De anser inte att de har kännedom om samtliga risker som internet medför. Eva påpekar att ”säker kan man ju aldrig vara”.
Emil är den enda av respondenterna som stänger av datorn när denna inte används. Han menar att sannolikheten är större att han kan drabbas av negativa konsekvenser såsom en identitets-stöld genom att lämna datorn på när han inte använder sig av denna. Detta genom de personliga uppgifter som finns sparade på hans dator. De resterande respondenterna låter sina datorer vara på under stora delar av dagen och kopplar inte heller ner dessa från internet under tiden. De anser inte att detta är något som är negativt ur ett säkerhetsperspektiv.
4.2 IDENTITETSSTÖLD
En identitetsstöld definieras av respondenterna på olika sätt men med vissa likheter. De anser att den innebär att någon använder en annan individs uppgifter för egen vinning. Emil har läst om fenomenet i tidningar och förklarar det som ”att nå[go]n ger sig ut på internet i mitt namn eller i egenskap av mig på något sätt utan mitt medgivande”.
19
Respondenterna anser att de först i efterhand skulle kunna märka att en identitetsstöld har in-träffat och detta genom de banktransaktioner som skett. Fredrik menar att detta även kan ur-skiljas i våra användaraktiviteter:
[…] ett sätt är väl kanske att man märker när man … om det finns en så[da]n sida som man kan se när man senast var inloggad så kanske man ser att man varit inloggad på nå[go]t … vid nå[go]t tillfälle när man inte har varit det … Facebook har ju en varning som säger till om man loggar in från någ[go]t utomstående … ip adress till exempel då får man en varning.
När det gäller vilka konsekvenser som en identitetsstöld kan få för den drabbade menar respon-denterna att förutom ekonomiska sådana så kan en identitetstöld även medföra sociala konse-kvenser och att offret känner sig kränkt. Fredrik förtydligar:
Kränkt … man kan bli kränkt och man kan … nå[go]n kan ju säga att man är … göra så att du går in på pedofilsidor till exempel så att du blir stämplad som pedofil eller vad som helst.
Respondenterna är eniga om att identitetsstölder är väldigt allvarliga även om Fredrik anser att brottet antagligen inte är lika allvarligt i västvärlden som i de länder där internet är under ut-veckling. Detta då han anser att individerna där inte har en tillräcklig medvetenhet kring iden-titetsstölder. Lisa som anser att konsekvenserna för den drabbade är långvariga förklarar hur allvarliga hon tycker att identitetsstölder är:
Mycket allvarliga för det blir ett helvete för dom som får sin identitet … jag har läst om dom att dom får ju år … dom får skulder i kronofogden och … ja nej jag tror att det är väldigt allvarligt.
Enligt respondenterna begår angriparen identitetsstölder främst av ekonomiska skäl. Anna me-nar att en annan anledning kan vara för att skydda sin egen identitet. Fredrik anser att ett skäl till att begå en identitetsstöld kan vara att skoja med sina vänner.
Att identitetsstölder ökar menar Lisa beror på att angriparnas kunnighet kring datorer ständigt utvecklas. Eva menar istället att tillgängligheten spelar en stor roll och förklarar det som att ”allting finns tillgängligt på internet nu […] alla folks och allas information finns tillgänglig och asså just med typ att det finns internetshopping nu [och] folk handlar på internet […]”. Vid frågan om respondenterna anser att vi människor bidrar till ökningen så menar ett flertal re-spondenter att vi gör detta på grund av bristande kunskap kring fenomenet men även då vi använder oss av internet och dess tjänster i en så stor utsträckning nuförtiden.
Lisa anser att identitetsstölder sker genom hackers som tar sig in på någons konto. Fredrik me-nar att det kan vara något program på datorn som registrerar knapptrycken och på så vis även de känsliga uppgifter som användaren knappar in. Anna och Eva anser att identitetsstölder sker via e-post. Eva förklarar det som:
20
att folk går ju på dom och jag vet inte vad det är dom ger ut men det är väl bankkon-tonummer eller nå[go]t så[da]nt där.
När angriparen väl har fått tag på offrets identitet menar respondenterna att den oftast används för att ta lån och för att tömma bankkonton. Lisa menar att den även kan användas för att köpa saker:
[…] att gå in på min bank och föra över pengar … nej att använda min identitet och köpa … köpa saker … det är väl det jag kan tänka mig [att] han kan göra […]
Ingen av respondenterna anser sig känna till någon metod som kan användas av angriparen för att få tag på personuppgifter på internet. När de olika metoderna nämns menar flera av dem dock att de känner till spam. Lisa förklarar att spam är ”nå[go]t reklamutskick som man bom-barderas med”. Emil anser sig känna till vad phishing är och beskriver det som ”att nå[go]n lockar en att gå in i en sida med … den erbjuder nå[go]nting och därmed får [man] virus med sig tillbaka”. Han menar även att han har kännedom om spyware och förklarar det som ett program som skickar information från hans dator till angriparen. Även Eva menar att hon har en viss kännedom om vad detta innebär och beskriver istället spyware som:
Ja [skratt] genom att lyssna på namnet så är det väl nå[go]t … så[da]nt där … kanske som dom kan lägga i datan och in genom … jag vet ju att man kan ta över folks datorer och så[da]nt där om det är nå[go]t så[da]nt.
Efter att ha fått det förklarat vad ett spyware är menar samtliga respondenter att man kan märka att ett sådant installerats på datorn genom att virusprogrammet säger till. Emil och Fredrik me-nar även att det kan upplevas en tröghet hos datorn. Emil förklarar ”ibland blir datorn slöare och slöare och … jag antar att det är nå[go]nting som tillkommit i maskinen utan min vetskap”. Samtliga respondenter anser att en identitetsstöld skulle kunna drabba vem som helst och även dem själva. Lisa menar att ”jag tror det kan drabba alla … varför skulle inte jag kunna bli drabbad av det?”. Även om respondenterna menar att vem som helst kan drabbas så är de eniga om att risken att drabbas är liten. Ingen av respondenterna känner sig orolig för att drabbas, något som de menar beror på att de inte anser att identitetsstölder är ett vanligt förekommande fenomen.
4.3 SÄKERHETSMEDVETENHET
Fredrik anser att han är säkerhetsmedveten när det gäller identitetsstölder på internet. Han me-nar dock att det är viktigt att man belyser identitetsstölder ytterligare så att både han och andra individer kan skapa sig en bättre förståelse för dessa. Han har däremot svårt att se vems an-svarsområde detta är. De övriga respondenterna anser inte att de är säkerhetsmedvetna gällande identitetsstölder. Lisa och Anna menar att det borde finnas mer information i media. Lisa för-klarar:
21
morgontidning eller kvällstidning men inte genom internet för vem vet om det är sant […]
Den kunskap som respondenterna förfogar över i dagsläget har de erhållit genom sin bekant-skapskrets, genom internet och genom nyheter. Fredrik anser sig ha en bred kunskap i området då han har tillägnat sig denna genom eget intresse. Både han och Emil, som även använder sig av internet på sina arbetsplatser, menar att de som anställda inte har fått genomgå någon typ av träning i hur de kan minska på de säkerhetsrisker som uppstår vid uppkopplingen till internet. Emil menar att han endast har fått ta del av en säkerhetspolicy vid anställningens början men att han inte minns vad som stod i denna. Eva svarar på hur hon har erhållit sin nuvarande kun-skap:
[…] det är så[da]nt man har lärt sig genom andras misstag och som man läser på in-ternet och så[da]nt man fått reda på genom tidningar.
4.4 TEKNISKA SKYDDSÅTGÄRDER
Samtliga respondenter har både antivirusprogram och brandvägg installerade på datorn. Fredrik har även en brandvägg i routern. Eva vill inte betala för sina skyddande mjukvaror och förfogar därför över en gratisversion av antivirusprogram även om hon anser att denna ger henne ett sämre skydd. Emil som har en betalversion menar att pengarna som han investerar är välmoti-verade. Två av respondenterna låter sina familjemedlemmar installera, konfigurera och under-hålla dessa program. Det är endast Fredrik och Emil som anser sig ha en kännedom kring hur programmen fungerar. Lisa beskriver hur hon tror att en brandvägg fungerar:
En brandvägg skyddar ju mot virus det måste väl vara någ[go]t filter […] brandvägg är en tätare vägg [än antivirus] … den filtrerar mer effektivt.
Ingen av respondenterna känner till hur deras brandvägg är installerad. För att brandväggen skall skydda mot att utomstående kan föra in spyware och liknande anser Emil att brandväggen måste vara konfigurerad på ett korrekt sätt. Trots att de känner till att det är riskfyllt stänger både Fredrik och Emil av brandväggen ibland när de skall installera ett program eller genomföra en reparation på datorn.
Fullständiga genomsökningar genomförs av samtliga respondenters antivirusprogram, vare sig det är respondenten själv eller en familjemedlem som realiserar dessa. Fredrik genomför ma-nuella genomsökningar någon gång i månaden. Eva har antivirusprogrammet inställt på att ge-nomföra snabbsökningar men försöker att komma ihåg att gege-nomföra fullständiga genomsök-ningar. Eva menar att ”det är ju inget man kommer ihåg att göra veckovis eller månadsvis … jag vet inte hur ofta man ska göra det heller”.Lisa har antivirusprogrammet inställt på att ge-nomföra automatiska genomsökningar en gång i veckan och anser att detta bör göras för att ”det inte ska komma in virus som gör att det sätter sig på datorn så [att] datorn blir utslagen [så] att man inte kan arbeta med datorn”.
22
mot identitetsstölder genom vidtagandet av dessa. Lisa tror inte att skyddsåtgärderna stödjer henne i att skydda sin identitet överhuvudtaget. Emil håller inte med:
Ja de kommer förhoppningsvis förhindra att nå[go]n trojan eller nå[go]n form av icke önskad programvara som installerats på min maskin och skickar över information ut från min dator till den person som skapat … ja virus[et].
Emil och Fredrik menar att de tekniska skyddsåtgärderna belastar deras datorer och att dessa skulle vara mer snabba och effektiva utan mjukvaran. När det gäller uppdatering av antivirus-programmet och brandväggen så uppdaterar samtliga dessa mjukvaror vare sig det genomförs av dem själva eller någon i deras familj. Alla är eniga om att detta är viktigt då det kontinuerligt uppkommer nya virus. Fredrik beskriver detta:
Därför att det kommer nya programvaror … det kan räcka med en liten modifiering i ett gammalt program som gör att det inte känns igen av antivirus programmet så man måste ha det senaste varje dag.
Fredrik och Emil är de enda av respondenterna som anser sig ha kännedom kring hur dessa skall konfigureras men anser att stegen för detta är krångliga. Eva anser att det var enkelt att installera antivirusprogrammet men att hon inte har någon aning om hur detta kan konfigureras. Eva och Anna känner inte till vad ett operativsystem är. De andra respondenterna har nyare versioner av Windows. Emil och Fredrik säger att de förfogar över den senaste versionen av deras webbläsare medan de andra respondenterna är lite osäkra kring vad en webbläsare är eller hur den de använder är benämnd. Trots deras okunskap är respondenterna överens om att nyare versioner av operativsystem och webbläsare kan skydda dem mot nya hot. Lisa förklarar att ”dom kan stå emot de senaste … försöken till intrång”.
När det gäller hur routern skulle kunna säkras har Anna och Lisa ingen aning om hur detta skulle kunna gå till. De övriga respondenterna diskuterar främst routerns lösenord och att detta kan spärra obehöriga från att ta sig in. Både Eva och Fredrik har bytt det förinställda lösenordet som kommer med routern. Emil har även han bytt detta men menar att ”tyvärr så är jag dålig med det då jag av bekvämlighetsskäl använt samma nyckelord i många år”.
4.5 SÄKERT BETEENDE VID ANVÄNDNINGEN AV INTERNETS TJÄNSTER
När det gäller vem som bär ansvaret för att skydda oss mot identitetsstölder så är alla respon-denter, med undantag av Anna, överens om att det är vi själva som bär detta ansvar. Anna menar istället att samhället ansvarar över detta. Eva och Fredrik anser att förutom vi själva bär även företagen en del av ansvaret. Fredrik förklarar:
[…] ja det är klart att till viss del har … har ju företaget som ligger bakom hemsidan eller den som ligger bakom hemsidan ett visst ansvar också att se till att inte inform-ation kommer ut på det sättet men … annars är det väl jag själv.
23
tjänster som finns på internet är säkra och anser därför inte att det finns något behov att hon själv utövar ett säkert beteende.
Anna har inga krav när hon e-handlar. Hittar hon något som hon gillar så köper hon produkten. De övriga respondenterna menar att de endast handlar från de större och mer kända butikerna. Fredrik nämner även att ”oftast så håller jag mig till svenska företag”. I de fall då dessa respon-denter skall handla från en ny, okänd butik kontrollerar de inledningsvis att denna är tillförlitlig genom att söka på butikens namn, titta på tidigare recensioner och kontrollera vilka typer av banktjänster som butiken använder sig av. Fredrik beskriver sin kontroll som:
Ja man googlar runt lite på olika forum vad folk har sagt … om dom varnar för det eller om det finns med på någon svartlista eller vad sjutton som helst … jag googlar oftast till exempel på företagens namn och se[da]n så ”luras” eller nå[go]t så[da]nt ord och ser om jag får nå[go]n träff.
Endast Emil känner till att en webbsida som inleds med ”https://” istället för ”http://” krypterar de transaktioner som sker. Ingen av respondenterna känner till att ikonen på ett lås i webbläsaren även denna visar på att transaktioner är krypterade även om både Anna och Lisa menar att de har märkt av ikonen. Anna säger att ”jo jag har ju märkt att det finns en men det är ingenting [som] jag har ... jag har trott att det typ är obligatoriskt”.
Samtliga respondenter använder sig av Facebook och har gjort ändringar i dess inställningar på så sätt att deras information endast delas med vänner. De delar bland annat födelsedatum, kon-taktinformation och familjeuppgifter med sina vänner. Fredrik anser att man även kan skydda sin identitet i sociala nätverk genom att inte etablera kontakt och bli vän med vem som helst. Respondenterna öppnar inte all den e-post som de mottar. Emil öppnar inte den e-post som enligt honom har en misstänkt rubrik eller som kommer från en oväntad avsändare. Anna väljer att inte öppna den e-post där rubriken är skriven på ett annat språk eller utlovar henne pengar. Eva förklarar hur hon väljer ut den e-post som hon öppnar:
Jag öppnar dom från om man säger vänner och så[da]nt … från företag typ [som] jag vet att jag är medlem i typ Åhléns eller du vet så[da]na här … jag öppnar inte dom konstiga … är det något företag eller nå[go]nting som jag inte vet vad det är så öppnar jag inte det … det är liksom bara dom som jag vet borde komma som jag öppnar. Emil anser att det är en gissningslek och tror inte att han skulle kunna se skillnad på vanlig e-post och spam. Fredrik menar att han har lärt sig att se skillnad på dessa med tiden och han nämner att det oftast står ”RE” eller ”SV” framför rubriken på ett spam. Även Lisa anser att hon har möjlighet att se skillnad på dessa:
24
även vad det är för filtillägg innan han öppnar bilagor och anser att en PDF fil eller liknande inte kan vara särskilt farlig.
Anna känner inte till vad e-post filtrering är och använder sig inte av funktionen. De övriga respondenterna använder sig av en sådan. Emils Norton antivirusprogram innehåller en auto-matisk funktion som placerar viss e-post i ett skräppostfilter.
Majoriteten av respondenter har skickat personliga uppgifter via e-post. Anna har skickat såd-ana till personer hon känner. Lisa har gjort detta i samband med uppsägning av abonnemang och anser inte detta farligt då hon menar att angriparen även kan gå in på skatteverkets hemsida och läsa av hennes personnummer. Emil har skickat personuppgifter vid inköp av produkter och Fredrik har skickat med personuppgifter till myndigheter. Eva är den enda av responden-terna som inte har skickat med personliga uppgifter via e-post. Hon menar att:
[…] företag typ dom här som kommer från Swedbank dom ser ju äkta ut … men jag tror inte [att] dom skickar ut så[da]na grejer och jag hade aldrig skickat med mina uppgifter.
4.6 MÄNSKLIGA FAKTORN
Emil och Fredrik installerar program på sina datorer men menar att de kontrollerar att dessa program är tillförlitliga inledningsvis. Fredrik låter virusprogrammet söka igenom den mapp som programmet laddats ner i. Det har hänt att Emil har avstått från program han gärna har velat ladda ner och installera då han ansett att webbplatsen inte sett tillräckligt legitim ut. Eva laddar sällan ner program men när hon väl gör detta kontrollerar hon att det är från programmets ursprungliga webbplats. Varken Anna eller Lisa installerar program på sina datorer.
Samtliga respondenter anser att det finns en stor risk att drabbas av en identitetsstöld på internet vid nerladdning av filer. Fredrik och Emil brukar trots detta ladda ner filer till sina datorer. Anna har även hon prövat på att ladda ner filer, något som hon menar att hon inte gör om efter att ha laddat ner en skadlig fil. Hon förklarar:
Jag gjorde det en gång och se[da]n gör jag inte det nå[go]t mer… det var en film som var … helt full med virus … det kom upp på virusprogrammet och min sambo skrek. Respondenterna anser att ett bra lösenord inte skall kunna förknippas med användaren. De me-nar att det skall vara uppbyggt av gemener och versaler samt att det skall innehålla siffror eller andra tecken. Eva sammanfattar:
[…] absolut inget som kan va[ra] kopplat med dig … typ ditt personnummer eller fö-delsedatum eller ”ett två tre fyra” eller nå[go]nting … blandat kanske bokstäver och siffror … och se[da]n nå[go]nting helt random.
25
konton. Även detta på grund av svårigheten att minnas lösenord. Anna använder även hon lika-dana lösenord till olika konton men reflekterar inte över detta ur ett säkerhetsperspektiv. Lisa använder liknande lösenord. Emil gör skillnad på olika konton när han väljer lösenord:
Mestadels är det olika men vissa som jag uppfattar mindre viktigt att kunna ha en hög säkerhet så använder jag väldigt snarlika lösenord … såsom när det gäller film bio och så.
Samtliga respondenter utom Emil har delat sina lösenord med andra individer. De anser dock inte att detta är något som är olämpligt ur ett säkerhetsperspektiv då de har delat sina lösenord med familj och inte med utomstående. Lisa menar att hon endast delar sitt lösenord med ”nå[go]n som man är hundraprocentigt trygg med”.
Eva och Anna anser att de bör byta lösenord oftare. Respondenterna tycker att man bör byta sitt lösenord var eller varannan månad. Dock är det ingen av dem som genomför detta så pass ofta. Lisa håller inte med utan tycker att man inte bör byta lösenord alls om man väl har funnit ett bra. Hon byter själv väldigt sällan. Fredrik menar på att människor inte byter lösenord så pass ofta på grund av att ”det är jobbigt att komma ihåg alla lösenord … fruktansvärt jobbigt”. När det gäller om respondenterna anser att de skulle kunna drabbas av negativa konsekvenser om någon stjäl deras lösenord så menar de att detta beror på till vilket konto lösenordet hör. Eva svarar:
26
5 ANALYS
DETTA KAPITEL PRESEN TERAR DE R ELA TIO NER SOM KA N URSKILJA S ME LLAN DEN IN SAM-LADE EMPIR IN OCH STUD IENS TEORETISKA RAMVERK.
5.1 ANVÄNDNING AV INTERNET
E-handel, sociala nätverk, banktjänster och e-post är tjänster som vi ofta använder oss av på internet enligt Findahl (2013) i avsnitt 2.5. Dessa tjänster kräver alla att vi uppger vår digitala identitet för att nyttja dem. Samtliga respondenter använder sig av dessa tjänster. De menar att deras digitala identitet består av namn, personnummer, bankkonto, inloggningsuppgifter och profil på sociala nätverk. Detta överensstämmer med två av de typer av information som Takahashi och Bertino (2011) beskriver att en digital identitet består av i avsitt 2.1.1, nämligen beskrivande information och identifierare.
Respondenterna kopplar dagligen upp sig till internet hemifrån. Enligt Brookshear (2009) i av-snitt 2.1 kan denna uppkoppling resultera i att dessa individer blir offer för obehörig åtkomst och skadegörelse. Emil känner till att han kan drabbas av negativa konsekvenser via uppkopp-lingen till internet och är ensam bland respondenterna om att stänga av datorn när denna inte används. Detta är enligt National Cyber Security Alliance (2014) i avsnitt 2.1 viktigt att göra för att skydda sig mot de hot som uppstår vid uppkopplingen till internet. De övriga responden-terna ser inget negativt med att datorn är uppkopplad till internet under tiden som denna inte används.
5.2 IDENTITETSSTÖLD
En identitetsstöld kan definieras på olika sätt. I avsnitt 2.2 kan vi urskilja att forskare menar på att den inbegriper en olaglig användning av en annan individs personuppgifter (Copes & Vie-raitis, 2009; White & Fisher, 2008). Respondenternas förklaring av begreppet förfogar över likheter till denna definition då de anser att en identitetsstöld innebär användningen av en annan individs uppgifter för egen vinning.
Respondenterna anser att de först i efterhand skulle ha möjlighet att upptäcka att de drabbats av en identitetsstöld och detta genom de banktransaktioner som skett. Detta överensstämmer med hur Milne (2003) i avsnitt 2.2 menar att offer ofta är omedvetna om att de drabbats av brottet och att det enligt Merritt (2014) kan upptäckas genom övervakning av finansiella konton. Att Fredrik även menar att en identitetsstöld kan upptäckas genom den funktion som sociala nätverk inkluderar är inget som Merritt nämner. Ingen av respondenterna har själv drabbats av en iden-titetsstöld men samtliga har hört talas om att någon i deras närhet har drabbats.
27
misstro, ilska samt otrygghet. Dessa känslotillstånd nämns inte av respondenterna utan de tar istället upp sociala konsekvenser som en möjlig följd till brottet.
Att identitetsstölder är allvarliga är något som alla respondenter är eniga om. Enligt Lisa kan brottet få stora ekonomiska följder och hon menar att dess konsekvenser är långvariga. Detta stämmer överens med hur forskare i avsnitt 2.2 beskriver brottets allvarlighetsgrad då de menar att det krävs både en stor del tid och pengar för den drabbade för att denne skall kunna återhämta sig (Sweeney, 2006; White & Fisher, 2008).
Det finns olika skäl till att angriparen begår en identitetsstöld. Respondenterna är överens om att den vanligen begås av ekonomiska skäl. Anna nämner att ett annat skäl till förövandet kan vara att skydda sin egen identitet medan Fredrik menar att en identitetsstöld även kan begås för att skoja med vänner. Dessa förekommer inte som några av de skäl som Takahashi och Bertino (2011) i avsnitt 2.2 nämner kan ligga till grund till att en identitetsstöld begås. Det skäl som Anna nämner innehar dock stora likheter till vad Takahashi och Bertino menar är kriminella skäl där angriparen döljer sin egen identitet för att skydda denna och undgå att bli gripen för ett brott.
Eva menar att ökningen av identitetsstölder på internet kan bero på att mycket av vår informat-ion är tillgänglig på internet. Detta överensstämmer med hur Roberts, Indermaur och Spiranovic (2013) i avsnitt 2.2 menar att ökningen kan härstamma i att internet erbjuder angriparen enkla sätt att genomföra brottet. Vidare menar Koops et al. i avsnitt 2.2 att ökningen kan härstamma i användarnas och leverantörernas oerfarenhet när det gäller att förhindra attacker något som överensstämmer med hur ett flertal av respondenterna nämner att en bidragande faktor till ök-ningen kan vara användarens bristande kunskap kring fenomenet. Att de även nämner att en bidragande faktor till ökningen kan vara att vi använder internets tjänster i en stor utsträckning är inget som forskare nämner. Inte heller att ökningen kan bero på angriparens ökade kunnighet i området såsom Lisa påpekar.
Hur en identitetsstöld genomförs är något som respondenterna innehar lite olika åsikter kring. Ett flertal av respondenterna menar dock på att angriparen måste få tag i en del av offrets iden-titet, något som till viss del stämmer överens med avsnitt 2.2 där det nämns att en identitetsstöld består av ett antal moment där det inledande momentet är att angriparen får tag i offrets person-uppgifter (SOU 2013:85). Respondenterna anser att angriparen ofta använder den stulna iden-titeten för att ta lån, köpa saker och tömma bankkonton, något som stämmer överens med hur Takahashi och Bertino (2011) i avsnitt 2.2 beskriver att angriparen använder sig av offrets iden-titet när en ideniden-titetsstöld begås utav ekonomiska skäl.
28
offret att besöka en skadlig webbsida genom att imitera elektronisk kommunikation från en källa som offret anser är tillförlitlig.
Att ett spyware installerats på datorn kan enligt respondenterna urskiljas genom att viruspro-grammet ger varningar. Emil och Fredrik nämner även att det kan upplevas en tröghet hos da-torn. Detta stämmer överens med ett av de vanliga kännetecknen som McDowell och Lytle (2009) tar upp i avsnitt 2.2.3. Respondenterna nämner inte de övriga kännetecknen som McDowell och Lytle menar finns.
En identitetsstöld kan enligt respondenterna hända vem som helst, något som enligt Brookshear (2009) i avsnitt 2.1 är viktigt att känna till då det alltid finns en möjlighet att någon blir offer för obehörig åtkomst vid uppkopplingen till internet. Att respondenterna trots detta inte känner sig oroliga för brottet bottnar i att de anser att risken att drabbas är väldigt liten.
Enligt Norm (2012) i avsnitt 2.5 är vi tre grupper som bär på ansvaret att skydda oss mot iden-titetsstölder, vi själva som konsumenter, företag och de lagstiftande organen. Hur majoriteten av respondenterna förklarar ansvarsfördelningen överensstämmer någorlunda med hur Norm menar att denna är fördelad. De menar att det är individen själv, företagen och samhället som bär ansvaret. Anna menar istället att det är samhället som på egen hand ansvarar över detta. Norm påpekar att det är viktigt att vi konsumenter inser att vi själva förfogar över en del av ansvaret och på så sätt agerar säkerhetsmedvetet då det i annat fall inte skulle tjäna någonting till hur väl de andra två grupperna än försöker att förhindra brottet.
5.3 SÄKERHETSMEDVETENHET
Det är enbart Fredrik som anser sig vara säkerhetsmedveten när det gäller identitetsstölder på internet. Vargöga (2008) definierar i avsnitt 2.3 en säkerhetsmedveten individ som någon som är uppmärksam kring de faror som finns och kan skada oss. Att de resterande respondenterna inte anser att de är tillräckligt säkerhetsmedvetna gällande identitetsstölder kan göra dem mer utsatta för brottet, något som en omedvetenhet kring de risker som internet för med sig kan resultera i enligt Kritzinger och von Solms (2010) i avsnitt 2.3.
Furnell och Dowland (2008) menar i avsnitt 2.3 att det finns en brist på program i media som skall stödja privatpersoner i att öka sin säkerhetsmedvetenhet. Även studiens respondenter på-pekar denna brist. Fredrik menar att man bör belysa identitetsstölder mer för att ge oss he-manvändare en bättre kunskap samtidigt som Anna och Lisa betonar att det behövs mer inform-ation kring fenomenet i dagsmedia.
