INSIDERHOT
En systematisk litteraturöversikt av
insiderhot som utvärderar administrativa
säkerhetsåtgärder.
INSIDER THREAT
A systematic literature review of insider
threat which evaluates administrative
security measures.
Examensarbete inom: Informationsteknologi Grundnivå 30 Högskolepoäng Vårtermin 2021 Markus TellSammanfattning
Inom en organisation finns det insiders med direkt tillgång till konfidentiell och känslig information. Insiderhot kan antingen vara avsiktliga eller oavsiktliga och båda typerna kan utgöra förödande konsekvenser. Frågan är egentligen hur organisationer ska säkerställa informationssäkerhet när anställda har en daglig tillgång till information. Det som organisationer behöver implementera är särskilda säkerhetsåtgärder. Förebyggande säkerhetsåtgärder kan delas upp som tekniska och administrativa. Denna uppsats har genomfört en systematisk litteraturöversikt med en tematisk analys för att undersöka vad tidigare forskning rekommenderar för administrativa säkerhetsåtgärder för att tackla problemet. Undersökningens slutsatser kommer fram till att avsiktliga och oavsiktliga insiderhot kräver olika typer av säkerhetsåtgärder, samtidigt som en del åtgärder kan förebygga båda problemen. För att förebygga avsiktliga insiderhot behövs det straffande åtgärder som till exempel sanktioner och det behövs en informationssäkerhetskultur som tar i hänsyn till olika teorier. För att förebygga oavsiktliga insiderhot behöver fokus ligga på utbildning, träning och medvetenhet samt tillämpandet av en informationssäkerhetskultur som reducerar stress. Slutligen behövs det en informationssäkerhetspolicy och en kombination av positiva samt negativa incitament, vilket kan förebygga både avsiktliga och oavsiktliga insiderhot.
Nyckelord: Security, Insiders, Insider threat, Organizational factors,
Innehållsförteckning
1 INLEDNING 1 2 BAKGRUND 2 2.1 Informationssäkerhet 2 2.1.1 Känslig information 5 2.1.2 Mänskliga faktorn 6 2.1.3 Insiderhot 7 2.1.4 Administrativa säkerhetsåtgärder 12 3 PROBLEMOMRÅDE 13 3.1 Problem/fråga 14 3.2 Avgränsningar 14 3.3 Förväntat resultat 14 4 METOD 15 4.1 Val av metod 15 4.2 Genomförande av metod 16 4.2.1 Inklusionskriterier 174.2.2 Söktermer och söksträngar 18
4.2.3 Valda databaser och utförda sökningar 20
4.2.4 Kvalitetsgranskning 24
4.2.5 Tematisk analys 25
4.3 Forskningsetiska principer 26
5 LITTERATURANALYS 27
5.1 Åtgärder mot avsiktliga insiderhot 27
5.1.1 GDT 27
5.1.2 SBT 27
5.1.3 PBT 28
5.2 Åtgärder mot oavsiktligt insiderhot 29
5.2.1 SETA 29
5.2.2 Stress 30
5.3 Åtgärder mot insiderhot 31
5.3.1 Informationssäkerhetspolicy 31
5.3.2 Positiva och negativa incitament 32
1 Inledning
Neogy (2017) redogör för att behovet av att bemöta informationssäkerhet har blivit allt större under de senaste tio åren och att information numera har blivit en essentiell och integrerad del av vardagen. Informationssäkerhet som är rapportens övergripande område handlar om att förhindra och skydda tillgången av information från förstörelse eller manipulering och därutöver se till att information endast är tillgängligt för dess exakta mottagare som ska ha behörighet (Neogy, 2017). Trots att information både är värdefullt och kritiskt för organisationer, menar Tu & Yuan (2014) på att den också är sårbar för en mängd olika attacker både inom och utanför organisationen. Carroll (2006) belyser att hoten mot informationssäkerheten växer ständigt och varierar från organisation till organisation. Däremot framträder ett hot oavsett typ av organisation, nämligen insiderhot. Insiderhot utgörs av betrodda personer med tillgång till känslig information. Insiderhot kan antingen vara avsiktliga eller oavsiktliga och båda uttrycks som ett lika skadligt problem. Utmaningen som organisationer bemöter är hur informationssäkerhet ska säkerställas när anställda har en daglig tillgång till känslig information och en kännedom för vad som kan användas till deras vinst eller för att skada organisationen (Carroll, 2006). Theoharidou et al. (2005) tillägger att problemet vidare är svårt att ta itu med på grund av oförutsägbarheten av mänskligt beteende.
Safa et al. (2019) förmedlar att insiderhot inom vetenskapen har utvärderats utifrån många olika perspektiv och bemöts genom en stor variation av olika säkerhetsåtgärder. Denna uppsatsens mål är däremot att komma fram till förebyggande administrativa säkerhetsåtgärder mot både avsiktliga och oavsiktliga insiderhot i organisationen. Detta genom att skapa en systematisk litteraturöversikt inom området insiderhot som granskar och sammanfattar tillgänglig och relevant vetenskaplig forskning. För att skapa en reflektion kring materialet som samlats in har även utförandet av en tematisk analys varit nödvändig. Anledningen till att administrativa säkerhetsåtgärder valts att undersökas beror på att enbart teknik uttrycks som otillräckligt för att motverka insiderhot (Ashenden, 2008; Colwill, 2009; Tsiostas et al., 2020). För att tillämpa säkerhetsåtgärder som tar i hänsyn till den mänskliga faktorn behövs det en kombination av olika administrativa säkerhetsåtgärder (Greitzer et al., 2018; Greitzer et al., 2014; Safa et al., 2019; Sarkar, 2010; Ashenden, 2008; Mahfuth, 2017).
På grund av problområdets komplexitet är förhoppningarna att resultatet kommer skapa ett mer sammanhängande resultat som organisationer kan nyttja för att säkra upp organisationens informationssäkerhet mot insiderhot. Dessutom är förväntan att resultatet kommer skapa en ökad medvetenhet kring problemet som organisationer enligt Colwill (2009) vanligen ignorerar och ge en bättre förståelse för insiderattacker som riskerar informationens konfidentialitet, integritet och tillgänglighet. Rapportens struktur består av ett bakgrundskapitel som ger en omfattande bild om informationssäkerhet och insiderhot, en problemargumentation om varför området har undersökts, hur metoden har genomförts och slutligen ett svar av rapportens frågeställning:
2 Bakgrund
Detta kapitel lyfter fram rapportens ämnesområde och centrala begrepp med hjälp av tidigare forskning inom området.
2.1 Informationssäkerhet
Neogy (2017) redogör för att behovet av att bemöta informationssäkerhet har blivit allt större under de senaste tio åren och att information numera har blivit en essentiell och integrerad del av vardagen. Information definieras grundläggande uttrycka kunskap eller budskap som överförs via kommunikation (Neogy, 2017). Pfleeger (2015) beskriver att information genom olika typer av informationstillgångar kan presenteras i många olika former, som till exempel hårdvara, programvara, data, personer, processer med mera. Informationstillgångar definieras som värdefulla föremål för organisationen (Pfleeger, 2015). Tu & Yuan (2014) framför att organisationer behöver skydda information eftersom det har en avgörande roll för att stödja affärsprocesser och skapa konkurrensfördelar gentemot andra företag. Trots att information både är värdefullt och kritiskt för organisationer är den också potentiellt sårbar för en mängd olika attacker både inom och utanför organisationen (Tu & Yuan, 2014).
Padayachee (2016) klarlägger att yttre hot har sitt ursprung utanför organisationen och inre hot mot säkerheten orsakas av individer inom organisationen. En väsentlig skillnad mellan yttre och inre hot är att utomstående har en begränsad möjlighet att utföra sina attacker. Utomstående måste utnyttja sårbarheter i systemet, medan insiders redan har privilegierad åtkomst och därmed större möjligheter. Däremot måste en insider ta i hänsyn till organisationens policy, procedurer och avtal (Padayachee, 2016). SIS (2006) definierar begreppet hot som en möjlig, oönskad händelse med negativa konsekvenser för verksamheten. En attack innefattar aktiviteter som syftar till att åstadkomma skada på verksamheten eller verksamhetens resurser (SIS, 2006).
Informationssäkerhet som är rapportens övergripande område handlar enligt SIS (2006) om att motverka både inre och yttre hot. Neogy (2017) uppger att strävan med informationssäkerhet är att förhindra och skydda tillgången av information från förstörelse eller manipulering och därutöver se till att information endast är tillgängligt för dess exakta mottagare som ska ha behörighet. Ashenden (2008) framför att ambitionen med informationssäkerhet samtidigt är att ge verkliga affärsfördelar genom att både skydda och underlätta delning av information över hela organisationen. MSB (2016), med andra ord Myndigheten för samhällsskydd och beredskap, har genom en studie utvärderat terminologi samt begrepp inom informationssäkerhetsområdet och definierar begreppet informationssäkerhet enligt följande:
”Informationssäkerhet är de åtgärder som vidtas för att förhindra att information: görs tillgänglig för eller i övrigt kommer obehöriga till del (konfidentialitet), förändras, vare sig obehörigen, av misstag eller på grund av funktionsstörning (riktighet), och information ska kunna utnyttjas i förväntad utsträckning och inom önskad tid (tillgänglighet)” (MSB 2016, s. 13).
Figur 1 Författarens egen, baserad på Solomon & Chapple (2005)
Pfleeger (2015) redogör för att egenskaperna enligt Figur 1 benämns som CIA-triaden eller säkerhetstriaden och utgör en grund för att tänka på informationssäkerhet. Därutöver anger Geko (2018) att säkerhetstriaden även används för att bestämma den nödvändiga dataskyddsnivån med hänsyn till typen av data och dess känslighet. Neogy (2017) förklarar att konfidentialitet innefattar att endast auktoriserade parter ska få tillgång till skyddad information och att det ska finnas skydd mot obehöriga parter. Med auktoriserade parter menas organisationens anställda som jobbar i organisationen och med obehöriga parter menas utomstående som inte jobbar i organisationen eller saknar rättigheter. Integritet hänvisar till riktigheten av data eller en resurs samt tillförlitligheten av att data som mottas av någon inte är manipulerad eller förstörd av obehöriga parter. Det är därför viktigt att ta i hänsyn till att information endast är säker om informationskällan i själva verket är pålitlig. Med informationskälla menas från vem informationen kommer ifrån och om avsändaren är pålitlig eller inte. Den sista komponenten tillgänglighet är önskvärd för att information alltid ska vara åtkomlig när den behövs. Tillgänglighet innebär att systemen och tjänsterna ska kunna tas emot och vara anslutningsbara för samtliga auktoriserade parter (Neogy, 2017). Därutöver uttrycker Pfleeger (2015) att tjänsten som utförs ska kunna slutföras på en acceptabel tid och informationen behöver presenteras i en användbar form.
På grund av sannolikheten för säkerhetsattacker, menar Neogy (2017) att sannolikheten för en systemkrasch inte kan uteslutas då den ständigt förändrande affärsmiljön bidrar med att nya hot och sårbarheter uppkommer dagligen. Pfleeger (2015) framför att begreppet sårbarhet är en svaghet som kan utnyttjas för att orsaka förlust eller skada. Med andra ord definierar SIS (2006) begreppet som en brist i skyddet av en tillgång exponerad för hot. Problemet med definitionen av säkerhetstriaden från Neogy (2017) och Pflegger (2015) är däremot att den inte tar i hänsyn till de inre säkerhetshoten i organisationen utan endast fokuserar på att det behövs skydd mot obehöriga parter i form av externa hot. Av denna anledning tilläggs ett förtydligande av definitionen då Colwill (2009) menar på att det finns inre hot i form av insiderattacker som också riskerar informationens konfidentialitet, integritet och tillgänglighet. Detta på grund av deras legitima tillgång till information, kunskap om organisationen, placeringen av värdefulla tillgångar och på grund av den mänskliga faktorn (Colwill, 2009). MSB (2016) definierar begreppet informationssäkerhet med ett annat citat enligt följande:
Citatet på förgående sida uttrycker att informationssäkerhet består av både tekniskt och administrativt skydd. Pfleeger (2015) förklarar att tekniskt och administrativt skydd generellt kan förklaras som en kontroll, åtgärd, enhet, procedur eller teknik som tar bort eller minskar en sårbarhet och därmed motverkar hot. Med andra ord uttrycker SIS (2006) att åtgärder är en handling, procedur eller tekniskt arrangemang som genom att minska sårbarheten möter identifierat hot.
Figur 2 Författarens egen, baserad på Åhlfeldt et al. (2007)
Åhlfeldt et al. (2007) framför utifrån informationssäkerhetsmodellen enligt Figur 2 att informationssäkerhet kan delas upp i teknisk och administrativ säkerhet. Teknisk säkerhet består av IT-säkerhet och fysisk säkerhet. IT-säkerhet avser säkerhet för information i tekniska informationssystem och fysisk säkerhet handlar om fysiskt skydd av information (Åhlfeldt, et al., 2007). Pfleeger (2015) redogör för att IT-säkerhet är till för att förhindra en attack genom användning av teknik i form av till exempel lösenord, åtkomstkontroller för program eller operativsystem, nätverksprotokoll, brandväggar, system för upptäckt av intrång, kryptering och kontroller för nätverkstrafik. Fysiska säkerhetsåtgärder är till för att förhindra en attack genom tillämpning av ett påtagligt skydd som till exempel väggar, staket, lås, vakter, sprinklers och brandsläckare (Pfleeger, 2015).
Vidare beskriver Åhlfeldt et al. (2007) att administrativ säkerhet består av formell och informell säkerhet. Formell säkerhet handlar om styrning av informationssäkerhet på en organisatorisk nivå som till exempel kan beröra policyer, affärsprocesser, standarder och procedurer. Informell säkerhet handlar däremot om medvetenhet, kultur, värderingar och attityder som påverkar hur människor tar i hänsyn till informationssäkerhet (Åhlfeldt, et al., 2007). Därutöver tillägger Pfleeger (2015) att administrativa säkerhetsåtgärder är till för att förhindra en attack med hjälp av kommandon eller avtal som kräver eller råder människor att agera på ett visst sätt genom till exempel lagar, förordningar, policyer, riktlinjer, kontrakt och avtal.
ekonomiska kostnader, bemötande av juridiska aspekter och dåliga rykten på grund av en incident i form av dataläckage (Tu & Yuan, 2014).
2.1.1 Känslig information
Pfleeger (2015) uppger att det inte alltid är uppenbart såvida information är känsligt eller inte och utifrån konstaterandet anses det som vidare relevant att klargöra vad känsliga uppgifter är för något och även definiera dess närliggande begrepp. Detta underkapitlet syftar även till att ge en förståelse för vilken typ av data som kan gå förlorad vid en incident av dataläckage och därmed ge en bättre bild om varför information måste skyddas.
Geko (2018) upplyser att digitalisering har resulterat i mer insamling och bearbetning av data än någonsin tidigare. Ett faktum är att dataskydd inte kan uppfyllas utan informationssäkerhet. Säker hantering av information oavsett form (pappersbaserad eller digital) har blivit viktigt för företag i alla storlekar och branscher. Nackdelen med utvecklingen är däremot uppkomsten av nya integritetsrisker (Geko, 2018). Zainab & Kechadi (2019) förklarar att det intensiva utnyttjandet av digital teknik och ökningen av datainsamlingen väcker oro för datasekretess på grund av uppgifternas känsliga och privata natur. På grund av lagring och bearbetning av potentiellt känslig information uppstår allvarliga integritetsproblem (Zainab & Kechadi, 2019). Geko (2018) konstaterar att enligt den Internationella Standardiseringsorganisationen, motsvarande International Organization for Standardization (ISO) på engelska, har informationssäkerhetspersonal en skyldighet att skydda organisatoriska tillgångar, inklusive skydd av personuppgifter. Dessvärre förklarar Zainab & Kechadi (2019) att organisationer upplever tvetydighet mellan begreppen personuppgifter, privata uppgifter och känsliga uppgifter. Begreppen är relaterade till varandra fast är helt separata begrepp med olika betydelser (Zainab & Kechadi, 2019).
Figur 3 Författarens egen, baserad på Zainab & Kechadi (2019)
Li & Saxunová (2020) tillägger att all information som rör en identifierad eller identifierbar fysisk person ska klassificeras som personuppgifter. Vid jämförelse med personuppgifter, tydliggör Zainab & Kechadi (2019) att privata uppgifter är en del eller delmängd av personuppgifter som individen inte vill avslöja offentligt med omvärlden. Privata uppgifter kan till exempel vara lösenord och finansiell information. Privata uppgifter berörs av sekretess som handlar om frihet att fatta beslut om ens egna uppgifter och är en grundläggande rättighet med viktig betydelse för säkerhet och livskvalitet. Känsliga uppgifter är däremot all information som avslöjar ras eller etniskt ursprung, genetisk information, politiska känslor, religiösa eller filosofiska övertygelser, biometrisk information, individuell information som rör välbefinnandet eller individens sexliv och orientering. En organisation består även av privat-känsliga uppgifter som innefattar både privata och känsliga uppgifter relaterade till organisationsdata. Till exempel skulle detta kunna vara organisationens försäljningsrekord och om sådan information av misstag skulle exponeras till omvärlden och hamn i fel händer, resulterar det i en följd av negativa konsekvenser (Zainab & Kechadi, 2019).
Li & Saxunová (2020) anger att inte alla personuppgifter ska behandlas i samma grad och att vissa mer känsliga uppgifter bör behandlas genom starkare skyddsåtgärder. Om information under flera omständigheter sannolikt kommer påverka människor, bör informationen betraktas som personlig (Li & Saxunová, 2020).
2.1.2 Mänskliga faktorn
Ashenden (2008) upplyser informationssäkerhet som mer än bara ”fysiska lås och nycklar”, eftersom det också berör en helhetssyn av teknik, processer och människor. Det som organisationer behöver relatera mer till är den mänskliga faktorn och individuella beteenden för att kunna hantera tillhörande risker i en föränderlig hotmiljö (Ashenden, 2008). SIS (2006) definierar begreppet risk som produkten av sannolikheten för att ett givet hot realiseras och därmed uppkommande skadekostnad. Ashenden (2008) beskriver vidare informationssäkerhet som en mänsklig utmaning där individer inom en organisation inte bara har en identitet som ges av sin roll, utan också en personlig och social identitet som de tar med sig till jobbet. En individ i organisationen har unika attityder och uppfattningar. Blandningen av de anställdas roller samt deras personliga och sociala identitet formar organisationens kultur (Ashenden, 2008).
Dessvärre menar Ashenden (2008) på att den mänskliga faktorn till stor del har försummats eftersom problemet har betraktats utifrån en fel utgångspunkt. Organisationer har generellt blivit erfarna på hantering av teknik samt processer, fast behöver bli bättre på att hantera mänskliga säkerhetshot i organisationen. Problemet är att människor inte är särskilt förutsägbara och fungerar inte som maskiner där samma information matas in, bearbetas och matas ut för att bli samma resultat gång på gång. Utmaningen som reflekteras är om det verkligen går att ändra individers attityder och uppfattningar om informationssäkerhet med hjälp av bara teknik och processer. Det som har en avgörande betydelse för att bemöta mänskliga säkerhetshot är organisationskulturen och förståelsen av organisationens sociala aspekter. Bemötandet av problemet blir allt mer komplext när organisationer dessutom behöver ta i hänsyn till de ständigt förändrande trenderna i affärsmiljön som till exempel ny teknik, kunskap och kunskapsdelning som ska anpassas i organisationen (Ashenden, 2008).
2.1.3 Insiderhot
Pfleeger et al. (2010) visar på olika definitioner av begreppet insiderhot enligt följande:
"En redan betrodd person med tillgång till känslig information och informationssystem" (Pfleeger et al. 2010, s. 13, egen översättning).
”Någon med åtkomst, privilegier eller kunskap om informationssystem eller tjänster”
(Pfleeger et al. 2010, s. 13, egen översättning).
”En person med legitim tillgång till en organisations datorer och nätverk” (Pfleeger et
al. 2010, s. 13, egen översättning).
”Handlingar från användare som bryter mot organisationens säkerhetspolicy (medvetet eller av misstag)” (Pfleeger et al. 2010, s. 13, egen översättning).
Som det sistnämnda citatet redogör finns det insiderhot som begås medvetet eller av misstag. Carroll (2006) menar på att insiderhot antingen kan vara avsiktligt eller oavsiktligt och att båda är ett lika skadligt problem.
Greitzer et al. (2014) definierar avsiktliga insiderhot enligt följande:
”Avsiktliga insiderhot innefattar avsikten att orsaka skada i verksamheten” (Greitzer
et al. 2014, s. 2025, egen översättning).
Greitzer et al. (2014) definierar oavsiktliga insiderhot enligt följande:
En nuvarande eller tidigare anställd, entreprenör eller affärspartner som har eller haft auktoriserad åtkomst till en organisations nätverk, system eller data och som genom handling eller passivitet utan skadlig avsikt oavsiktligt orsakar skada eller ökar sannolikheten för framtida allvarlig skada på konfidentialitet, integritet eller tillgänglighet för organisationens resurser eller tillgångar, inklusive information, informationssystem eller finansiella system (Greitzer et al. 2014, s. 2025, egen
översättning).
Theoharidou et al. (2005) belyser insiderhot som ett problem med mänsklig och organisatorisk utgångspunkt. Insiderhot innefattar många inblandade faktorer och är ett problem som är svårt att ta itu med på grund av oförutsägbarheten av mänskligt beteende. Insiderhot utgör därför en betydligt högre risknivå än många andra hot. Alla aspekter av mänskligt beteende bör beaktas utifrån en helhetssyn och en viktig aspekt av insiderhot är hur en anställd formar sin motivation och avsikt kring informationssäkerhet (Theoharidou, et al., 2005). Colwill (2009) konstaterar att insiderhotet alltid kommer vara närvarande i organisationen och yttra sig på många olika sätt. Utmaningen som organisationer ställs inför är hur de egentligen ska kunna veta vem de ska lita på och behålla förtroende för inom en sådan miljö. Ett faktum är däremot att tillämpning av enbart teknik inte är tillräckligt för att motverka insiderhot. Dessvärre är ett ytterligare problem att organisationer ignorerar problemets relevans då de inte vet att det inträffar, organisationer fruktar dålig publicitet eller vet inte vad de ska göra åt problemet (Colwill, 2009).
insiderhot utgår från att förtroende och beteende på arbetsplatsen är viktiga aspekter att ta hänsyn till. Kommande två rubriker redogör för avsiktliga och oavsiktliga insiderhot i närmare detalj för att förtydliga dess innebörd.
Avsiktliga insiderhot
Theoharidou et al. (2005) uppger att avsiktliga insiderhot utgör ett kriminellt beteende på arbetsplatsen där människor som fått åtkomsträttigheter till ett informationssystem missbrukar sina privilegier och bryter mot organisationens informationssäkerhetspolicy. SIS (2006) förklarar att en informationssäkerhetspolicy är en övergripande avsikt och viljeinriktning formellt uttryckt av ledningen. Vidare uttrycker Theoharidou et al. (2005) att avsiktliga insiderhot består av människor som i en miljö vanligtvis följer organisationens regler eller förordningar. Carroll (2006) förklarar att motiv som ligger bakom avsiktliga insiderhot kan bero på konkurrens mellan företag, hur en anställd blivit behandlad eller om en anställd blivit uppsagd. Det visar sig att anställda generellt är mer benägna att begå kriminella handlingar när deras anknytning till organisationen är svag (Theoharidou, et al., 2005). Därutöver menar Carroll (2006) att kortvarig personal måste styras på ett säkert sätt för att hot inte ska få direkt tillgång till en organisations informationstillgångar och om detta inte hanteras på rätt sätt öppnar organisationen sig inifrån och låter ett hot komma in villigt. Företaget Coca Cola var med om ett avsiktligt insiderhot där en insider hade budskapet att stjäla känslig företagsinformation. En verkställande administrativ assistent på Coca Cola hade gått igenom filer och stulit ett urval av en ny Coca Cola-produkt och företagsdokument. Avsikten var att sälja informationen till företaget Pepsi för 1,5 miljoner dollar. Pepsi rapporterade fallet till FBI som undersökte situationen och inrättade en undercover-operation för att gripa de misstänkta (Carroll, 2006).
Sarkar (2010) förklarar att ett annat förekommande problem är när anställda vid byte av jobb medvetet tar med sig kopior av programvara, kontrakt, databaser eller rapporter som skapats av dem, utan att inse hur arbetsgivaren är lagligt ägare för detta. Colwill (2009) belyser att problemet med avsiktliga insiderhot är att en insider är väl medveten om vilka handlingar som uppnår störst påverkan och hur bevis ska mörkläggas för att förbli oupptäckt. Därutöver visar det sig att individuell och organisatorisk osäkerhet kan leda till en ökning av onormalt beteende även hos organisationens traditionellt mest betrodda långtidsanställda chefer och inklusive medlemmar som jobbar med säkerhet (Colwill, 2009). Sarkar (2010) framför att avsiktliga insiderhot framkallar bilder av missnöjda anställda som planerar att hämnas eller letar efter ekonomiska vinster. Greitzer et al. (2018) påstår att de allvarligaste brotten och angreppen av avsiktliga insiderhot inkluderar spionage, sabotage, förskingring, utpressning, mutor och korruption. Trots insiders väl känner till organisationens sårbarheter, vet när, var och hur de ska slå till och till och med hur upptäckt ska undvikas genom radering av aktiviteter från loggarna i systemen, är organisationer inte medvetna om att insiders i många fall kan stjäla eller förstöra information tills att en incident inträffar (Sarkar, 2010).
avsiktlig insider har är något som varierar från fall till fall (Nostro, et al., 2014). Däremot uppger Probst et al. (2010) att en skicklig insider har avsikt, kunskap, motivation och kontroll över organisationens IT-säkerhetskontroller.
Oavsiktliga insiderhot
Till skillnad från avsiktliga insiderhot, förklarar Carroll (2006) att oavsiktligt insiderhot kan ske i form av att en anställd av misstag laddar ner känsliga filer på en lagringsenhet eller kopplar in ett okänt USB med skadliga filer. Department of Veterans Affairs var med om ett oavsiktligt insiderhot där en anställd av misstag laddade ner information om 25,6 miljoner veteraner och några makars namn, personnummer, födelsedatum med mera. Den känsliga informationen som fanns lagrad på den bärbara datorn blev senare stulen från den anställdes bostad (Carroll, 2006). Sarkar (2010) exemplifierar ett ytterligare fall av oavsiktliga insiderhot då en Home Office-entreprenör tappade bort ett USB-minne med icke-krypterade data bestående information om 84 000 fångar i England och Wales. Som ett resultat av misstaget avslutades kontraktet med konsultföretaget och innebar en kostnad på 1,5 miljoner pund (Sarkar, 2010).
Greitzer et al. (2014) redogör för att oavsiktliga insiderhot även härrör från social engineering attacker mot organisationens anställda. Social engineering är en extern attack som syftar till att få människor att oavsiktligt utföra åtgärder som orsakar skada för organisationens tillgångar och informationssystem. Angriparens mål vid en social engineering attack är att skapa förtroende och lura offret att lämna ut information för att bedrägerier eller systemåtkomst ska bli möjligt. Bristande uppmärksamhet identifieras som en bidragande faktor till att oavsiktliga insiderhot inträffar. Anställda tenderar inte vara uppmärksamma på nätfiske via mail eftersom individer tror hot är högst osannolikt (Greitzer, et al., 2014). Greitzer et al. (2018) uttrycker att social engineering attacker därmed ökar den potentiella risken för inträffandet av oavsiktliga insiderhot och som en följd utsätter organisationens tillgångar. Brist på kunskap, minnesfel, bedömning eller riskuppfattning är potentiella riskfaktorer (Greitzer, et al., 2014).
Statistik om insiderhot
Statistik enligt en genomförd undersökning av insiderhotsincidenter visar på en förekomst av totalt 3269 incidenter i 159 organisationer som i genomsnitt kostade 8,76 miljoner dollar per organisation (Greitzer, et al., 2019). Mer än hälften av alla dataintrång som inträffade mellan 2014 och 2016 involverade en eller flera incidenter av insiders som antingen missbrukade sina privilegier, komprometterade mänskliga tillgångar eller begick oavsiktliga misstag (Verizon, 2017). Det framgår att endast 11 % av respondenterna upplevde att deras organisation inte var sårbar för insiderattacker, medan 89 % kände sig åtminstone något utsatta för insiderattacker (Kellett, 2015). En annan undersökning redogör för att 27 % av alla cyberbrottsincidenter har begåtts av insiders och att 30 % av respondenterna ansåg skadan som orsakats av insiders som allvarligare än den skada som orsakats av externa angripare (Trzeciak, 2019).
Trots mer än tio års forskning som betonat behovet av att inkludera beteendefaktorer i ett omfattande insiderhotsprogram, uttrycker Greitzer (2019) att de flesta organisationer inte har implementerat sådana åtgärder. Organisationer tenderar endast reagera på att utreda insiderbrott efter en skada har inträffat (Greitzer, 2019). Vidare förklarar Pfleeger et al. (2010) statistik för att ungefär en tredjedel till tre fjärdedelar av alla anställda har bedrivit någon form av bedrägeri, vandalism eller sabotage på arbetsplatsen. Motivet för insiderhot beskrivs kunna skapas inom organisationen i form av till exempel missnöje på arbetsplatsen eller utanför organisationen genom till exempel personliga eller ekonomiska problem i hemmet (Pfleeger, et al., 2010).
Figur 4 Författarens egen, baserad på Ponemon (2020)
2.1.4 Administrativa säkerhetsåtgärder
Elmrabit et al. (2020) hävdar att inget enstaka tillvägagångssätt kan helt och hållet lösa problemet. Tidigare forskning kring insiderhot visar på att insiders kringgår tekniska säkerhetsåtgärder, vilket enligt Tsiostas et al. (2020) utgör ett bevis på att insiderhot måste bemötas utifrån andra synvinklar. Teknik kan utgöra en del av lösningen, fast utan säkerhetsutbildning, aktivt samarbete och medvetenhet från anställda är det omöjligt att förebygga insiderhot (Tsiostas, et al., 2020). Problemet som Colwill (2009) uttrycker är att administrativa och organisatoriska säkerhetsåtgärder främst varit inriktade på utomstående attacker. Allt färre investeringar görs i åtgärder för att skydda mot insiderhot. Skydd mot insidern kan däremot endast uppnås om det finns en helhetssyn för vilka administrativa säkerhetsåtgärder som behöver implementeras. Lösningarna behöver samtidigt vara effektiva och bygga upp förtroende över tid (Colwill, 2009). Greitzer et al. (2018), Greitzer et al. (2014), Safa et al. (2019), Sarkar (2010), Ashenden (2008) och Mahfuth (2017) är några exempel på forskning som belyser administrativa säkerhetsåtgärder och den mänskliga faktorn som avgörande för att tillhandahålla meningsfulla åtgärder mot insiderhot.
3 Problemområde
Behovet av att bemöta avsiktliga och oavsiktliga insiderhot genom säkerhetsåtgärder har en avgörande betydelse i dagens samhälle. Detta eftersom statistik enligt en genomförd undersökning visar en förekomst på totalt 3269 insiderhotsincidenter i 159 organisationer som i genomsnitt kostade 8,76 miljoner dollar per organisation (Greitzer, et al., 2019). Mer än hälften av alla dataintrång som inträffade mellan 2014 och 2016 involverade en eller flera incidenter av insiders som antingen missbrukade sina privilegier, komprometterade mänskliga tillgångar eller begick oavsiktliga misstag (Verizon, 2017). Carroll (2006) framför problemet är att anställda har en daglig tillgång till känslig information och en kännedom för vad som kan användas till deras vinst eller för att skada organisationen.
Trots mer än tio års forskning som betonat behovet av att bemöta insiderhot genom hänsyn till beteendefaktorer, konstaterar Greitzer (2019) att de flesta organisationer inte implementerat sådana åtgärder. Organisationer tenderar endast utreda insiderbrott efter en skada redan har inträffat (Greitzer, 2019). Detta beror enligt Colwill (2009) på att organisationer ignorerar problemets relevans eftersom de inte vet att det inträffar, organisationer fruktar dålig publicitet eller vet inte vad de ska göra åt problemet. Greitzer et al. (2018), Greitzer et al. (2014), Safa et al. (2019), Sarkar (2010), Ashenden (2008) och Mahfuth (2017) är några exempel på forskning som belyser administrativa säkerhetsåtgärder och den mänskliga faktorn som avgörande för att tillhandahålla meningsfulla åtgärder mot insiderhot. Colwill (2009) menar på att brister inom till exempel träning, utbildning, medvetenhet, ledningen, rutiner och företagspolicy trots allt resulterar i organisatoriska sårbarheter som skapar ökade risker för att insiderhot inträffar.
Safa et al. (2019) förklarar att olika experter har presenterat ett brett utbud av metoder för att skydda information med avseende på mänskliga aspekter och redogör bilden om att problemområdet kräver fortsatt utvidgad forskning på grund av komplexiteten. Trots det breda utbudet av forskning kring insiderhot behövs det särskilt mer forskning kring de administrativa värdena i organisationen i relation till insiderhot (Safa, et al., 2019). Greitzer et al. (2018) definierar behovet enligt följande:
“While the role of organizational factors has been thoroughly studied and reported in the scientific literature on safety and human error, this topic has rarely been addressed in cybersecurity and insider threat research” (Greitzer et al. 2018, s. 198).
Citatet redogör för att organisatoriska faktorer (som består av administrativa säkerhetsåtgärder) har studerats grundligt och rapporterats i den vetenskapliga litteraturen inom säkerhet och mänskliga fel, däremot har ämnet sällan behandlats i forskning om insiderhot (Greitzer, et al., 2018). Elmrabit et al. (2020) är en annan forskare som definierar behovet enligt följande:
“Although significant work has taken place in recent years, relatively little progress has been made overall in mitigating insider threats” (Elmrabit et al. 2020, s. 2).
3.1 Problem/fråga
Frågeställningen som undersökts är:
”Vad finns det för förebyggande administrativa säkerhetsåtgärder att integrera i organisationen mot insiderhot?”.
Syftet med att undersöka frågeställningen har varit att komma fram till förebyggande administrativa säkerhetsåtgärder med avgörande betydelse för både avsiktliga och oavsiktliga insiderhot i organisationen. Anledningen till att frågeställningen har valts att undersökas beror på problemområdets relevans och påverkan. Trots allt riskerar organisationer som inte förebygger säkerhetsrisken genom administrativa säkerhetsåtgärder förlora väsentliga tillgångar och känsliga uppgifter (Nostro, et al., 2014). Följden av att förbise säkerhetsrisken skulle därmed kunna resultera i förlorad arbetstid, affärsstörningar (Sarkar, 2010), ekonomiska kostnader, bemötande av juridiska aspekter och dåliga rykten (Tu & Yuan, 2014).
3.2 Avgränsningar
Som tidigare nämnts har insiderhot inom vetenskapen utvärderats utifrån många olika perspektiv och bemöts genom en stor variation av olika säkerhetsåtgärder (Safa, et al., 2019). Av denna orsak har avgränsningar varit nödvändiga för att kunna undersöka problemområdet. Studien har gjort avgränsningen att enbart fokusera på administrativa säkerhetsåtgärder, trots att även tekniska säkerhetsåtgärder har en betydelsefull roll för att förebygga insiderhot. Detta för att göra en djupdykning inom ett mer avgränsat område. Dessutom hade det inte varit möjligt att undersöka samtliga typer av säkerhetsåtgärder på grund av den tillgängliga tidsrymden för undersökningen.
Anledningen till att administrativa säkerhetsåtgärder valts att undersökas beror på att enbart teknik uttrycks som otillräckligt för att motverka insiderhot (Ashenden, 2008; Colwill, 2009; Tsiostas et al., 2020). För att säkerhetsåtgärder ska ta i hänsyn till oförutsägbarheten av mänskligt beteende (Theoharidou, et al., 2005) och den mänskliga faktorn behövs det olika administrativa säkerhetsåtgärder (Greitzer et al., 2018; Greitzer et al., 2014; Safa et al., 2019; Sarkar, 2010; Ashenden, 2008; Mahfuth, 2017). Därutöver på grund av att litteraturen uttrycker administrativa säkerhetsåtgärder genom olika begrepp som till exempel organisatoriska faktorer, organisatoriska åtgärder och icke-tekniska säkerhetsåtgärder med flera, har snarlika begrepp valts att uteslutas.
3.3 Förväntat resultat
4 Metod
Detta kapitel redogör för uppsatsens val av metod som ligger till grund för bemötandet av frågeställningen och resultatet som tagits fram, en beskrivning av genomförandet för metoden och hur forskningsetiska principer har tagits i hänsyn till.
4.1 Val av metod
För att undersöka vad det finns för förebyggande administrativa säkerhetsåtgärder att integrera i organisationen mot insiderhot blev det naturliga valet att välja en systematisk litteraturöversikt med en tematisk analys. Målet som tidigt bestämdes i arbetsprocessen utifrån forskningens uttryckta behov var att skapa ett mer sammanhängande resultat genom en ingående diskussion av tidigare forskning inom litteraturen. Eftersom varken kvalitativa intervjuer eller kvantitativa enkäter skulle kunna uppnå detta syfte, var metoderna inte ett alternativ för genomförandet. Dessutom hade kvalitativa intervjuer kunnat utgöra en risk för uttryckande av subjektiva åsikter och kvantitativa enkäter hade inte bidragit med tillräckligt detaljrik information för att besvara frågeställningen. Fördelen med en systematisk litteraturöversikt är att metoden medför en hög objektiv trovärdighet på grund av att personliga åsikter till en hög grad undviks. Detta genom metodens utformande av inklusionskriterier som ställt krav på datainsamlingsprocessen. Magdaleno et al. (2012) beskriver att en systematisk litteraturöversikt är en metod som baseras på tidigare publicerad forskning producerat av forskare. Målet med en systematisk litteraturöversikt är att förbättra kvalitén för det material som finns tillgängligt inom valt område och förhindra onödigt dubbelarbete för forskare (Magdaleno, et al., 2012). När det gäller utförandet av den tematiska analysen har tanken varit att utifrån den utvalda litteraturen skapa olika teman baserat på de mest förekommande och diskuterade administrativa säkerhetsåtgärderna. Valet av den tematiska analysen har gjort det möjligt att studera området på djupet. Dessutom har den tematiska analysen bidragit med en effektiv process för extrahering av nödvändig information från litteraturen. Anledningen till att den valda metoden har varit den mest lämpade i det aktuella sammanhanget beror på problemets komplexitet och bredd för hur insiderhot kan bemötas i organisationen.
Booth et al. (2012) redogör för att det behöver göras systematiska översikter när antalet publicerade artiklar ökar inom ett område eftersom det annars resulterar i en överbelastning av information. Överbelastning av information leder till att det blir svårt att dra nytta av den informationen som behövs (Booth, et al., 2012). Problemet som har uttryckts inom uppsatsens problemområde är hur organisationer ska kunna förstå vilka administrativa säkerhetsåtgärder som behöver implementeras mot insiderhot, när insiderhot framstår som mer svårfångat och förvirrande än något annat hot (Sarkar, 2010). Samtidigt som en mängd olika forskare har presenterat ett brett utbud av möjliga metoder för att skydda information med avseende på insiderhot (Safa, et al., 2019). Det argumenteras därför vara tydligt att det behövs en systematisk litteraturöversikt som bringar klarhet.
förebyggande administrativa säkerhetsåtgärder, har kunskapsutveckling varit en motiverande faktor för att skriva om problemområdet. Ett annat problem som nämnts är att litteratur inom området uttrycker administrativa säkerhetsåtgärder genom olika begrepp, vilket gör det ännu svårare att ta till sig kunskap. Innebörden med metoden är att placera olika arbeten i ett tydligare sammanhang och bidra med en bättre förståelse av ämnet som granskats (Booth, et al., 2012).
4.2 Genomförande av metod
Magdaleno et al. (2012) framför att systematiska litteraturöversikter innefattar insamling, utvärdering, analysering och syntetisering av relevant tillgänglig litteratur. Arbetsprocessen har följts upp genom tre olika faser i form av planering, genomförande och rapportskrivning enligt Figur 5 som baserats på forskning från Magdaleno et al. (2012).
Figur 5 Författarens egen, baserad på Magdaleno et al. (2012)
Fas 1 består av att ange forskningsfråga och utveckla protokoll, fas 2 består av att hitta artiklar, utvärdera artiklarnas kvalitet, extrahera nödvändig information och syntetisera data och fas 3 består av att skriva själva rapporten (Magdaleno, et al., 2012). En mer specifik beskrivning av stegen inom faserna redogörs i kommande underkapitel. Enligt Kitchenham (2004) är grunden för systematiska granskningar att de måste göras i enlighet med en sökstrategi. Detta innebär att sökningens genomförande måste kunna bedömas av en läsare och dessutom vara reproducerbar (Kitchenham, 2004). Med andra ord ska genomförandet presenteras tydligt och exakt för att vem som helst ska kunna replikera granskningen och få samma studier, samma behandlingseffekter och komma fram till liknande slutsatser (Meline, 2006).
4.2.1 Inklusionskriterier
Första steget i fas 1 blev att specificera forskningsfrågan som behandlats. Därefter utvecklades ett protokoll med kriterierna som använts för datainsamlingen. Kriterierna benämns som inklusions- samt exklusionskriterier och specificerar den information som erhållits för att avgränsa sökningen. Kriterierna gör det möjligt att välja artiklar som ska inkluderas och exkluderas från den systematiska litteraturöversikten (Kitchenham, 2004). Kriterierna utgör sökstrategin (Aromataris & Riitano, 2014) och skapar förutsättningar för en opartisk sökstrategi (Kitchenham, 2004). Eftersom Meline (2006) menar på att kriterierna behöver vara anpassade till översiktens specifika syfte och mål, behövde egengjorda kriterier skapas enligt Tabell 1. Kriterierna har använts för att hämta den forskning som behövts för att besvara frågeställningen.
Tabell 1 Inklusionskriterier (författarens egen)
Enligt Tabell 1 redogörs det att artiklarna som samlats in för litteraturstudien har varit originalartiklar av dokumenttypen journalartiklar eller konferensartiklar. Originalartiklar är källor som presenterar forskningsresultat offentligt för första gången. Krav som ställts för journalartiklar är att de ska vara referee-granskade av en akademisk tidskrift och att artiklarna ska klassificeras som akademiska. Referee-granskning innebär att artiklarna ska ha expertgranskats innan publicering, vilket har kontrollerats med hjälp av databasen Ulrichsweb. Däremot har konferensartiklar kontrollerats med hjälp av norska, danska eller finska listan. Listorna bygger på bedömningar gjorda av expertgrupper som kontrollerar vetenskapligheten av bland annat olika konferenser (Högskolan i Skövde, 2021).
För att resultatet som skapats genom den systematiska litteraturöversikten skulle vara aktuell och uppdaterad, valdes ett publiceringsdatum mellan 2014 och 2021. Publiceringsdatumet ansågs som rimligt eftersom det varken resulterade i för mycket eller för lite träffar vid sökning i databaserna. Andra krav som ställts är att artiklarna ska vara på engelska och att innehållet ska bestå av en relevant titel eller abstrakt som kan kopplas till frågeställningen. Därutöver har bara fullständigt tillgängliga och kostnadsfria artiklar använts. Exklusionskriterierna innefattar allt utomstående som inklusionskriterierna inte berört. Detta inkluderar till exempel att böcker inte har använts då de inte alltid är en primärkälla. Därav har inte heller litteraturöversikter använts. Inklusionskriterierna har generellt varit avgörande, utan inklusionskriterierna för granskningsprocessen hade det rent sagt varit omöjligt att skapa en översikt för området.
4.2.2 Söktermer och söksträngar
Första steget för fas 2 har varit att hitta artiklar genom en sökstrategi som innefattar exakta termer och söksträngar som använts för att söka litteratur i databaser. Sökstrategin innefattar därutöver hur logiska operatorer har tillämpats vid sökningar och vilka databaser som valts för att hitta litteraturen. Eftersom metoden ska vara reproducerbar har sökstrategin dokumenterats för att läsaren ska kunna göra en egen bedömning av genomförandet. Dokumentation av genomförandet ska enligt Booth et al. (2012) vara till hjälp för att tydliggöra bevisen som stödjer resultat, var bevisen kan hittas och hur bevisen tolkades. Aromataris & Riitano (2014) hävdar att användbarheten av sökresultatet som fås beror helt på hur sökorden används. Det har därför varit viktigt att utforma en omfattande söksträng som genererar en tillräcklig mängd litteratur för att besvara frågeställningen.
Tabell 2 Söktermer och synonymer (författarens egen)
begrepp. Därav har termerna använts för att säkerställa ett sökresultat som inte går miste om relevant litteratur vid sökning.
För att relatera sökningen till säkerhetsåtgärder har synonymerna ”measures”, ”controls” och ”factors” valts. De resterande söktermerna ”mitigate”, ”framework”, ”best practices” och ”insider threat program” är termer som vanligen uttrycks inom litteratur om insiderhot och har därför också valts som betydelsefulla söktermer. Söksträngen hade kunnat innefatta ännu fler synonymer för de olika termerna. Till exempel hade ”organisation” med ”S” kunnat tillägas eftersom begreppet kan uttryckas både med ”S” och ”Z”. Sådana liknande termer testades, dock medförde de inte till några större skiljaktigheter för sökresultatet. Av denna anledningen ansågs det som irrelevant att skapa en mer komplex söksträng.
Tabell 3 Söksträng 1 (författarens egen)
Enligt Tabell 3 redogörs söksträngen som använts för sökning i databaserna ACM Digital Library, IEEE Explore och SpringerLink. Operatorn ”AND” har använts för att kombinera de olika söktermerna. För att söksträngen inte skulle bli allt för specifik var det viktigt att uttrycka få AND operatorer. Operatorn ”OR” har använts för att få träffar där båda eller endast ett av orden förekommit i artiklarna. Operatorn ”OR” har därmed varit till hjälp för att uttrycka synonymerna enligt Tabell 2. Tillsammans har de logiska operatorerna byggt upp söksträngen.
Anledningen till att fler söksträngar inte har utformats och använts för att hitta litteratur till litteraturstudien beror på att mer litteratur inte behövdes för att besvara frågeställningen. Fler söksträngar skulle dessutom bara medföra till en allt mer komplex datainsamlingsprocess.
Tabell 4 Söksträng 2 (författarens egen)
4.2.3 Valda databaser och utförda sökningar
Generellt valdes databaserna enligt Tabell 5 eftersom de upplevdes som smidiga att använda vid sökning av litteratur. Genom dess funktionalitet för avancerade sökningar blev det möjligt att ta i hänsyn till kriterierna som utformats.
Tabell 5 Valda databaser (författarens egen)
För att välja relevanta databaser för ämnet, blev utgångspunkten även att utgå från artiklarna som använts för att beskriva insiderhot i bakgrundskapitlet. Eftersom majoriteten av alla artiklarna hittades från databaserna ACM Digital Library, IEEE Explore, ScienceDirect och SpringerLink, ansågs det som fördelaktigt att välja dessa för den systematiska litteraturöversikten. Detta eftersom det medför till en tydligare koppling när artiklar från bakgrundskapitlet även används i analysen och resultatet. Anledningen till att fyra databaser har valts beror på områdets spretighet samt utformandet av kriterierna och kvalitetsgranskningen. Publiceringsdatum är till exempel ett kriterium som markant minskat utbudet av forskningsartiklar inom området. De utvalda databaserna har skapat förutsättningar för att hitta relevanta artiklar av hög kvalité. Tillgången till databaserna har fåtts genom Högskolan i Skövde.
Tabell 6 Sökträffar i ACM Digital Library (författarens egen)
Sökstrategin för databasen ACM Digital Library resulterade i resultatet enligt Tabell 6. Söksträngen som användes redogörs enligt Tabell 3. Utan hänsyn till några inklusionskriterier blev antalet sökträffar 220. Efter att bara journaler och konferenser valts som dokumenttyp blev antalet sökträffar 193. Därefter tillämpades kravet på att sökresultatet enbart skulle redovisa artiklar mellan 2014 och 2021, vilket medförde till 120 sökträffar. Enbart 1 artikel var inte tillgänglig och sökresultatet blev därmed 119. Utifrån en granskning av alla 119 artiklarna av innehåll i form av titel, abstrakt och koppling till frågeställningen, resulterade det i att 4 artiklar valdes ut. Samtliga artiklar var skrivna på engelska och följde därför kriteriet för språk. En av artiklarna var inte en originalartikel och behövde därmed tas bort, utvalda artiklar blev därmed 3. Kriterium 7 behövde inte tas i hänsyn då de tre artiklarna var av typen konferenser. Eftersom samtliga av konferenserna dessutom kunde hittas i de olika listorna som benämnts enligt Tabell
1, blev resultatet 3 artiklar från denna databas.
Tabell 7 Sökträffar i IEEE Explore (författarens egen)
skulle redovisa artiklar mellan 2014 och 2021, vilket medförde till 27 sökträffar. Alla artiklarna var tillgängliga och sökresultatet blev därför samma. Utifrån en granskning av alla 27 artiklarna av innehåll i form av titel, abstrakt och koppling till frågeställningen, resulterade det i att 5 artiklar valdes ut. Samtliga artiklar var skrivna på engelska och följde därför kriteriet för språk. En av artiklarna var inte en originalartikel och behövde därmed tas bort, utvalda artiklar blev därmed 4. En av de fyra artiklarna var av typen journalartikel och behövde därför granskas genom Ulrichsweb. Eftersom journalartikeln var referee-granskad, kunde den användas för litteraturstudien. Tre av artiklarna var av typen konferenser. Eftersom samtliga av konferenserna kunde hittas i de olika listorna som benämnts enligt Tabell 1, blev resultatet 4 artiklar från denna databas.
Tabell 8 Sökträffar i ScienceDirect (författarens egen)
Tabell 9 Sökträffar i SpringerLink (författarens egen)
Sökstrategin för databasen SpringerLink resulterade i resultatet enligt Tabell 9. Söksträngen som användes redogörs enligt Tabell 3. Utan hänsyn till några inklusionskriterier blev antalet sökträffar 1180. Efter att bara journaler och konferenser valts som dokumenttyp blev antalet sökträffar 658. Därefter tillämpades kravet på att sökresultatet enbart skulle redovisa artiklar mellan 2014 och 2021, vilket medförde till 478 sökträffar. Utifrån en granskning av alla 478 artiklarna av innehåll i form av titel, abstrakt och koppling till frågeställningen, resulterade det i att 6 artiklar valdes. Samtliga artiklarna var skrivna på engelska och följde därför kriteriet för språk. Alla artiklarna var originalartiklar och resultatet blev därför samma. 1 av de 6 artiklarna var av typen journalartikel och behövde därför granskas genom Ulrichsweb. Eftersom journalartikeln inte var referee-granskad, behövde den uteslutas från litteraturstudien. Samtliga av konferenserna kunde hittas i de olika listorna som benämnts enligt Tabell 1, därmed blev resultatet 5 artiklar från denna databas.
4.2.4 Kvalitetsgranskning
Nästa steg av fas 2 blev att utföra en kvalitetsgranskning av artiklarna. Kitchenham (2004) uttrycker att kvalitetsbedömningen säkerställer trovärdighet av litteraturen. Därmed har olika egengjorda frågor formulerats för genomförandet.
Tabell 10 Kvalitetsgranskning (författarens egen)
Utformandet av frågorna enligt Tabell 10 har tagit inspiration av information på hemsidan Högskolan i Skövde (2021) och handboken av SBU (2017) om kvalitetsgranskning. Målet med granskningsprocessen har varit att säkerställa ett urval av trovärdiga artiklar genom hänsyn till de skapta valideringsfrågorna. För att identifiera relevanta artiklar för den systematiska litteraturöversikten har det undersökts om det funnits en vetenskaplig IMRaD struktur, vilket står för ”Introduktion”, ”Metod”, ”Resultat” och ”Diskussion”. Dessutom har det kontrollerats om det funnits med abstrakt, nyckelord och referenser. Saknas det en vetenskaplig struktur eller en tydlig applicering av referenser, förloras hela pålitligheteten för resultatet. Med andra ord har det varit viktigt att det funnits en tydlig struktur och redogörelse om varifrån författaren hämtat informationen som använts. Enligt SBU (2017) behöver artiklarnas frågeställningar vara väldefinierade med ett tydligt mål och syfte för genomförandet. Det ska tydligt framgå varför forskaren valt att använda sig av särskilda forskningsmetoder eller ansatser för att utföra datainsamlingen. Därutöver behöver resultat och slutsatser redogörs på ett logiskt och förståeligt sätt (SBU, 2017).
I de fall som artiklar inte upplevdes uppfylla kraven, behövde de uteslutas från litteraturstudien. Genom kvalitetsgranskningen behövde fyra artiklar uteslutas, främst på grund av att artiklarna saknade en vetenskaplig IMRaD struktur. Kvalitetsgranskningen har generellt varit avgörande, utan kvalitetsgranskning hade det resulterat i en risk för användning av opålitliga källor, vilket därmed hade haft en negativ påverkan på resultatet. Kvalitetsgranskningen har utförts på egen hand av skribenten för uppsatsen genom besvarande av granskningsfrågorna för respektive artikel. Eftersom 8 frågor har formulerats, har en artikel totalt kunnat få 8 poäng. Svaret ”Ja” har gett poäng medan ”Oklart” och ”Nej” har inte gett poäng. Alla artiklar som bedömts till minst 5 av 8 poäng har godkänts och alla artiklar som bedömts till mindre än 5 poäng har exkluderats från litteraturstudien. Den detaljerade dokumentationen av kvalitetsgranskningen redovisas som en bilaga i slutet av rapporten.
4.2.5 Tematisk analys
Sista steget i fas 2 innefattar hur information från de valda artiklarna har extraherats och syntetiserats. Grunden för att skapa sammanställningen av resultatet från de inkluderade artiklarna har varit utförandet av den tematiska analysen. Braun & Clarke (2006) framför att en tematisk analys är en metod för kvalitativ analys som identifierar, analyserar och rapporterar mönster, med andra ord teman i data. Analysen innefattar en ständig bearbetning av datamängden som framtagits genom kodade utdrag av data som analyserats, det vill säga koder. Koder identifieras som viktigt innehåll som är av intresse för analytikern. Vidare kan koder beskrivas som grundläggande element i rådata som kan användas för att bemöta fenomenet. Kodningsprocessen är en del av analysen som utgör framtagen data och används för att organisera data i meningsfulla teman. Teman beskrivs vara viktiga områden inom insamlade data i förhållande till forskningsfrågan. Genomförandet av en tematisk analys möjliggör detaljrik information, men samtidigt också en komplex redovisning av data (Braun & Clarke, 2006).
SBU (2017) beskriver att en utförd sammanställning av resultatet från de olika studierna kan bidra med ett nytt perspektiv och synsätt. Målet med en kvalitativ analys är att identifiera teman som framkommer i flera olika studier och därmed grunda det vetenskapliga underlaget som resultat och slutsatser (SBU, 2017). Manuellt har information hämtats ut från artiklarna för att få en exakt förståelse av artiklarnas innehåll och resultat. Därmed har inte något mjukvaruprogram för litteratursökning använts. Ett sådant analysprogram hade däremot varit nödvändigt om en allt mer omfattande översikt skulle ha genomförts. Arbetsprocessen för den tematiska analysen har genomförts utifrån stegen som framtagits av Braun & Clarke (2006). En del av stegen modifierades och togs bort för att stegen inom den tematiska analysen även skulle fungera tillsammans med de tidigare stegen inom datainsamlingsprocessen. Genomförandet av den tematiska analysen redogörs nedan:
1. Bekanta dig med insamlad data: Transkribera data, läs igenom data och notera initiala idéer (Braun & Clarke, 2006).
Första steget blev att läsa igenom artiklarna för en bättre förståelse av innehållet. På grund av att innehållet inom litteraturen är själva resultatet i en litteraturstudie, behövde inte någon transkribering utföras. De initiala idéerna som noterades bestod av möjliga administrativa säkerhetsåtgärder för att bemöta frågeställningen. Det ansågs som relativt tydligt vilka teman som skulle användas för den tematiska analysen.
2. Skapa koder: Koda intressant information på ett systematiskt sätt över hela datamängden (Braun & Clarke, 2006).
3. Sök och utforma teman: Samla all relevant information från koderna inom potentiella teman (Braun & Clarke, 2006).
För att gruppera den stora mängden information identifierades teman. När väl teman var utvalda blev det början på en process för att relatera koderna till särskilda teman. På grund av överflöd av information behövde även information tas bort i processen.
Identifierade teman och resultat som tagits fram genom kodningsprocessen redogörs i kapitlet för litteraturanalys.
4.3 Forskningsetiska principer
Något som är viktigt att ta i hänsyn till vid forskning är forskningskravet som enligt Vetenskapsrådet (2002) innebär att samhället och samhällets medlemmar har ett berättigat krav på att forskning bedrivs, att den inriktas på väsentliga frågor och att den håller hög kvalitet. Forskningskravet utgörs av individskyddskravet som är utgångspunkten för forskningsetiska överväganden. Individskyddskravet konkretiseras i fyra allmänna huvudkrav på forskningen i form av informationskravet, samtyckeskravet, konfidentialitetskravet och nyttjandekravet (Vetenskapsrådet, 2002). Eftersom Vetenskapsrådet (2021) forskningsetiska riktlinjer relaterar till antingen forskning som rör människor eller forskning om djur, anses det inte relatera till en systematisk litteraturöversikt. Det hade varit skillnad om undersökningen hade innefattat utförda intervjuer, eftersom det då skulle beröra forskning som rör människor. Dessutom berör metoden inte heller behandling av personuppgifter.
5 Litteraturanalys
Detta kapitel redogör för teman som tagits fram och analyserats genom den tematiska analysen och utgör materialet som använts för att besvara frågeställningen. Utvald litteratur för analysen och resultatet redovisas enligt bilagan i slutet av rapporten. Litteraturanalysen grundar på att det finns administrativa säkerhetsåtgärder specifikt riktade mot avsiktliga insiderhot, oavsiktliga insiderhot och generella administrativa säkerhetsåtgärder mot både avsiktliga samt oavsiktliga insiderhot. Inom dessa tre övergripande områdena har olika teman identifierats. GDT (General Deterrence Theory), SBT (Social Bond Theory) och PBT (Planned Behaviour Theory) är avgörande teman för att förebygga avsiktliga insiderhot. SETA (Security Education, Training & Awareness) och stress är däremot avgörande teman för att förebygga oavsiktliga insiderhot. Därutöver är informationssäkerhetspolicy och kombinationen av positiva samt negativa incitament avgörande teman för att förebygga insiderhot i stort.
5.1 Åtgärder mot avsiktliga insiderhot
Nedanstående underkapitel tar upp avgörande administrativa säkerhetsåtgärder för att motverka avsiktliga insiderhot.
5.1.1 GDT
Dupuis & Khadeer (2016) redogör för att GDT är en teori som utgår från att människor strävar efter logiska beslut som maximerar egna fördelar och minimerar eventuella kostnader. När chanserna för straff ökar genom allvarliga sanktioner, kommer potentiella avsiktliga insiders avskräckas från att begå brottsliga handlingar (Dupuis & Khadeer, 2016). Trots allt menar Safa et al. (2019) att om en gärningsperson inser att de brottsliga handlingarna kommer att upptäckas och leda till hårda straff, blir personen mindre benägen att utföra ett avvikande beteende. Sanktioner utgör formella kontroller som bestraffar avvikande beteende genom böter, uppsägning och fängelse (Safa, et al., 2019). Flowerday & Tuyikeze (2016) samtycker om att hårda straff för anställda som bryter mot organisationens regler är nödvändigt för att förebygga avsiktliga insiderhot. Safa et al. (2019) förtydligar att det handlar om att öka ansträngningen, risken och minska belöningen för att avsiktliga insiderbrott inte ska vara lönsamt att begå. Sanktioner har därför en betydande effekt på anställdas inställning. GDT påverkar anställdas attityder och förhindrar brottsligt beteende inom organisationen (Safa, et al., 2019). Connolly et al. (2015) framför därutöver att organisationer genom GDT kan öka anställdas efterlevnad av informationssäkerhetsregler. Detta genom att implementera avskräckningsmekanismer, vilket utöver sanktioner kan innefatta informationssäkerhetspolicyer, säkerhetsutbildning, säkerhetsträning och medvetenhetsprogram (Connolly, et al., 2015).
5.1.2 SBT
jobb, handledare och medarbetare. Anknytningen till en organisation påverkar hur medarbetarens attityd är gentemot informationssäkerhet. Det är därför viktigt att få anställda känna tillhörighet till organisationen då anställda med stark anknytning är mindre benägna att begå brottsliga handlingar. Vidare är engagemang avgörande eftersom engagemang från anställda påverkar positivt medarbetarnas attityd och anställdas avsikt att bedriva informationssäkerhet. Engagemang innefattar viljan att anstränga sig, bidra och ge stöd för att skydda organisatoriska tillgångar (Safa, et al., 2018).
Dessutom framför Safa et al. (2018) att involvering är av stor betydelse. Alla anställda i organisationen behöver få möjligheten att delta i säkerhetsrelaterade aktiviteter och bidra med att skydda information samt förbättra informationssäkerheten. Fördelen med involvering är att det även främjar ökat engagemang för att vilja skydda information. Dessa tre områden har en signifikant effekt på individers beteenden och kan minska sannolikheten för att anställda bildar en avsikt att engagera sig i felaktigt beteende. Trots allt bedriver individer med starkare sociala band mindre avvikande beteende. Risken med att inte ta hänsyn till anställdas anknytning, engagemang och involvering resulterar i att avsiktliga insiders blir ännu mer benägna ett begå en stöld inom organisationen (Safa, et al., 2018). Därutöver konstaterar Greitzer (2019) att arbetsgivare bör ha en tydlig kommunikation med de anställda och hitta en balans mellan säkerhet och integritet som är till förmån för alla. Åtgärderna inom organisationen ska inte vara inskränkande och de ska skydda individens rätt till integritet (Greitzer, 2019).
5.1.3 PBT
5.2 Åtgärder mot oavsiktligt insiderhot
Nedanstående underkapitel tar upp avgörande administrativa säkerhetsåtgärder för att motverka oavsiktliga insiderhot.
5.2.1 SETA
Lee et al. (2016) hävdar problemet med oavsiktliga insiderhot är att det finns anställda i organisationen som inte alls är intresserade av att ta i hänsyn till skyddsåtgärder på grund av bristande kunskap om säkerhet och bristande förståelse för säkerhetsrisker. Canham et al. (2020) redogör därför för att det behövs effektiva utbildningsprogram eftersom vanliga problem är brist på kunskap och medvetenhet. Oavsiktliga förluster av information eller tillgångar är kunskapsbaserade misstag och medvetenhet framför allt annat är kärnan av problemet. Ökad medvetenhet får anställda att fokusera uppmärksamheten på säkerhet och bidrar med att anställda som följd kan känna igen risker och agera. Organisationer behöver införa SETA-insatser för alla, inte bara för beslutsfattare på högsta nivån och operativa experter. Det som behövs är effektiva träningsprogram för att anställda genom en uppsättning av kunskaper och färdigheter ska kunna motverka insiderhot. Däremot måste organisationer undvika att sätta upp orealistiska mål, vilket kan leda till bristande engagemang (Canham, et al., 2020). Greitzer et al. (2014) anger att anställda behöver tränas kontinuerligt för att upprätthålla en rätt nivå av kunskaper och färdigheter. Det handlar om att skapa en medvetenhet om möjliga risker (Greitzer, et al., 2014). Henshel et al. (2015) förtydligar att medvetenhet innefattar i vilken utsträckning en person uppfattar detaljerna och händelserna som inträffar runt om kring dem samt förmågan att resonera genom möjliga följder.
Pereira & Santos (2015) konstaterar att risker med insiders måste uppmärksammas och diskuteras av beslutsfattare före en säkerhetsincident inträffat och inte när det är försent. Utbildning som utförs inom organisationen bör belysa en förståelse om hur anställdas psykologiska beteenden och egenskaper kan utgöra verkliga risker och därmed hur problemet gemensamt ska bemötas. Psykologiska och beteendemässiga indikatorer berör till exempel välbefinnande, stress och störningar hos anställda i enlighet med organisationens säkerhetspolicy samt kultur. Det bör därför uppmärksammas att anställda är en viktig organisatorisk tillgång som samtidigt orsakar flera sårbarheter, vilket därmed måste hanteras och utvärderas som andra sårbarheter. Därutöver är en faktor som ligger till grund för oavsiktliga misstag anställdas brist på färdigheter. IT-färdigheter behöver utvärderas i form av datorkunskaper, kunskaper om nätverk, databaser och övriga tekniker (Pereira & Santos, 2015).
