Kandidatuppsats
Affärssystemprogrammet 180hp
Hantering av hot mot IT-säkerhet vid distansarbete
En kvalitativ studie om hot mot IT-säkerhet som framkommer av distansarbete vid användning av molntjänster och hur dessa hot kan hanteras
Informatik 15 hp
Halmstad 2021-06-03
Erik Lindberg och William Gustafsson
Förord
Vi skulle vilja tacka samtliga respondenter som tagit tid från sin vardag för att hjälpa oss, utan er hade studien inte gått att genomföra. Er kompetens och era svar har varit otroligt intressant att ta del av. Vi vill även tacka vår handledare Kotaiba Aal för din feedback och förmåga att ge oss perspektiv på vår studie. Dina kommentarer och idéer är en stor
bidragande faktor till resultatet som blivit.
Utöver detta vill vi även ägna ett tack åt Susanne Lindberg och Pontus Wärnestål, samt övriga opponenter som hjälpt oss att förbättra vår studie genom värdefulla insikter.
Halmstad, 2021.
_______________________ ______________________
Erik Lindberg William Gustafsson
Abstrakt
Under de senaste åren har användningen av molnbaserade system ökat och det medför uppmärksamhet från fientliga digitala angrepp som krypteringsvirus och DDoS-attacker. När världen drabbades av COVID-19 pandemin tvingades flertalet företag att snabbt ändra sina riktlinjer och anställda fick arbeta hemifrån. Detta ställer krav på molntjänstleverantörer som snabbt ska implementera, underhålla och utbilda om IT-säkerhet i en kundorganisation som ska arbeta på distans från kontoret. Tidigare forskning har belyst IT-säkerhet men det efterfrågas fler studier om hur det mänskliga användandet och medvetenhet har en roll i sammanhanget.
Studien har identifierat med hjälp av en litteraturstudie de vanligaste hoten mot molntjänster och hur IT-säkerhet delas upp i tre områden: konfidentialitet, tillgänglighet och riktighet. Det som har adderats till detta är en socio-teknisk aspekt och ansvarsskyldighet för att rama in den mänskliga faktorn. Studien har använt en kvalitativ ansats med semi-strukturerade intervjuer och en tematisk analys för att besvara frågeställningen. De respondenter som har intervjuats har alla en expertis inom molntjänster och arbetar med IT-säkerhet mot kunder. Studien diskuterar fyra påstående som är viktiga att beakta för att hantera aktuella hot mot IT- säkerheten: regler och riktlinjer minskar hot som framkommer av mänskliga faktorn, tydlig fördelning av ansvar ökar medvetenheten, ökad medvetenhet minskar risken för intrång och att välja rätt produkter och tjänster är viktigt för att vara skyddad vid distansarbete.
Studiens slutsats visar att det främst är genom en ökad medvetenhet från både företag och molntjänstleverantörer som hot mot IT-säkerhet kan hanteras. Därför avslutas studien med en slutsats som argumenterar för att den socio-tekniska aspekten av säkerhet är den mest aktuella och värdiga att beakta.
Nyckelord: IT-säkerhet, distansarbete, hot, användning av molntjänster och ökad medvetenhet
Abstract
In recent years, the use of cloud-based systems has increased, and this is attracting attention from hostile digital attacks such as encryption viruses and DDoS attackers. When the world was hit by the COVID-19 pandemic, most companies were forced to quickly change their guidelines and employees had to work from home. This place demands on cloud service providers who must quickly implement, maintain, and educate about IT security in a customer organization that will work remotely from the office. Previous research has shed light on IT security, but more studies are needed on how human use the cloud services and how awareness about threats plays a role in this context.
The study has identified with the help of a literature study the most common threats to cloud services and how IT security is divided into three areas, confidentiality, availability, and integrity. What has been added to this is a socio-technical aspect and responsibility to frame the human factor. The study has used a qualitative approach with semi-structured interviews and a thematic analysis to answer the research question. The respondents who have been interviewed all have a deep expertise in cloud services and work with IT security for the customer. The study discusses four statements that are important to consider while dealing with current threats to IT security: Rules and guidelines reduces threats posed by the human factor, clear division of responsibilities increases awareness, increased awareness reduces the risk of intrusion and choosing the right products and services is important to be protected while remote working.
The study's conclusion shows that it is through increased awareness from both companies and cloud service providers that IT security can be handled. Therefore, the study ends with a conclusion that argues that the socio-technical aspect of security is the most relevant and worthy to be considered.
Keywords: Cyber security, remote working, threats, use of cloud services, and increased awareness
Innehållsförteckning
1. Introduktion ... 1
2. Relaterad litteratur ... 3
2.1 Molntjänster och funktionalitet ... 3
2.2 Distansarbete ... 3
2.3 IT-säkerhet ... 4
2.3.1 Konfidentialitet ... 5
2.3.2 Riktighet ... 5
2.3.3 Tillgänglighet ... 6
2.3.4 Ansvarsskyldighet, spårbarhet och granskning ... 6
2.3.5 Socio-teknisk aspekt av IT-säkerhet ... 7
2.4 Hot mot säkerheten ... 8
2.5 Hantering av hot ... 8
2.6 Litteratursammanfattning ... 9
3. Metod ... 11
3.1 Forskningsansats ... 11
3.2 Litteraturstudie ... 11
3.3 Datainsamling ... 12
3.4 Urval ... 13
3.5 Analysmetod ... 14
3.6 Etiska överväganden ... 15
3.7 Metoddiskussion ... 15
4. Resultat ... 17
4.1 Konfidentialitet ... 17
4.2 Tillgänglighet ... 18
4.3 Riktighet... 21
4.4 Socio-teknisk aspekt ... 22
5. Analys ... 25
5.1 Riktlinjer och regelverk ... 25
5.2 Ansvarstagande ... 26
5.3 Användning och medvetenhet ... 27
5.4 Produkter och tjänster ... 27
6. Diskussion ... 29
6.1 Regler och riktlinjer minskar hot som framkommer av mänskliga faktorn ... 29
6.2 Tydlig fördelning av ansvar ökar medvetenheten... 30
6.3 Ökad medvetenhet minskar risken för intrång ... 31
6.4 Att välja rätt produkter och tjänster är viktigt för att vara skyddad vid distansarbete.... 31
6.5 IT-säkerhet och distansarbete för hållbar utveckling ... 32 7. Slutsats ... 34 7.1 Framtida forskningsförslag ... 34 Referenser
Bilagor
Bilaga 1 - Operationaliseringsschema Bilaga 2 - Intervjuguide
1
1. Introduktion
Att utföra sitt dagliga arbete hemifrån är en av alla fördelar som informationsteknologi möjliggör. Trots flexibiliteten det erbjuder är detta något som få människor fram tills nyligen hade fått prova på. Detta är något som förändrats snabbt och globalt på senare tid till följd av det pandemiförklarade viruset COVID-19 (Furnell & Shah, 2020). Många företag genomgår nu en förändring för första gången som tillåter anställda att kommunicera och arbeta hemifrån.
Att arbeta hemifrån var det enda sättet för företag att hjälpa till att minska dödsantalet som pandemin tillbringar, för att samtidigt tillåta företaget att bedriva sin verksamhet. Eftersom pandemin påverkat företag till att arbeta hemifrån under en längre period blir sannolikheten allt större att arbete hemifrån kommer att bli ett traditionellt arbetssätt även efter pandemins tid (Bonacini et al., 2020; Alon et al., 2020). I en undersökning av Baert et al., (2020) som handlar om arbetares upplevelser om distansarbete, upplevde hela 81% att digitala konferenser skulle fortsätta användas efter pandemin. 85% av samma personer som frågades trodde att distansarbetet skulle fortsätta. I COVID-19:s framfart var det inte bara distansarbetet som blev vanligare. En negativ följd av att allt fler människor arbetar på distans, var att de blev enklare byten för digitala attacker och lurendrejeri (Furnell & Shah, 2020).
Furnell och Shah (2020) skriver att COVID-19 pandemin tvingade in företag i ett arbetssätt som de ur ett säkerhetsperspektiv inte var redo för. Kompetensen som finns för IT-säkerheten är generellt sett för låg och inte tillräcklig för att företag ska kunna vara förberedda för att skydda sig i en era av distansarbete. I en undersökning gjord av Ames et al., (2019) svarade endast 15% av undersökningspersonerna att de anser sig besitta tillräcklig kompetens för att skydda sig på internet. Den låga kompetens som finns kombinerat med sannolikheten att distansarbete lär fortsätta i framtiden, lägger en grund för relevans att undersöka problematiken i IT-säkerhet samt hur organisationer bör arbeta för att skydda sig online vid distansarbete med hjälp av molntjänster.
Användning av molntjänster innebär att överlåta ansvaret för organisatoriska data till molntjänstleverantörerna och samtliga data förvaras därmed på leverantörens servrar (Hentschel et al., 2018). En del av att försäkra organisationers IT-säkerhet bär därför molntjänstleverantörerna. Vid fall då säkerheten brister och obehöriga kommer åt den data som samlas, är det leverantörernas rykte som skadas. Därför är det viktigt för molntjänstleverantörer att kontinuerligt arbeta för att anpassa sitt system enligt nya framkommande hot (Ramachandran & Chang, 2016).
Vid arbete på distans behöver den data som används samlas på en tillgänglig plats med hjälp av en molntjänst, som använder sig av egna virtuella IP-adresser. En hackare kan lokalisera denna IP-adress, kopiera innehållet och därmed få tillgång till alla data som ligger i “molnet”
innan attacken upptäckts (Sabahi, 2011). Att skydda sina data i molntjänster är därför viktigt och för att göra detta behöver IT-säkerheten behandlas. IT-säkerhet är ett ständigt aktuellt ämne för aktörer som arbetar med informationsteknologi (Furnell, 2016).
Tidigare forskning inom IT-säkerhet saknar koppling till den ökande graden av distansarbete som framkommit i följd av pandemin (COVID-19). Överlag har tidigare forskning ett tekniskt perspektiv på IT-säkerhet och det eftertraktas mer forskning ur ett socio-tekniskt perspektiv (Hu et al., 2007). Forskningsgapet som identifierats är viktigt att studera eftersom angripare idag väljer att rikta attacker mot människan istället för systemet. Detta är eftersom systemanvändarnas okunskap inom IT-säkerhet ofta är det mest effektiva sättet att få åtkomst (Bella et al., 2015). Därför studeras hoten som identifieras både ur ett tekniskt och socio- tekniskt perspektiv. Tidigare forskning har identifierat olika hot mot IT-säkerhet som skapas av att arbeta på distans, i form av fysiska och tekniska. Fysiska hot innebär till exempel stulen
2 hårdvara eller familjemedlemmar som använder arbetsdatorn till att surfa på internet (Furnell, 2006). De tekniska hoten är i form av organiserade angrepp riktade mot systemen som används för att arbeta på distans (Furnell & Shah, 2020). Studien kommer enbart fokusera på de tekniska hoten som skapas vid användningen av molntjänster.
Syftet med studien är att undersöka vilka hot mot IT-säkerhet som framkommer av att arbeta på distans med hjälp av molntjänster, för att kunna bidra med förslag på hur hoten kan hanteras.
Studien avser därmed att besvara frågeställningen:
Hur hanterar molntjänstleverantörer hot som uppstår mot molntjänsters IT-säkerhet vid distansarbete?
För att besvara studiens syfte har en kvalitativ studie genomförts med semi-strukturerade intervjuer för att bilda en så djup bild som möjligt av hur molntjänstleverantörer kan hantera hot mot IT-säkerheten. Totalt har sju semi-strukturerade intervjuer genomförts med IT- säkerhetsexperter som alla tillhandahåller någon form av molntjänst till kunder. Anledningen till att molntjänstleverantörer valts att intervjua är för att studien utgår från att dessa besitter störst kunskap för att bidra med svar på frågeställningen. Resultatet från intervjuerna har sedan sammanställts och analyserats med hjälp av en tematisk analys.
3
2. Relaterad litteratur
Kapitlet avser att beskriva och förklara den litteratur som använts för att lägga studiens grund.
Först beskrivs vad molntjänster är och vad det innebär att använda dem genom att arbeta hemifrån. Därefter beskrivs vad IT-säkerhet är och hur molntjänstleverantörer använder sig och nyttjar den. Avslutningsvis presenteras olika aktuella hot mot IT-säkerheten som studien avser att förtydliga hur dessa framgångsrikt kan hanteras.
2.1 Molntjänster och funktionalitet
I digitaliseringens tidiga dagar använde flera företag lokalbaserade servrar för att uppnå en IT- standard, men utveckling av system med högre flexibilitet och mindre anpassning växte sig stort under 90-talet (Maggiani, 2009). Utvecklingen blev molnbaserade tjänster där företagens data lagras i det så kallade ”molnet” och inte på företagens egna servrar som tidigare. Företagets data lagras då istället på servrar som bedrivs av en molntjänstleverantör som antingen utvecklat molntjänsten eller agerar återförsäljare. Molntjänstleverantören spelar en betydande roll gällande systemets prestanda, datalagring och säkerhet (Ramachandran & Chang, 2016).
Ett molnbaserat system innebär att företag kan koppla upp sig via internet för att hämta hem eller ladda upp data utan att vara beroende av geografisk plats. Med andra ord ger molnbaserade system en hög grad av flexibilitet (Seethamraju, 2015). Däremot blir företagen beroende av molntjänstleverantörerna för att kunna bedriva sina verksamheter. Detta är en risk som vanligtvis kallas för leverantörsinlåsning (Martins et al., 2017). Idag är det endast ett fåtal företag som använder sig av de äldre lokalbaserade lösningarna då molntjänster överlag är billigare och kan generera fördelar som till exempel skalbarhet för stora och mindre företag (Seethamraju, 2015). Den vanligaste typen av molntjänsten betecknas för SaaS (Software as a Service) och är ibland en direkt översättning av begreppet ”molntjänst”. Fördelen som flera företag anger med SaaS-baserade system är att de undviker kostnaden för systemet och istället betalar licenser, alltså användningen av systemet. När licenserna är anskaffade kan användarna nyttja systemet från valfri plats därför att systemet är online och data är lagrat i molnet. Detta möjliggör alternativet att arbeta hemifrån istället för på kontoret.
2.2 Distansarbete
Distansarbete är ett begrepp som började användas redan på 70-talet (Niles, 1975). Det arbete som utförs utanför arbetsgivarens lokaler med stöd av informationsteknik kan klassificeras som distansarbete och frilansare är en yrkeskategori som kan associeras med konceptet (Belzunegui-Eraso & Erro-Garcés, 2020). Konceptet med distansarbete är inte nytt men däremot har det blivit mer normaliserat då fler företag följer myndigheters rekommendationer för att minska smittspridningen av COVID-19 (Leonardi, 2020). Distansarbetets relevans grundas i ett försök att värna om miljön, tillsammans med ekonomiska fördelar som till exempel att minska antalet arbetstimmar (Belzunegui-Eraso & Erro-Garcés, 2020).
Allt fler personer har tvingats byta sin arbetsmiljö och sätta upp ett provisoriskt kontor hemma för att kunna utföra sitt arbete (Curran, 2020). Det är vanligt att anställda inte får resurser från företaget till att arbeta hemifrån, vilket leder till att anställda då använder sina egna enheter (datorer, surfplattor och internetuppkoppling). Detta kallas för BYOD (Bring Your Own Device) (Curran, 2020). BYOD innebär stora säkerhetsrisker för företaget (Curran, 2020).
Augustinos (2020) skriver att företag behöver säkerställa att personal har tekniska förutsättningar för att arbeta på annan ort. Till exempel behövs det säkra portaler, applikationer och anslutning till ett VPN (virtuellt privat nätverk) för att distansarbete ska fungera (Augustinos, 2020).
Det är inte bara viktigt att tillhandhålla tekniska förutsättningar, det krävs också att personalen blir kontinuerligt tränade på att arbeta digitalt på ett säkert sätt (Green et al., 2020). Träningen
4 kan vara till exempel utbildningar, seminarium eller workshops där experter inom IT-säkerhet berättar om risker och konsekvenser. Om utbildningen utförs korrekt och kontinuerligt kan organisationer uppnå en högre produktivitet, ett bättre engagemang och bättre prestationer (Martin & MacDonnell, 2012). Resultat i en undersökning visar att Sverige är bland de bästa länderna för att arbeta hemifrån, där lagar och policys främjar distansarbetet och därmed ger en högre flexibilitet (Bana et al., 2020).
2.3 IT-säkerhet
IT-säkerhet har blivit en central aspekt för att upprätthålla en hållbar och säker miljö för användare av online-tjänster. Det är därmed viktigt att identifiera och kategorisera de hot som uppkommer i dag för att företag ska arbeta på ett säkert sätt i framtiden (Sadik et al., 2020).
Syftet med IT-säkerhet är att skydda uppgifter som bland annat är konfidentiella, information om slutanvändare eller kopplade till integritet (Baker et al., 2007). En liknelse kan vara ett hem med ett larmsystem, där husägaren bedömer att det som finns i huset är värdefullt nog för att skydda och installerar därför ett system (Stoneburner et al., 2002). IT-säkerhet är med andra ord ett sätt att hantera och förebygga risker, ett begrepp som kan benämnas “risk management”.
Risk management inkluderar flera roller i en organisation som alla bidrar till att strategin angående IT-säkerhet följs på ett korrekt utfört sätt (Stoneburner et al, 2002). Företag kan även spara ekonomiska resurser om IT-säkerhet har en tydlig strategi (Sadik et al., 2020). För att försäkra IT-säkerhet och bedöma vilka risker som finns kan modellen för “Confidentiality- Integrity-Availability” (CIA-triaden) användas (se figur 1). Modellen är vanligt förekommande bland forskare som undersöker IT-säkerhet (Samonas & Coss, 2014). CIA-triaden används även som en modell för att mäta och bestämma vilken nivå av datasäkerhet ett system behöver ha (Shoufan & Damiani, 2017). Den svenska motsvarigheten till CIA-triaden beskrivs
“konfidentialitet, riktighet och tillgänglighet” och dessa termer bildar tillsammans definitionen av informationssäkerhet (Swedish Standards Institute [SIS], 2015).
Figur 1: CIA-triaden.
Det är viktigt att försäkra att samtliga tre aspekter som ingår i triaden finns i systemet för att försäkra säkerhet. Att utelämna en av dem innebär en direkt risk mot IT-säkerheten som kan ha grova konsekvenser (Farooq et al., 2015). För att beskriva tydligare vad det innebär att behandla varje aspekt för att maximera säkerheten i sitt system beskrivs samtliga tre aspekter nedan.
5 2.3.1 Konfidentialitet
Att bevara datas konfidentialitet innebär att försäkra att det enbart är auktoriserade aktörer som besitter tillgång till den (SIS, 2015). Ett införande av konfidentialitet kräver ett förtroende för sina användare i att behandla den data som de har tillgång till med största försiktighet. För att data ska vara konfidentiell kräver det att det är omöjligt att kunna läsa och förstå den utan korrekt auktorisering (Farooq et al., 2015). I en era av molntjänster där mängden data som samlas via molntjänster ökar, gör detta även molntjänsters konfidentialitet viktigare och det blir därmed viktigare att vara medveten om vad det innebär att lagra data konfidentiellt (Johnson, 2017). Många användare är idag rädda för att överlåta kontrollen över sina data till molntjänstleverantörer. I fall då data som samlas är extremt känslig för intrång, väljer användande företag ofta bort molntjänst som ett alternativ. Denna orolighet bygger i en avsaknad av förståelse för hur molntjänsterna hanterar deras data och hur säker den egentligen är. Detta gör det viktigt för molntjänstleverantörer att lägga ner tid och resurser på att arbeta för att systemet är helt säkert samt att ägarens data inte löper någon risk för att den ska läckas (Henze et al., 2016). Det är även viktigt att förstå att det inte alltid är upp till leverantören att försäkra konfidentialitet. Många molntjänster är skyddade av lösenord som bestäms av användarna själva och skulle dessa lösenord läckas, är systemet exponerat (Zhang et al., 2018).
Det finns många sätt att uppnå och försäkra datas konfidentialitet. Datakryptering är en vanlig metod för att dölja datas riktiga betydelse då korrekt auktorisering saknas. Datakryptering innebär att den data som är tillgänglig för en auktoriserad användare, omvandlas till “ciffertext”
som är omöjlig att tolka för en användare som saknar behörighet (Farooq et al., 2015). Det finns inget system som har en kryptering som är omöjlig att bryta. En kryptering kan beskrivas som ett språk som kräver en nyckel, eller en hemlighet, för att kunna tolkas. Skulle personen som ansvarar för en attack få reda på hemligheten, kan texten tolkas och samtliga data anses därmed vara läckt (Zhang et al., 2018).
Konfidentialiteten är den aspekt som historiskt sett varit kärnan i informationssäkerhet under teknologins framkomst. Under senare år har fokuset skiftat till andra aspekter inom säkerhet som utvecklare anser vara viktigare på grund av affärsbehov (Samonas & Coss, 2014).
Konfidentialiteten är viktigt för företag vars system innehåller hemliga data i form av till exempel finansiella, hälsorelaterade och arbetsprestationer. För de företag som inte samlar konfidentiella data i samma utsträckning är det riktigheten som är satt i fokus (Fitzgerald, 1995).
2.3.2 Riktighet
Att försäkra datas riktighet innebär att skydda samtliga data mot oönskad förändring (SIS, 2015). Det som väcker relevans i termen är att system som inte innehar en hög nivå av riktighet är känsliga mot sabotage från externa aktörer. Attacker mot systems riktighet är ofta länkade med attacker mot konfidenitaliteten, men det är inte alltid fallet. Det finns fall då aktörer haft tillgång till att ändra och radera systems data utan att ens kunna läsa och tolka den (Samonas
& Coss, 2014). I de fall då data manipuleras utan att aktören har tillgång att läsa den, matas externa data in i systemet som ställer till problem för den befintliga. Denna typ av attacker kallas för falska datainjektioner och innebär att aktörer kan kringgå inloggning för att manipulera data (Mohammadpourfard et al., 2020).
Till följd av att riktigheten har blivit en alltmer viktig aspekt av informationssäkerhet är den också mest välutvecklad av de tre som ingår i CIA-triaden. Ytterligare två termer ingår under kategorin riktighet och dessa är äkthet och oavvislighet (von Solms & van Niekerk, 2013).
Äktheten innebär att aktörer som rör sig i systemet behöver bevisas vara äkta. Detta innebär en process som behöver bevisa att aktören är auktoriserad för att kunna ta del av den data som aktören avser att göra (Samonas & Coss, 2014). Oavvisligheten definieras som förmågan att
6 kunna bevisa att en händelse har skett, i syfte att denna händelse inte ska kunna nekas i efterhand (SIS, 2015). Att försäkra ett systems riktighet innebär inte bara att skydda det från attacker av externa aktörer som medvetet vill manipulera data. Ännu en utmaning med riktigheten är att dagens hårdvarulösningar inte utvecklas i samma hastighet som datamängderna systemen behöver samla (Gantz et al., 2008). Följder av att datamängderna blir för stora är datafel, datakorruption eller dataförluster. Därför är det viktigt för leverantörer att försäkra sig att de dataservrar de besitter är tillräckligt stora för att hantera alla sina kunders data (Zhou., 2010).
En vanlig metod för att testa dataintegritet är med hjälp av digitala signaturer (Zhou et al., 2010). Digitala signaturer använder sig av privata och offentliga “nycklar” för att para ihop en aktör med systemets behörighet. Den privata nyckeln är det som används för att identifiera aktören som påbörjat en förfrågan av åtkomst. För att få åtkomst beviljad behöver denna privata nyckel vara korrekt och stämma överens med den offentliga som systemet tillhandahåller (Tsiatsis et al., 2018). Signaturerna är ett sätt att autentisera användare för att avgöra om det är en auktoriserad användare som gjort förfrågan till systemet (Zhou et al., 2010).
2.3.3 Tillgänglighet
Tillgängligheten ansvarar för att den data som samlas går att komma åt för behöriga användare vid rätt tillfälle (SIS, 2015). Datatillgänglighet försäkrar åtkomst till data oavsett vilka omständigheter systemet befinner sig i. Även under attacker ska företags data vara åtkomlig då många företags överlevnad hänger på åtkomst (Farooq et al., 2015).
De mest kända riskerna för tillgängligheten är så kallade elakartade attacker som virus och DDoS (Distributed Denial of Service). DDoS är ett organiserat angreppssätt mot tillgängligheten för molnbaserade tjänster, där det anses vara ett stort hot för tillgången av data, applikationer, resurser och tjänster (Agrawal & Tapaswi, 2017). Det finns ett antal olika DDoS- attacker men den traditionella är överbelastning av datatrafik. Syftet med attacken är att få tjänsterna att processa större mängder data än de klarar av, antingen för att sänka systemets hastighet eller för att få det att sluta fungera (Agrawal & Tapaswi, 2017). För att försvara systemen mot organiserade DDoS-attacker används distribuerat intrångssystem (DIDS) (Hwang, Kulkareni & Yue Hu, 2009).
Det är dock inte bara åtkomst av data som är viktigt då tillgängligheten övervägs. För att systemet ska anses vara tillgängligt bör det inte vara svårt att komma åt data. Ett system kan göras hur säkert som helst, men detta minskar användbarheten (Samonas & Coss, 2014). Ur ett perspektiv av tillgänglighet mäts användbarhet i hur effektivt och enkelt det är att auktorisera sig för att komma åt sina data. Att behöva auktorisera sig två gånger innebär dubbelt så hög säkerhet, men även att det blir dubbelt så omständligt att komma åt sina data (Gunson et al., 2011). Denna process kallas för multifaktorautentisering (MFA) och används främst för att säkerställa att användaren som loggar in i systemet har behörighet (Dasgupta et al., 2016).
Undersökningar visar att användare ofta prioriterar enkel åtkomst över hög säkerhet (Weir, 2009; Gunson et al., 2011). För att en molntjänst ska anses vara värdefull och upplevas användbar behöver en balans skapas mellan säkerhet och effektivitet. Systemet ska vara effektivt och enkelt att använda, men ändå besitta tillräcklig säkerhet för att inte riskera att data läcks ut till obehöriga aktörer (Furnell, 2016).
2.3.4 Ansvarsskyldighet, spårbarhet och granskning
Utöver de tre huvudaspekterna för informationssäkerhet finns det fler aspekter som är viktiga att beakta för att säkra sitt system. Ansvarsskyldigheten och spårbarheten kan båda hänvisas till den engelska termen “Accountability” och handlar delvis om att samtliga rörelser i systemet loggas och därmed kan spåras (SIS, 2015). Termens framkomst grundas i att alltmer attacker
7 som görs mot molntjänster sker av interna aktörer. För att kunna spåra attacker samt mänskliga fel som behöver åtgärdas, behöver detta infinna en funktion för att spåra aktörers rörelser (Duncan et al., 2015).
Interna attacker definieras “medvetna attacker och missanvändning av auktoriserade användare för att orsaka någon form av skada för företagets datorsystem och dess data” och är en av de största riskerna som användare av molntjänster möter (Schultz, 2002). Händelser som kan efterliknas interna attacker kan även ske av misstag till följd av den mänskliga faktorn.
Ansvarsskyldigheten handlar därmed även om att användarna av systemet ska veta vilket ansvar de behöver ta vid specifika situationer som uppstår (Ko et al., 2011). Att vara tydlig med ansvarsskyldigheten vid användning av systemet fungerar även som ett sätt att öka medvetenheten om vilka risker som finns och motarbetar därför att dessa kan uppstå (Jin et al., 2018). För att avgöra vem som bär ansvaret vid potentiella attacker behöver händelserna kunna granskas. Genom att granska händelsen enligt förutbestämda kriterier i form av en policy, kan ett beslut tas om händelsen var medveten eller ett misstag (Ko et al., 2011).
2.3.5 Socio-teknisk aspekt av IT-säkerhet
CIA-triaden inte är helt felfri och många forskare har kritiserat den kontroversiella modellen.
Anledningen till detta är att den är för tekniskt inriktad och glömmer att involvera de socio- tekniska aspekterna som är viktiga att beakta för att försäkra sin IT-säkerhet idag (Samonas &
Coss, 2014; Bella et al., 2015). Även om det är viktigt att de tekniska aspekterna i system fungerar, räcker inte detta för att försäkra att sina data är säkert lagrade (Bella et al., 2015).
Användare som besitter tillgång till systemet kan råka ut för ett fenomen som på engelska hänvisas till som “Social Engineering” (“socialteknik” på svenska, studien kommer använda den engelska termen för att undvika otydlighet). Fenomenet innebär att manipulera det mänskliga sinnet för att utvinna specifik information som till exempel inloggningsuppgifter till ett system (Hadnagy & Wilson, 2010). Exempel på aktörer som brukar denna typ av teknik för att utvinna information i negativa syften är hackare, spioner, identitetstjuvar och bluffartister.
Dessa aktörer använder flertal olika taktiker för att utvinna information men det vanligaste är så kallad “phishing-attacker”, som innebär att kriminella aktörer riktar sig på den mänskliga faktorn genom att skicka ut e-post till företagsanställda (Aleroud & Zhou, 2017). Dessa e- postmeddelande innehåller korrumperade länkar som tillåter angriparen att få tillgång till företagets intranät. Angripare kan vid tillgång till systemen välja att göra en attack i form av ett virus som krypterar innehållet och spärrar användarens dator (Richardson & North, 2017).
Attacken benämns på engelska som “ransomware” (svenska: “krypteringsvirus”) och det utsatta företaget blir utpressade till att betala en summa pengar till angriparen för att få tillbaka sina data (Richardson & North, 2017).
Grunden till många socio-tekniska problem är att användare anser att de säkerhetsförebyggande åtgärderna som finns är ineffektiva och irriterande. Användarna väljer då att kringgå säkerhetsåtgärder vilket ökar risken för attacker (Herley, 2010). Till följd av detta kan inte säkerhetsexperter längre ignorera den socio-tekniska aspekten eftersom i många fall är detta en mer effektiv metod för angripare att komma åt hemliga data (Bella et al., 2015).
En metod för att åtgärda socio-tekniska problem är att öka den generella medvetenheten om säkerhet både på organisatorisk och individuell nivå. För att göra detta bör organisationer och företag investera i att införa utbildningsprogram med syfte att öka kompetens inom informationssäkerhet (Tsohou et al., 2015). Ytterligare en metod är att inte tillåta människor att kringgå säkerhetsanvisningarna. Exempel på hur detta kan göras är att sätta specifika krav vid skapande av användares lösenord som gör det svårare för obehöriga att lista ut det (Herley, 2010).
8 2.4 Hot mot säkerheten
För att kunna specificera hur olika hot mot IT-säkerhet kan hanteras behöver potentiella hot identifieras och redogöras för (Christen & Gordijn, 2020). Det finns olika sätt för att göra detta, där dem flesta använder sig av checklistor av potentiella hot för att ta beslut. För att visualisera risker används ofta en modell för att tydligt presentera vad som behöver beaktas för att stärka säkerheten till sina IT-system (Rees et al., 2011). I tabell 1 presenteras en sammanfattning av vilka vanligast förekommande hot som IT-säkerheten idag möter. Hoten presenteras med sitt engelska namn för att kunna presentera dess korrekta terminologi.
Tabell 1: De vanligast förekommande hoten för molntjänsters IT-säkerhet Potentiella hot: Referenser: Potentiella hot: Referenser:
Data Breaches (Farooq et al., 2015), (Johnson, 2017), (Henze et al., 2016), (Sun et al., 2008), (Zhang et al., 2018)
Data Loss (Zhou et al., 2010), (Samonas & Coss, 2014), (Gantz et al., 2008)
Account or Service Traffic Hijacking
(Hadnagy & Wilson, 2010), (Bella et al., 2015), (Samonas &
Coss, 2014), (Herley, 2010)
Insecure Interfaces and API
(Herley, 2010), (Agrawal
& Tapaswi, 2017)
Denial of Service (Agrawal & Tapaswi, 2017), (Hwang et al., 2009), (Farooq et al., 2015), (Janarthanam et al., 2020)
Malicious Insiders
(Duncan et al., 2015), (Gunson et al., 2011), (Herley, 2010),
(Coppolino et al., 2017)
Abuse of Cloud Services
(Tsohou et al., 2015), (Herley, 2010), (Weir, 2009), (Schultz, 2002), (Ko et al., 2011)
Shared Technology Vulnerabilites
(Aljumah & Ahanger, 2020), (Samonas & Coss, 2014), (Coppolino et al., 2017)
Virtualization attack
(Tian et al., 2014), (Janarthanam et al., 2020), (Coppolino et al., 2017)
Cloud Malware Injection
(Mohammadpourfard et al., 2020), (Shyla &
Sujatha, 2019),
(Coppolino et al., 2017)
2.5 Hantering av hot
IT-säkerhet ska hanteras som en förebyggande åtgärd, då det inte finns något sätt att skydda sig mot alla olika sorters attacker (Kaplan, 2015). Inom varje område av hot skapas kontinuerligt nya attacker som säkerhetssystemet tidigare inte stött på. Det är viktigt för systemet att kunna anpassa sig efter nya attacker och lära sig att hantera en liknande attack i framtiden (Hammond & Cooper, 2014). I tabell 2 presenteras tidigare forskning som föreslår olika hanteringssätt för att hantera de specifika hot som beskrevs i tabell 1.
Tabell 2: Hantering av den vanligast förekommande hoten
Hantering: Hot som
motarbetas:
Beskrivning: Referens:
Logga och granska datatrafik
Data breach, Cloud malware injection,
Företag bör föra loggar för att övervaka dataflödet som sker inom deras interna system. Loggarna hjälper
(Cytryn, Beck &
9
Hantering: Hot som
motarbetas:
Beskrivning: Referens:
Abuse of cloud services
system att identifiera avvikelser som möjligen kan utgöra ett hot.
Ross, 2014) Utbildning Abuse of cloud
serives, Account or service traffic hijacking, Virtualization
För att motarbeta det oavsiktliga interna hotet bör varje företag arbeta för att höja medvetenheten angående vad IT-säkerhet innebär.
(Tsohou et al., 2015;
Furnell &
Shah, 2020) Riskanalys Insecure interfaces
and API, Shared technology vulnerabilities
Att skapa en riskanalys innebär ett försök att identifiera vilka potentiella risker sitt system kan vara utsatta för.
Detta görs genom att skapa en överblick över befintliga
säkerhetsmekanismer sitt system besitter.
(Cytryn et al., 2014)
Digitala signaturer Cloud Malware Injection, virtualization attack, data loss, malicious insiders
Ett införande av digitala signaturer innebär att det är lättare för systemet att identifiera användare och därmed bestämma om de besitter tillgång eller inte. Ökar även chansen till att spåra aktiviteter då alla systemets data har en signatur samt att återställa förlorade data.
(Zhou et al., 2010)
Certifieringsorgan Abuse of cloud services, Data loss, Malicious insiders, Cloud malware injection
Certifieringsorganet bestämmer vilken aktör som har tillgång till vilken data och är ett bra sätt att försäkra känsliga data genom att begränsa åtkomst. Ju färre aktörer som har tillgång desto säkrare data.
(Zissis &
Lekkas, 2012)
Kryptera data Data breach, Data loss
Kryptering innebär att samla data i ett format som inte går att tolka för obehöriga användare. Detta innebär att även vid fall då de skulle komma åt data kan de inte tolka den utan att dekryptera.
(Potey et al., 2013)
System för upptäckt av intrång (DIDS)
Denial of Serivce, Virtualization
Att försvara sig mot DDoS är svårt eftersom attacken oftast upptäcks av systemet då det är för sent. Därför bör ett system införas som enbart arbetar för att identifiera denna typ av attacker för att snabbt kunna åtgärdas.
(Chen et al., 2007)
2.6 Litteratursammanfattning
Ett användande av molntjänster har många fördelar, som till exempel hög nivå av flexibilitet och låga kostnader för användning (Maggiani, 2009; Seethamraju, 2015). Molntjänster erbjuder möjligheter för olika aktörer att komma åt och använda organisatoriska data på distans från dess fysiska lagring. Detta ökar effektiviteten i människors arbetssätt och har även varit en aktuell metod för att utföra sitt dagliga arbete sedan 70-talet (Niles, 1975). Under den aktuella pandemin COVID-19:s framfart har molntjänster och distansarbete blivit mer aktuella ämnen än någonsin eftersom företag uppmuntras att bedriva sin verksamhet med minimal fysisk människokontakt (Leonardi, 2020; Curran, 2020). Att kunna utföra sitt arbete på distans har varit en stor räddning för många företag, men det har medfört en del problem som många
10 företag inte var förberedda på eftersom de blev i större utsträckning tänkbara byten vid digitala attacker (Furnell & Shah, 2020).
Resultatet från litteraturstudien är en sammanfattad och tydligt beskriven bild över vad som är viktigt för molntjänstleverantörer att beakta vid skapande, införande och underhållning av deras system. En modell i form av en CIA-triad där de tre begreppen konfidentialitet, riktighet och tillgänglighet har presenterats i ett försök att beskriva vilka tekniska aspekter som är viktigt för att försäkra att sitt system är tillräckligt säkert. En tydligare bild av vad dessa termer innebär, resulterar i en förhöjd kunskap av vad IT-säkerhet innebär och hur denna bör användas (Shoufan & Damiani, 2017). Utöver de tre vanliga termerna från CIA-triaden har även kompletterats med ytterligare tre termer (ansvarsskyldighet, spårbarhet och granskning) som tillsammans med de traditionella skapar en komplett bild över de tekniska aspekterna (Samonas
& Coss, 2014). Som ett sista perspektiv har även den socio-tekniska aspekten behandlats där människans roll i IT-säkerhet beskrivs. Litteraturstudien har även bidragit med en förtydligad bild över tio aktuella hot som finns mot IT-säkerheten idag samt hur dessa kan motverkas av molntjänstleverantörer.
Undersökningens litteraturstudie påvisar att forskningen inom IT-säkerhet är bred, men att den saknar vissa aspekter som behöver beaktas vid dagens distansarbete. Många forskare diskuterar vilka tekniska aspekter som är viktiga för att skydda sig mot de aktuella hot som idag finns, men bortser från tanken att människan kan vara en svag länk då de inte besitter tillräcklig kunskap i hur säkerheten fungerar (Samonas & Coss, 2014; Bella et al., 2015). Därför bidrar vår litteraturstudie med en förståelse för vad som är aktuellt i en era av ökat användande av molntjänster för att arbeta på distans. De tekniska och socio-tekniska aspekterna kombinerat med aktuella hot och hanteringsförslag lägger tillsammans en bra grund för att skapa en intervjuguide för att påbörja den empiriska forskningen.
11
3. Metod
Avsnittet avser att beskriva forskningsansatsen som valts för att bäst besvara frågeställningen.
Utöver detta beskrivs även metod för litteraturstudie, datainsamling, urval samt analysmetod.
Kapitlet avslutas sedan med att beskriva etiska överväganden följt av en metoddiskussion.
3.1 Forskningsansats
Studien har använt sig av en kvalitativ ansats för att besvara frågeställningen eftersom det krävs utrymme för tolkning för att förstå hur COVID-19 pandemin har förändrat molntjänsters IT- säkerhet. Kvalitativa metoder undersöker valt fenomen på djupet och avser att besvara frågorna
“hur” och “varför” (Rienecker & Stray Jørgensen, 2017). Att använda sig av en kvalitativ ansats innebär att anta en kunskapsteoretisk ståndpunkt som är interpretativistisk, vilket betyder att syftet är att försöka förstå hur människor tolkar och uppfattar verkligheten (Bryman, 2018). Det finns fler än ett sätt att uppfatta hur IT-säkerheten har förändrats och för att förstå molntjänstleverantörers tankar och hanteringsförslag behöver vi ge dem utrymme att beskriva hur de tolkar sin verklighet. För att förstå hur hot mot IT-säkerheten kan hanteras, behöver studien undersöka vilka hot som anses vara aktuella idag. En kvalitativ ansats innebär att bedriva forskning för att generera nya teorier inom ett specifikt område (Bryman, 2018). För att studien ska kunna utveckla en teori behöver data systematiskt samlas in och analyseras.
Olika molntjänstleverantörer som intervjuas kan uppleva olika hot, vilket kräver olika hanteringsmodeller. Därför kommer data att behöva samlas in och analyseras iterativt (Bryman, 2018).
3.2 Litteraturstudie
Det underlag som presenteras i litteraturstudien har samlats in med hjälp av databaserna Google Scholar och Högskolan i Halmstads egen databas OneSearch. För att identifiera relevanta artiklar som hjälpt oss att besvara frågeställningen har vi använt oss av söktermerna: Cyber security, data security, information security security threat, security issues, remote working, home working, cloud computing, IT threats, cloud service provider och CIA-triad. Söktermerna har sökts enskilt, men också kombinerats för att fördjupa sökningen ytterligare. För att göra detta användes även den booleska sökoperatorn AND vid sökning. Vid användning av booleska sökoperatörer kombineras söktermerna, vilket höjer detaljnivån på efterfrågade artiklar och förenklar sökandet av relevant litteratur [1].
För att försäkra att artiklarna som använts besitter tillräcklig vetenskaplig grund har ett antal kriterier beaktats. Under användningen av OneSearch försäkrades att samtliga artiklar som lästes var ur fackgranskade tidskrifter och sorterades efter systemets definition av “relevans”.
Vid identifieringen av litteratur gjordes två olika urval. Urval ett innebar ett val av fackgranskade tidskrifter för att försäkra att artikeln är publicerad i en vetenskapligt granskad tidskrift. Urval två är efter ett tillägg av kriteriet att båda söktermerna behöver finnas i artikelns titel. Efter urval två lästes artiklarnas abstrakt och slutsats igenom. Vid sökningar i urval två som resulterade i fler än 10 resultat valdes att enbart läsa igenom de 10 översta som sorteringen på relevans visade. Vid fall då artikeln verkade användbar lästes hela artikeln igenom och användes som referens i studien.
Vid användningen av Google Scholar följdes olika kriterier. Eftersom systemet är mindre bra på att tydliggöra vilka artiklar som är vetenskapligt grundade togs antal citationer samt var artikeln publicerats i beaktning. Även vid sökningen på databasen Google Scholar användes två urval för att söka efter relevant litteratur. Det första urvalet innebar att identifiera artiklar som hade citerats tillräckligt många gånger eller som publicerats i välkända tidskrifter. Det andra urvalet innebar att läsa abstrakt och slutsats på de artiklar som avancerade från första urvalet. Efter genomläsning av samtliga artiklar användes den relevanta informationen i
12 studien. Se tabell 3 för förtydligande av vilka sökord som kombinerats samt vad dessa sökningar resulterat i.
Tabell 3: Identifiering av huvudartiklar samt sökningars träffar i respektive databas
Databas Sökord Antal
Träffar
Urval 1 Urval 2
Referens som använts:
Onesearch Cyber security AND Home working
14601 7476 1 (Furnell & Shah, 2020).
Cloud service provider AND data security
34197 15327 2 (Ramachandran & Chang, 2016).
Cloud computing AND security threat
16570 8452 8 (Aljumah & Ahanger, 2020).
Cloud computing AND security issues
43916 24609 172 (Zissis & Lekkas, 2012).
Information security AND cyber security
82809 34350 335 (von Solms & van Niekerk, 2013).
Databas Sökord Antal
Träffar
Urval 1 Urval 2
Google Scholar
CIA triad AND cyber security
4610 10 1 (Samonas & Coss, 2014).
Cloud computing AND remote working
312 000
10 1 (Duncan et al., 2015)
Cyber Security AND Remote working
112 000
10 1 (Curran, 2020)
Då användbara artiklar identifierades, lästes även deras referenslistor genom för att identifiera ytterligare intressant litteratur. Utöver artiklarna som presenteras i tabell 3, har resterande artiklar identifierats genom att läsa igenom referenslistor. Att läsa igenom artiklars referenslistor kallas för manuell sökning och är en effektiv metod för att identifiera relevant litteratur (Forsberg & Wengström, 2013).
Litteraturstudien sammanställs även i ett operationaliseringsschema (se bilaga 1). Schemat avser att besvara vilka olika områden som finns där potentiella hot kan identifieras och hur dessa kan hanteras, vilken litteratur som stödjer utsatt påstående, samt även hur detta påstående hjälpt studien att formulera intervjufrågor (se bilaga 2). Med hjälp av operationaliseringsschemat kunde sedan en intervjuguide skapas, för att försäkra att frågorna som ställdes resulterade i att svara på frågeställningen. Då empirin var insamlad jämfördes litteraturen som sammanställts i operationaliseringsschemat med hoten som molntjänstleverantörerna identifierat och hur dessa bäst kan hanteras.
3.3 Datainsamling
Den kvalitativa data som använts har samlats in med hjälp av semi-strukturerade intervjuer med molntjänstleverantörer. Att använda sig av semi-strukturerade intervjuer som en datainsamlingsmetod innebär en flexibel intervjuguide som strukturerats av olika teman som bör diskuteras under intervjuns gång (Patel & Davidson, 2019). För att respondenterna ska kunna ge intressanta svar behöver de få metodologiskt stöd i form av strukturerade frågor, som
13 sedan följs upp av följdfrågor som baseras på respondenternas svar. Frågorna är teori- och hypotesdriva för att ge respondenterna ett erbjudande till resonemang, som de antingen väljer att utgå ifrån eller att motsätta sig (Flick, 2014). Semi-strukturerade intervjuer kändes som en lämplig metod eftersom det finns många existerande hot att utgå ifrån, samtidigt som det är ett område människor kan bilda egna åsikter inom vilket kräver följdfrågor för att fördjupa.
Samtliga intervjuer har utförts digitalt till följd av respekt för den pågående pandemi (COVID- 19) som i studiens utförande stund pågår. Intervjuerna genomfördes under en period mellan februari 2021 – maj 2021. Vid genomförande av intervjuer spelades även dessa in efter godkännande från respondent. Fördelen med att intervjuerna spelades in var att fullständigt fokus kunde läggas på innehållet som diskuterades och att ställa relevanta följdfrågor.
Fördelarna med digitala intervjuer upplevdes som att inspelningarna blev bättre och därmed enklare att transkribera. Det möjliggjorde även ett bredare urval då geografisk plats inte var ett problem och det gick därmed att intervjua personer som normalt sett befinner sig flera timmar bort. Nackdelen med inspelningar är att det tar lång tid att transkribera och analysera innehållet (Bryman, 2018).
3.4 Urval
För att identifiera respondenter som kunde bidra till en besvarad frågeställning har målstyrt urval använts som metod. Ett målstyrt urval innebär att forskaren gör aktiva val angående respondenter baserat på deras kunskap inom området. Syftet är att enbart respondenter som besitter relaterade erfarenheter ska intervjuas för att höja studiens relevans (Bryman, 2018).
För att maximera relevansnivån på respondenterna har experter inom området IT-säkerhet som i någon form levererar molntjänster till kunder intervjuats. Med molntjänstleverantörer menas inte enbart utvecklande företag, utan även exempelvis konsultbolag som agerar återförsäljare av systemen till olika kunder. Anledningen till detta är att det är dessa aktörer som anses besitta störst grad av expertis för att bäst besvara frågeställningen. Fördelen med återsäljande molntjänstleverantörer är att de arbetar närmare kunden och därmed besitter bättre insyn i vad systemanvändande företag vanligtvis råkar ut för. Den generella kompetensen inom IT- säkerhet som finns hos användande organisationer är låg (Ames et al., 2019). Detta höjer kravet på att leverantörerna behöver besitta hög grad av kompetens för att systemen ska anses vara informationssäkra. Säkerhet, integritet och tillit är viktiga termer då leverantörer utvecklar och säljer sina tjänster och därför behöver leverantörer vara pålästa för att kunna leverera detta (Ramachandran & Chang, 2016). Eftersom molntjänstlevererande konsultbolag arbetar närmst kunden är det dessa företag som bäst kan bidra med information i studiens fall. Anledningen till detta är att de kan besvara hur både det tekniska och socio-tekniska aspekterna påverkas vid ökad användning. Ett kriterium för respondenterna har varit att de ska leverera någon form av molntjänst till en kund samt ha nära kommunikation med denne kund.
En riktlinje för antal respondenter sattes till sju, eftersom datamättnad sällan uppstår med färre än 6–8 respondenter. Det är även viktigt att inte intervjua för många aktörer, då det gör situationen oöverskådlig och bidrar till svårhanterade datamängder (Rienecker & Stray Jørgensen, 2017). Att identifiera sju respondenter var inledningsvis problematiskt och därför användes en snöbollsinsamlingsmetod (Taylor et al., 2016). Snöbollsmetoden innebär att lära känna ett fåtal respondenter inledningsvis och sedan utnyttja deras kontaktnät för att identifiera fler respondenter (Taylor et al., 2017). Efter genomförd intervju ställdes därmed frågan om respondenterna kunde rekommendera någon värd att kontakta för att potentiellt kunna ta studien vidare.
Respondenterna har haft olika erfarenheter och arbetat olika länge som IT-säkerhetsexperter.
Därför har svaren resulterat i olika perspektiv som bidragit med en intressant helhet för att bäst besvara frågeställningen. Samtliga respondenter har bidragit med både tekniska och socio-
14 tekniska perspektiv för att ge studien ett resultat som tidigare forskning har överskådat.
Respondenterna har både beskrivit bilden av vilka de mest aktuella hoten är idag samt hur dessa bäst bör hanteras för att säkra kunders IT-system.
Respondenterna presenteras nedan i tabell 4 för att förtydliga vilka de är och varför de varit intressanta för studien. Respondenterna har tilldelats kodade namn för att försäkra dess anonymitet (Vetenskapsrådet, 2002).
Tabell 4: Respondentlista Respondent: Arbetsroll Erfarenhet
inom IT- säkerhet
Molntjänst Intervjutid
R1 IT-säkerhetskonsult 4 år Microsoft 365 60 min
R2 Projektledare IT 10+ år Microsoft 365 50 min
R3 IT-säkerhetskonsult 25 år Microsoft 365 55 min
R4 VD & IT-säkerhetskonsult 10+ år Microsoft 365 35 min
R5 Chef penetrationstestning 19 år Inga specifika 50 min
R6 VD & IT-säkerhetskonsult 7 år Microsoft 365 + Egen utvecklat SaaS
50 min R7 Head of Service & Support 4 år Egen utvecklat SaaS 50 min
3.5 Analysmetod
Det empiriska material som samlades in via de semi-strukturerade intervjuerna analyserades med hjälp av tematiska analyser för att identifiera vilka aktuella hot som finns samt hur dessa bör hanteras. En tematisk analys innebär en metod för att identifiera, analysera och rapportera mönster i data, för att bilda olika generella teman (Braun & Clarke, 2006). Ett tema uppstår dock inte bara från data som samlas in genom ett induktivt tillvägagångssätt, utan kan även framkomma av forskarens teoretiska förståelse av fenomenet i form av ett “a priori”
tillvägagångssätt (Ryan & Bernard, 2003). Syftet med en tematisk analys är att organisera och beskriva insamlade data med en hög detaljnivå samt tolka olika aspekter inom forskningsområdet (Flick, 2014).
Transkribering utfördes iterativt under forskningsprocessen och ämnade att skapa en förståelse över vilka data som hade samlats in (Braun & Clarke, 2006). Då en förståelse var skapad kodades även materialet för att organisera data till meningsfulla grupper. Kodningens syfte är att reducera textmängder i form av längre meningar och paragrafer, till mer hanterbara datamängder (Flick, 2014). En risk vid kodning är att informationen som samlas fragmenteras, vilket innebär att det narrativa flytet i intervjun försvinner (Coffey & Atkinson, 1996). Vid läsande och identifiering av koder har därför det emotionella flytet försökts att fångas så bra som möjligt. Koderna består av olika hot och övrig problematik inom IT-säkerhet som respondenterna nämner under intervjuerna. När det transkriberade materialet var strukturerat i olika koder, delades dessa koder in i olika kategorier. Kategorierna består av en samling liknande påståenden som kodats och resulterar i att formulera studiens teman. För att identifiera teman är det ett antal olika saker som forskare letar efter. Exempel på dessa saker är repetitioner, ovanliga typologier, metaforer, liknelser och olikheter (Ryan & Bernard, 2003).
De teman som identifierades består av en samling liknande koder och repetitioner som tillsammans beskriver ett problemområde inom IT-säkerhet. Ett exempel på hur kodning- och tematiseringsprocessen har gått till presenteras i tabell 5.
