Litteraturöversikt av samspelet mellan människa, teknik och organisation för IT-säkerhet

Författare:

  • Peter Svenmarck

Publiceringsdatum: 2017-05-09

Rapportnummer: FOI-R--4425--SE

Sidor: 39

Skriven på: Svenska

Nyckelord:

  • IT-säkerhet
  • uppgiftsanalys
  • personalhantering
  • situationsmedvetenhet
  • intrångsdetektion
  • visualisering
  • användbarhet
  • spelteori
  • IT-säkerhetspolicy
  • IT-säkerhetsmedvetande
  • IT-säkerhetskultur
  • autentisering
  • nätverksfiske
  • IT-brott

Sammanfattning

Den ökade användningen av kommunikations- och informationsteknik gör att antagonister försöker få tillgång till och påverka dessa informationsflöden. Vidare är informationssystem särskilt sårbara på grund av snabb hotutveckling, många accesspunkter och stora informationsflöden. Traditionellt har forskning om IT-säkerhet till stor del handlat om tekniska skydd. Successivt ökar insikten om att forskning även behövs om hur IT-säkerhet skapas genom en kombination av organisatoriska processer, tekniska skydd och personal. Syftet med den här litteraturöversikten av samspelet mellan människa, teknik och organisation för IT-säkerhet är att beskriva frågeställningar som diskuteras och dokumenterade resultat. Urvalet av litteratur begränsades till litteratursökningar på Google Scholar, områdesbevakning på valda konferenser och rekommendationer från andra forskare. Totalt identifierades cirka 500 publikationer varav litteraturöversikten sammanfattar 93. Litteraturöversikten visar att befintlig litteratur om angripare är begränsad. Några studier beskriver bland annat hur angripare skapar komplexa mentala modeller för att utnyttja sårbarheter som försvararna inte förväntar sig. Befintlig litteratur om försvarare är mer omfattande. Litteraturen beskriver bland annat komplexiteten i IT-säkerhetsexperters arbete som omfattar analyser, rådgivning och kontroller i interaktion med många intressenter. Litteraturen beskriver hur en viktig del av arbetsuppgifterna är utformning av IT-säkerhetspolicyn. Tyvärr har IT-säkerhetsexperterna sällan tillräckliga kunskaper om verksamheten för att policyn ska blir riktigt användbar. Vidare är intrångsdetektion en viktig funktion för att upptäcka obehöriga personer som försöker ta sig förbi tekniska skydd. Med specifika kunskaper om det aktuella datornätverket kan personalen avgöra vilka larm från tekniska skydd som indikerar faktiska attacker. Befintliga verktyg för intrångsanalyser består ofta av textuella sökfunktioner där operatörer på ett flexibelt sätt successivt kan pröva olika hypoteser. Slutligen har användare ett ansvar för att inte i onödan skapa sårbarheter. I vilken utsträckning användare respekterar IT-säkerhetspolicyn beror både på individuella och organisatoriska faktorer. Några exempel på individuella faktorer är bland annat attityder, normer, uppfattningen av den egna förmågan att hantera hoten samt förståelsen av IT-säkerhetspolicyn. Några exempel på organisatoriska faktorer är hur ledningens stöd för IT-säkerhet påverkar organisationens IT-säkerhetskultur. Vidare är användare överlag dåliga på att upptäcka så kallat nätverksfiske eftersom det utnyttjar inlärda heuristiker för hur e-post ska hanteras. Snabb hantering av e-post förutsätter ofta heuristiker, men konsekvensen är att mer detaljerade granskning sällan sker av e-post. Avslutningsvis ges några rekommendationer för fortsatta studier av angripare, försvarare och användare.