Samhället blir allt mer digitalt och vi gör allt fler saker på internet.
Baksidan av digitaliseringen är att även brottslighet har flyttat ut på internet, med ett ständigt ökande antal IT-incidenter som följd.
Joakim Kävrestad, doktorand i informationsteknologi på Högskolan i Skövde, har forskat på metoder för att utbilda användare i cybersäkerhet, så att de kan agera säkert när de befinner sig i riskfyllda situationer.
Fler och fler tjänster blir digitala. Många gör idag sina bankärenden samt tid- och biljettbokningar digitalt och handlar både kläder och mat online. Åtskilliga människor är helt beroende av digitala tjänster för att vardag och arbetsliv ska fungera. Som en följd av samhällets digitalisering har även brottslighet flyttat till den digitala världen och antalet cyberattacker mot myndigheter, företag, organisationer och privatpersoner ökar.
Historiskt har forskningen kring cybersäkerhet fokuserat på tekniska delar, såsom krypton, brandväggar och antivirusprogram. Rapporter från både forskning och praktik visar dock att majoriteten av alla cybersäkerhetsincidenter beror på, eller börjar med ett angrepp mot användare.
– Man utnyttjar helt enkelt människans grundläggande funktion för att lura till sig information, eller få en användare att genomföra handlingar som leder till en incident. Det inkluderar exempelvis phishing eller att nyttja svaga lösenord, säger Joakim Kävrestad.
Ny metod ger användaren stöd
Joakim Kävrestad har i sin forskning fokuserat på att ta fram en metod som kan ge användare stöd när de befinner sig i riskfyllda situationer på internet. De metoder som ofta används i dag för att ge användare säkerhetsinformation har flera problem, menar Joakim.
– Ofta ger man föreläsningar, skickar ut information via e-post eller ber användare besöka en webbportal. Den stora utmaningen är att få användarna att delta i träningen och faktiskt ta del av informationen.
En annan utmaning, enligt Joakim, är att ökad kunskap inte nödvändigtvis leder till ett bättre beteende. Många användare vet exempelvis att de inte ska klicka på länkar från okända avsändare, men ändå är phishing fortfarande en effektiv attackmetod. Det visar att dagens träningsmetoder inte är tillräckliga.
– I den träningsmetod jag har utvecklat har användaren ett program som märker när hen behöver stöd, och erbjuder stödet då. Effekten är att användaren får information och samtidigt blir påmind om att vara på sin vakt. Jag har kunnat visa hur den här metoden är effektivare än andra metoder för säkerhetsträning när det kommer till att förbättra beteende, och att metoden uppskattas av användarna. Tillsammans med kollegor har jag också byggt två fungerande programvaror som ger träning på detta sätt.
Tjänster behöver anpassas efter människan
Joakims forskning visar också att det är svårt för människor att agera säkert i många situationer. De krav som ställs på användarna är helt enkelt för svåra att uppfylla. Även användare som gör ”allting rätt” har svårt att avgöra om phishingmail är legitima eller inte.
– Därför är det rimligt att ifrågasätta hur tjänster fungerar ur ett säkerhetsperspektiv, och sedan fundera på hur vi kan bygga om dem för att de ska vara bättre anpassade till mänskliga förmågor.
Träningsmetoden kan nu användas av aktörer som utvecklar just cybersäkerhetsträning. Den kan också användas av de som ska köpa in eller använda säkerhetsträning som ett beslutsstöd när de väljer mellan olika metoder. De programvaror som utvecklats inom projektet är fritt fram för alla att använda som de är eller modifiera efter eget behov.
Joakim Kävrestad försvarar sin avhandling ”Context-Based Micro-Training – Enhancing cybersecurity training for end-users” måndagen 17 oktober på ASSAR Industrial Innovation Arena.