EXAMENSARBETE. Att göra fel i syfte att göra rätt. Ett examensarbete om anställdas förhållande till lösenordspolicys. Andreas Jansson Therese Malakow

Transkript

1 EXAMENSARBETE Att göra fel i syfte att göra rätt Ett examensarbete om anställdas förhållande till lösenordspolicys Andreas Jansson Therese Malakow Filosofie kandidatexamen Systemvetenskap Luleå tekniska universitet Institutionen för system- och rymdteknik

2 Förord Denna uppsats är ett examensarbete som omfattar 15 högskolepoäng i Systemvetenskap vid Luleå Tekniska Universitet. Vi vill tacka respondenterna som ställt upp på våra intervjuer, våra opponenter som konstruktivt kritiserat vår uppsats under seminarierna och slutligen våra handledare, Sören Samuelsson och Dan Harnesk, för deras råd och stöd under hela uppsatsprocessen. Luleå Andreas Jansson och Therese Malakow

3 Sammanfattning Vi undersökte vilka faktorer som påverkar efterlevnad av lösenordspolicys hos användarna i en statlig myndighet. Myndighetens verksamhet är av sådant slag att ett informationsläckage kan få allvarliga konsekvenser för människors liv. Faktorerna som undersöktes var: återställning av lösenord; uppdatering av lösenord; antal lösenord; lösenordens komplexitet; användares rädsla för att glömma lösenord; organisationskultur och informella rutiner. Fem semistrukturerade intervjuer genomfördes med anställda inom organisationen. Vi fann att fyra faktorer påverkar användarnas beteende på den berörda avdelningen: återställning av lösenord; uppdatering av lösenord; organisationskultur och informella rutiner. Nyckelord: informationssäkerhet, användarbeteende, kvalitativ analys Abstract We studied which factors affect the adherence to password policies by users within a government agency. The agency s functions are of such nature that a potential information leakage can endanger peoples lives. The factors we studied were resetting passwords, updating passwords, amount of passwords, passwords complexity, user s fear of forgetting passwords, organizational culture and informal routines. Five semi-structured interviews were conducted with employees in the organization. We found that four factors affected the users behaviour in the studied department: resetting passwords, updating passwords, the organizational culture and informal routines. Keywords: Information Security, User Behaviour, Qualitative Analysis

4 Terminologi och förkortningar Tabell 1 Förklaring av förkortningar som används i arbetet. IT IS SSO TPB TAM PMT UTAUT Säkerhetskritisk org. Vanlig org. Informationsteknik Informationssystem Single-Sign-On. Ett sätt att använda ett lösenord för att logga in på flera system. Theory of Planned Behaviour. En modell ursprungligen använd för att förutsäga människors beteende. Technology Acceptance Model. En modell framtagen för att förutsäga användandet av IT/IS. Protection Motivation Theory. En teori som förklarar varför människor känner ett behov av att vidta skyddsåtgärder. Unified Theory of Acceptance and Use of Technology. En enhetlig modell för att förutsäga användares avsikter när det gäller att använda IT/IS. Baserad på åtta vanligt förekommande modeller inom forskning om användarbeteende, bland annat TAM och TPB. En organisation där störningar kan påverka stora delar av samhället, t.ex. kärnkraftverk, flygindustri eller vissa myndigheter. En organisation där störningar endast får begränsade konsekvenser för samhället.

5 Innehåll 1 Bakgrund 1 2 Problem Syfte Forskningsfråga Teori Informationssäkerhetspolicy Informationsklassning Kontext Organisationskultur Lösenord Konflikt mellan policys och arbetsrutiner Användares hantering av konflikten Theory of Planned Behaviour Faktorer som påverkar beteende enligt TPB TPB inom IT/IS-forskning Sammanfattning Metod Angreppssätt Fallstudie Datainsamling Intervjuer Utformning av intervjufrågor Genomförande av intervjuer Urval Dataanalys Bedömningskriterier Reliabilitet Validitet

6 5 Resultat Respondent A: användare med säkerhetsbefattning Respondent B: användare med säkerhetsbefattning Respondent C: vanlig användare Respondent D: vanlig användare Respondent E: Säkerhetsansvarig Resultatsammanfattning Analys Återställning av lösenord Uppdatering av lösenord Antal lösenord Lösenordens komplexitet Rädsla för att glömma Organisationskultur Informella rutiner Sammanfattning av analys Slutsatser Svårigheter att återställa lösenord Uppdatering av lösenord Antal lösenord Informella rutiner Komplexa lösenord Rädsla för att glömma bort lösenord Organisationskultur Jämförelse med vanliga organisationer Diskussion Teoridiskussion Metoddiskussion Användandet av TPB vid utformning av intervjuer Slutlig diskussion Förslag på fortsatt forskning 51

7 Referenser Appendix A: Intervjufrågor 55 Tabeller 1 Terminologi och förkortningar Faktorer från teori Resultat Intervjumall

8 1 BAKGRUND 1 Bakgrund Otaliga uppsatser, avhandlingar och nyheter behandlar IT- och IS-säkerhet. Ofta är det användarna, inte de tekniska lösningarna, som pekas ut som den svaga länken (Adams & Sasse, 1999; Schneier, 2000). Gonzales och Sawicka (2002) kommer fram till att så mycket som % av alla säkerhetsrelaterade problem inom en organisation beror på den mänskliga faktorn. Ett sätt för organisationer att styra de anställdas beteende och minska risken för säkerhetsrelaterade problem är att utarbeta informationssäkerhetspolicys. Dessa policys reglerar bland annat hur de anställda kan och får handskas med tillgänglig information. Policydokumenten kan gälla utformning och hantering av lösenord, tillgång till information samt vilka typer av enheter som får anslutas till företagets nät etc. Genom att utbilda sina anställda i organisationens policys genom säkerhetskampanjer och liknande aktioner, hoppas man att dessa ska efterlevas (Albrechtsen, 2007). Att få de anställda att följa organisationens policys verkar dock vara lättare sagt än gjort. Slarv och okunskap får ofta de anställda att utsätta organisationen för säkerhetsrisker (Vroom & Von Solms, 2004). Det kan också vara så att de bryter organisationens policys på grund av bekvämlighetsskäl (Herath & Rao, 2009a). Användares beteende gentemot informationssäkerhet har undersökts flitigt och ur många perspektiv. Albrechtsen (2007) undersöker synen på informationssäkerhet vid en bank respektive en IT-konsultbyrå. Hans slutsats är att de anställda tycker att det är viktigt att skydda konfidentiell information, men att de ofta saknar tid eller kunskap för att ägna sig åt säkerhetsarbete. Många tyckte inte heller att det ingick i deras arbetsuppgifter. Adams och Sasse (1999) beskriver hur användares säkerhetsbeteende i bland annat teknikbranschen och byggnadsindustrin undersökts. De finner att lösenordens antal och innehåll, säkerhetspolicys kompatibilitet med arbetsrutiner och antaganden rörande informationens känslighet påverkar ett säkert användande av lösenord. Man har också undersökt användarnas säkerhetsbeteende ur ett moraliskt perspektiv (Myyry, Siponen, Pahnila, Vartiainen, & Vance, 2009), och funnit att ju mer en individ baserar sitt handlande på egna normer, desto större säkerhetsrisk utgör den. Det förekommer uppenbarligen fortfarande en stor problematik kring efterlevnaden av organisationers informationssäkerhetspolicys, varför vi tycker att ämnet är värt att titta närmare på. Den kanske vanligaste säkerhetsanordningen är lösenord, det är dessutom något som de flesta vanliga användare kommer i kontakt med. På grund av att de är så vanligt förekommande antar vi att det är hanteringen av dem som oftast brister. Vi riktar därför vårt intresse mot användares beteende i samband med hantering av lösenord. Hanteringen av lösenord regleras i organisationers säkerhetspolicys, och vi kallar härefter de delar av en informationspolicy som berör lösenord för lösenordspolicy. 1

9 2 PROBLEM 2 Problem En organisations lösenordspolicy bör inte vara ett dokument som skapas och fastslås vid ett enstaka tillfälle. Policyn bör istället följa en livscykelmodell med regelbundna revideringar: förändringar i infrastruktur eller skyddsvärde kan påkalla nya förhållningssätt och göra gamla policys överflödiga (NIST, 2009; Simms, 2009). Detta resonemang får medhåll av bland annat Tipton och Krause (2004) samt Whitman och Mattord (2008) som menar att det är av yttersta vikt att policydokument speglar verkligheten och inte blir utdaterade på grund av uteblivna revideringar. Exempelvis stjäls inte längre företagshemligheter med en 3,5 -diskett, däremot måste vissa organisationer spärra datorernas USB-portar och upprätta mailfilter i syfte att förhindra informationsläckage. Det kontext lösenorden används i påverkar hur de används (Inglesant & Sasse, 2010): användare som jobbar hemifrån kan behöva ett säkrare lösenord än de som jobbar i en anläggning med hög yttre säkerhet. Lösenordspolicys bör därför anpassas efter den verklighet organisationen och dess användare befinner sig i, det finns knappast någon generell policy som passar alla organisationer. Även användarnas beteende kan skilja sig mellan olika kontext. Varierande säkerhetsmedvetande, utbildning och syn på att efterleva regler kan förmodligen påverka hur användarna ser på att följa lösenordspolicys och delta i säkerhetsarbetet. Albrechtsen (2007) ger visst stöd för detta i sin undersökning av användares säkerhetsbeteende på en bank och ett IT-företag. Han uppger att användarna på ITföretaget hade större förståelse för att delta i informationssäkerhetsarbetet än användarna på banken. Användarna på banken ansåg inte att informationssäkerhetsarbete var något som ingick i deras arbetsuppgifter. Detta resultat förvånade oss. Med tanke på den känsliga verksamhet de bedriver trodde vi att de anställda på en bank skulle uppvisa en stor säkerhetsmedvetenhet, även om de kanske saknar djupare kunskaper om IT. Så var tydligen inte fallet i Albrechtsens (2007) studie, vilket fick oss att diskutera användarnas förhållande till lösenordspolicys i organisationer där det inte främst är ekonomiska värden som står på spel. Haverier och dataintrång hos organisationer som kärnkraftverk, flygindustri, oljeoch kemiföretag kan i värsta fall kosta människor livet och orsaka allvarliga skador på ett samhälles infrastruktur. Sådana organisationer brukar kallas säkerhetskritiska (Oedewald & Reiman, 2007), och vi räknar även vissa myndigheter och statliga verk som säkerhetskritiska organisationer. Luftfartsverket kan sägas tillhöra flygindustrin, men även SOS Alarm, polismyndigheter, räddningstjänst samt militär inklusive olika underrättelsetjänster bör kunna ses som säkerhetskritiska. Polisen använder informatörer med insyn i kriminella organisationer för att samla information om organisationernas verksamhet. Man kan anta att informatörernas identiteter finns lagrade i något av polisens system. Om någon obehörig skulle 2

10 2 PROBLEM komma över lösenord som leder till ett sådant system skulle det kunna leda till att informatörernas liv var i fara. Det skulle i förlängningen inte bara leda till att nuvarande informatörer råkade illa ut. Om det blev allmänt känt att polismyndigheten inte kan garantera informatörernas anonymitet skulle de sannolikt få svårt att värva nya informatörer. Detta skulle i sin tur försvåra för polisen att kartlägga kriminella organisationer, vilket i sin tur skulle påverka rättssamhället negativt. Man kan också tänka sig att information om särskilt viktiga flygtransporter lagras i något system tillhörande luftartsverket eller motsvarande organisation. Det är inte svårt att föreställa sig vilka konsekvenser det skulle kunna få för personerna ombord på planet om terrorister kom över lösenordet till ett sådant system och erhöll information om flygrutt etc. Skulle transporten bestå av mat och medicin till behövande skulle även dessa drabbas. Bristande lösenordshantering i en säkerhetskritisk organisation kan således få allvarliga konsekvenser, inte bara ekonomiskt eller för enskilda individer utan för samhället i stort. En anställd upplever alltid motstridiga krav: den skall utföra sina arbetsuppgifter effektivt, men även noggrant (Hollnagel, 2002). Detta gäller oavsett vilken organisation den anställde verkar inom. Noggrannhet kan tolkas som att det inbegriper efterlevnad av regler och rutiner vid utövandet av arbetsuppgifter. Det är svårt att uppfylla bägge kraven samtidigt, att utföra en uppgift så effektivt som möjligt innebär sällan samma sak som att utföra den så noggrant som möjligt. Den anställde lär sig snabbt att bortse från sådant som förhindrar den från att effektivt utföra sina arbetsuppgifter, men som oftast inte är av betydelse (Hollnagel, 2002). Till detta hör att strunta i säkerhetspolicys, eftersom det oftast inte uppstår några större problem av att ignorera dem. Det är dock detta beteende som leder till olyckor (ibid.). Man kan lätt föreställa sig att anställda inom säkerhetskritiska organisationer har en högre säkerhetsmedvetenhet än användare på vanliga företag, och att det får dem att göra andra avvägningar mellan effektivitet och noggrannhet. Vi har dock fått indikationer på att så inte alltid är fallet. Tidigare forskning ger en förhållandevis tydlig bild över vad som får användare att bryta mot en organisations lösenordspolicys. Det kan handla om att det är komplicerat att återställa lösenord som glöms bort, att användarna anser att de förväntas komma ihåg för många lösenord eller att lösenorden är för komplicerade. Sådana omständigheter leder ofta till att användarna skriver upp lösenorden. Det kan också vara så att användarna är rädda för konsekvenserna av att glömma ett lösenord, eller helt enkelt att det råder en allmän uppfattning om att man inte behöver följa uppsatta regelverk. 3

11 2.1 Syfte 2 PROBLEM 2.1 Syfte Den forskning vi har granskat har endast undersökt användares förhållande till lösenordspolicys i vanliga, det vill säga ej säkerhetskritiska organisationer. Vi är intresserade av att undersöka vad som får användare inom en säkerhetskritisk organisation att bryta mot lösenordspolicys, och om detta eventuellt skiljer sig från de faktorer som tagits upp i tidigare forskning där ej säkerhetskritiska organisationer undersökts. 2.2 Forskningsfråga Vilka faktorer leder till att användare i kritiska organisationer bryter mot lösenordspolicys? 4

12 3 TEORI 3 Teori Under följande underrubriker bygger vi upp den teoretiska ram som undersökningen och analysen baseras på. Avsnittet inleds med en kort beskrivning av informationssäkerhetspolicys, informationsklassning och hur kontext kan påverka användarnas beteende. Därefter ges en kort beskrivning av lösenord: vilka hot som finns och hur lösenord kan utformas på ett säkert sätt. Slutligen behandlas den konflikt som återfinns mellan användare och lösenordspolicys, och de faktorer vi anser påverka användarnas beteende sammanfattas. 3.1 Informationssäkerhetspolicy För att upprätthålla en god informationssäkerhet inom en organisation krävs det att det finns en fungerande informationssäkerhetspolicy som tydligt anger organisationens mål. En policy syftar till att tydliggöra för användarna hur information ska/får hanteras samt hur information ska/får användas (Statskontoret, 1997). Den lösenordspolicy som införs måste passa individernas och organisationens primära mål (Adams & Sasse, 1999), och det är viktigt att den inte tar fokus från de huvudsakliga arbetsuppgifterna. Att ange ett lösenord är alltid en sekundär uppgift (Inglesant & Sasse, 2010) och processen bör därför anpassas för att inte lägga onödiga hinder i vägen. Om användare upplever att en policy är i vägen för deras primära uppgifter kommer de i många fall försöka kringgå den (Albrechtsen, 2007). 3.2 Informationsklassning Det är viktigt att informationstyperna inom en organisation bedöms efter hur känsliga de anses vara. Detta är rutinförfarande inom svenska myndigheter, bland annat beroende på att man hanterar information som är sekretessbelagd (Statskontoret, 1997). Huvudsyftet med informationsklassning är att organisationen ska kunna fånga upp känslig information för att avgöra hur denna information ska hanteras. Organisationen delar in information i olika skyddsnivåer så att de vidtagna skyddsåtgärderna varken blir otillräckliga eller alltför rigorösa (Statskontoret, 1997). Statskontoret (1997) anger fyra säkerhetsaspekter som ska tas hänsyn till när information ska klassas: Riktighet Information ska vara korrekt, aktuell och begriplig. Tillgänglighet Information ska vara tillgänglig för rätt person, i rätt omfattning och vid rätt tidpunkt. 5

13 3.3 Kontext 3 TEORI Sekretess Information och program ska vara skyddade så att de inte varken avsiktligt eller oavsiktligt görs tillgängliga för obehöriga. Information ska också skyddas från att utnyttjas på ett otillåtet sätt. Spårbarhet Det ska vara möjligt att härleda utförda operationer till enskilda individer. Dessa fyra säkerhetsaspekter ska sedan relateras till de konsekvenser som uppstår om informationen förvanskas på något sätt. (MSB, 2009) presenterar tre generella konsekvensnivåer: Måttliga konsekvenser Förlust av riktighet, tillgänglighet, sekretess eller spårbarhet kan för organisationen innebära en reducering i effektivitet, mindre skador på organisationens tillgångar, mindre ekonomiska förluster eller smärre negativ påverkan på enskild persons rättigheter eller hälsa. Betydande konsekvenser Förlust av riktighet, tillgänglighet, sekretess eller spårbarhet kan för organisationen innebära en signifikant reducerad effektivitet, betydande skador på organisationens tillgångar, betydande ekonomiska förluster eller betydande negativ påverkan på enskild persons rättigheter eller hälsa. Allvarliga konsekvenser Förlust av riktighet, tillgänglighet, sekretess eller spårbarhet kan för organisationen innebära en reducering i möjligheten att kunna fullfölja sina primära mål, resultera i omfattande skador på organisationens tillgångar, innebära stora ekonomiska förluster eller förorsaka allvarlig negativ påverkan på enskild persons rättigheter, hälsa eller liv. Alla informationstyper ska klassificeras i en av konsekvensnivåerna för varje säkerhetsaspekt. Detta innebär alltså att en typ av information kan klassas i olika konsekvensnivåer beroende på vilken säkerhetsaspekt man pratar om. När detta arbete slutförts har organisationen bra ingångsvärden för vilka krav som ska ställas för att skydda informationen i de olika klasserna (MSB, 2009), något som får återverkningar för de olika system som skapar och hanterar informationen. 3.3 Kontext Det kontext ett system existerar i påverkar användarnas beteende (Sasse, Brostoff, & Weirich, 2001). I detta stycke kommer vi därför att lyfta fram kontextberoende faktorer som kan påverka användarnas beteende. En lösenordspolicy som är lämplig för en organisations verksamhet behöver inte lämpa sig inom andra organisationer. I ett kontorslandskap där många människor är i rörelse och lämnar datorer oövervakade är det lämpligt att datorn låses när en 6

14 3.4 Lösenord 3 TEORI användare lämnar den, så att obehöriga inte får tillgång till datorn (NIST, 2009). På en larmcentral där det kan handla om människoliv kan å andra sidan den tid det tar att låsa upp en dator få allvarliga konsekvenser (ibid.). Albrechtsen (2007) beskriver skillnader i synen på säkerhetsarbete mellan en bank och ett IT-företag. Vi tolkar detta som att den bransch organisationen verkar i kan påverka bland annat hur mycket säkerhetsarbete användarna är villiga att stå ut med. Det är också rimligt att tänka sig att skyddsbehovet påverkar. En bank och en bilverkstad har stora skillnader när det gäller informationens känslighet, och det påverkar troligen organisationens lösenordspolicys. Den fysiska säkerheten uppges också påverka. Om den är lägre än vad användarna ser som skäligt kommer de känna att deras ansträngningar inte spelar någon roll (Sasse et al., 2001). Om den å andra sidan ses som väldigt hög kan användarna känna att de inte behöver anstränga sig (ibid.). Övriga säkerhetsåtgärder upplevs då fungera som en brandvägg som håller alla hot borta. Även antalet system som används inom en organisation kan påverka. För att minimera konsekvenserna av ett intrång föreskriver många lösenordspolicys att man har ett lösenord per system (Sasse et al., 2001). Systemen levereras med olika krav etc. på lösenordens utformning (ibid.), och att ändra dessa skulle innebära en utvecklingskostnad. Att komma ihåg ett stort antal lösenord ökar dock risken för att användare ska skriva upp sina lösenord (Albrechtsen, 2007; Adams & Sasse, 1999). I vissa fall införs Single-Sign-On (SSO) för att minska antalet lösenord (Sasse et al., 2001). Andra organisationer låter användarna använda samma lösenord för alla system, vilket har en liknande effekt (ibid.). Detta ökar dock risken för allvarliga konsekvenser om någon obehörig får tag på ett lösenord Organisationskultur Även den sociala kontexten påverkar användarnas säkerhetsbeteende. I en organisation där ett korrekt säkerhetsbeteende anses vara viktigt verkar användarna påverka varandra att följa uppsatta regler, det uppstår ett slags positivt grupptryck (Thomson & Von Solms, 1998). Det omvända förhållandet verkar också gälla: Sasse et al.(2001) nämner bland annat att användare som följer lösenordspolicys anses vara paranoida och pedantiska. I vissa fall ser de det dessutom som en merit att inte följa de uppsatta reglerna; det visar att man inte är en nörd, att man är en sådan som inte lyder regler eller helt enkelt att man uppnått sådan status (senioritet) att man inte behöver följa regler (ibid.). 3.4 Lösenord För att kontrollera en användares behörighet används vanligen någon form av identifiering och autentisering (Adams & Sasse, 1999). Identifiering kan till exempel ske 7

15 3.4 Lösenord 3 TEORI genom att användaren får uppge ett användarnamn. Identiteten styrks sedan genom någon form av autentisering. Det finns tre metoder för att utföra en autentisering (NIST, 2009): en hemlighet som delas mellan användare och system (lösenord); ett föremål som styrker användarens identitet (t.ex. passerkort) eller genom att kontrollera unika fysiska attribut med biometri. Enligt Inglesant och Sasse (2010) är enbart lösenord den vanligaste metoden för autentisering av användare. Metoden är dock verkningslös om någon kommer över både lösenord och användar-id. Det går att skapa en mer tillförlitlig autentisering genom att kombinera autentiseringsmetoder: till exempel genom att använda lösenord och nyckelkort eller biometrisk autentisering, eller alla tre varianter (NIST, 2009). En användares identitet är ofta allmänt känd eller lätt att komma över. Identiteten kan var uppbyggd enligt ett förutsägbart mönster, eller finnas ifyllda i inloggningsfönstret för vissa applikationer (Inglesant & Sasse, 2010). I många fall är kännedom om lösenordet därför det enda som hindrar en obehörig från att få tillgång till system och information. Det är således viktigt att hantera lösenord på ett säkert sätt. Det gäller hur de hanteras av systemet, men kanske framför allt hur de hanteras av användarna. Två vanliga metoder för att komma över lösenord direkt från användarna är social engineering och shoulder-surfing (Sasse et al., 2001; NIST, 2009), det vill säga att någon obehörig på ett eller annat sätt ber om att få lösenordet, alternativt tittar på när det skrivs in. Det innebär att användare bör vara medvetna om att de aldrig bör lämna ut lösenord till någon, och dölja dem när de matar in dem. Hur säkert ett lösenord är avgörs av hur svårt det är att gissa eller knäcka. Gissning av lösenord kan göras genom att någon testar tänkbara lösenord, men vanligen används mer sofistikerade sätt. Programvara för att gissa lösenord testar ord ur en ordlista bestående av både riktiga ord och bokstavskombinationer mot systemet (NIST, 2009). Detta förfarande gör att lösenord som består av namn på familjemedlemmar eller husdjur snabbt kan hittas. Även sådana ord som ingen känner till kan hittas, varför till exempel fruns flicknamn är ett dåligt alternativ (Albrechtsen, 2007). Finns ordet i ordlistan så hittar programvaran lösenordet på förhållandevis kort tid. En lösning kan tyckas vara att byta ut bokstäver mot siffror enligt ett förutbestämt mönster, exempelvis sofie s0f1e. Det finns dock programvara som kan göra sådana byten på orden i ordlistan, vilket gör att lösenordet inte är säkrare än namnet i klartext (NIST, 2009). Risken för att någon skall kunna gissa ett lösenord minskar således om det består av en slumpmässig serie tecken. Det finns gott om metoder för att konvertera en fras till en till synes slumpmässig teckenserie, som bör minska risken för att någon skall kunna gissa rätt (ibid.). Knäckning av lösenord genom s.k. brute-force är ett alternativ till metoden där en ordlista används. Ett program testar sig fram till rätt lösenord genom att variera tecknen (NIST, 2009). Här gäller att man först behöver få tillgång till filen där det 8

16 3.5 Konflikt mellan policys och arbetsrutiner 3 TEORI krypterade lösenordet lagrats, något vi inte går in närmare på här. Det viktiga är att lösenordets uppbyggnad påverkar hur lätt det är att knäcka lösenordet (NIST, 2009). Ju fler alternativa tecken som kan finnas på varje plats i lösenordet desto fler försök måste göras för att hitta rätt (NIST, 2009). Ett lösenord som innehåller små och stora bokstäver blir därför säkrare än ett lösenord som bara innehåller små bokstäver. Ett lösenord som dessutom innehåller siffror blir ännu säkrare, innehåller det även specialtecken förstärks säkerheten ytterligare (ibid.). Antalet försök ökar dessutom exponentiellt med längden på lösenordet. Det innebär att ett tolv tecken långt lösenord som bara innehåller små bokstäver är säkrare än till exempel ett åtta tecken långt lösenord innehållandes siffror, små och stora bokstäver samt specialtecken (NIST, 2009). Ett lösenord kan således göras väldigt säkert genom att välja en till synes slumpmässig serie tecken, använda olika slags tecken och använda ett så långt lösenord som möjligt. 3.5 Konflikt mellan policys och arbetsrutiner Användare har ofta förståelse och motivation för att delta i säkerhetsarbete och upprätthålla en hög informationssäkerhet på arbetsplatsen (Albrechtsen, 2007; Adams & Sasse, 1999). Säkerhetsarbete innebär dock sekundära arbetsuppgifter (Inglesant & Sasse, 2010) och kommer därför upplevas som ett hinder om det tar för mycket tid från de primära arbetsuppgifterna. Enligt Inglesant och Sasse (2010) kommer det alltid att finnas en konflikt mellan säkerhet och möjligheten att utföra sina primära uppgifter på ett smidigt sätt. Konflikten behöver inte påverka användarnas beteende, men om den blir för stor ökar sannolikheten för att användarna skall kringgå lösenordspolicys (Albrechtsen, 2007). Under denna rubrik beskriver vi faktorer som påverkar en sådan konflikt. Ett lösenords säkerhet påverkas som tidigare nämnts av dess komplexitet: antal tecken, slumpmässighet och antal typer av tecken som går att använda (NIST, 2009). Detta påverkar också hur lätt det är för en användare att minnas det (NIST, 2009; Inglesant & Sasse, 2010). Många lösenordspolicys ställer krav på att lösenord skall ha en viss komplexitet vilket i sin tur ställer krav på användarna. Lösenord som används ofta är dock lättare att minnas än sällan använda lösenord, även om de har hög komplexitet (Inglesant & Sasse, 2010). Lösenordspolicys ställer också krav på regelbundna byten av lösenord. Att byta lösenord regelbundet är ett effektivt sätt att slå undan fötterna för eventuella angripare. Angriparen måste då hålla sig uppdaterad med färska lösenord, eftersom de gamla slutat gälla. Användare byter dock inte gärna sina lösenord (Inglesant & Sasse, 2010) varför bytena ofta automatiserats genom implementation i systemen. Bytesintervallet kan vara ett resultat av organisationens policy, men kan även vara valt av systemtillverkaren. 9

17 3.5 Konflikt mellan policys och arbetsrutiner 3 TEORI Detta byte kommer ofta som en överraskning för användarna (Sasse et al., 2001), och arbetet med att plocka fram ett nytt lösenord leder till ökad stress. Saknas dessutom mjukvarurestriktioner för lösenordens utformning leder det också ofta till att de lösenord som tas fram är osäkra, och att regler för lösenordens utformning kringgås (ibid.). Användarna utvecklar ofta egna system för att skapa nya lösenord ur ett tidigare använt lösenord. Ofta består det av att byta ut någon detalj, medan grunden är densamma. Det råder delade meningar om hur bra ett sådant system är. Vissa menar att det orsakar problem med att minnas vilken version av lösenordet som skall användas (Adams & Sasse, 1999), medan andra menar att det minskar belastningen på användarna (Inglesant & Sasse, 2010). I vissa fall får användarna inte skapa lösenord som liknar de tidigare (Inglesant & Sasse, 2010), vilket omöjliggör användandet av ett sådant system. Många organisationer tvingar även användarna att ha unika lösenord för alla system. Detta kan innebära att de har upp till sju lösenord som ofta används (Albrechtsen, 2007). Separata lösenord för samtliga system minimerar potentiella konsekvenser om ett lösenord kommer på villovägar, men ställer samtidigt högre krav på användarnas minne (Inglesant & Sasse, 2010). Lösenord som glömts bort eller inte uppdaterats i tid behöver återställas. Att återställa lösenord är i första hand ett hinder för den anställde vid utförandet av de primära arbetsuppgifterna. Återställning av lösenord ställer även till ytterligare problem då det ofta tar lång tid. I vissa fall kan det ta så lång tid som upp till två timmar för en återställning att slå igenom på alla system (Inglesant & Sasse, 2010). Lång återställningstid innebär att användaren hindras från att utföra sina primära arbetsuppgifter under tiden, något som kostar organisationen pengar och sätter press på användaren. I vissa organisationer har man gjort det möjligt för användarna att själva återställa lösenordet, vilket skyndar på förfarandet. Andra organisationer verkar betrakta återställning av lösenord som ett användarproblem. Sasse et al.(2001) uppger att en organisation betraktade användare som ofta begärde återställning som återfallsförbrytare. Ett sådant synsätt vittnar om att det från organisationens sida inte är uppskattat att man glömmer sina lösenord. Samverkan mellan att tvingas minnas många komplexa lösenord som skall uppdateras regelbundet samt problemen med att återställa lösenorden, kan leda till att användarna blir rädda för de konsekvenser glömska ger. Inglesant och Sasse (2010) kallar detta rädsla för att glömma bort lösenord. Denna rädsla kan orsaka stress hos användarna och bidra till konflikten mellan policys och arbetsrutiner. En sådan rädsla kan också leda till att användare drar sig för att använda tjänster och system (Jøsang & Pope, 2005). Gör de sig inte beroende av ett system behöver de heller aldrig minnas lösenordet. Ett sådant tillvägagångssätt kan leda till att tjänster som kostat en organisation stora summor inte når sin fulla potential (ibid.). Detta får dock inte medhåll av Tam, Glassman, och Vandenwauver (2010) som me- 10

18 3.6 Theory of Planned Behaviour 3 TEORI nar att att användare inte har några problem att minnas lösenord, och därför inte heller är rädda för att glömma bort dem. I vissa situationer blir konflikten mellan lösenordspolicys och arbetsuppgifter extra påtaglig. Användare som måste komma åt material från en sjuk kollegas dator kan lösa det genom att ringa och be om att få låna lösenordet. Ett sådant tillvägagångssätt är dock ofta förbjudet då lösenord är personliga. Användarna måste i sådana fall välja mellan att följa organisationens lösenordspolicys eller att fullgöra sina arbetsuppgifter, kanske under hård tidspress. I sådana situationer uppstår ofta informella processer (Sasse et al., 2001). Användarna skapar helt enkelt en egen rutin för att hantera situationen, i syfte att göra det bästa för verksamheten Användares hantering av konflikten Om konflikten mellan lösenordspolicys och arbetsuppgifter blir för stor reagerar användarna ofta med att kringgå reglerna. Det är bland annat vanligt att de skriver upp lösenord för att lättare komma ihåg dem (Albrechtsen, 2007; Adams & Sasse, 1999). På senare år har användarna dock blivit bättre på att dölja sina uppskrivna lösenord, t.ex. i ett skåp eller i en anteckningsbok (Inglesant & Sasse, 2010). När användare saknar möjlighet att autentisera sig mot system som de har behörighet till lånar de ofta andras lösenord. Det kan till exempel handla om att de väntar på återställning av lösenord, eller som en del i de tidigare nämnda informella rutinerna (Sasse et al., 2001). 3.6 Theory of Planned Behaviour The Theory of Planned Behaviour (TPB) föreslogs 1985 av Icek Ajzen (Ajzen, 1985) som en vidareutveckling av Theory of Reasoned Action (TRA). Teorin utgår från att det alltid finns ett mål eller syfte med mänskligt beteende. Modellen har använts inom IT/IS för att undersöka användares beteende. Vi kommer inte använda TPB i vår dataanalys. Modellerna används främst kvantitativt, och framför allt används modellen för att förutsäga ett beteende; vi är ute efter att i efterhand förklara ett beteende. TPB har dock varit en inspirationskälla i de inledande stegen i vår undersökning, och har påverkat vårt sätt att betrakta mänskligt beteende. Vi planerar också att använda den kvalitativa pilotstudie som Ajzen (2006) utarbetat för att ta fram enkäter (se kap ). I följande stycken ges därför en kort beskrivning av TPB. Vi redogör också för några av de fall där den har använts tidigare. 11

19 3.6 Theory of Planned Behaviour 3 TEORI Figur 1 Enligt Ajzens (1985) Theory of Planned Behaviour påverkas beteendet av vad man har planerat, som i sin tur påverkas av egna attityder, upplevda normer samt upplevd yttre kontroll Faktorer som påverkar beteende enligt TPB Ajzen (1985) fastslår att ett beteende påverkas av våra avsikter. En användare som bryter mot organisationens lösenordspolicys gör det inte slumpmässigt, utan har en avsikt med handlingen. Den kanske skriver upp lösenord på en post-it-lapp i syfte att lättare komma ihåg lösenordet. Människors avsikter påverkas i sin tur av andra faktorer. Enligt TPB påverkas en individs avsikter påverkas av tre faktorer som relaterar till beteendet: egna attityder, upplevda normer samt upplevd yttre kontroll, se fig. 1 (ibid.). De tre faktorerna utgörs i sin tur av summan av olika uppfattningar. Individens attityd till ett beteende påverkas av dennes uppfattningar gällande beteendet och vad det kan leda till (Ajzen, 1985). På motsvarande sätt baseras de normer individen upplever att omgivningen har gällande ett beteende på vad den tror att omgivningen tycker om beteendet. Upplevelsen av yttre kontroll påverkas av vad individen tror underlättar eller försvårar beteendet. Användaren som skriver upp sitt lösenord på en post-it-lapp har med största sannolikhet en tillåtande attityd till beteendet. Detta kanske beror på att den inte tror att någon obehörig kommer åt lösenordet på grund av yttre säkerhetslösningar. Den kanske dessutom är av uppfattningen att om någon ändå kommer över lösenordet leder det ändå inte till något av värde. Användarens attityd räcker dock inte för att den ska ta steget till att skriva upp 12

20 3.6 Theory of Planned Behaviour 3 TEORI lösenordet, omgivningen syn på beteendet spelar också in. I vårt fiktiva exempel upplever användaren att medarbetarna delar synen på att sätta upp lappar med lösenord. Kanske för att de också har liknande lappar; men det kan också bero på en organisationskultur där användarna inte tar allvarligt på lösenordspolicys. Slutligen måste användaren också ta hänsyn till yttre omständigheter. Det finns inte så mycket som fysiskt hindrar användaren från att fästa en post-it-lapp på skärmen. Det kan dock finnas andra omständigheter, till exempel vetskapen om att användare som blir påkomna med uppskrivna lösenord riskerar repressalier. I vårt exempel finns inga sådana hinder, och tillgången på post-it-lappar är god. Användaren kan alltså fullfölja sitt planerade beteende. En individs beteende är således en del i ett spektrum, med mål i den ena änden och uppfattningar i den andra änden. Uppfattningarna ger upphov till egna attityder, upplevda normer samt uppfattningar gällande vilken kontroll individen har över beteendet. Dessa faktorer påverkar i sin tur avsikten att ägna sig åt något beteende (Ajzen, 1985) TPB inom IT/IS-forskning TPB har på olika sätt använts i områden som berör IT. Under detta stycke redogör vi för hur den använts i tre fall. TPB och Technology Acceptance Model Mathieson (1991) jämförde två modeller för att förutsäga användares avsikter vid användandet av informationssystem: TPB och Technology Acceptance Model (TAM). TAM är en modell utvecklad för att förutsäga användarbeteende. Enligt modellen är de viktigaste faktorerna användarens uppfattning om hur lättanvänt och användbart ett system är (ibid.). Mathieson (1991) gav 262 studenter i uppgift att lösa ett problem, och lät dem välja mellan att utföra den i ett kalkylprogram eller manuellt med hjälp av miniräknare. Efter utförd uppgift fick de svara på ett elektroniskt frågeformulär, slumpvis utformat efter TAM eller TPB. Slutsatserna från undersökningen är att TAM är något bättre på att förklara attityder angående användandet av IS, medan TPB genererar mer specifik information. Framför allt fås mer information gällande vilka hinder som finns för att använda ett IS med TPB. Värdet av denna ökade information måste dock vägas mot att TPB kostar mer i fråga om arbetsinsats. Detta då formulär etc. måste tas fram för varje enskilt projekt. TAM har å andra sidan ett generiskt formulär vilket gör det lättare att snabbt komma igång med mätningarna. 13

21 3.6 Theory of Planned Behaviour 3 TEORI TPB, Protection Motivation Theory och Deterrence Model Herath och Rao (2009b) använder en vidareutveckling av TPB: Taylor-Todd s Decomposed TPB, tillsammans med två andra teorier: Protection Motivation Theory (PMT) och Deterrence Model. De låter Taylor-Todd s Decomposed TPB fungera som övergripande paraply-teori på grund av dess spridning inom IT-forskningen, och låter de övriga teorierna fungera som input till de olika faktorerna, se fig 2. Figur 2 Herath och Rao (2009b) utvecklade en modell som kombinerar Taylor-Todd s TPB, Protection Motivation Theory och Deterrence Theory. Taylor-Todd s Decomposed TPB är framtagen för att bättre förutsäga konsumenters acceptans av nya produkter. Modellen togs fram genom att jämföra data från undersökningar där tre andra varianter av TPB använts, för att på så sätt få fram en modell som använde de övrigas styrkor. Utöver de faktorer som ingår i TPB tillkommer faktorerna relativa fördelar, komplexitet, normativa influenser, effektivitet samt underlättande förhållanden (Taylor & Todd, 1995). PMT bygger på att rädsla uppstår i situationer som kan betraktas som farliga och där skyddsåtgärder måste vidtas (Herath & Rao, 2009b). Detta relaterar till informationssäkerhet på så sätt att en anställd som har kunskap om säkerhetshot lättare identifierar farliga situationer (ibid.). Viljan att vidta skyddsåtgärder uppstår i detta perspektiv ur den anställdes uppfattning om huruvida ett hot föreligger samt hur allvarligt hotet är (ibid.). Tror den anställde att ett hot föreligger och att hotet kan orsaka stora skador är sannolikheten stor att denne blir oroad och vidtar åtgärder. Om den anställde inte tror att ett hot 14

22 3.6 Theory of Planned Behaviour 3 TEORI föreligger och/eller kan orsaka skador kommer den inte uppleva något behov av att säkerhetsåtgärder behövs. Anställda som tror att hot finns kommer således vara mer positiva till säkerhetspolicys (ibid). Enligt Deterrence Theory förknippas efterlevnad av regler med två faktorer: straffets hårdhet samt sannolikhet för upptäckt. Detta har enligt Herath och Rao (2009b) visat sig stämma i IT-kontext, och de tar därför med faktorerna i sin modell. Herath och Rao (2009b) drar följande slutsatser: uppfattningen att ett dataintrång leder till allvarliga konsekvenser, organisationens förmåga att reagera på uppmärksammade hot samt användarnas möjligheter att påverka säkerheten leder till positiva attityder gentemot säkerhetspolicys. Uppfattningar om att det är kostsamt att reagera på ett hot leder å andra sidan till mer negativa attityder (ibid). De kommer också fram till att sociala faktorer påverkar användarens avsikter gällande efterlevnad av säkerhetspolicys. Tillgängliga resurser påverkar användarnas känsla av att de har möjlighet att påverka säkerheten, vilket i sin tur påverkar användarnas avsikter att följa policys (ibid.). Slutligen finner de att organisationens eget beteende påverkar användarna avsikter, både direkt och genom att skapa en organisationskultur där användarna känner sig delaktiga i säkerhetsarbetet. Unified Theory of Acceptance and Use of Technology Många olika modeller har använts för att undersöka användares acceptans av och avsikter att använda IT/IS. Ofta ingår liknande faktorer i modellerna, men under olika namn. Venkatesh, Morris, Davis, ovh Davis (2003) tog därför fram en enhetlig teori: Unified Theory of Acceptance and Use of Technology (UTAUT). Modellen utvecklades efter att de studerat åtta modeller som ofta används. Empiriska tester av UTAUT visar att den har ett högt förklaringsvärde när det gäller användares avsikter att använda ett system (ibid.). UTAUT låter fyra faktorer avgöra en användares avsikter: i vilken omfattning ett system hjälper till att förbättra ens arbetsresultat, hur lätt det är att använda, om viktiga personer i ens omgivning vill att man skall använda systemet och om det finns en infrastruktur för att stödja användande av systemet. Faktorerna påverkas av modererande faktorer som kön, ålder och erfarenhet. Se figur fig: 3. 15

23 3.7 Sammanfattning 3 TEORI Figur 3 Den enhetliga modellen påminner mycket om TPB, vilket beror på att den bygger på likheter mellan åtta vanliga modeller. Faktorerna Modellen gäller för specialfallet användares avsikter gällande användande av ett IS. 3.7 Sammanfattning Under denna rubrik sammanfattar vi de faktorer vi identifierat och isolerat. Dessa faktorer avser vi sedan att utföra mönstermatchning mot. Tabell 2 Faktorer från teori som skall mönstermatchas mot intervjuresultat. Svårigheter att återställa lösenord Uppdatering av lösenord Antal lösenord Komplexa lösenord Rädsla för att glömma bort lösenord Organisationskultur Informella rutiner Svårigheter att återställa lösenord Att återställa lösenord innebär ett avbrott från en användares primära arbetsuppgifter. Dels måste användaren begära en återställning, t.ex. genom att kontakta helpdesk. Sedan måste användaren vänta till dess att lösenordet återställts, vilket kan ta upp till två timmar. Vissa organisationer ser det inte heller som positivt att begära återställning, vilket kan påverka användarna till att skriva upp lösenorden. En del system ger användarna själva möjlighet att återställa sina lösenord, vilket underlättar förfarandet något. Uppdatering av lösenord Att tvingas uppdatera lösenord ställer ytterligare krav på användaren. Användaren måste komma ihåg att göra bytet i rätt tid, så att lösenordet inte spärras. Dessutom måste användaren i många fall skapa lösenordet själv, korrekt sammansatt för att uppfylla organisationens och systemets krav. I många fall får det heller inte vara samma som ett tidigare lösenord, eller inte ens påminna om det tidigare. Dessa faktorer samverkar och utsätter användaren för en ökad press. 16

24 3.7 Sammanfattning 3 TEORI Antal lösenord Antalet lösenord påverkar också användaren. De flesta organisationer använder separata lösenord för samtliga system, men vissa organisationer inför SSO eller samma lösenord till alla system. Att endast behöva använda ett lösenord underlättar för användaren, men ger en obehörig som kommer över lösenordet tillgång till alla system. Komplexa lösenord Krav på säkra lösenord innebär i praktiken att lösenorden måste vara längre och av högre komplexitet. Detta gör dem svårare att minnas. Rädsla för att glömma bort lösenord Användare som upplever att ett bortglömt lösenord ger allvarliga konsekvenser, kan känna rädsla för att det skall ske. Detta kan få dem att bryta mot lösenordspolicyn. Organisationskultur Sociala faktorer som organisationskultur har också inverkan: användare som följer lösenordspolicys betraktas ibland som pedanter, och de som inte vill låna ut lösenord åt medarbetare kan betraktas som paranoida. På motsatt sätt kan en positiv organisationskultur få användare att följa säkerhetspolicys bättre. Informella rutiner Dåligt utformade rutiner för att ta hand om undantagsfall gör att användarna själva skapar informella rutiner som strider mot lösenordspolicys. Det kan handla om att låna lösenord av den sjuke kollegan för att komma åt material på dennes dator. 17

25 4 METOD 4 Metod Under följande rubriker redogörs för den metod som använts. Kapitlet börjar med att redogöra för valt angreppssätt och fortsätter med att motivera valet av fallstudie som strategi, redogöra för utformningen och genomförandet av intervjuer, urvalet som gjorts och dataanalysen. Slutligen berörs bedömningskriterierna, reliabilitet och validitet. Fortsatt diskussion om metodvalet finns i kapitlet för metoddiskussion. 4.1 Angreppssätt Forskning kan bedrivas på två sätt: induktivt eller deduktivt (Bryman, 2002). Enligt Holme och Solvang (1997) syftar det induktiva angreppssättet till att upptäcka något medan det deduktiva angreppssättet syftar till att bevisa något. När induktiv metod används insamlas empiriskt material utan en teoretisk ram, man rör sig från empiri till teori. Används istället deduktiv metod utgår man från en teoretisk ram innan empiriskt material insamlas och man går då istället från teori till empiri (Johanessen & Tufte, 2003; Bryman, 2002). Det finns också två undersökningsmetoder att välja mellan när en undersökning ska utformas och resultatet analyseras: kvantitativ och kvalitativ ansats (Starrin, 1994). En kvantitativ ansats används när man vill hitta samband och andra mätbara resultat. Ansatsen kräver att kvantifierbar, numerisk data samlas in någon gång under processen (Backman, 1998; Denscombe, 2000). En kvalitativ ansats används för att erhålla en fördjupad förståelse för en företeelse istället för att finna ett kvantifierbart och generaliserbart resultat. Termen kvalitet syftar på en företeelses egenskaper (Bjereld, Demker, & Hinnfors, 2002). Genom att sätta sig in i dessa förväntar sig undersökaren få en förbättrad uppfattning om orsakerna till företeelsen (ibid.). Vi är intresserade av att jämföra vilka faktorer som påverkar användarbeteendet i ett kontext, mot faktorer som har observerats påverka användare i andra kontext. Det faller sig därför naturligt att angripa problemet deduktivt. Vårt mål är att få en förståelse för situationen, inte att finna korrelationer eller ett generaliserbart resultat. Därför har vi valt en kvalitativ ansats. 4.2 Fallstudie En fallstudie kan enligt Lundahl och Skärvad (1999) genomföras i syfte att pröva teorier. Denna typ av undersökning lämpar sig bra då undersökaren ämnar skapa sig en djupare förståelse för varför något föreligger på ett visst sätt. Enligt Mariam (1994) är fallstudie också lämpligt vid undersökning av ett praktiskt problem där undersökarens möjlighet till kontroll är låg. 18

26 4.3 Datainsamling 4 METOD 4.3 Datainsamling Datainsamlingen i undersökningen utfördes genom fem semistrukturerade intervjuer. Utvalda respondenter fick i förväg information om vilket ämne intervjuerna skulle behandla, men de fick inte tillgång till själva frågorna. Detta syftade till att ge dem möjlighet att förbereda sig utan att för den delen kunna öva in passande svar redan innan Intervjuer För att kunna göra en djupgående, kvalitativ analys av ett problem är det lämpligt att använda sig av personliga intervjuer med respondenterna (Bryman, 2008). I och med att detta innebär personlig kontakt med alla respondenter finns risken att den som utför intervjun kan påverka respondenten (Bryman, 2002). Semistrukturerade intervjuer innebär dock en bra vägledning för oerfarna undersökare och det blir på så sätt lättare att hålla sig objektiv och neutral vid en intervjusituation (Bryman, 2002). Då undersökare och respondenter befinner sig på stora avstånd från varandra blev intervjuer på plats svåra att utföra. Respondenterna befinner sig också ofta på resande fot, vilket ytterligare försvårade genomförandet av intervjuer öga mot öga. Istället användes kommunikationsverktyget Skype. Förfaringssättet kan delvis likställas med telefonintervjuer vilket innebär både för- och nackdelar. Eventuell negativ intervjuledareffekt minskar men intervjuledaren har heller ingen möjlighet att uppfatta kroppsspråket (Jacobsen, 2002). Vidare spelades intervjuerna in, samtidigt som svaren nedtecknades av den medhörande intervjuledaren. Att spela in en intervju kan göra respondenten obekväm och påverka dennes svar (Mariam, 1994; Bryman, 2008). En stor fördel med att spela in intervjun är dock att intervjuledaren inte behöver koncentrera sig på något annat än att lyssna under själva intervjun (Bryman, 2002). Samtliga intervjuer leddes av en och samma intervjuledare medan den medhörande intervjuledaren ansvarade för inspelning och anteckningar. Den medhörande intervjuledaren kunde på så sätt kontrollera att eventuella följdfrågor som respondenten inbjöd till blev ställda genom att uppmärksamma intervjuledaren på detta. Att ha en och samma intervjuledare i samtliga fall är positivt då olika intervjutekniker annars kan medföra skevheter i insamlad data, dock kan en och samma intervjuare också betyda att intervjuaren skapar förutfattade meningar om intervjuernas utfall (Lundahl & Skärvad, 1999) Utformning av intervjufrågor En intervjuguide för en semistrukturerad intervju är inte lika ingående som en intervjuguide för en strukturerad intervju. Det finns dock ett antal saker man bör ta i 19