DATUM RAPPORTNUMMER 1 november 2002 PTS-ER-2002:24 ISSN 1650-9862 Tillit till IT vid Internetanvändning Förutsättningar för att följa utvecklingen indikatorer och svensk forskning inom ITsäkerhet
TILLIT TILL IT VID INTERNETANVÄNDNING Innehåll Sammanfattning...3 1 Uppdrag och genomförande...5 1.1 Bakgrund...5 1.2 Uppdrag från regeringen till PTS...6 1.3 Rapportens syfte och disposition...7 1.4 Metod för att genomföra uppdraget...8 2 Indikatorer inom IT-säkerhet...10 2.1 Vad är informationssäkerhet och IT-säkerhet?...10 2.2 Vad är en IT-säkerhetsindikator?...10 2.3 Syftet med indikatorer...11 2.4 Pågående relaterat arbete inom området...11 2.5 Indikatorområden och användarkategorier...12 2.6 Indikatorer för organisationer...13 2.7 Indikatorer för enskilda individer...21 2.8 Indikatorer avseende attityder...22 2.9 Diskussion kring metoder för att mäta indikatorer...24 2.10 Diskussion kring användarkategorier...26 2.11 Svensk forskning inom IT-säkerhetsområdet...27 3 Fortsatt inriktning på arbete...28 3.1 PTS fortsatta arbete...28 Litteratur...30 Bilagor Bilaga 1 - Politisk inriktning - Ett informationssamhälle för alla...33 Bilaga 2 - Internationell utblick...35 Bilaga 3 - Data och statistik inom IT-säkerhet...39 Bilaga 4 - Kartläggning av forskning inom IT-säkerhet i Sverige...51 Bilaga 5 - Förklaringar till använda termer och begrepp inom IT-säkerhet...67 Bilaga 6 - Förklaringar till använda förkortningar...69 Post- och telestyrelsen 1
TILLIT TILL IT VID INTERNETANVÄNDNING Sammanfattning Post- och telestyrelsens uppdrag av regeringen Post- och telestyrelsen (PTS) har av regeringen fått i uppdrag att regelbundet följa tilliten till IT och följa forskningen inom området. Uppdraget inkluderar att presentera indikatorer avseende informationssäkerhetsområdets utveckling och studera attityder ur olika aspekter som rör säkerhet i samband med Internetanvändning. Avrapporteringen bör innehålla förslag på prioriteringsordning mellan olika indikatorer och förslag på fortsatt inriktning på arbetet inom området. PTS redovisar i denna rapport PTS arbete har inriktats på att klarlägga förutsättningarna för att följa utvecklingen inom området och redovisa PTS fortsatta arbete. I rapporten redovisas även en första kartläggning av IT-säkerhetsforskningen i Sverige. Information har inhämtats i en litteraturstudie samt via kontakter med myndigheter, organisationer och experter. De undersökningar som gjorts avseende IT-säkerhet visar att antalet allmänna sårbarheter i befintliga system ökar, svagheterna i systemen ökar och förmågan att motstå hot minskar. I USA fördubblades antalet IT-incidenter varje år från 1998 till 2001. Däremot finns det inte information om antalet drabbade eller konsekvenserna till följd av IT-incidenter och det är inte möjligt att bedöma om och hur utvecklingen kan skada tilltron till Internet. Det finns därför behov av att följa IT-säkerhetsområdets utveckling på ett strukturerat sätt. En slutsats i denna rapport är att det inte är möjligt att följa utvecklingen i Sverige genom befintlig, öppen och tillgänglig data och statistik inom IT-säkerhet. En internationell utblick visar att Storbritannien har flerårig erfarenhet av att följa områdets utveckling inom det egna landet. Det finns även gemensamma initiativ inom EU och eeurope följer utvecklingen i medlemsländerna, dock i mycket begränsad omfattning. I rapporten redovisas exempel på information som är viktig för att följa ITsäkerheten för användare av elektronisk kommunikation över Internet indelat på följande indikatorområden: sårbarhet, informationssäkerhetspolicy, IT-incidenthanteringsgrupper, IT-incidenter, konsekvenser, tekniskt skydd och attityder till IT-säkerhet. Post- och telestyrelsen 3
TILLIT TILL IT VID INTERNETANVÄNDNING PTS fortsatta arbete: PTS uppdrag att följa hur tilliten till IT utvecklas, planeras ske på följande sätt: kartläggning av informationsbehovet hos aktörer med intresse av att följa områdets utveckling, mätningar avseende tillit till IT planeras ske. En första mätning planeras ske under första halvåret 2003. Resultatet av denna studie kommer att ge en initial indikation på tilliten till IT. följa forskningen genom fördjupade kontakter med forskarvärlden, rapportera om det fortlöpande arbetet till regeringen den 1 juni 2003. Arbetet avseende indikatorer planeras ske i dialog med Krisberedskapsmyndigheten, Försvarets materielverk, Försvarets radioanstalt och Statskontoret vad gäller deras angränsande arbete inom IT-säkerhet. Arbetet kommer även att koordineras med de uppdrag PTS har avseende e-handel, IT-incidenter och åtgärder för robusta elektroniska kommunikationer. Indikatorerna bör utformas så att möjligheter finns till internationella jämförelser. Ambitionsnivån för PTS kommande arbete är beroende av prioriteringar inom verksamhetsgren Tillit-IT. Under det kommande året/åren är det tänkbart att utvecklingen av indikatorer och mätningar kommer att fordra ökade resurser. PTS avser att återkomma i denna fråga under våren 2003. Post- och telestyrelsen 4
TILLIT TILL IT VID INTERNETANVÄNDNING 1 Uppdrag och genomförande 1.1 Bakgrund Individers oro kan utgöra ett hinder för att viktiga informationstjänster utvecklas och används. Oro för säkerhet kan leda till att endast ett fåtal eller en bråkdel av all elektronisk aktivitet utförs. Det gäller användande i såväl kommersiella som sociala syften. Detta har en avgörande betydelse när ett samhälle ska skapas där informationsteknik skall utgöra en möjlighet till utveckling för näringsliv såväl som för samhällstjänster och för enskilda medborgare. En oönskad situation som kan uppstå är att sårbarheten i samhället ökar och att konsekvenserna av störningar blir allt allvarligare. Säkerhetsproblem i samband med användande av Internet, både reella och potentiella, ses av många som hinder för utvecklingen av elektroniska tjänster och elektronisk kommunikation, speciellt verkar detta gälla e-handel. De främsta anledningarna till att prioritera skyddet av kommunikationsnätverk är; dataskydd, tillförsäkra en fungerande ekonomi, nationell säkerhet och önskan att stödja e- handel enligt EU-kommissionens rapport Nät- och informationssäkerhet: förslag till en europeisk strategi. Ovanstående resonemang där informationssäkerhetsfrågor anses vara av vikt för den fortsatta utvecklingen av Internet ger anledning att diskutera den sårbarhet som användningen av Internet medför. Denna sårbarhet kan betraktas som en teknisk fråga men informationssäkerhetsområdet som helhet kan inte ses som endast en teknisk fråga. Informationssäkerhet är även en affärs- och ledningsfråga att använda utarbetade metoder och åtgärder för att möta hot i den dagliga verksamheten. För enskilda individer kan det också vara viktigt att anpassa sitt elektroniska beteende, att förstå behovet av säkerhetsåtgärder, deras begränsningar och den sårbarhet som finns. I propositionen Ett informationssamhälle för alla 1999/2000:86, den s.k. ITpropositionen (som även beskrivs i bilaga 1 Politisk inriktning ett informationssamhälle för alla), formuleras ambitionen att Sverige som första land ska bli ett informationssamhälle för alla. IT påverkar oss alla och förändrar våra levnadsvillkor, och utgör en av basteknikerna i det informationssamhälle som växer fram. Enligt propositionen skall statens insatser framförallt koncentreras till tre områden: tillit till IT - åtgärder som ökar användarnas tillit till den nya tekniken, kompetens att använda IT - verka för att öka människors kompetens, tillgänglighet till informationssamhällets tjänster - förbättra informationsteknikens tillgänglighet. Post- och telestyrelsen 5
TILLIT TILL IT VID INTERNETANVÄNDNING Den allmänna inriktningen för tilliten till IT är att regler och system på ITområdet bör vara sådana att de skapar förtroende genom att: vara säkra, förutsägbara och teknikneutrala, vara internationella, skydda individens integritet. Regeringens insatser inriktas på att skapa förtroende för den nya tekniken genom att bidra till bättre generella förutsättningar för informationssäkerhetsarbetet. Regeringen har valt att prioritera tre områden inom informationssäkerhetsarbetet: Skydd mot informationsoperationer, ett säkrare Internet, elektroniska signaturer och annan säkerhetsteknik. 1.2 Uppdrag från regeringen till PTS Uppdraget till Post- och telestyrelsen, uppdrag nr 5, redovisas i följande utdrag ur regleringsbrev för budgetåret 2002: Post- och telestyrelsen skall regelbundet följa hur tilliten till IT utvecklas, t.ex. genom enkäter till användare, dels följa forskningen inom IT-tillitsområdet. Avrapporteringen bör inkludera attityder till driftsäkerhet, ekonomisk säkerhet, skydd av personlig integritet, elektroniska signaturer och andra aspekter som rör säkerhet i samband med Internettjänster som elektronisk handel, e-post, IP-telefoni och webbplatser. Vidare skall myndigheten redovisa indikatorer på hur informationssäkerhetsområdet utvecklas. Det kan röra sig om försäljning av säkerhetsprodukter (virusskydd, brandväggar, krypteringsprogram etc.), antal företag som använder sig av standarder för IT-säkerhetsledning, rapporterade incidenter m.m. Avrapporteringen bör innehålla förslag på prioriteringsordning mellan olika indikatorer och fortsatt inriktning på arbetet. Uppdraget skall redovisas till regeringen senast den 1 november 2002. PTS anser att uppdragets mål är att regelbundet följa hur tilliten till IT och forskningen inom området utvecklas. Uppdraget ger utrymme för tolkningar. Att regelbundet följa utvecklingen har tolkats som att utvecklingen ska följas, inte endast under innevarande år, utan under ett antal år framåt i tiden. Detta kan göras genom att: utveckla indikatorer avseende IT-säkerhet vid Internetanvändning, vid upprepade tillfällen genomföra mätningar och redovisa dessa, följa den forskning som bedrivs inom området. PTS har valt att under det första inledande året fokusera på att lägga grunden för ett sådant arbete genom att klarlägga förutsättningarna för att följa utvecklingen inom IT-säkerhetsområdet. Det innebär att mätningar inte genomförs i denna studie. Resultatet av arbetet och de förslag för hur det fortsatta arbetet med indikatorer bör bedrivas redovisas i denna delrapport. PTS redovisar även en första kartläggning av IT-säkerhetsforskningen i Sverige. Post- och telestyrelsen 6
TILLIT TILL IT VID INTERNETANVÄNDNING PTS avser fortsätta arbetet och planerar att redovisa en första mätning av tilliten till IT senast den 1 juni 2003. 1.3 Rapportens syfte och disposition Syftet med rapporten är att redovisa förslag på hur utvecklingen på ITsäkerhetsområdet fortsättningsvis bör följas. Rapporten är disponerad enligt följande: I kapitel 1, Uppdrag och genomförande, redovisas en bakgrund för det område som uppdraget innefattar, den politiska inriktningen och regeringens uppdrag till PTS. Därefter redovisas PTS tillvägagångssätt för uppdraget samt centrala begrepp som är viktiga för förståelsen av området. I kapitel 2, Indikatorer inom IT-säkerhet redovisas först en bakgrund som i korthet beskriver vad som avses med begreppen IT-säkerhet och IT-säkerhetsindikator samt syftet med indikatorer inom IT-säkerhetsområdet. I denna bakgrund redovisas även relaterat arbete som pågår för att följa informationssäkerhetsområdets utveckling i Sverige, i andra länder och i olika samarbeten som exempelvis EU. Därefter redovisas en genomgång av olika indikatorområden och exempel ges på relevanta indikatorer inom respektive område. Syftet med denna är att mer detaljerat redogöra för vad olika områden innefattar och vilka indikatorer som skulle kunna ge information om utvecklingen på området. Genomgången skall även kunna utgöra underlag för ett fortsatt utvecklingsarbete och diskussioner med aktörer med intresse av området. Därefter diskuteras olika metoder för att mäta indikatorer. Sist i detta kapitel redovisas diskussioner kring användarkategorier och en kartläggning av den svenska forskningen inom IT-säkerhetsområdet. I kapitel 3, Fortsatt inriktning, redovisar PTS hur det fortsatta arbetet kommer att bedrivas inom regeringens uppdrag till PTS. Bilagor till rapporten: Politisk inriktning - Ett informationssamhälle för alla Internationell utblick Data och statistik inom IT-säkerhet Svensk forskning inom IT-säkerhetsområdet Förklaringar till använda begrepp och uttryck Förklaringar till använda förkortningar Post- och telestyrelsen 7
TILLIT TILL IT VID INTERNETANVÄNDNING 1.4 Metod för att genomföra uppdraget Informationen har inhämtats i en litteraturstudie med bl.a. tidigare genomförda undersökningar och annan litteratur inom området (se litteraturförteckningen) samt vid kontakter med myndigheter, organisationer och experter. PTS har uppdragit åt Totalförsvarets Forskningsinstitut (FOI) att kartlägga forskning inom IT-säkerhet i Sverige. Detta redovisas i avsnitt 2.12 och i bilaga 4 Kartläggning av forskning inom IT-säkerhet i Sverige. I bilaga 3 Data och statistik inom IT-säkerhet, redovisas en sammanställning av data och statistik inom IT-säkerhetsområdet. Underlaget till denna bilaga består i stora delar av öppen och publikt tillgänglig information. 1.4.1 Tolkning av centrala begrepp Uppdraget, som redovisats i avsnitt 1.2, är att följa hur tilliten till IT utvecklas och att följa forskningen inom IT-tillitsområdet. Nedan redogörs för hur dessa begrepp tolkas i denna rapport. Tillit till IT är på samma sätt som i IT-propositionen, 1999/2000:86, ett samlingsbegrepp och säkerhet kring elektronisk informationshantering är inordnat i detta. Begreppet tillit till IT i regeringsuppdraget används snävare än vad som i dagligt tal skulle kunna avses med begreppet, då det exempelvis kan tolkas som allmänt förtroende för eller tilltro till tekniken och tjänsterna. Begreppet tillit till IT i regeringsuppdraget motsvarar IT-säkerhet för användare av elektronisk kommunikation över Internet. Säkerhet för användare omfattar här även motpartens system, i den mån de påverkar användarens IT-säkerhet. Exempel på områden, situationer och händelser som begreppet tillit till IT i detta regeringsuppdrag därför inte omfattar, är användares förtroende för eller tillit till: aktörer som tillhandahåller tjänster eller information via Internet, (exempelvis tillhandahållande av information som är olaglig, anstötlig eller oriktig), avtal som upprättas över Internet, exempelvis kunders rättigheter vid e-handel (distansavtal). Ovanstående omfattas endast av begreppet tillit till IT i den utsträckning området, situationen eller händelsen kan påverka användares IT-säkerhet. Källa för nedanstående begreppsbildning och terminologi är Informationstekniska standardiseringen (ITS) rapport 6, Terminologi för informationssäkerhet. Säkerhet är egenskap eller tillstånd som innebär skydd mot okontrollerad insyn, förlust eller påverkan; oftast i samband med medvetna försök att utnyttja eventuella svagheter. Ett system är säkert i den utsträckning man anser sig kunna lita på att det fungerar (eller kommer att fungera) på avsett sätt. Bedömning av detta kopplas som regel till en uppskattning existerande eller potentiella hot. Post- och telestyrelsen 8
TILLIT TILL IT VID INTERNETANVÄNDNING Med informationssäkerhet menas säkerhet vid hantering av information avseende önskad tillgänglighet, (informations-) kvalitet, sekretess och spårbarhet. Tillgänglighet: möjligheten att utnyttja resurser efter behov i förväntad utsträckning och inom önskad tid. Kvalitet: (informationskvalitet) uttrycker ett tillstånd där en informationsmängd inte avsiktligt eller oavsiktligt förändrats eller förstörts (i relation till t ex visst dokument). Sekretess: (konfidentialitet): avsikten att innehållet i ett informationsobjekt (eller ibland även dess existens) inte får göras tillgängligt eller avslöjas för obehöriga. Spårbarhet: princip innebärande att verksamheten och tillhörande system skall innehålla funktioner som gör det möjligt att entydigt härleda utförda operationer till enskilda individer Med IT-säkerhet avses säkerhet i IT-system. IT-säkerhet kan uppdelas i ADBsäkerhet (datorsäkerhet) och kommunikationssäkerhet. Post- och telestyrelsen 9
TILLIT TILL IT VID INTERNETANVÄNDNING 2 Indikatorer inom IT-säkerhet 2.1 Vad är informationssäkerhet och IT-säkerhet? Information är vanligtvis av värde för någon och behöver därför i många fall skyddas. Informationens värde och aktuell hotbild (hot som kan vara såväl avsiktliga som oavsiktliga) avgör vilken skyddsnivå som är lämplig. Informationens värde och hotbild kan variera över tiden. Informationssäkerhet syftar till att skydda information främst med avseende på tillgänglighet, kvalitet, sekretess och spårbarhet. Begreppet informationssäkerhet inbegriper såväl IT-säkerhet som de administrativa rutiner och procedurer som rör informationshantering (se Figur 1 nedan). För att kunna nyttja information med informationsteknik fordras att användaren har tillit till informationen och de informationsbehandlande tekniska system som är involverade. Med IT-säkerhet avses skydd av såväl IT-system som information i IT-system och man kan även tillägga att ett system är säkert i den utsträckningen det fungerar (eller kommer att fungera) på avsett sätt. Figur 1: Översiktlig beskrivning av informationssäkerhet Informationssäkerhet Administrativ säkerhet Teknisk säkerhet IT-säkerhet Fysisk säkerhet Kommunikationssäkerhet Datorsäkerhet 2.2 Vad är en IT-säkerhetsindikator? För att beskriva utvecklingen inom olika områden används ofta indikatorer. En indikator är, generellt uttryckt, ett ämne, mått eller annat som direkt eller indirekt påvisar ett förhållande (förekomst eller tillstånd) hos något. En indikator kan exempelvis vara en statistisk variabel, eller bestå av flera sammanvägda variabler. En indikator används i ett speciellt syfte och väljs utifrån kriterier om mätbarhet, relevans och begriplighet. Valet av indikatorer innehåller subjektiva värderingar. Generellt uttryckt är en IT-säkerhetsindikator mätbar (kvalitativt eller kvantitativt) och visar på ett förhållande av väsentlig betydelse för IT-säkerhet eller för ITsäkerhetsarbetet. Post- och telestyrelsen 10
TILLIT TILL IT VID INTERNETANVÄNDNING Ett sätt att inleda arbetet med olika indikatorer för IT-säkerhet är att dela in dem i olika övergripande huvudgrupper eller områden. I denna rapport har IT-säkerhet översiktligt indelats i områdena hot, sårbarhet, skyddsåtgärd, IT-incident och konsekvens. I figuren nedan redovisas ett försök att, för denna rapports syfte, illustrera relationen mellan de olika begreppen. Det bör här påpekas att figuren inte är heltäckande och att skyddsåtgärder kan vara förebyggande, återställande och detekterande. Pilarna i figuren visar att ett hot kan leda till en IT-incident som får en negativ konsekvens för verksamheten eller användaren. Detta inträffar om verksamheten eller systemet är sårbart, dvs. vid brist eller fel i befintliga skyddsåtgärder. Figur 2: Skiss över relationen mellan olika IT-säkerhetsbegrepp Hot Skyddsåtgärd IT-incident Konsekvens Sårbarhet Skyddsåtgärd 2.3 Syftet med indikatorer Syftet med indikatorer är att beskriva IT-säkerhetsområdets utveckling och att de skall utgöra mått som ger överblick och möjlighet till jämförelser främst över tiden. Samtliga eller ett visst urval av indikatorer kan även vara mått, som ger möjlighet till jämförelser mellan organisationer eller nationer. IT-säkerhetsindikatorerna kan på så sätt fungera som hjälpmedel och beslutsunderlag för beslutsfattare i olika organisationer inom näringsliv och offentlig sektor. Även olika användare av IT-system kan ha nytta av indikatorer då indikatorerna kan användas för informationsinsatser. Detta kan i sin tur öka den generella medvetenheten om IT-säkerhet och därmed också påverka tilliten till Internet. 2.4 Pågående relaterat arbete inom området Krisberedskapsmyndigheten (KBM) arbetar med stödinsatser och implementeringsstöd för IT-säkerhetsåtgärder inom beredskapsmyndigheter. Detta är en uppgift som KBM har övertagit från tidigare Överstyrelsen för civil beredskap (ÖCB). FA22 är benämningen på föreskrifter och allmänna råd om grundsäkerhet i samhällsviktiga datasystem. Där föreskriver ÖCB grundsäkerheten för samhällsviktiga datasystem hos beredskapsmyndigheter och anger den lägsta säkerhetsnivå som måste vara uppfylld för att beredskapsmyndigheten skall kunna utföra sina uppgifter på ett tillfredsställande sätt under höjd beredskap. Post- och telestyrelsen 11
TILLIT TILL IT VID INTERNETANVÄNDNING Statskontoret bedriver ett arbete avseende informationssäkerhet för 24- timmarsmyndigheter vilket inkluderar att statskontoret stödjer myndigheters införande av informationssäkerhetsarbete och den svenska standarden för ledning av informationssäkerhet (LIS). Slutsatser som kan dras av en internationell utblick är att arbetet med att utveckla indikatorer för IT-säkerhetsområdet har kommit olika långt i olika länder och att det främst är Storbritannien som arbetar aktivt inom området. Gemensamma initiativ inom området innefattar handlingsprogrammet eeurope som tagits fram inom EU och särskilt värt att nämnas är ett internationellt samarbetsprojekt inom EUs femte ramprogram (se vidare bilaga 2 Internationell utblick). För Sveriges vidkommande är det viktigt att följa den internationella utvecklingen och inhämta kunskap och erfarenheter från pågående initiativ i andra länder. Detta dels för att vid utveckling av en nationell modell för att följa utvecklingen av ITsäkerhetsområdet kunna dra nytta av erfarenheter, men även för att utveckla möjligheter till jämförelser med andra länder genom så kallade referenspunkter. Det är också betydelsefullt att Sverige är med och påverkar den fortsatta utvecklingen av indikatorer inom gemensamma initiativ som exempelvis eeurope. 2.5 Indikatorområden och användarkategorier IT-säkerhetsområdet är ett komplext område som det är svårt att få en heltäckande bild av. I de undersökningar som studerats har ett antal indikatorer som kan grupperas i flera olika huvudgrupper identifierats. I nedanstående tabell visas de mest relevanta huvudgrupper. Indikatorområdena är olika för olika användarkategorier eftersom dessa har olika förutsättningar för, och olika behov av IT-säkerhet. Tabell 1: Relevanta indikatorområden fördelat på användarkategori Användarkategori Indikatorområden Organisationer Enskilda individer (näringsliv/ offentlig sektor) Sårbarhet X Informationssäkerhetspolicy X IT-incidenthantering X IT-incidenter X X Konsekvenser X X Tekniskt skydd X X Attityder till IT-säkerhet X X Som nämndes i avsnitt 2.2 har en utgångspunkt för att identifiera olika indikatorområden varit att utgå från olika områden inom IT-säkerhet. Valda områden är sårbarhet, IT-incidenter, konsekvenser av IT-incidenter och tekniskt Post- och telestyrelsen 12
TILLIT TILL IT VID INTERNETANVÄNDNING skydd. Informationssäkerhetspolicy och IT-incidenthantering är områden som båda handlar om hur säkerhetsfrågor och inträffade incidenter hanteras inom en verksamhet eller organisation. Samtliga ovan nämnda områden kan beskriva ITsäkerheten utifrån ett objektivt perspektiv. I PTS uppdrag ingår också att redovisa attityder till olika områden inom IT-säkerhet. Attityder redovisar subjektiva värderingar som är betydelsefulla för områdets utveckling och viktiga att mäta som komplement till objektiva mått. 2.5.1 Varför exempel på indikatorer? I följande avsnitt förs en diskussion kring de olika områdena och/eller exempel ges på relevanta indikatorer inom respektive område. Syftet med denna redogörelse är att mer detaljerat redogöra för vad olika indikatorområden och indikatorer kan innefatta. Redogörelsen skall visa viktiga exempel på vad som innefattas i IT-säkerhetsområdet och olika indikatorer som kan användas för att följa områdets utveckling. Redogörelsen skall även kunna utgöra underlag för ett fortsatt utvecklingsarbete och diskussioner med aktörer med intresse av området. 2.6 Indikatorer för organisationer I denna rapport har urvalet av indikatorer för organisationer inom näringsliv och offentlig sektor (framledes benämnda organisationer) beaktat de studier av ITsäkerhetsområdet som Department of Trade and Industry (DTI) utför i Storbritannien och Computer Security Institute (CSI) och Federal Bureau of Investigation (FBI) utför i USA. Flera exempel på IT-säkerhetsindikatorer inom olika delområden inom IT-säkerhet som beskrivs i följande avsnitt är ett urval av information som utnyttjas i dessa pågående initiativ. Därmed finns en framtida möjlighet att med ett antal referenspunkter jämföra utvecklingen i Sverige med utvecklingen i Storbritannien och USA. 2.6.1 Indikatorer avseende sårbarhet Sårbarhet: svaghet i ett system eller i en verksamhet i form av bristande förmåga att motstå hot. De flesta IT-incidenter kan förhindras eller förekommas. För en stor andel ITincidenter (upp till 95 procent) finns tidigare kända motåtgärder. Det gäller kända sårbarheter och kända osäkra grundkonfigurationer av system, enligt den amerikanska IT-incidenthanteringsfunktionen CERT/CC (Computer Emergency Response Team Coordination Center). Post- och telestyrelsen 13
TILLIT TILL IT VID INTERNETANVÄNDNING I figuren nedan beskriver CERT/CC en typisk livscykel (i sex olika faser) för en allmän sårbarhet: 1. Upptäckt av en sårbarhet, ofta av avancerade så kallade crackers 2. Distribution av primitiva verktyg som utnyttjar sårbarheten 3. Mindre avancerade crackers (noviser) utnyttjar verktyget 4. Automatiserade verktyg som utnyttjar sårbarheten utvecklas 5. Utbredd användning av automatiserade verktyg 6. Utnyttjandet av sårbarheten avtar. Ofta är orsaken till att utnyttjandet avtar att avancerade så kallade crackers upptäcker nya sårbarheter (se fas 1). Information om sårbarheten samt råd om motåtgärder för att förhindra att den utnyttjas presenteras ofta mellan fas 2 och 5. Figur 3: Livscykeln för en sårbarhet. Källa CERT/CC Slutsatsen av den öppna och tillgängliga information, som beskriver områdets utveckling (se bilaga 3 Data och statistik inom IT-säkerhet), är att antalet allmänna sårbarheter ökar. Under perioden 1999-2000 ökade exempelvis antalet i USA från 861 stycken till 1506 stycken. Av dessa utgör cirka 70 procent sårbarheter som en användare kan utnyttja över ett datanätverk, enligt ICAT Metabase. ICAT Metabase är en databas där statistik över kända sårbarheter finns sammanställda. Informationen sammanställs av den amerikanska myndigheten National Institute of Standards and Technology (NIST), från olika informationskällor, exempelvis funktioner för IT-incidenthantering. Informationen är uppbyggd enligt CVE (Common Vulnerability and Exposures), som är en lista eller uppslagsverk med målsättning att skapa gemensamma benämningar för allmänna sårbarheter inom informationssäkerhet. ICAT:s statistik bör ingå i ett underlag för indikatorer och bedömningar av områdets utveckling. Det skulle även vara önskvärt att kunna redovisa självständig information om situationen i Sverige. Post- och telestyrelsen 14
TILLIT TILL IT VID INTERNETANVÄNDNING Det är fördelaktigt om information om indikatorområde sårbarhet i Sverige enkelt kan jämföras med information som sammanställs hos andra nationer eller i andra organisationer. Det är därför viktigt att indikatorerna följer internationella överenskommelser eller den internationella standard som kan komma att utvecklas. 2.6.2 Indikatorer avseende informationssäkerhetspolicy Enligt Riktlinjer för ledning av informationssäkerhet, ISO/IEC 17799:2000 (LIS) medför en informationssäkerhetspolicy att en organisations ledning klart anger viljeinriktning och visar sitt stöd för informationssäkerhet. Policyn bör godkännas av organisationens ledning, delges och på lämpligt sätt spridas till alla anställda. Den bör uttrycka ledningens engagemang och visa organisationens angreppssätt när det gäller att hantera informationssäkerhet. En informationssäkerhetspolicy representerar en grundläggande ordning inom informationssäkerhet. Jämför med säkerhetspolicy som är en formellt fastställd uppsättning mål som beskriver övergripande säkerhetskrav på informationshanteringen inom en organisation eller verksamhet. Möjligheten att dra några slutsatsen av den öppna och tillgängliga information som beskriver områdets utveckling är begränsad (se bilaga 3 Data och statistik inom IT-säkerhet). Hos KBM, en del av organisationen som tidigare fanns inom ÖCB analyseras utvecklingen avseende samhällsviktiga datasystem. Benämningen FA22, som ofta nämns i detta arbete, är föreskrifter och allmänna råd om grundsäkerhet i samhällsviktiga datasystem och har sitt ursprung från brittisk standard (BS 7799). ÖCB har genomfört cirka 1000 analyser av enskilda IT-system och IT-nätverk sedan 1994. Hjälpmedel och skrifter som IT-säkerhetsguide FA22, har enligt ÖCB spridits i cirka 20 000 exemplar i Sverige. Analyser under 2001 visar att cirka 48 procent av samhällsviktiga datasystem uppnår grundkraven inom ledningsfrågor. Exempel på underlag för bedömningar av områdets utveckling är: andel som: o har en dokumenterad informationssäkerhetspolicy, o har en informationssäkerhetspolicy som är godkänd av ledningen, o infört en informationssäkerhetspolicy, o har kontrollerat efterlevnaden, andelen som i detta arbete följer 7799 (som exempelvis LIS eller FA22) andel som reviderar och uppdaterar: o informationssäkerhetspolicyn, o riskanalysen för sin informationshantering och hoten mot dem, andel som informerar personer i organisationen om deras ansvar inom informationssäkerhet. 2.6.3 Indikatorer avseende IT-incidenthanteringsgrupper En IT-incidenthanteringsgrupp har som uppgift att samordna aktiviteter i samband med IT-incidenter. En organisation med ansvar för IT-incidenthantering kan Post- och telestyrelsen 15
TILLIT TILL IT VID INTERNETANVÄNDNING översiktligt ansvara för någon eller några av följande områden, enligt PTS rapport Översikt över funktioner för IT-incidenthantering: lokal IT-incidenthantering, t.ex. upptäckt, identifiering, akut motåtgärd, utredning, åtgärda för att säkra system mot nya angrepp, återställa efter angrepp, analys av sårbarhet, angrepp, angreppsmetoder och tekniska lösningar för angrepp, samordning av åtgärder vid IT-incidenter, informationsförmedling av t.ex. sårbarheter, angreppsmetoder, hotbildsbedömningar, motåtgärder, t.ex. avbryta pågående och förhindra förnyade angrepp, polisanmälan, kompetenshantering, t.ex. förmedla incidentrapporter och problembeskrivningar till specialister. Den första organisationen för IT-incidenthantering, Computer Emergency Response Team (CERT), härrörde ur behovet att skydda Internet mot omfattande störningar. CERT (numera benämnd CERT/CC) vid Carnegie-Mellon University startades 1988 av DARPA, ett projekt inom amerikanska försvarsdepartementet som också finansierade delar av den tekniska utvecklingen inom Internet. CERT-organisationer finns i de flesta industriländer sedan några år tillbaka. Det finns också ett väletablerat, internationellt samarbete mellan många av dessa inom ramen för FIRST (Forum of Incident Response and Security Teams) samt ett europeiskt samarbete inom ramen för TF-CSIRT (Task Force-Computer Security Incident Response Teams). Öppen information är även inom detta område begränsat och det är svårt att dra några egentliga slutsatser (se bilaga 3 Data och statistik inom IT-säkerhet). Allt fler stora företag, koncerner och myndigheter hanterar i ökande utsträckning ITincidenter på ett mer organiserat sätt. PTS har av regeringen fått i uppdrag att arbeta med uppgifter kring IT-incidenter och startar därför vid årsskiftet 2002/2003 en rikscentral för ITincidentrapportering. Den nya funktionen bör ha möjlighet att sammanställa viss information om IT-incidenter, sårbarheter och andra organisationer som på olika sätt hanterar IT-incidenter. Den nya funktionen kan utgöra ett viktigt stöd i arbetet med att följa IT-säkerhetsområdets utveckling. Funktionens arbete ger en möjlighet att verifiera resultat från andra informationskällor och undersökningar samt funktionen kan även bistå med värdefull information vid analyser, exempelvis att uppskatta de generella konsekvenser som uppstår till följd av ITincidenter. Post- och telestyrelsen 16
TILLIT TILL IT VID INTERNETANVÄNDNING Exempel på information beträffande företag och organisationer som kan utgöra underlag för bedömningar av områdets utveckling är: andel företag och organisationer som: o har infört en funktion för IT-incidenthantering t.ex IRT grupp, o planerar att inom ett år införa en sådan, andel företag och organisationer som har rutiner för att insamla information (logg) och reagera på IT-incidenter, andel företag och organisationer som har kontinuitetsplaner för att hantera möjliga IT-incidenter. 2.6.4 Indikatorer avseende IT-incidenter IT-incident är händelser som: drabbar eller påverkar IT-system (inklusive system för datakommunikation), eller där IT-system utnyttjas för angrepp, brott eller annan oönskad verksamhet, är oönskad och oplanerad, direkt eller indirekt medför eller kan medföra allvarliga negativa konsekvenser för ägare, användare eller andra. För att en händelse skall kallas en IT-incident krävs också att påverkan på eller utnyttjande av IT-systemet är en viktig del av händelsen. Ordet incident har olika tolkningar beroende på sammanhanget och begreppet ITincident har heller ingen bestämd innebörd. Ovanstående beskrivning är inte invändningsfri, och heller inte precis. I Internetsammanhang kopplas incident ofta till angrepp på datorer eller datornät. IT-incidenter beskrivs vidare i rapporten Exempel på IT-incidenter (bilaga till PTS utredning Förutsättningar för att inrätta en särskild funktion för IT-incidenthantering) vilken är avsedd att fungera som en exempelsamling. Ovanstående information är hämtad från samma rapport. Även för detta indikatorområde saknas publik information som beskriver områdets utveckling i Sverige (se bilaga 3 Data och statistik inom IT-säkerhet). Av tillgänglig statistik går att utläsa att antalet IT-incidenter i USA har fördubblats varje år från 1998 till 2001. Observera att definitionen av IT-incident i denna statistik innebär att oavsett om en incidenten drabbar en eller flera tusen datorer så anges det som en (1) incident. Vidare så anger 44 procent av alla tillfrågade företag i Storbritannien att de haft IT-incidenter under år 2001 och motsvarande andel för företag med fler än 250 anställda är 78 procent. Det är svårt att överblicka den historiska utvecklingen av IT-incidenter i Sverige, vilket bland annat beror på att stora delar av samhället, exempelvis enskilda individer, små och medelstora företag och myndigheter i dagsläget inte har en formell IT-incidentrapportering. Ett annat problem är att det saknas Post- och telestyrelsen 17
TILLIT TILL IT VID INTERNETANVÄNDNING gemensamma överenskommelser om hur IT-incidenter bör dokumenteras och klassificeras m.m. Exempel på information beträffande företag och organisationer som kan utgöra underlag för bedömningar av områdets utveckling är: förekomsten av IT-incidenter, fördelningen av IT-incidenter mellan olika delområden. För att inte begränsa möjligheten att följa den framtida utvecklingen är det olämpligt att fastställa eller begränsa antalet delområden. Några exempel kan vara: andel ITincidenter som uppstått på grund av skadliga program, obehörig åtkomst av konfidentiell information eller externa respektive lokala angrepp, uppskattningar av IT-incidenters upphov och uppsåt, andel företag eller organisationer som vidtar rättslig eller juridisk åtgärd i samband med IT-incidenter. Vidare är det fördelaktigt om indikatorerna enkelt kan jämföras med information som sammanställs i andra länder och organisationer etc. Indikatorerna bör i framtiden följa de internationella överenskommelser eller den internationella standard som kan komma att utvecklas. En intressant utveckling av detta sker inom IODEF (Incident Object Description and Exchange Format) som initierats av TF CSIRT (Task Force Computer Security Incident Response Teams) och som bedrivs i IETF INCH Working Group (arbetsgruppen Extended Incident Handling inom Internet Engineering Task Force). 2.6.5 Exempel på indikatorer avseende konsekvenser Konsekvens: resultat av en händelse med negativ inverkan. Konsekvensen kan vara förstöring av en resurs, skada i IT-systemet, förlust av t.ex konfidentialitet, tillförlitlighet, tillgänglighet, spårbarhet (revision), autenticitet, kvalitet (driftsäkerhet) eller funktionalitet. Öppen och tillgänglig information som beskriver områdets utveckling är begränsad (se bilaga 3 Data och statistik inom IT-säkerhet). Orsaken kan vara att det är svårt att uppskatta konsekvenserna till följd av IT-incidenter och att företag sällan har någon systematisk rapportering av konsekvenser och deras kostnader. Inbegripna kostnader är inte endast direkta kostnader som förlorade inkomster, förlust av värdefull information eller kostnader för arbetsinsatser för att återställa system och verksamhet efter en IT-incident. Andra mindre påtagliga kostnader kan vara förluster av anseende eller goodwill. Post- och telestyrelsen 18
TILLIT TILL IT VID INTERNETANVÄNDNING Exempel på information från företag och organisationer som kan utgöra underlag för bedömningar av områdets utveckling är: bedömningar av de konsekvenser som uppkommer till följd av olika typer av IT-incidenter, exempelvis skadliga program, obehörig åtkomst av information, stöld, bedrägeri m.m., andel av svenska företag som bedömer konsekvenser som allvarliga, till följd av uppkomna incidenter. 2.6.6 Indikatorer avseende tekniskt skydd Tekniskt skydd: omfattar skyddsåtgärder som utrustnings- och programvarubaserade funktioner. Tekniskt skydd ingår tillsammans med utbildning och säkerhetstjänst i förebyggande skydd. Nedan beskrivs delar av det tekniska skyddet inom: behörighetskontroll, kommunikationssäkerhet, skydd mot skadliga program, intrångsdetektering. Behörighetskontroll: tekniska åtgärder för kontroll av användares identitet, styrning av användares behörighet att använda systemet och dess resurser samt för registrering av denna användning. Vanligtvis är identifiering och autenticering nödvändigt för att avgöra en användares behörighet. Exempel på några metoder för att identifiera och autenticera användare är användarnamn/lösenord, biometri och PKI, vilket vanligtvis förutsätter elektroniska certifikat. Vanligaste metoden torde vara användarnamn och lösenord. Detta ger förhållandevis svag autenticering då det endast baseras på vad användaren känner till. Kombineras detta med ett fysiskt objekt, t.ex. ett kort med magnetband, en lösenordsgenerator för engångslösenord eller ett kryptografisk säkert aktivt kort med tillhörande nycklar, exempelvis hårda certifikat, ökar säkerheten markant. Processen involverar då både något användaren känner till och något den förfogar över. En annan möjlighet är att med biometri undersöka någon specifik egenskap hos användaren, t.ex. fingeravtryck, röst, retina (ögats näthinna) eller iris. Elektroniska certifikat kan användas vid behörighetskontroll för att såväl identifiera som autenticera användare av datorer, system och tjänster. Detta sker t.ex. vid användning av lokala nätverk och Internetbanker. Andra användningsområden för elektroniska certifikat är att signera exempelvis e-post, web-formulär, transaktioner i Internetbanker och filer samt att kryptera såväl transmission som filer. Post- och telestyrelsen 19
TILLIT TILL IT VID INTERNETANVÄNDNING Kommunikationssäkerhet: säkerhet i samband med överföring av information eller styrsignaler. Åtgärder för kommunikationssäkerhet syftar till att förhindra att: känslig information kommer obehörig till del information förvanskas eller inte når mottagaren, missledande information eller signaler introduceras i kommunikationen eller i systemet. kommunikation förhindras. Exempel på tekniskt skydd är brandväggar, virtuella privata nät och utnyttjandet av SSL (Secure Socket Layer) för web-servrar. Skydd mot skadliga program: har som mål att skydda riktighet i program och data. Med skadliga program avses främst virus, maskar och trojaner och ett exempel på tekniskt skydd är antivirusprogramvara. Intrångsdetektering: har som mål att upptäcka obehöriga aktiviteter. Intrångsdetekteringssystem (IDS) kan antingen bevaka ett nätsegment eller ett system. En IDS kan antingen larma beroende på angreppssignaturer eller avvikelser från normalt beteende. I formell mening är intrångsdetektering inte ett förebyggande (tekniskt) skydd utan ett detekterande skydd (metod eller åtgärd som syftar till att upptäcka och eventuellt även lokalisera ett angrepp, en störning eller skada). Exempel på skydd är så kallade IDS:er (Intrusion Detection System). Det finns i princip ingen öppen och tillgänglig information som beskriver det tekniska skyddets utveckling i Sverige (se bilaga 3 Data och statistik inom IT-säkerhet). Exempel på information från företag och organisationer som kan utgöra underlag för bedömningar av områdets utveckling är: Behörighetskontroll: Förekomsten av olika metoder för att identifiera och autenticera användare som användarnamn/lösenord, lösenordsgeneratorer, biometri, PKI, förekomsten av aktiva certifikat. Kommunikationssäkerhet: förekomsten av brandväggar, förekomsten av så kallade secure servers. Skydd mot skadliga program: förekomsten av antivirusprogram. Intrångsdetektering: förekomsten av Intrusion Detection System. Post- och telestyrelsen 20
TILLIT TILL IT VID INTERNETANVÄNDNING 2.7 Indikatorer för enskilda individer 2.7.1 Indikatorer avseende IT-incidenter Slutsatsen av den öppna och tillgängliga information som beskriver områdets utveckling (se bilaga 3 Data och statistik inom IT-säkerhet) är att allt fler enskilda individer har säkerhetsrelaterade problem. Problemen är främst orsakade av skadliga program (virus, maskar och trojaner). I övrigt är möjligheten att dra några slutsatser begränsad. Det finns t.ex. ingen möjlighet att i det insamlade materialet analysera enskilda individers IT-incidenter och i vilken utsträckning detta påverkar den enskilde individens beteende eller oro. Exempel på information från enskilda individer som kan utgöra underlag för bedömningar av områdets utveckling är förekomsten av säkerhetsincidenterna: virus, dataintrång, bedrägeri, andra problem. 2.7.2 Indikatorer avseende konsekvenser Inte heller inom detta område finns öppen och tillgänglig information (se bilaga 3 Data och statistik inom IT-säkerhet). Det är svårt att uppskatta konsekvenserna av ITincidenter. Direkta kostnader som är konsekvenser av olika IT-incidenter kan exempelvis vara förlust av värdefull information eller kostnader förknippade med återställandet av systemet. Exempel på information från enskilda individer som kan utgöra underlag för bedömningar av områdets utveckling är: uppskattningar av de konsekvenser som uppkommer till följd av olika typer av IT-incidenter, exempelvis skadliga program, obehörig åtkomst av information, stöld, bedrägeri eller andra säkerhetsproblem. 2.7.3 Indikatorer avseende tekniskt skydd Den information som finns öppet tillgänglig visar att allt fler enskilda individer vidtar tekniska skyddsåtgärder i Sverige. År 2001 hade 30 procent av alla enskilda individers datorer för personlig användning brandvägg och 84 procent hade skydd mot virus (se bilaga 3 Data och statistik inom IT-säkerhet). I övrigt är möjligheten att dra några slutsatser begränsade då det inte finns möjlighet att i detta material analysera enskilda individers tekniska skydd och i vilken utsträckning detta påverkar den enskilde individens beteende eller oro. Post- och telestyrelsen 21
TILLIT TILL IT VID INTERNETANVÄNDNING 2.8 Indikatorer avseende attityder En attityd kan sägas vara en inställning eller ett förhållningssätt till något. I dag används termen attityd vanligen för en varaktig inställning som har byggts upp genom erfarenheter och kommer till uttryck i att man är för eller emot något. En attityd anses bestå av olika delar. En del innehåller vad en person tror eller vet om något. Denna del påverkas av att människans förmåga att samtidigt beakta en stor mängd kunskap är mycket begränsad, och bara en viss del av vad man känner till får en sådan betydelse att det påverkar attityden hos individen. En annan del består av hur starkt man tar ställning för eller emot någonting och en tredje del är handlingsbenägenheten, d.v.s. sannolikheten att man själv agerar på grund av sin attityd. Attityder kan studeras därför att man vill undersöka något mer än objektiva data eller att det kan finnas betydande avvikelser mellan objektiva och subjektiva data. Tilliten till Internet påverkas i hög grad av människors attityder till Internet och säkerheten på Internet, d.v.s. tilliten är en subjektiv bedömning som inte nödvändigtvis bygger på korrekta eller relevanta beskrivningar av verkligheten. Attityderna kan visa någon form av upplevd IT-säkerhet och hur viktigt användare anser att det är med IT-säkerhet och ska ses som ett komplement till annan datainsamling. Vid attitydundersökningar studeras en viss grupps inställning till en viss företeelse och vanliga metoder att mäta attityder är enkäter, telefonintervjuer etc., där svaren från undersökningarna kan betraktas som indikatorer på bestämda attityder. Generellt sett finns inte mycket öppen information att tillgå kring vilken inställning olika användarkategorier har till IT-säkerheten på Internet. I den mån det finns undersökningar, är det framför allt enskilda individers åsikter och attityder som studerats och få studier omfattar attityder hos representanter för organisationer. 2.8.1 Individers attityder till IT-säkerhet Några slutsatser som kan dras av de undersökningar som studerats avseende attityder är att de individer som har använt Internet under en längre period är mer nöjda och mindre oroade över olika problem och faror som är sammankopplade med Internet (se bilaga 3 Data och Statistik inom IT-säkerhet). Flera av dessa undersökningar visar att yngre personer är mindre oroliga för bristande ITsäkerhet än äldre personer. Äldre är framför allt oroliga för bristande säkerhet vid inköp via Internet samt bristande skydd av den personliga integriteten, men äldre är också osäkra på vad de borde vara försiktiga med, eftersom det råder delade uppfattningar även bland experter. Även yngre personer tar ekonomiska risker på allvar och som en följd av detta undviker de exempelvis att använda kontokortsnummer vid inköp av varor och tjänster. För att kunna beskriva hur tilliten till Internet ser ut och hur den utvecklas, finns det behov av att ytterligare studera attityder till IT-säkerhet. Idag saknas data där Post- och telestyrelsen 22
TILLIT TILL IT VID INTERNETANVÄNDNING attityder kan relateras och analyseras gentemot andra indikatorer avseende ITsäkerhet. Nedan följer exempel på information som behöver samlas in för att belysa området. Attityder enskilda individer finns oro för säkerheten/ den personliga integriteten vid användning av Internet?, olika typer av tjänster som användarna förknippar med oro, orsaker till oro (exempelvis: användaren har tillräcklig kunskap för att bedöma riskerna/ har för lite information för att kunna bedöma riskerna/ har erfarenhet av säkerhetsproblem/ är påverkad av andra som haft säkerhetsproblem/ är påverkad av media som beskriver problem med säkerheten), utgör rädslan/oron ett hinder för att använda olika tjänster på Internet?, lämnar företag tillräcklig information om sina åtaganden om IT-säkerhet och personlig integritet?, behov av mer information om IT-säkerhet och skydd av personlig integritet. 2.8.2 Attityder till IT-säkerhet inom organisationer En undersökning genomförd av Department of Trade and Industry i Storbritannien (se bilaga 3 Data och Statistik inom IT-säkerhet) visar att en stor andel företag anser att säkerhetsfrågor är viktiga och prioriteras högt på lednings- och styrelsenivå. Undersökningen visar även att antalet IT-incidenter ökat väsenligt mellan år 2000 och 2001 och att företagen bedömer att det totala antalet ITincidenter kommer att fortsätta öka i framtiden. De flesta med ansvar för säkerhetsfrågor är relativt säkra på att de fångar upp väsentliga säkerhetsöverträdelser. Det kan antas att denna tilltro till den egna säkerheten är missriktad och att det är lätt att tänka att det inte händer mig! Exempel på information som behöver samlas in för att bedöma företagens attityder till IT-säkerheten är: Attityder företag och offentliga organisationer vilken prioritet har IT-säkerhet i företaget/på ledningsnivå?, vilka stora säkerhetsrisker finns vid användning av Internet/ vid e-handel?, utgör säkerhetsfrågor ett hinder för att använda Internet/ för e-handel?, finns hinder för att implementera informationssäkerhetspolicys?, anser företag att de i hög grad har konfidentiell information?, hur säkra är företagen att de har tillräckliga kontroller för att hindra eller upptäcka IT-incidenter?, kommer antalet IT-incidenter öka/minska?, kommer det bli svårare eller lättare att fånga upp säkerhetsöverträdelser?, Post- och telestyrelsen 23
TILLIT TILL IT VID INTERNETANVÄNDNING Variationerna mellan små och stora företag/ organisationer kan antas vara stora, t.ex. i fråga om kunskap och resurser. Vid insamling av information bör därför en uppdelning göras mellan olika kategorier av företag. 2.8.3 Hur studera attityder? Attityder till IT-säkerhet kan studeras på flera olika sätt. Förändringar i attityder kan studeras över en tidsperiod för att undersöka om attityderna eller tilliten förändras över tiden. Attityder kan också jämföras med annan information som redovisas i detta kapitel och som har till syfte att indikera objektiv IT-säkerhet. Exempel på sådan information är vilka åtgärder som vidtagits för att öka ITsäkerheten i form av virusskydd, informationssäkerhetspolicys etc. eller förändringar i hur många som använder olika Internettjänster. Förutom att redovisa attityder till IT-säkerhet och jämföra med beteenden kan attityder ställas i relation till experters bedömning av IT-säkerheten för olika tjänster och olika säkerhetsåtgärder. Det blir då en jämförelse mellan t.ex. enskilda konsumenter, som inte förmodas ha lika mycket information/ kunskap om säkerhet, kontra experter som besitter en stor kunskap inom området. Resultatet kan visa om vissa grupper är mer nonchalanta till säkerhet det händer inte mig, alternativt om vissa grupper är mer oroliga än de har anledning att vara. Analysen kan utgöra underlag för beslut om olika åtgärder som exempelvis informationsinsatser om risker förknippade med användning av Internet, behov av skydd för olika användarkategorier eller information för att undvika obefogad rädsla och oro. 2.9 Diskussion kring metoder för att mäta indikatorer Som tidigare har beskrivits i avsnitt 2.2, ska en indikator påvisa ett tillstånd. Om indikatorn studeras flera gånger efter varandra, kan förändringen visa på en utveckling. En indikator kan tas fram med hjälp av olika metoder, och vanligen används en, eller flera sammanvägda, statistiska variabler. För att en indikator skall vara användbar, måste den ha ett syfte och det måste finnas en föreställning om hur den ska analyseras och tolkas. 2.9.1 Exempel på fråga som kan utredas Inledningsvis bör de frågor man är intresserad av att få svar på, formuleras. Ett exempel kan vara. Hur förändras de mindre företagens tillit till Internet? För att utveckla denna typ av frågor, lämpar sig kvalitativa studier väl, t.ex. explorativa intervjuer eller fokusgrupper, med dem som ska använda studiens resultat, alternativt med ett mindre urval av respondenterna i studien. När studiens syfte och frågeställningar är formulerade, är nästa steg att beskriva vilka indikatorer som kan visa tillståndet idag, och vid upprepning av mätningen, hur tillståndet har förändrats, t.ex. ett år senare. Post- och telestyrelsen 24