Kortspel för bättre informationssäkerhet

Publicerad: 25 oktober 2019

Att råka ut för digitala hot och attacker mot sin affärsverksamhet kan få stora konsekvenser. För att öka förståelsen för digitala hot och risker har forskare vid Luleå tekniska universitet tagit fram ett nytt verktyg – ett kortspel.

Kortspelet vänder sig framför allt till små och medelstora företag och syftet är att hjälpa dem att skydda sig mot angrepp utifrån. Det kan till exempel handla om att någon utifrån hindrar dig att komma åt din information eller att någon obehörig ändrar i lagrad data. Det kan vara virus, dataintrång, id-kapningar eller utpressningsprogram. 

– Det som händer under spelets gång är att spelarna får en slags aha-upplevelse och börjar förstå både risker och säkerhetstänk, säger Johan Lugnet, forskare i informationssystem och projektledare för projektet Cynic inom vars ram kortspelet tagits fram.

Mänskliga faktorn

Spelets fokus ligger på att koppla samman individens betydelse som den svagaste länken i säkerhetstänket. Det handlar om att få en förståelse för att tekniska skydd, som till exempel brandväggar och virusskydd, inte är nog om människor samtidigt har ett riskbeteende.

– De flesta vet att vi inte ska klicka på länken i mejlet där det står att vi fått ärva flera miljoner. Men den här typen av mejl blir allt mer sofistikerade och kan se helt korrekta ut, det blir allt svårare för mottagarna att avgöra vad som är ett hot eller en attack, säger Johan Lugnet.

Dolda hot

Allt fler företagare utsätts för it-brott. Enligt en undersökning som nyligen presenterades av Företagarna har antalet företag som blivit utsatta för it-brott ökat från 19 till 29 procent de senaste två åren. En del av problematiken ligger i att intrången inte är direkt synliga. Med inbrottslarm, skyddsglas och låsta dörrar kan du se att en fastighet är skyddad mot inbrott. Ett tekniskt skydd däremot, är inte lika bestående eftersom brottsligheten hela tiden förändras. Det krävs kunskap för att övervaka systemen som ska förhindra attacker, och när det väl händer gäller det att sätta in rätt motåtgärder.

– De vanligaste riskerna för företag är främst slarv av egna anställda eller konsulter, slarv eller misstag hos en tredje part, fel i system eller it-processer eller riktade externa attacker, säger Johan Lugnet.

– Det behövs en rejäl dos tvivel och mera sunt förnuft på individnivå – egenskaper som det faktiskt går att träna upp. Kortspelet ska inspirera och väcka intresse för informationssäkerhet. Istället för att små och medelstora företag helt och hållet överlåter informationssäkerhet till någon annan att ta hand om, blir resultatet förhoppningsvis ett ökat säkerhetstänk i vardagsarbetet.

Projektet Cynic finansieras genom ERDF INTERREG Nord 2014–2020, som stödjer gränsöverskridande samarbete för att stärka konkurrenskraften och attraktiviteten i och mellan  norra Sverige, norra Finland, norra Norge och Sápmi. Projektet stöds även av Region Norrbotten och Lapin Liitto.

Kontakt

Johan Lugnet

Johan Lugnet, Universitetslektor

Telefon: 0920-491201
Organisation: Informationssystem, Digitala tjänster och system, Institutionen för system- och rymdteknik