Descriptor: "tietoturva" - Searchworks@Jio Institute Digital Library Search Results

Your search keyword '"tietoturva"' showing total 263 results

Start Over Descriptor "tietoturva"

263 results on '"tietoturva"'

1. Riskinäkemykset ja turvakäytännöt suomalaisten tutkivien toimittajien työssä

Author: Ilmari Hiltunen
Subjects: Journalismi (professio), tutkiva journalismi, turvallisuus, tietoturva, turvakäytännöt, Social sciences (General), H1-99, Communication. Mass media, P87-96, Journalism. The periodical press, etc., PN4699-5650
Abstract: Tutkivaa journalismia pidetään riskipitoisena journalismin lajina, ja sen harjoittajiin kohdistuu erityisiä turvallisuus- ja tietoturvauhkia. Näiden uhkien luonne ja vakavuus vaihtelevat kuitenkin merkittävästi kontekstista toiseen. Tyypillisesti journalistit pyrkivät huomioimaan nämä riskit ja varautumaan niihin omalla toiminnallaan. Tämä tutkimusartikkeli tarkastelee suomalaisten tutkivien journalistien näkemyksiä työhön liittyvistä riskitekijöistä ja kartoittaa heidän työssään soveltamia turvakäytäntöjä. Lisäksi artikkeli tarkastelee sitä, miten journalistit arvioivat turvakäytäntöjen tarvetta erilaisissa tilanteissa, millaiset tekijät hankaloittavat turvakäytäntöjen soveltamista työssä sekä mitä kautta tutkivat toimittajat ovat saaneet tietoa ja oppia turvallisuutta ja tietoturvaa koskevissa asioissa. Tutkimusaineisto koostuu 12 tutkivan journalistin teemahaastatteluista ja journalistien ennen haastattelua täyttämistä esitietokyselyistä. Aineiston analyysi osoittaa, että tutkivien journalistien huolenaiheet liittyvät Suomessa erityisesti lähteiden suojeluun. Journalistit käyttävät merkittävää itsenäistä harkintavaltaa soveltamiensa turvakäytäntöjen suhteen ja perustavat yleensä harkintansa tapauskohtaisesti tekemiinsä riskiarvioihin. Turvakäytäntöjen opiskelu ja osaamisen ylläpito jäävät tyypillisesti journalistien oman aktiivisuuden varaan, mutta tietoa ja apua jaetaan kollegiaalisesti tutkivien toimittajien ammattikunnan sisällä.
Published: 2024
Full Text: View/download PDF

2. Tietoturvan ja sisällöllisen saavutettavuuden diskurssit pankkialalla.

Author: Hyppönen, Annikki and Salmela, Eveliina
Abstract: The aim of the study is to find out how banks’ accessibility experts and customer service staff talk about the accessibility and information security of online banking services. The focus is on content accessibility, in which the content of the communication is understandable and easy to adopt. Research material was collected from accessibility experts and customer service representatives through interviews and a survey. Discourse analysis is used as a method of analysis. The results of the study show that content accessibility and information security are approached through equality, the bank’s reputation, and the security of services. As a conclusion of the study, it can be stated that information security offers a concrete perspective on content accessibility and emphasizes that it is an advantage for the bank to meet more than the minimum accessibility requirements in its online banking services, whereby the meaning of the language used in the content of the services is emphasized. [ABSTRACT FROM AUTHOR]
Published: 2024
Full Text: View/download PDF

3. Teknologian hyödyntämiseen liittyvä yksityisyydensuoja, tietoturva ja -suoja ikääntyneiden kotipalveluissa: kyselytutkimus johtajille

Author: Suvi Kuha, Essi Xiong, Mira Hammarén, Minna Ylisirniö, Jari Haverinen, Jarno Suominen, Jaana Leikas, and Outi Kanste
Subjects: teknologia, yksityisyydensuoja, tietoturva, tietosuoja, ikääntyneet, kotipalvelut, Computer applications to medicine. Medical informatics, R858-859.7, Public aspects of medicine, RA1-1270
Abstract: Tutkimuksen tarkoituksena on kuvata johtajien näkemyksiä teknologian hyödyntämiseen liittyvästä yksityisyydensuojasta, tietoturvasta ja -suojasta, niihin liittyvistä haasteista ja ratkaisuista sekä teknologisten ratkaisujen hankkimatta jättämiseen liittyvistä tekijöistä ikääntyneiden kotipalveluissa. Tutkimus on poikkileikkausasetelmassa tehty survey-tutkimus. Aineisto kerättiin syksyllä 2022 sähköisellä kyselyllä iäkkäiden kotipalvelujen johtajilta (n=68) viidestä sosiaali- ja terveydenhuollon kuntayhtymästä ja viidestätoista kunnasta tai kaupungista eri puolilta Suomea. Kyselylomake sisälsi neljä strukturoitua ja kaksi avointa kysymystä. Aineisto analysoitiin kuvailevilla tilastomenetelmillä ja induktiivisen sisällön analyysin periaatteilla. Tulosten mukaan teknologisten ratkaisujen käyttöönotossa huomioidaan Digi-HTA-arviointien asioita tietoturvasta ja -suojasta pääasiallisesti hyvin, mutta tässä tunnistettiin myös kehitettävää. Johtajien arvioiden mukaan teknologian hankintaprosesseissa huomioidaan tietosuojaan liittyvät tekijät hyvin, ja prosesseihin on luotu tietoturvaan liittyvät kriteerit. Teknologisten ratkaisujen hankkimatta jättämiseen arvioitiin vaikuttavan erityisesti se, että ratkaisut eivät vastanneet asiakkaiden tarpeisiin tai niiden ei nähty tehostavan toimintaa. Johtajien näkemykset teknologian hyödyntämiseen liittyvän yksityisyydensuojan ja tietoturvan ja -suojan haasteista liittyivät toimintaympäristöön, digitaalisiin ratkaisuihin, toimintatapoihin ja osaamiseen sekä organisaation käytäntöihin haasteiden ehkäisyssä. Näiden haasteiden ratkaisuiksi nähtiin viestintä ja vuorovaikutus, yksityisyydensuojaa, tietoturvaa ja -suojaa koskevien prosessien määrittäminen sekä toimintatapojen muuttaminen ja osaamisen kehittäminen. Yksityisyydensuojaan, tietoturvaan ja -suojaan liittyvien tekijöiden huomioiminen toteutuu ikääntyneiden kotipalveluissa pääasiallisesti hyvin, mutta toisaalta niihin liittyvät haasteet koetaan moninaisiksi. Tutkimuksessa tunnistettiin selkeä tarve koko henkilöstön laaja-alaiseen koulutukseen, konkreettisiin näyttöön perustuviin suosituksiin ja selkeisiin toimintaohjeisiin. Huomiota tulisi kiinnittää etenkin ikääntyneiden itsemääräämisoikeuden toteutumiseen ja tietoisen suostumuksen varmistamiseen.
Published: 2023
Full Text: View/download PDF

4. Terveydenhuollon hoitohenkilöstön tieto- ja kyberturvallisuusosaaminen

Author: Tiina Blek and Tytti Solankallio-Vahteri
Subjects: hoitohenkilöstö, osaaminen, tietoturva, kyberturvallisuus, Computer applications to medicine. Medical informatics, R858-859.7, Public aspects of medicine, RA1-1270
Abstract: Tämä tutkimus on osa laajempaa, terveydenhuollon organisaatioiden kyberturvallisuusosaamista, -koulutustarpeita sekä henkilöstön oman organisaation tietoturvaa koskevia näkemyksiä, selvittävää tutkimusta. Tutkimus toteutettiin syksyn 2020 ja kevään 2021 välisenä aikana. Artikkelissa raportoidaan hoitohenkilöstöä koskevan aineiston tuloksia. Tutkimuskysymyksenä oli: Miten terveydenhuollon organisaatioissa työskentelevä hoitohenkilöstö arvioi tieto- ja kyberturvallisuusosaamistaan? Tutkimusaineisto kerättiin strukturoidulla kyselylomakkeella. Harkinnanvarainen otos suunniteltiin yhteistyössä kahden sairaanhoitopiirin ja yhden perusterveydenhuollon organisaation kanssa. Kukin kohdeorganisaatio määritteli kohderyhmän tai kohderyhmät sekä sen, kuka ja millä tavoin kyselylinkki jaetaan. Tutkijoiden arvion mukaan kohderyhmään kuului noin 3500 vastaajaa, joista kyselyyn vastasi 383 henkilöä. Hoitotyön tehtävissä olevia vastaajia oli 194 (n=194). Aineisto analysoitiin Webropol-kyselyohjelman data-analyysityökaluilla. Avoimia vastauksia käytettiin suorina lainauksina tulosten havainnollistamiseksi. Kyberturvallisuuden käsite oli tuttu 80 %:lle vastaajista. Suurin osa vastaajista (74 %) arvioi, että heillä on riittävät tieto- ja kyberturvallisuustaidot tehtäviensä hoitamiseen. Ikäryhmään 50-64 vuotta kuuluvat vastaajat arvioivat taitonsa muita ikäryhmiä useammin riittämättömiksi (p
Published: 2022
Full Text: View/download PDF

5. Val av hårdvara för cybersäker kommunikation på järnvägen

Author: Hakkarainen, Mikko, Holmström, Linus, Hakkarainen, Mikko, and Holmström, Linus
Abstract: På grund av den ökande digitaliseringen inom järnvägen ökar även antalet digitala anslutningar. Detta gör att fientliga aktörer kan påverka den operativa driften och personsäkerheten på distans av järnvägen via oskyddade anslutningar. Syftet med arbetet är därför att identifiera hårdvarulösningar för att öka cybersäkerheten av kommunikation mellan datorställverk och banobjekt via utdelar i datorställverken. Undersökningen fokuserar på att hitta den mest lämpliga processorenheten (CPU) eller Trusted Platform Module (TPM) för Alstoms utdel (OC950), med hänsyn till specifika cybersäkerhetskriterier enligt standarden IEC—63442. Genom att använda en Pugh-matris jämfördes fem CPU-lösningar och fyra TPM-lösningar. Resultatet visade att de två bästa alternativen var CPU-lösningar, där ”AM64x” från Texas Instruments utmärkte sig som det bästa valet tack vare dess goda cybersäkerhetsfunktioner, processorkapacitet och energieffektivitet. Denna funktionalitet tillät lösningen att ge ett tillfredställande cyberskydd samt gav driftfördelar och framtidsäkran. Sammanfattningsvis konstateras att processorenheter är att föredra för att förbättra prestanda och framtidssäkra hårdvaran på OCS950. TPM-lösningar kan vara ett lämpligt alternativ för att hantera cybersäkerhetsfunktioner men riskerar att bli en flaskhals för kommunikation. Därför är CPU-lösning att föredra, då det kan öka prestandan på utdelen samtidigt som det tillåter implantering av ett tillfredställande cyberskydd. Arbetet bidrar till att förbättra cybersäkerheten mellan utdel och en central ställverksdator och föreslår samtidigt en metod för att jämföra olika hårdvarulösningar genom Pugh-matriser., Due to the increasing digitalization within the railway sector, the number of digital connections is also rising. This allows hostile actors to remotely impact the operational functioning and personal safety of the railway through unprotected connections. Therefore, the purpose of this work is to identify hardware solutions to enhance the cybersecurity of communication between interlocking computers and trackside objects via object controllers in the interlocking systems. The study focuses on finding the most suitable processor unit (CPU) or Trusted Platform Module (TPM) for Alstom's object controller (OC950), with considering for specific cybersecurity criteria according to the IEC-63442 standard. Using a Pugh matrix, five CPU solutions and four TPM solutions were considered. The results showed that the two best options were CPU solutions, with the "AM64x" from Texas Instruments standing out as the best choice due to its strong cybersecurity features, processing capacity, and energy efficiency. This functionality allowed the solution to provide satisfactory cyber protection as well as operational advantages and futureproofing. In summary, it is noted that processor units are preferred to improve performance and future-proof the hardware on OCS950. TPM solutions may be a suitable alternative for managing cybersecurity functions but risk becoming a communication bottleneck. Therefore, a CPU solution is preferred, as it can enhance the performance of the object controller while allowing the implementation of satisfactory cyber protection. The work contributes to improving cybersecurity between object controllers and central interlocking computers and simultaneously proposes a method for comparing different hardware solutions using Pugh matrices., Digitalisaation lisääntyessä rautateillä myös digitaalisten yhteyksien määrä kasvaa. Tämä mahdollistaa vihamielisten toimijoiden vaikuttamisen rautateiden operatiiviseen toimintaan ja henkilöturvallisuuteen etäyhteyksien kautta suojaamattomien yhteyksien avulla. Työn tarkoituksena on siksi tunnistaa laitteistoratkaisuja kyberturvallisuuden parantamiseksi viestinnässä tietokonekeskusten ja ratakohteiden välillä jakelijoiden kautta tietokonekeskuksissa. Tutkimus keskittyy sopivimman prosessoriyksikön (CPU) tai Trusted Platform Module (TPM) löytämiseen Alstomin jakelijalle (OC950), ottaen huomioon tietyt kyberturvallisuuskriteerit standardin IEC—63442 mukaisesti. Pugh-matriisin avulla verrattiin viittä CPU-ratkaisua ja neljää TPM-ratkaisua. Tulokset osoittivat, että kaksi parasta vaihtoehtoa olivat CPU-ratkaisuja, joista Texas Instrumentsin “AM64x” erottui parhaana vaihtoehtona sen hyvien kyberturvallisuusominaisuuksien, prosessorikapasiteetin ja energiatehokkuuden ansiosta. Tämä toiminnallisuus mahdollisti ratkaisun tarjoavan tyydyttävän kybersuojan sekä toi operatiivisia etuja ja tulevaisuuden varmuutta. Yhteenvetona todetaan, että prosessoriyksiköt ovat suositeltavia suorituskyvyn parantamiseksi ja laitteiston tulevaisuuden varmistamiseksi OCS950:ssa. TPM-ratkaisut voivat olla sopiva vaihtoehto kyberturvallisuustoimintojen hallintaan, mutta ne voivat muodostaa pullonkaulan viestinnässä. Siksi CPU-ratkaisu on suositeltava, koska se voi parantaa suorituskykyä jakelussa samalla kun se mahdollistaa tyydyttävän kybersuojan toteuttamisen. Työ edistää kyberturvallisuuden parantamista jakelun ja keskus tietokonekeskuksen välillä ja ehdottaa samalla menetelmää eri laitteistoratkaisujen vertailemiseen Pugh-matriisien avulla.
Published: 2024

6. Vankiterveydenhuollon ammattilaisten tietosuoja- ja turvaosaaminen: kansallinen kyselytutkimus

Author: Anni Taanila and Virpi Jylhä
Subjects: tietoturva, kompetenssi, terveydenhuollon henkilöstö, kyselytutkimus, Computer applications to medicine. Medical informatics, R858-859.7, Public aspects of medicine, RA1-1270
Abstract: Terveydenhuollon henkilöstön tietosuojaosaamisen tutkimus on toistaiseksi rajoittunut tarkastelemaan vain yhtä osa-aluetta kerrallaan, ilman moniulotteista kokonaiskuvan hahmotusta. Terveydenhuollossa tietosuojaosaaminen toteutuu tietosuojakäyttäytymisenä. Tietosuojaosaaminen ilmenee kykynä käsitellä henkilötietoja hyvin. Tietosuojaosaamisen ytimessä toimii oikein toteutettu hyvä tiedonhallinta, oikein käsitellyt henkilötiedot ja hallitut tietovarannot. Varmistamalla tietosuojaosaaminen ja toimintatapojen oikea toteutus voidaan välttää pahimmat tietosuojariskit, sekä tehostaa organisaatioiden ja työntekijöiden toimintaa. Tämän tutkimuksen tarkoituksena on kuvata oppimisen teorian ulottuvuuksien ilmenemistä vankiterveydenhuollon ammattilaisten tietosuoja- ja tietoturvaosaamisessa. Tutkimuksessa hyödynnetään koko Vankiterveydenhuollon henkilöstölle tehtyä tietosuojaosaamista koskevaa poikkileikkaavaa kyselytutkimusta. Tutkimuksen tulokset kuvataan Knud Illeriksen oppimisen teorian ulottuvuuksia hyödyntäen. Tietosuoja- ja tietoturvaosaamisen merkitys vankiterveydenhuollossa korostuu, sillä vankiterveydenhuollossa potilas- ja henkilötietojen käsittelyä ohjaavat terveydenhuollon lainsäädännön lisäksi laki vankiterveydenhuollon yksiköstä, joka määrittää poikkeavuudet potilaan tietojenluovutukseen. Tutkimuksen tuloksista heijastuu terveydenhuollon henkilöstön tietosuojaosaamisen moniulotteisuus. Tietosuojaosaamisen ja tietoturvakäyttäytymisen toteutuminen terveydenhuollossa ei ole riippuvaista vain yksilön käymistä koulutuksista, vaan toimintaympäristöllä ja kohdennetulla ohjeistuksella on merkittävä vaikutus tietosuojan toteutumiseen. Aikaisempien tutkimusten perusteella terveydenhuollon tietosuojaosaamisen tutkiminen on painottunut työympäristön ja yksilön sisäisten kannustimien tarkasteluun, sekä tietosuojarikkeisiin vaikuttavien tekijöiden tunnistamiseen. Tämä tutkimus tukee näkemystä tietosuojaosaamisen moniulotteisuudesta ja aiheen kansallisesta ja kansainvälisestä tutkimusaukosta.
Published: 2022
Full Text: View/download PDF

7. Kyberturvallisuuden arvokonfliktit kotona selviytymistä tukevissa terveysteknologiossa: Suunnittelutieteellinen tutkimus kohti eettistä päätöksentekoa

Author: Jyri Rajamäki
Subjects: eettinen arviointi, päätöksenteko [http://www.yso.fi/onto/yso/p8743], suunnittelumenetelmät, ristiriita, tietoturva, Computer applications to medicine. Medical informatics, R858-859.7, Public aspects of medicine, RA1-1270
Abstract: Terveydenhuollon ja terveyspalveluiden siirtyminen tietoverkkoihin nostaa esiin eettisiä haasteita. Etenkin kun digitaalisia ratkaisuja suunnitellaan ikääntyville kansalaisille, tulee ottaa huomioon heidän oikeutensa ja mahdollisuutensa elää hyvää elämää kotona tai kodinomaisessa ympäristössä. Etiikka ja eettinen osaaminen ovatkin tällöin keskeisessä roolissa suunnittelusta aina toteutukseen ja arviointiin saakka. Etiikkaa on tarkasteltava usealta eri näkökulmalta, mutta samalla valitettavan usein törmätään arvokonflikteihin eri eettisten arvojen ja normien välillä. Tämä suunnittelutieteellinen tutkimus tarkastelee digitaalisten terveyspalveluiden kyberturvallisuuteen liittyviä eettisiä asioita neljän eri viitekehyksen kautta: biolääketieteen etiikka, hoitoalan etiikka, terveydenhuollon informaatioteknologian ydintehtävät ja kyberturvallisuuden arvoklusterit. Tutkimus keskittyy eri näkökulmien välisiin arvokonflikteihin ja esittelee eettisen päätöksenteon avuksi käsitemallin eri viitekehysten samanaikaiseen huomioimiseen. Lisäksi artikkeli käsittelee eettistä päätöksentekoa sumean monikriteerisen päätöksenteon avulla sekä pohtii koneoppimisen ja homomorfisen salauksen avulla tuotettavan digitaalisen kaksosen hyödyntämistä tässä yhteydessä.
Published: 2022
Full Text: View/download PDF

8. Teknologian hyödyntämiseen liittyvä yksityisyydensuoja, tietoturva ja -suoja ikääntyneiden kotipalveluissa:kyselytutkimus johtajille

Author: Kuha, S. (Suvi), Xiong, E. (Essi), Hammarén, M. (Mira), Ylisirniö, M. (Minna), Haverinen, J. (Jari), Suominen, J. (Jarno), Leikas, J. (Jaana), Kanste, O. (Outi), Kuha, S. (Suvi), Xiong, E. (Essi), Hammarén, M. (Mira), Ylisirniö, M. (Minna), Haverinen, J. (Jari), Suominen, J. (Jarno), Leikas, J. (Jaana), and Kanste, O. (Outi)
Abstract: Tiivistelmä Tutkimuksen tarkoituksena on kuvata johtajien näkemyksiä teknologian hyödyntämiseen liittyvästä yksityisyydensuojasta, tietoturvasta ja -suojasta, niihin liittyvistä haasteista ja ratkaisuista sekä teknologisten ratkaisujen hankkimatta jättämiseen liittyvistä tekijöistä ikääntyneiden kotipalveluissa. Tutkimus on poikkileikkausasetelmassa tehty survey-tutkimus. Aineisto kerättiin syksyllä 2022 sähköisellä kyselyllä iäkkäiden kotipalvelujen johtajilta (n=68) viidestä sosiaali- ja terveydenhuollon kuntayhtymästä ja viidestätoista kunnasta tai kaupungista eri puolilta Suomea. Kyselylomake sisälsi neljä strukturoitua ja kaksi avointa kysymystä. Aineisto analysoitiin kuvailevilla tilastomenetelmillä ja induktiivisen sisällön analyysin periaatteilla. Tulosten mukaan teknologisten ratkaisujen käyttöönotossa huomioidaan Digi-HTA-arviointien asioita tietoturvasta ja -suojasta pääasiallisesti hyvin, mutta tässä tunnistettiin myös kehitettävää. Johtajien arvioiden mukaan teknologian hankintaprosesseissa huomioidaan tietosuojaan liittyvät tekijät hyvin, ja prosesseihin on luotu tietoturvaan liittyvät kriteerit. Teknologisten ratkaisujen hankkimatta jättämiseen arvioitiin vaikuttavan erityisesti se, että ratkaisut eivät vastanneet asiakkaiden tarpeisiin tai niiden ei nähty tehostavan toimintaa. Johtajien näkemykset teknologian hyödyntämiseen liittyvän yksityisyydensuojan ja tietoturvan ja -suojan haasteista liittyivät toimintaympäristöön, digitaalisiin ratkaisuihin, toimintatapoihin ja osaamiseen sekä organisaation käytäntöihin haasteiden ehkäisyssä. Näiden haasteiden ratkaisuiksi nähtiin viestintä ja vuorovaikutus, yksityisyydensuojaa, tietoturvaa ja -suojaa koskevien prosessien määrittäminen sekä toimintatapojen muuttaminen ja osaamisen kehittäminen. Yksityisyydensuojaan, tietoturvaan ja -suojaan liittyvien tekijöiden huomioiminen toteutuu ikääntyneiden kotipalveluissa pääasiallisesti hyvin, mutta toisaalta niihin liittyvät haasteet koetaan moninaisiksi. Tutkimukses, The purpose of this study was to describe managers’ perceptions of privacy protection, data security and protection in technology utilization, related challenges, and solutions, and factors related not acquiring technological solutions in home care services for the older people. This cross-sectional survey study was conducted by electronic survey in Autumn 2022. The data was collected from the managers of home care services (n=68) from five public social and healthcare joint municipal authorities and fifteen municipalities or cities located in different parts of Finland. The questionnaire included four structured and two open questions. The data was analyzed using descriptive statistical methods and the principles of inductive content analysis. According to results, the issues raised by the Digi-HTA evaluations regarding data security and protection are mainly adequately considered when implementing technological solutions, but areas for development were also identified. According to managers’ evaluations, factors related to data protection are adequately considered in the technology acquisition processes, and criteria related to data security have been created for the processes. Not acquiring technological solutions was estimated to be especially influenced by the fact that the solutions did not meet the clients’ needs or were not seen to make operations more efficient. The managers’ perceptions of the challenges of privacy protection and data security and protection in technology utilization, were related to the operating environment, digital solutions, procedures, competence, and the organization’ practices in the prevention of challenges. The solutions to these challenges were seen as communication and interaction, defining processes of privacy protection, data security and protection, changing procedures, and developing competence. Taking account of factors related to privacy protection, data security and protection is mainly adequately implemented in
Published: 2023

9. Organizational Learning from Cybersecurity Performance: Effects on Cybersecurity Investment Decisions

Author: Faheem Ahmed Shaikh and Mikko Siponen
Subjects: oppiva organisaatio, Computer Networks and Communications, breach cost, Theoretical Computer Science, cybersecurity investment, organizational learning, cybersecurity breach, breach identifcation, cybersecurity performance, tietoturva, kyberturvallisuus, Software, tieto- ja viestintärikokset, Information Systems
Abstract: IS literature has identified various economic, performance, and environmental factors affecting cybersecurity investment decisions. However, economic modeling approaches dominate, and research on cybersecurity performance as an antecedent to investments has taken a backseat. Neglecting the role of performance indicators ignores real-world concerns driving actual cybersecurity investment decision-making. We investigate two critical aspects of cybersecurity performance: breach costs and breach identification source, as antecedents to cybersecurity investment decisions. We use organizational learning to theorize how performance feedback from these two aspects of cybersecurity breaches influences subsequent investment decisions. Using firm-level data on 722 firms in the UK, we find that higher breach costs are more likely to elicit increases in cybersecurity investments. This relationship is further strengthened if a third party identifies the breach instead of the focal firm. We contribute to the literature on cybersecurity investments and incident response. The findings stress the need for firms to analyze aspects of their cybersecurity performance and use them as feedback for investment decisions, making these decisions data-driven and based on firm-specific needs.
Published: 2023
Full Text: View/download PDF

10. Enhancing the user authentication process with colour memory cues

Author: Naomi Woods and Johanna Silvennoinen
Subjects: security behaviour, colour, password memorability, väri (ominaisuudet), General Social Sciences, salasanat, colour preference, Human-Computer Interaction, todentaminen, Arts and Humanities (miscellaneous), Developmental and Educational Psychology, authentication, muistaminen, tietoturva, muistitekniikat, memory cues
Abstract: The authentication process is the first line of defence against potential impostors, and therefore is an important concern when protecting personal and organisational data. Although there are many options to authenticate digital users, passwords remain the most common authentication mechanism. However, with password numbers increasing, many users struggle with remembering multiple passwords, which affects their security behaviour. Previous researchers and practitioners have attempted to suggest ways to improve password memorability and security simultaneously. We introduce novel approach that utilises colour as a memory cue to increase password memorability and security. A longitudinal study examined in total over 3000 passwords that were created, learnt and recalled (password process) over a period of five-weeks. By adding colour to the password process, our results suggest that password memorability and security can be increased simultaneously. Through giving the user the option of choosing the colours (compared with colours being preselected), encourages users to create more personal and meaningful memory cues when creating their passwords. Additionally, colour also provided another security parameter by increasing password entropy. These unique results have practical implications for researchers and practitioners that could positively impact password security, and the financial losses suffered due to password security breaches. peerReviewed
Published: 2022
Full Text: View/download PDF

11. Cybersecurity value conflicts in coping at home health technology: Design science research towards ethical decision-making

Author: Rajamäki, Jyri
Subjects: eettinen arviointi, planning methodologies, conflict, suunnittelumenetelmät, ethical review, ristiriita, päätöksenteko [http://www.yso.fi/onto/yso/p8743], tietoturva, Tieteelliset artikkelit / Scientific papers, decision making, computer security
Abstract: Terveydenhuollon ja terveyspalveluiden siirtyminen tietoverkkoihin nostaa esiin eettisiä haasteita. Etenkin kun digitaalisia ratkaisuja suunnitellaan ikääntyville kansalaisille, tulee ottaa huomioon heidän oikeutensa ja mahdollisuutensa elää hyvää elämää kotona tai kodinomaisessa ympäristössä. Etiikka ja eettinen osaaminen ovatkin tällöin keskeisessä roolissa suunnittelusta aina toteutukseen ja arviointiin saakka. Etiikkaa on tarkasteltava usealta eri näkökulmalta, mutta samalla valitettavan usein törmätään arvokonflikteihin eri eettisten arvojen ja normien välillä. Tämä suunnittelutieteellinen tutkimus tarkastelee digitaalisten terveyspalveluiden kyberturvallisuuteen liittyviä eettisiä asioita neljän eri viitekehyksen kautta: biolääketieteen etiikka, hoitoalan etiikka, terveydenhuollon informaatioteknologian ydintehtävät ja kyberturvallisuuden arvoklusterit. Tutkimus keskittyy eri näkökulmien välisiin arvokonflikteihin ja esittelee eettisen päätöksenteon avuksi käsitemallin eri viitekehysten samanaikaiseen huomioimiseen. Lisäksi artikkeli käsittelee eettistä päätöksentekoa sumean monikriteerisen päätöksenteon avulla sekä pohtii koneoppimisen ja homomorfisen salauksen avulla tuotettavan digitaalisen kaksosen hyödyntämistä tässä yhteydessä., The transition of health care and health services to information networks raises ethical challenges. Especially when designing digital solutions for older citizens, their rights and opportunities to live a good life at home or in a homelike environment must be taken into account. In this case, ethics and ethical expertise play a key role, from design to implementation and evaluation. Ethics need to be looked at from a variety of perspectives, but at the same time, unfortunately, there are often value conflicts between different ethical values and norms. This design science research examines ethical issues related to the cybersecurity of digital health services through four different reference frameworks: biomedical ethics, care ethics, the core functions of health information technology, and cybersecurity core value clusters. The research focuses on value conflicts between different perspectives and presents a conceptual model for the simultaneous consideration of these different frameworks to aid ethical decision-making. In addition, the article discusses ethical decision-making through fuzzy multi-criteria decision-making and considers the use of the digital twin produced through machine learning and homomorphic encryption in this context.
Published: 2022

12. APT Cyber-attack Modelling: Building a General Model

Author: Martti Lehto, Griffin, Robert P., Tatarand, Unal, and Yankson, Benjamin
Subjects: tietoverkkorikokset, mallintaminen, APT attack, kyberrikollisuus, cyber security, cyber-attack model, tietoturva, varautuminen, kyberturvallisuus, verkkohyökkäykset
Abstract: The global community continues to experience an increase in the scale, sophistication, and successful perpetration of cyber-attacks. As the quantity and value of electronic information have increased, so too have the efforts of criminals and other malicious actors who have embraced the Internet as a more anonymous, convenient, and profitable way of carrying out their activities. The systems are attacked more and more by single or multiple hacktivists, state sponsored hackers, cyber criminals, cyber terrorists, cyber spies, or cyber warfare warfighters. The cyber security approach requires a balance of cyber threat intelligence, real time cyber-attack detection and especially the cyber early warning ability. Threats in cyberspace are difficult to define, as it is hard to identify the source of attacks and the motives that drive them, or even to foresee the course of an attack as it unfolds. The identification of cyber threats is further complicated by the difficulty in defining the boundaries between national, international, public, and private interests. Because threats in cyberspace are global in nature and involve rapid technological developments, the struggle to respond them is ever-changing and increasingly complicated. Cyber-attack models describe the structure of an attack in different phases. They provide a means to conceptualize the different aspects and elements of an attack. However, it is important to understand that not all attacks must complete all phases to be successful, and the objective of the attack defines the structure of the attack. Different actors have built different cyber-attack models. Modeling is used to understand the different goals of cyber attackers. Attack models are based on attack targets and attack objectives. This paper analyzes different APT cyber-attack models and presents a general cyber-attack model. peerReviewed
Published: 2022
Full Text: View/download PDF

13. Citizens’ Cybersecurity Behavior: Some Major Challenges

Author: Ying Li, Tong Xin, and Mikko Siponen
Subjects: Internet, turvallisuus, Computer Networks and Communications, Computer science, uhat, organisaatiot, tietoturvapolitiikka, hakkerointi, kansalaiset, vaikuttaminen, etätyö, Engineering ethics, tietoturva, Electrical and Electronic Engineering, kyberturvallisuus, verkkohyökkäykset, Law
Abstract: Citizens’ cybersecurity behaviors are an important concern in the modern age. This work discusses the challenges of studying citizen cybersecurity behaviors and the directions for future research. peerReviewed
Published: 2022
Full Text: View/download PDF

14. Organisational GDPR Investments and Impacts

Author: Hirvonen, Pauliina
Subjects: tietosuoja, GDPR investments, organisational GDPR impacts, privacy development assessment, empirical GDPR research, organisaatiot, privacy impacts, information security development, tietoturva
Abstract: The aim of this empirical multi-case study is to understand the GDPR investments and impacts of the organisations. Among these, the measuring experiences related to GDPR and information security (Isec), and the future expectations are examined. Several interesting findings were recognised, which also enabled further suggestions. First, an understanding of the organisations’ investments and their impact is built by gathering information about the actions that organisations made to fulfil the GDPR requirements. In the second phase, it is deemed necessary to examine how organisations experience the measures and evaluation of GDPR development and progress, in order to understand how respondents, end up evaluating the impact of their investments. In the third phase it is considered necessary to consider the future development of GDPR and the challenges and opportunities it brings to organisations, in order to understand how the experiences so far affect preparations for the future. The final phase of evaluation focuses on finding out what impact the GDPR has had on organisations. On the one hand, it is possible that the total investment in the GDPR may also correlate with the development of the organisational Isec maturity, because GDPR has brought more resources and visibility to the organisation’s Isec, and operations have become more systematic. On the other hand, organisations with an already high level of Isec maturity and organisations operating in a regulatory-focused industry may accept the GDPR-based Isec investments more easily. If GDPR is tightly integrated with both the organisation’s information security and the business functions under the responsibility of executive management, it may support the organisation’s business and information security development. This research serves GDPR authorities, organisational executives, persons in charge of GDPR/information security/cybersecurity, service providers and academia. peerReviewed
Published: 2023

15. Prosessiautomaation vaatimusten huomiointi tietoturvapoikkeamien havainnoinnin koneoppimismenetelmissä

Author: Härmä, Juho-Matti, Tekniikan ja luonnontieteiden tiedekunta - Faculty of Engineering and Natural Sciences, and Tampere University
Subjects: prioriteetit, koneoppiminen, poikkeamienhavainnointi, prosessiautomaatio, tietoturva, vaatimukset, Automaatiotekniikan DI-ohjelma - Master's Programme in Automation Engineering
Abstract: Prosessiautomaatioympäristöjen 1990-luvun lopulla alkanut internet-teknologioiden integrointi on tuonut uusia haasteita järjestelmien tietoturvan suojaamisen kannalta. Ennen ulkopuolisilta tekijöiltä sulkeutuneet järjestelmät joutuvat nyt hyödyntämään uusia keinoja uusien uhkien torjumiseksi. Koneoppimisen hyödyntäminen on 2000-luvulla tehnyt merkittävää nousua ja sitä käytetään muun muassa tietoturvauhkien tunnistamiseen. Perinteisessä informaatioteknologiassa sen hyödyntämistä on omaksuttu laajalti. Prosessiautomaatio ja perinteinen informaatioteknologia eroavat toisistaan merkityksellisesti niin ominaisuuksien kuin prioriteettienkin kannalta. Luotettavuuden sijaan prosessiautomaation pääprioriteettina on saatavuus. Eroavaisuudet vaikuttavat järjestelmiin liittyviin toimintatapoihin ja tietoturvan kannalta myös mahdollisiin toimenpiteisiin. Tämän työn tavoitteena oli selvittää prosessiautomaation vaatimusten huomioinnin tasoa tietoturvapoikkeamien havainnoinnin koneoppimismenetelmien kirjallisuudessa. Työssä selvitettiin perinteisen informaatioteknologian ja prosessiautomaation vaatimusten eroavaisuudet, johon pohjautui myös tutkimuksen analyysissa käytettävä teoria prosessiautomaation vaatimuksista. Prosessiautomaation poikkeamienhavainnoinnin koneoppimismenetelmien kirjallisuuteen liittyen suoritettiin systemaattinen kirjallisuuskatsaus. Kerätystä aineistosta tehtiin teorialähtöinen sisällönanalyysi. Analyysillä ja siihen sisältyvällä erottelulla saatiin kuva siitä, miten prosessiautomaation vaatimuksia on huomioitu kootussa kirjallisuudessa. Prosessiautomaation vaatimusten teoriapohja koostui kolmestatoista kategoriasta, jotka analyysissä luokiteltiin vielä kolmeen yläkategoriaan. Prosessiautomaation vaatimuskategorioita huomioitiin yhteensä 20 % kaikista tutkituista töistä. Kolme yleisimmin huomioitua kategoriaa olivat suorituskykyvaatimukset, aikakriittinen vuorovaikutus ja resurssien rajoitukset. Sen sijaan tutkimuksissa kolme harvimmin esiintynyttä kategoriaa olivat muutoksen hallinta, pääsy komponentteihin ja hallittu tuki. Kirjallisuuskatsauksessa myös lisäksi havaittiin, että tutkitussa kirjallisuudessa käytetään usein samaa testidataa, mikä saattaa aiheuttaa kirjallisuuden tulosten vääristymistä. Tämä tutkimus tarjoaa kuvan siitä, millä tasolla prosessiautomaation vaatimuksia on huomioitu tietoturvapoikkeamien havainnoinnin koneoppimismenetelmien kirjallisuudessa, sekä mihin vaatimusten huomiointi tämän hetken kirjallisuudessa painottuu.
Published: 2023

16. Do SETA Interventions Change Security Behavior? : A Literature Review

Author: Nwachukwu, Uchechukwu, Vidgren, Jiri, Niemimaa, Marko, Järveläinen, Jonna, and Bui, Tung X.
Subjects: security behavior, training, turvallisuusjohtaminen, koulutus, socio-technical issues in organizational information technologies, awareness, security management, tietoturva, käyttäytyminen, intervention, interventio, seta
Abstract: Information security education, training, and awareness (SETA) are approaches to changing end-users’ security behavior. Research into SETA has conducted interventions to study the effects of SETA on security behavior. However, we lack aggregated knowledge on ‘how do SETA interventions influence security behavior?’. This study reviews 21 empirical SETA intervention studies published across the top IS journals. The theoretical findings show that the research has extended Protection Motivation Theory by (1) enhancements to fear appeals; (2) drawing attention to relevance; (3) incorporating temporality; (4) and shifting from intentions to behavior. In terms of behavior, the SETA interventions have targeted (1) information security policy compliance behavior; and (2) information protection behavior. We argue that while these studies have provided insights into security intentions and behavior, knowledge on designing effective SETA training has remained primarily anecdotal. We contribute (1) by pointing out gaps in the knowledge; and (2) by proposing tentative design recommendations. peerReviewed
Published: 2023

17. Compact Quantum Circuit Design of PUFFIN and PRINT Lightweight Ciphers for Quantum Key Recovery Attack

Author: Saravanan, P., Jenitha, J., Sanjana, S., and Haghparast, Majid
Subjects: salaus, logic gates, algoritmit, costs, kvanttilaskenta, tietoturva, quantum circuit, ciphers, qubit, quantum computing, encryption
Abstract: Quantum computing plays a vital role in the next generation computing platforms as researchers have achieved quantum supremacy by proving that quantum computers can outperform classical computers. These high performance computers will pose a serious threat to the security of the conventional cryptographic algorithms. The secret key of the conventional cryptographic algorithms when implemented by quantum circuits can easily be recovered with the help of Grover key search algorithm. The Grover’s algorithm requires low cost quantum implementation of cryptographic algorithms in order to mount the quantum key recovery attack successfully. Hence the low cost quantum implementation of conventional cryptographic algorithms to mount quantum key recovery attack using Grover search algorithm is an active area of research. This work proposes a novel quantum circuit implementation of two lightweight block ciphers namely PUFFIN and PRINT and for the first time in literature In-place method is used to optimize the quantum resources in these two ciphers which helps to build compact quantum circuits without extra ancilla inputs. The performance metrics considered in this work to quantify the quantum resources of the proposed circuits are number of quantum gates, quantum cost, latency and number of qubits. In addition, the quantum resources are also estimated to mount the quantum key recovery attacks on the proposed quantum circuit implementations of PUFFIN and PRINT using Grover-based key search algorithm. peerReviewed
Published: 2023

18. Tietoturvan hallintajärjestelmän toteuttaminen : Onnistumistekijät toteutusprojekteissa

Author: Heikkinen, Ville, Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences, and Tampere University
Subjects: Tietotekniikan DI-ohjelma - Master's Programme in Information Technology, johtaminen, projektinhallinta, tietoturvan hallintajärjestelmä, hallintajärjestelmät, tietoturva
Abstract: Työn tavoitteena on syventää ymmärrystä tietoturvan hallintajärjestelmän toteutusprojekteista sekä lisätä ymmärrystä tietoturvan hallintajärjestelmästä kohdeyrityksessä. Työssä tehtävän tutkimuksen tarkoituksena on tunnistaa integroivan kirjallisuuskatsauksen avulla tekijöitä, jotka edesauttavat toteutusprojektien onnistumista sekä ymmärtää syitä, joiden takia hallintajärjestelmän toteutusprojekti onnistui kohdeyrityksessä. Lisäksi työssä tehtävän kirjallisuuskatsauksen löydösten ja toteutusprojektista tunnistettujen onnistumistekijöiden perusteella luodaan malli, jota muut tietoturvan hallintajärjestelmän toteutusta harkitsevat organisaatiot voivat hyödyntää. Työ aloitetaan esittelemällä tietoturvan ja tietoturvan hallintajärjestelmän teoriaa, kuten ISO/IEC 27000 -standardiperhettä sekä riskienhallintaan liittyviä menetelmiä. Työtä jatketaan tekemällä integroiva kirjallisuuskatsaus, jossa tutkitaan tietoturvaan ja IT:n hallintaan liittyvien projektien onnistumistekijöitä. Työn empiirisessä osuudessa toteutetaan tietoturvan hallintajärjestelmä kohdeyritykselle tapaustutkimuksena, minkä jälkeen esitellään malli, joka sisältää kirjallisuuskatsauksen ja tapaustutkimuksen perusteella tunnistettuja onnistumistekijöitä. Kirjallisuuskatsauksen tuloksissa korostuivat johdon rooli sekä tietoturvakoulutusten merkitys. Erityisesti johdon tuki, taloudellinen tuki sekä tietoturvan tärkeyden ymmärtäminen että sen strateginen yhdenmukaisuus liiketoiminnan välillä vaikuttavat toteutusprojektien onnistumiseen. Kohdeyrityksessä tehty toteutusprojekti onnistui ja tärkeimmiksi onnistumistekijöiksi todettiin johdon tuki, tietoturvamyönteinen organisaatiokulttuuri ja aiemmat panostukset tietoturvaan. Lisäksi henkilöstö on kiinnostunut tietoturva-asioista ja henkilöstöä osallistettiin projektiin. Työssä kehitetyn mallin tärkeimmiksi onnistumistekijöiksi todettiin johdon rooli, valmistelutyö, projektinhallinta sekä motiivit hallintajärjestelmän toteuttamiselle. The aim of the work is to deepen the understanding of the implementation projects of the information security management system and to increase the understanding of the information security management system in the target company. The purpose of the research carried out in the work is to identify factors that contribute to the success of implementation projects and to understand the reasons why the implementation project of the management system was successful in the target company with the help of an integrated literature review. In addition, based on the findings of the literature review and the success factors identified from the implementation project, a model is be created that can be used by other organizations considering the implementation of an information security management system. The work begins by introducing the theory of information security and the information security management system, such as the ISO/IEC 27000 family of standards and methods related to risk management. The work is continued by conducting an integrative literature review, which examines the success factors of projects related to information security and IT governance. In the empirical part of the work, an information security management system is implemented for the target company as a case study, after which a model is presented that includes the success factors identified based on the literature review and the case study. The results of the literature review highlighted the role of management and the importance of information security training. In particular, management support, financial support as well as understanding the importance of information security and its strategic alignment between businesses affect the success of implementation projects. The implementation project at the target company was successful and the most important success factors were found to be management support, an information security-friendly organizational culture and previous investments in information security. In addition, the personnel is interested in information security issues and the personnel was involved in the project. The most important success factors of the model developed in the work were found to be the role of management, preparatory work, project management and motives for implementing the management system.
Published: 2023

19. Tietoturvariskien hallinta suomalaisten vakuutusyhtiöiden etätyöympäristöissä

Author: Nykänen, Sami, Johtamisen ja talouden tiedekunta - Faculty of Management and Business, and Tampere University
Subjects: tietosuoja, vakuutusyhtiöt, Kauppatieteiden maisteriohjelma - Master's Programme in Business Studies, riskienhallinta, etätyö, tietoturva
Abstract: Tietoturva ja tietoturvariskienhallinta ovat aivan keskeisen tärkeitä asioita vakuutusyhtiöille. Vakuutusyhtiöiden toiminnan luonne edellyttää merkittävien datavarastojen hallinnointia. Data pitää sisällään arkaluontoistakin tietoa esimerkiksi yritystä ja yksityisistä ihmisistä. Datan käsittelyyn ja hallussapitoon liittyy paljon erilaista sääntelyä ja lakisääteisiäkin velvoitteita ja näin ollen mahdollisista tietoturvarikkomuksista voi seurata vakuutusyhtiöille mainehaitan lisäksi merkittäviäkin juridisia sanktioita. Vuonna 2019 Covid-19 pandemia alkoi levitä ja valtiot ympäri maailmaa alkoivat kehittää toimia sen leviämisen ehkäisemiseksi. Suomessakin alettiin kehottamaan organisaatioita, joiden toiminta sen vain mahdollista, siirtymään etätyöskentely-ympäristöihin. Vakuutusyhtiöissä etätyöskentely on täysin mahdollista, joten etätyöskentelystä tuli pääasiallinen toiminnan muoto. Tämän tutkielman tavoitteena on tutkia miten suomalaiset vakuutusyhtiöt huomioivat riskienhallinnassaan etätyöskentely-ympäristöihin siirtymisen. Tutkielmassa keskitytään erityisesti tietoturvariskeihin, sekä tietoturvariskien hallintaan. Tutkialmassa tutkitaan mitkä ovat yleisesti keskeisimpiä tietoturvariskejä, mitkä niitä voivat aiheuttaa ja toisaalta kuinka niitä voidaan hallita mahdollisimman tehokkaasti suomalaisissa vakuutusyhtiöissä. Lisäksi tutkitaan miten etätyöstelyasteen muutos vaikutti tietoturvariskeihin, niiden mahdollisiin ilmentymispaikkoihin ja hallintaan. Tutkielman teoriaosuudessa keskitytään riskienhallinnasta ja tietoturvasta löytyvään kirjallisuuteen, aiempiin tutkimuksiin sekä internetlähteisiin. Tavoitteena teoriaosuudessa on rakentaa riittävän kattava ymmärrys ja pohjustus varsinaiseen tutkittavaan ilmiöön, eli tietoturvariskien hallintaan. Tutkielman empiriaosuudessa käsitellään laadullisilla teemahaastatteluilla kerättyä aineistoa. Haastateltavat henkilöt edustavat suomalaisia vakuutusyhtiöitä ja toivat edustamissaan yhtiöissä tietoturva-asioiden parissa vastuutehtävissä. Kerätty aineisto analysoidaan sisällönanalyysin keinoin. Tutkielmassa havaitaan, että tietoturva ja tietoturvariskien hallinta kulkee mukana käytännössä kaikessa suomalaisten vakuutusyhtiöiden varsinaisen toiminnan harjoittamisessa. Merkittävä havainto tutkielmassa on myös tietoturvan monimuotoisuus.
Published: 2023

20. On Attacking Future 5G Networks with Adversarial Examples : Survey

Author: Mikhail Zolotukhin, Di Zhang, Timo Hämäläinen, and Parsa Miraghaei
Subjects: deep learning, 5G-tekniikka, General Medicine, matkaviestinverkot, tekoäly, artificial intelligence, adversarial machine learning, 5G networks, koneoppiminen, matkaviestinpalvelut (telepalvelut), algoritmit, 5G cybersecurity knowledge base, tietoturva, kyberturvallisuus, verkkohyökkäykset, verkkopalvelut
Abstract: The introduction of 5G technology along with the exponential growth in connected devices is expected to cause a challenge for the efficient and reliable network resource allocation. Network providers are now required to dynamically create and deploy multiple services which function under various requirements in different vertical sectors while operating on top of the same physical infrastructure. The recent progress in artificial intelligence and machine learning is theorized to be a potential answer to the arising resource allocation challenges. It is therefore expected that future generation mobile networks will heavily depend on its artificial intelligence components which may result in those components becoming a high-value attack target. In particular, a smart adversary may exploit vulnerabilities of the state-of-the-art machine learning models deployed in a 5G system to initiate an attack. This study focuses on the analysis of adversarial example generation attacks against machine learning based frameworks that may be present in the next generation networks. First, various AI/ML algorithms and the data used for their training and evaluation in mobile networks is discussed. Next, multiple AI/ML applications found in recent scientific papers devoted to 5G are overviewed. After that, existing adversarial example generation based attack algorithms are reviewed and frameworks which employ these algorithms for fuzzing stat-of-art AI/ML models are summarised. Finally, adversarial example generation attacks against several of the AI/ML frameworks described are presented.
Published: 2023

21. HALE-IoT: HArdening LEgacy Internet-of-Things devices by retrofitting defensive firmware modifications and implants

Author: Carrillo-Mondejar, J., Turtiainen, Hannu, Costin, Andrei, Martinez, J.L., and Suarez-Tangil, G.
Subjects: IoT, firmware modification, cybersecurity, end-of-life, suojaus, SSL-proxy, legacy, firmware, defensive techniques, WAF, retrofit security, esineiden internet, tietoturva, kyberturvallisuus, EOL, verkkohyökkäykset, devices, haavoittuvuus
Abstract: Internet-Of-Things (IoT) devices and their firmware are notorious for their lifelong vulnerabilities. As device infection increases, vendors also fail to release patches at a competitive pace. Despite security in IoT being an active area of research, prior work has mainly focused on vulnerability detection and exploitation, threat modelling, and protocol security. However, these methods are ineffective in preventing attacks against legacy and End-Of-Life devices that are already vulnerable. Current research mainly focuses on implementing and demonstrating the potential of malicious modifications. Hardening emerges as an effective solution to provide IoT devices with an additional layer of defense. In this paper, we bridge these gaps through the design of HALE-IoT, a generically applicable systematic approach to HArdening LEgacy IoT non-low-end devices by retrofitting defensive firmware modifications without access to the original source code. HALE-IoT approaches this non-trivial task via binary firmware reversing and modification while being underpinned by a semi-automated toolset that aims to keep cybersecurity of such devices in a hale state. Our focus is on both modern and, especially, legacy or obsolete IoT devices as they become increasingly prevalent. To evaluate the effectiveness and efficiency of HALE-IoT, we apply it to a wide range of IoT devices by retrofitting 395 firmware images with defensive implants containing an intrusion prevention system in the form of a Web Application Firewall (for prevention of web-attack vectors), and an HTTPS-proxy (for latest and full end-to-end HTTPS support) using emulation. We also test our approach on four physical devices, where we show that HALE-IoT successfully runs on protected and quite constrained devices with as low as 32MB of RAM and 8MB of storage. Overall, in our evaluation, we achieve good performance and reliability with a remarkably accurate detection and prevention rate for attacks coming from both real CVEs and synthetic exploits. TRUE inpress
Published: 2022

22. Tekijänoikeudet, tietosuoja ja tietoturva : vastuullisuutta opetusteknologian käyttöön kieltenopetuksessa

Author: von Zansen, Anna, Hilden, Raili, Luodonpää-Manni, Milla, Kasvatustieteiden osasto, Foreign Language Education, and Humanities and Social Sciences Education (HuSoEd)
Subjects: tietosuoja, kieltenopetus, 516 Kasvatustieteet, tekijänoikeudet, oppimateriaalit, 6121 Kielitieteet, opetusteknologia, tietoturva, multimodaalisuus
Published: 2022

23. Analysis of cloud computing implementation in higher education: The case of selected West African universities

Author: Afuwape, Afeez, Tietojenkäsittelytieteen laitos, School of Computing, Luonnontieteiden ja metsätieteiden tiedekunta, Tietojenkäsittelytieteen laitos, Faculty of Science and Forestry, School of Computing, Luonnontieteiden ja metsätieteiden tiedekunta, and Faculty of Science and Forestry
Subjects: datasäkerhet, HEIs, tertiary education, utbildning på högskolenivå, computer science, tietotekniikka, tietojenkäsittelytiede, cloud services, molntjänster, pilvipalvelut, information technology, korkea-asteen koulutus, Cloud computing, WAHEIs, tietoturva, universitet, data security, informationsteknik, yliopistot, universities
Published: 2022

24. Protection Motivation Theory in Information Systems Security Research

Author: Fufan Liu, Mikko T. Siponen, and Steffi Haag
Subjects: Future studies, Knowledge management, threat message, literature review, käyttäjät, Computer Networks and Communications, uhat, Information systems security, asenteet, 02 engineering and technology, Protection Motivation Theory, Management Information Systems, suojelumotivaaatioteoria, 020204 information systems, 0502 economics and business, 0202 electrical engineering, electronic engineering, information engineering, Is security, Information system, Road map, tietoturva, suojelu, tietojärjestelmät, behavioral IS security, business.industry, 05 social sciences, Information security, IS security threat, Fear appeal, Protection motivation theory, fear appeal, 050211 marketing, business
Abstract: Protection motivation theory (PMT) is one of the most commonly used theories to examine information security behaviors. Our systematic review of the application of PMT in information systems (IS) security and the comparison with its application for decades in psychology identified five categories of important issues that have not yet been examined in IS security research. Discussing these issues in terms of why they are relevant and important for IS security, and to what extent IS research has not considered them, offers new research opportunities associated with the study of PMT and IS security threats. We suggest how future studies can approach each of the open issues to provide a new road map for quantitative and qualitative IS scholars.
Published: 2021
Full Text: View/download PDF

25. Tietoturva autonomisten autojen Vanet-verkossa

Author: Ihalainen, Ville, Tietojenkäsittelytieteen laitos, School of Computing, Luonnontieteiden ja metsätieteiden tiedekunta, Tietojenkäsittelytieteen laitos, Faculty of Science and Forestry, School of Computing, Luonnontieteiden ja metsätieteiden tiedekunta, and Faculty of Science and Forestry
Subjects: torjunta, datasäkerhet, research, turvallisuus, blockchains, computer science, blockkedjor, lohkoketjut, tietojenkäsittelytiede, control (prevention), säkerhet och trygghet, forskning, tutkimus, tietoturva, data security, bekämpning, safety and security
Published: 2022

26. Examining the side effects of organizational Internet monitoring on employees

Author: Aggeliki Tsohou, Ying Li, Mikko T. Siponen, and Hemin Jiang
Subjects: Economics and Econometrics, Sociology and Political Science, Internet privacy, policy satisfaction, Affective events theory, käyttö, Extant taxon, työntekijät, Information system, seuranta, tietoturva, käyttötutkimus, riskit, Work motivation, Internet, työmotivaatio, business.industry, Communication, Software development, Internet monitoring, sitoutuminen, Information security, field experiment, affective organizational commitment, The Internet, seurantatutkimus, business, Psychology, intrinsic work motivation
Abstract: PurposeInternet monitoring in organizations can be used to monitor risks associated with Internet usage and information systems in organizations, such as employees' cyberloafing behavior and information security incidents. Extant research has mainly discussed the effect of Internet monitoring in achieving the targeted goals (e.g. mitigating cyberloafing behavior and information security incidents), but little attention has been paid to the possible side effects of Internet monitoring. Drawing on affective events theory, the authors attempt to reveal that Internet monitoring may cause side effects on employees' Internet usage policy satisfaction, intrinsic work motivation and affective organizational commitment.Design/methodology/approachThe authors conducted a field experiment in a software development company. In total, 70 employees participated in the study. Mann–WhitneyUtest was employed to analyze the data.FindingsThe results suggest that Internet monitoring decreased employees' satisfaction with the Internet usage policy, intrinsic work motivation, as well as affective organizational commitment.Originality/valueThis study contributes to the literature by examining the side effects of Internet monitoring on employees. It also has implications for organizations to make appropriate decisions regarding whether to implement Internet monitoring.
Published: 2020
Full Text: View/download PDF

27. Towards a Secure DevOps Approach for Cyber-Physical Systems

Author: Martin Gilje Jaatun, Barbara Russo, Hadi Ghanbari, Goetz Botterweck, Anila Mjeda, Pekka Abrahamsson, Tommi Mikkonen, Xiaofeng Wang, Anh Nguyen Duc, Jürgen Münch, Petri Kettunen, Department of Computer Science, and Empirical Software Engineering research group
Subjects: Process management, Computer science, education, Perspective (graphical), 0202 electrical engineering, electronic engineering, information engineering, Cyber-physical system, 020207 software engineering, 02 engineering and technology, tietoturva, DevOps, 113 Computer and information sciences, 020202 computer hardware & architecture
Abstract: With the expansion of cyber-physical systems (CPSs) across critical and regulated industries, systems must be continuously updated to remain resilient. At the same time, they should be extremely secure and safe to operate and use. The DevOps approach caters to business demands of more speed and smartness in production, but it is extremely challenging to implement DevOps due to the complexity of critical CPSs and requirements from regulatory authorities. In this study, expert opinions from 33 European companies expose the gap in the current state of practice on DevOps-oriented continuous development and maintenance. The study contributes to research and practice by identifying a set of needs. Subsequently, the authors propose a novel approach called Secure DevOps and provide several avenues for further research and development in this area. The study shows that, because security is a cross-cutting property in complex CPSs, its proficient management requires system-wide competencies and capabilities across the CPSs development and operation.
Published: 2020
Full Text: View/download PDF

28. Nanovised Control Flow Attestation

Author: Nezer Jacob Zaidenberg, Michael Kiperberg, and Raz Ben yehuda
Subjects: Fluid Flow and Transfer Processes, pääsynvalvonta, Software_OPERATINGSYSTEMS, virtualisointi, Process Chemistry and Technology, Linux, hypervisor, ARM, control flow, SlowLoris, TrustZone, General Engineering, Computer Science Applications, General Materials Science, tietoturva, Instrumentation
Abstract: This paper presents an improvement of control flow attestation (C-FLAT) for Linux. C-FLAT is a control attestation system for embedded devices. It was implemented as a software executing in ARM’s TrustZone on bare-metal devices. We extend the design and implementation of C-FLAT through the use of a type 2 Nanovisor in the Linux operating system. We call our improved system “C-FLAT Linux”. Compared to the original C-FLAT, C-FLAT Linux reduces processing overheads and is able to detect the SlowLoris attack. We describe the architecture of C-FLAT Linux and provide extensive measurements of its performance in benchmarks and real-world scenarios. In addition, we demonstrate the detection of the SlowLoris attack on the Apache web server.
Published: 2022
Full Text: View/download PDF

29. HyperIO: A Hypervisor-Based Framework for Secure IO

Author: Michael Kiperberg and Nezer Jacob Zaidenberg
Subjects: Fluid Flow and Transfer Processes, virtualisointi, Process Chemistry and Technology, trusted path, General Engineering, virtualization, system security, browser security, malware protection, Computer Science Applications, haittaohjelmat, järjestelmänhallinta, tietosuoja, General Materials Science, tietoturva, tietoverkot, Instrumentation, tietojärjestelmät
Abstract: Malware often attempts to steal input and output through human interface devices to obtain confidential information. We propose to use a thin hypervisor, called “HyperIO”, to realize a secure path between input and output devices using a partial implementation of device drivers. We apply our approach using two security systems built on HyperIO: FireSafe and ClipCrypt. FireSafe is a web browser extension which allows a remote web server to display and receive sensitive user information securely. ClipCrypt enables the user to securely enter and view their confidential information in commodity Windows applications.
Published: 2023
Full Text: View/download PDF

30. Understanding the inward emotion-focused coping strategies of individual users in response to mobile malware threats

Author: Mikko T. Siponen, Tong Xin, and Sihua Chen
Subjects: Coping (psychology), vaikutukset, Applied psychology, uhat, asenteet, Mobile malware, Coping theory, Arts and Humanities (miscellaneous), tunteet, Developmental and Educational Psychology, Information system, tietoturva, riskit, tietojärjestelmät, torjunta, turvallisuus, Emotion focused, protection motivation theory, selviytyminen, General Social Sciences, tietoturvakäyttäytyminen, Human-Computer Interaction, haittaohjelmat, Protection motivation theory, information security behaviour, Psychology, inward emotion-focused coping, coping theory
Abstract: According to coping theory, individuals cope with information system threats by adopting either problem-focused coping (PFC) or emotion-focused coping (EFC). However, little is known about EFC in the information security (ISec) literature. Moreover, there is potential confusion regarding the meaning of some EFC strategies. Hence, ISec scholars and practitioners may (i) have a narrow view of EFC or (ii) confuse it with other concepts. In this study, we offer one response to this issue. We first address the ambiguity regarding EFC before differentiating five inward EFC strategies and assessing them empirically in the mobile malware context. To the best of our knowledge, this study is the first to compare several inward EFC strategies in the ISec field.We contribute two new findings on EFC: 1) response efficacy is a crucial factor that impedes users from implementing EFC strategies; 2) avoidance and fatalism significantly impede PFC. Our study also contributes to the ISec literature by categorising EFC into active and passive forms. We showed that individuals’ use of passive inward EFC strategies was positively associated with threat vulnerability. Finally, we provide interesting insights into the complicated responses of individuals to mobile malware threats, presenting implications for ISec research and practice. peerReviewed
Published: 2022

31. Attacking TrustZone on devices lacking memory protection

Author: Ron Stajnrod, Raz Ben Yehuda, and Nezer Jacob Zaidenberg
Subjects: sulautettu tietotekniikka, Computational Theory and Mathematics, Hardware and Architecture, Computer Science (miscellaneous), esineiden internet, TrustZone, security, tietoturva, verkkohyökkäykset, Software, haavoittuvuus
Abstract: ARM TrustZone offers a Trusted Execution Environment (TEE) embedded into the processor cores. Some vendors offer ARM modules that do not fully comply with TrustZone specifications, which may lead to vulnerabilities in the system. In this paper, we present a DMA attack tutorial from the insecure world onto the secure world, and the design and implementation of this attack in a real insecure hardware.
Published: 2022

32. An Efficient and Privacy-Preserving Blockchain-Based Authentication Scheme for Low Earth Orbit Satellite Assisted Internet of Things

Author: Wang, Biying, Chang, Zheng, Li, Shancang, and Hämäläinen, Timo
Subjects: blockchain, todentaminen, internet of thing, LEO satellite network, salaus, Authentication scheme, tietoliikennesatelliitit, esineiden internet, lohkoketjut, tietoturva, langattomat verkot
Abstract: Recently, integrating satellite networks (e.g. Low-earth-orbit satellite constellation) into the Internet of Things (IoT) ecosystem has emerged as a potential paradigm to provide more reliable, ubiquitous and seamless network services. The LEO satellite networks serves as a key enabler to transform the connectivity across industries and geographical border. Despite the convenience brought from the LEO satellite networks, it arises security concerns, in which the essential one is to secure the communication between the IoT devices and the LEO satellite network. However, some challenges inheriting from the LEO satellite networks need to be considered : 1) the dynamic topology; 2) the resource-constraint satellites; 3) the relative long latency; 4) multiple beams authentication. In particular, the centralized authentication schemes are no longer suitable for the emerging LEO satellite assisted IoT ecosystem. In this paper, we first introduce the architecture of the LEO satellite network assisted IoT ecosystem. Then, we propose an efficient and privacy-preserving blockchain-based authentication scheme. The proposed authentication scheme takes the advantages of certificateless encryption and consortium blockchain to provide lightweight key pair computation without appealing devices’ information and efficient signature querying and verification. In addition, a fast authentication mechanism is implemented in the scheme in order to reduce the time complexity from querying a certain record for the authentication within a satellite among multiple beams. With the analysis of the storage and computation complexity, the performance evaluation demonstrates the effectiveness of the proposed scheme. peerReviewed
Published: 2022

33. Kryptokaappaus ja sen torjunta

Author: Välipakka, Antti, Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences, and Tampere University
Subjects: Tietotekniikan DI-ohjelma - Master's Programme in Information Technology, haittaohjelmat, virtuaalivaluutta, kryptokaappaus, louhintahaittaohjelma, tietoturva
Abstract: Tämän diplomityön tavoitteena oli selvittää kryptokaappausten eri variaatioiden toimintamallit ja miten näiltä variaatioilta suojaudutaan. Työ tehtiin kirjallisuuskatsauksena. Pääsääntöisesti tietoa haettiin Tampereen yliopiston tarjoamalla Andor-hakupalvelulla. Lähteiksi valikoitui tieteellisiä artikkeleita ja tutkimuksia. Muutama lähde haettiin eri tietoturvayhtiöiden nettisivuilta. Nämä lähteet olivat esimerkiksi tietoturvayhtiöiden koostamia vuosiraportteja haittaohjelmista. Tiedonhakumenetelmänä käytettiin helmenkasvatusmenetelmää. Kryptokaappaus tarkoittaa tilannetta, jossa hyökkääjä ottaa luvattomasti uhrinsa laitteen haltuunsa ja alkaa louhia valitsemaansa kryptovaluuttaa alustalla ilman laitteen omistajan lupaa. Kryptokaappauksissa suositaan yleensä kryptovaluutta Moneroa sen tarjoaman vahvan anonymiteetin takia. Kryptokaappauksen yhteydessä hyökkääjän on mahdollista asentaa kaapatulle alustalle muitakin haittaohjelmia, asentaa takaovi myöhempää käyttöä varten ja varastaa tietoa. Varsinkin yrityskohteissa tiedon joutuminen vääriin käsiin on vaarallista. Kryptokaappaukset voidaan jakaa kahteen kategoriaan: tiedostopohjaisiin ja selainpohjaisiin. Tiedostopohjaisessa kryptokaappauksessa uhri huijataan asentamaan kryptolouhijan sisältävä tiedosto tai tiedosto ujutetaan uhrin laitteelle jotakin tietoturva-aukkoa hyödyntäen. Selainpohjainen kryptokaappaus tapahtuu nimensä mukaisesti nettiselaimessa. Selainpohjainen kryptokaappaus tapahtuu, kun uhri vierailee kryptolouhijan sisältävällä nettisivulla. Kryptokaappauksista aiheutuvia haittoja ovat prosessorin kulutus, laitteiston mahdollinen hajoaminen, kaappauksen yhteydessä tulevat muut haittaohjelmat ja tiedon varastaminen. Prosessorin kulutus ilmenee siten, että laite toimii hitaasti tai pahimmassa tapauksessa laitteen suorituskyky romahtaa ja tekee laitteen käyttökelvottomaksi. Laitteiston hajoaminen koskee lähinnä älypuhelimia, jotka ovat haavoittuvaisia selainpohjaisille kryptokaappauksille. Tiedostopohjaisissa kryptokaappauksissa on helppo ujuttaa muita haittaohjelmia kryptolouhijan lisäksi. Kryptokaappauksilta suojautumiseen on useita tapoja. Tärkein tapa on tietoturvavalppaus, jolla estetään hyökkäystä tapahtumasta. Tehokkainkaan suojautumismekanismi ei estä kryptokaappauksia ja muita haittaohjelmia, jos laitteen käyttäjän tietoturvavalppaus ei ole ajan tasalla. Kryptokaappauksen tapahduttua tarvitaan muita suojautumiskeinoja, kuten esimerkiksi mustalistaukseen perustuva havainnointi, jota voidaan hyödyntää myös nettiselainten selainlaajennuksissa. Laitteen verkkoliikennettä ja suorituskykyä voidaan myös analysoida ja tutkia kryptokaappausten havainnoimiseksi. Pilvipalveluille, jotka ovat otollisia kohteita kryptokaappauksille niiden lähes rajattomien resurssien takia, on olemassa nimenomaan pilvipalveluille suunniteltuja suojausmekanismeja ja -työkaluja. Tällaisia työkaluja ovat esimerkiksi RADS ja MineGuard. Yksityishenkilöiden laitteita voidaan suojata joissakin määrin perinteisillä virustentorjuntaohjelmistoilla, mutta niillä on omat rajoitteensa kryptolouhijoiden ja muiden haittaohjelmien käyttämän hämäännyttämisen takia. Työn tuloksena huomattiin, että kryptokaappaukset ovat jatkuvasti kehittyvä uhka ja että ne aiheuttavat huomattavia kuluja varastaessaan kaappaamansa alustan laskentatehoa. Kulut nousevat isoiksi varsinkin pilvipalvelualustoilla. Yrityskohteissa tiedon varastaminen kryptokaappauksen ohella on myös iso riski.
Published: 2022

34. Family Matters : Abusing Family Refresh Tokens to Gain Unauthorised Access to Microsoft Cloud Services Exploratory Study of Azure Active Directory Family of Client IDs

Author: Ryan Cobb, Anthony Larcher-Gore, Nestori Syynimaa, Filipe, Joaquim, Smialek, Michal, Brodsky, Alexander, and Hammoudi, Slimane
Subjects: Azure Active Directory, authorisation, pilvipalvelut, pääsynvalvonta, todentaminen, OIDC, OAuth, authentication, privilege escalation, security, FRT, tietoturva, Azure AD
Abstract: Azure Active Directory (Azure AD) is an identity and access management service used by Microsoft 365 and Azure services and thousands of third-party service providers. Azure AD uses OIDC and OAuth protocols for authentication and authorisation, respectively. OAuth authorisation involves four parties: client, resource owner, resource server, and authorisation server. The resource owner can access the resource server using the specific client after the authorisation server has authorised the access. The authorisation is presented using a cryptographically signed Access Token, which includes the identity of the resource owner, client, and resource. During the authorisation, Azure AD assigns Access and Id Tokens that are valid for one hour and a Refresh Token that is valid for 90 days. Refresh Tokens are used for requesting new Access and Id token after their expiration. By OAuth 2.0 standard, Refresh Tokens should only be able to be used to request Access Tokens for the same resource ow ner, client, and resource. In this paper, we will present findings of a study related to undocumented feature used by Azure AD, the Family of Client ID (FOCI). After studying 600 first-party clients, we found 16 FOCI clients which supports a special type of Refresh Tokens, called Family Refresh Tokens (FRTs). These FRTs can be used to obtain Access Tokens for any FOCI client. This non-standard behaviour makes FRTs primary targets for a token theft and privilege escalation attacks. peerReviewed
Published: 2022

35. New Insights into the Justifiability of Organizational Information Security Policy Noncompliance : A Case Study

Author: Wael Soliman and Hojat Mohammadnazar
Subjects: tietosuoja, työntekijät, organisaatiot, asenteet, tietoturva
Abstract: Information security policies as apparatus for communicating security principles with employees are the cornerstone of organizational information security. Resultantly, extant literature has looked at different theories to better understand the noncompliance problem. Neutralization theory is emerging as one of the most popular approaches, not only as an explanation but also as a solution. In this in-depth qualitative study, we ask the question ‘how do employees justify violating the ISP’? Our findings reveal nine rationalizing techniques, three of which have not been recognized in previous research. We label them ‘I follow my own rules’, ‘matter of mere legality’ and ‘defense of uniqueness’. But more importantly, our in-depth insights point to the danger of taking these rationalizations out of context, since without context, it becomes impossible to judge whether the behavior or the rule, needs correcting, reflecting a dilemma recognized in the original writing of neutralization theory, which has since been forgotten. peerReviewed
Published: 2022

36. Common Misunderstandings of Deterrence Theory in Information Systems Research and Future Research Directions

Author: Mikko Siponen, Wael Soliman, and Anthony Vance
Subjects: information security policy compliance, Computer Networks and Communications, ohjeidenmukainen käyttäytyminen, tietoturvapolitiikka, tietoturva, deterrent effect, pelotteet, peloteteoria, deterrence theory, Management Information Systems, tietojärjestelmät
Abstract: In the 1980s, information systems (IS) borrowed deterrence theory (DT) from the field of criminology to explain information security behaviors (or intention). Today, DT is among the most commonly used theories in IS security research. Our review of IS research applying DT highlights that many fundamental assumptions of DT are unrecognized and therefore unexamined. This may have resulted in misunderstandings and conceptual confusions regarding some of the basic concepts of DT. For example, some IS studies confuse general deterrence with specific deterrence or do not recognize the difference between the two. Moreover, these fundamental assumptions, when directly examined, may provide important information about the applicability of DT in certain IS security contexts. This research commentary aims to identify and discuss some of the fundamental assumptions of DT and their implications for IS research. By examining these assumptions, IS researchers can study the previously unexplored aspects of DT in different IS contexts. Further, by recognizing these assumptions, IS scholars can revise them and build new variants of DT to better account for specific characteristics of IS behaviors and contexts.
Published: 2022

37. Tietoturva sosiaalisessa mediassa: uhat ja varautuminen

Author: Merisalo, Teemu, Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences, and Tampere University
Subjects: tietojenkalastelu, Tietotekniikan DI-ohjelma - Master's Programme in Information Technology, disinformaatio, yksityisyys, sosiaalinen media, misinformaatio, tietoturva, verkkoviestintä, valeuutiset
Abstract: Sosiaalisen median käyttäjämäärät ovat huomattavassa kasvussa ja koskevat yhä useammin eri tietoteknisen taustan sekä iän omaavia henkilöitä. Sosiaalisen median tietoturvan edistymisen myötä, käyttäjien tietoturvan sekä tietoisuuden olisi aiheellista pysyä kehityksessä mukana. Palveluiden tulee ylläpitää sekä päivittää tarjoamiaan tietoturvaominaisuuksia ehkäisemällä käyttäjien tietoturvattomuutta alustoillaan. Tutkimus käsitteli tietoturvaa peruskäyttäjän näkökulmasta, jolloin saatiin kartoitettua käyttäjän tietoturvan tasoa ottamatta kantaa henkilön tietotekniikan lähtötasoon. Tutkimuksessa kartoitettiin sosiaalisen median alustoilla esiintyviä tämänhetkisiä tietoturvauhkia sekä niiden yleisyyttä. Tutkimuksessa myös selvitettiin laaditun kyselyn avulla käyttäjien tietoturvakäytäntöjä, tietoisuutta sekä sitä, ovatko käyttäjät kohdanneet tutkimuksessa käsiteltyjä kirjallisuudesta esille nousseita tietoturvauhkia. Tutkimuksessa päätavoitteena oli selvittää, miten käyttäjien sosiaalisen median tietoturvaa voitaisiin parantaa sekä lisätä heidän tietoisuuttaan. Tavoitteeseen pyrittiin vastaamaan analysoimalla käyttäjiltä saatuja vastauksia heidän tietoturvastaan. Tutkimuksessa selvitettiin disinformaation sekä valeuutisten vaikutusta sosiaalisessa mediassa ja sitä, koetaanko valeuutiset ongelmaksi sosiaalisen median alustoilla. Tutkimuksessa tarkasteltiin käyttäjien luottamusta sosiaalisen median sisältöihin. Tutkimuksen kirjallisuuslähteinä hyödynnettiin vertaisarvioituja tutkimuksia sekä muita raportteja ja artikkeleita. Kirjallisuuslähteiden lisäksi tutkimuksessa käytettiin aineiston hankkimista varten laadittua kyselylomaketta, jossa tietoturvan opiskelijat haastattelivat tuttaviaan heidän sosiaalisen median tietoturvan kartoittamiskeksi. Kyselyn vastausten perusteella käyttäjien tietoisuus tutkimuksessa käsitellyistä tietoturvauhista oli pääosin hyvällä tasolla. Käyttäjien vastausten perusteella tietoisuuden lisäämiseksi perinteisen median tulisi lisätä tietoturvan ja tietoturvauhkia koskevan informaation levittämistä. Hyvästä tietoisuudestaan huolimatta käyttäjät nostivat esille sen, että tietoturvaohjeissa harvoin ohjeistetaan, miten tulisi toimia joutuessaan kyberrikoksen uhriksi. Tutkimuksen perusteella käyttäjien tulisi kiinnittää enemmän huomiota omaan tietoturva-arkeen, ja toteuttaa säännöllisesti hyviä tietoturvakäytäntöjä, sillä käyttäjillä on siihen tietotaitoa heidän vastaustensa perusteella. Tutkimuksen tulosten mukaan käyttäjien omia tietoturvakäytäntöjä tulisi kehittää ja mahdollistaa niiden hyödyntäminen tietoturva-arjessa. Käyttäjien tulisi kiinnittää enemmän huomiota tiedon todenmukaisuuden varmistamiseen. Vastaajat toivovat ajankohtaista informaatiota tietoturvauhista ja tietoa tietoturvaohjeistuksista. Käyttäjiä tulisi ohjeistaa laajemmin valeuutisia sekä disinformaatiota varten erityisesti kriisien aikana.
Published: 2022

38. A Review of GDPR Impacts on Information Security

Author: Hirvonen, Pauliina
Subjects: tietosuoja, henkilörekisterit, liiketoiminta, vaikutukset, tiedonhallinta, organisaatiot, tietoturva, kirjallisuuskatsaukset, riskit, tietojärjestelmät
Abstract: The aim of this literature review is to understand GDPR impacts on information security in organisations. The research question is: What outcomes previous research reveal about the GDPR impacts on information security development? Findings indicated that GDPR has had several impacts divided in six categories here: user profiling and data collection, business impacts, management and compliance, personal competences, skills and career, authorization, authentication and notification obligation and data storage. Findings also indicated that even though GDPR had upraised information security and data protection requirements, it has caused also challenges. Previous research raised important separate issues of GDPR impacts of information security, but did not addressed topic comprehensively. Previous literature did not report best practices of how organisational GDPR impacts are examined. To fill this gap, the framework for observing GDPR impacts of organisations was built. peerReviewed
Published: 2022

39. Exploring Azure Active Directory Attack Surface: Enumerating Authentication Methods with Open-Source Intelligence Tools

Author: Syynimaa, Nestori, Filipe, Joaquim, Smialek, Michal, Brodsky, Alexander, and Hammoudi, Slimane
Subjects: Azure Active Directory, pääsynvalvonta, todentaminen, attack, tietoturva, Azure Ad, OSINT, verkkohyökkäykset, SAML, enumeration, Kerberos
Abstract: Azure Active Directory (Azure AD) is Microsoft’s identity and access management service used globally by 90 per cent of Fortune 500 companies and many other organisations. Recent attacks by nation-state adversaries have targeted these organisations by exploiting known attack vectors. In this paper, open-source intelligence (OSINT) is gathered from organisations using Azure AD to explore the current attack surface. OSINT is collected from Fortune 500 companies and top 2000 universities globally. The collected OSINT includes authentication methods used by the organisation and the full name and phone number of the primary technical contact. The findings reveal that most organisations are using Azure AD and that majority of these organisations are using authentication methods exploited during the recent attacks by nation-state adversaries. peerReviewed
Published: 2022
Full Text: View/download PDF

40. Julkisen avaimen infrastruktuuri pilvipalveluissa

Author: Aarnio, Ville, Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences, and Tampere University
Subjects: Tietotekniikan DI-ohjelma - Master's Programme in Information Technology, pilvipalvelut, varmenteet, tietoturva
Published: 2022

41. Towards a Security Competence of Software Developers

Author: Nana Assyne, Yaokumah, Winfred, Rajarajan, Muttukrishnan, Abdulai, Jamal-Deen, Wiafe, Isaac, and Katsriku, Fardinan Apietu
Subjects: 021110 strategic, defence & security studies, ohjelmistokehittäjät, Knowledge management, business.industry, Computer science, ohjelmistotuotanto, 0211 other engineering and technologies, 020207 software engineering, 02 engineering and technology, Software, kompetenssi, 0202 electrical engineering, electronic engineering, information engineering, ammattitaito, tietoturva, ohjelmistokehitys, business, Competence (human resources)
Abstract: Software growth has been explosive as people depend heavily on software on daily basis. Software development is a human-intensive effort, and developers' competence in software security is essential for secure software development. In addition, ubiquitous computing provides an added complexity to software security. Studies have treated security competences of software developers as a subsidiary of security engineers' competence instead of software engineers' competence, limiting the full knowledge of the security competences of software developers. This presents a crucial challenge for developers, educators, and users to maintain developers' competences in security. As a first step in pushing for the developers' security competence studies, this chapter utilises a literature review to identify the security competences of software developers. Thirteen security competences of software developers were identified and mapped to the common body of knowledge for information security professional framework. Lastly, the implications for, with, and without the competences are analysed and presented.
Published: 2022
Full Text: View/download PDF

42. Viiveiden vaikutus etätyöskentelyyn : Konesalin sijainnin vaikutus Hybridi IT -mallissa

Author: Ijäs, Roni, Johtamisen ja talouden tiedekunta - Faculty of Management and Business, and Tampere University
Subjects: tietoliikenne, verkkoviive, etätyö, Johtamisen ja tietotekniikan DI-ohjelma - Master's Programme in Management and Information Technology, tietotekniikka, tietoturva
Abstract: Työn aiheena on selvittää miten viiveet vaikuttavat etätyöskentelyyn niin sanotussa Hybridi IT -mallissa, jossa työtä voidaan tehdä joustavasti niin kotona kuin toimistolla käyttäen apuna etäyhteyksiä. Tarve laajaan etätyöskentelyyn syntyi vuoden 2020 aikana ICT-alaakin mullistaneen pandemian seurauksena. Toimistoille syntynyt tyhjä tila ohjasi työnantajia kehittämään joustavaa paikatonta mallia, jossa työtä voidaan tehdä kulloinkin sopivalla tavalla. Hybridi IT voidaan nähdä jatkona Bring Your Own Device -mallille, jossa työskentelyyn käytetään pääsääntöisesti omia päätelaitteita. Työpöydän tuominen käyttäjälle etäyhteydellä vapauttaa IT-henkilöstön resursseja, mutta luo myös uudenlaisia ongelmia. Aluksi työssä määritellään palvelun alustaratkaisu, hinta ja sijainti. Alustaratkaisun vaikutusta etätyöskentelyn viiveisiin voidaan pitää työn kannalta epäoleellisena. Alustaratkaisu ja mittausympäristö rajataan Windows -käyttöjärjestelmäympäristöön. Työssä käytetään kaupallisia sovelluksia ja palveluita, mutta niiden hinta rajataan työn ulkopuolelle. Konesaleista tuotetun palvelun käyttö rajataan maantieteellisesti Suomeen ja Eurooppaan. Työ aloitetaan käymällä läpi etätyöskentelyyn liittyviä ongelmia, joista merkittäviksi tunnistetaan verkkoyhteys ja yleisrasite. Tarkasteltaessa internet -yhteyttä tietoliikenteen kulkema reitti voi olla moninainen. Tässä työssä internet -yhteyden vaikutusta viiveeseen tarkastellaan kahdella yleisellä tekniikalla, valokuidulla ja mobiiliverkkoihin perustuvalla liikkuvalla laajakaistalla. Toinen etätyöskentelyyn läheisesti liittyvä ongelma on yleisrasite ja sen lisäämä viive. Yleisrasitetta etäyhteysratkaisuihin lisää vahva salaus ja tiedon pakkaaminen. Työtä jatketaan esittelemällä muutama yleisesti käytössä oleva etätyöratkaisu, kuten VPNyhteys, Citrix ja Remote Desktop -yhteyteen perustuva Azure Virtual Desktop. Seuraavaksi luodaan katsaus tietoturvaan fyysisestä, lakiteknisestä ja tietoteknisestä näkökulmasta. Fyysistä tietoturvaa tarvitaan, kun etäyhteysratkaisu perustuu etäyhteyteen yrityksen omissa toimitiloissa fyysisesti sijaitsevaan työasemaan tai palvelimeen. Lainsäädäntö tulee mukaan, kun tieto on EU:n yleisen tietosuoja-asetuksen alaista tai kun organisaatio on mukana hankkeissa, joissa käsitellään viranomaisen turvallisuusluokittelemaa tietoa. Tietotekninen osuus keskittyy yhteyksien suojaamiseen ja salaamiseen. Tietoliikenneyhteyksien suojaamiseen käytetyistä tekniikoista käydään läpi VPN-yhteys ja laajasti käytössä oleva TLS-protokolla. Samalla esitellään suojaus ja salaustekniikoiden historiaa ja kehitystä, luoden lopuksi katsaus nykyisin käytössä oleviin tekniikoihin kuten kaksivaiheinen tunnistautuminen. Työn tutkimusosa aloitetaan mittaamalla tietoliikenteen viivettä eri yhteystekniikoilla Suomessa sijaitsevaan konesaliin. Viiveet mitataan myös Eurooppaan, jonka jälkeen tutkitaan miten verkkoyhteyden tyyppi vaikuttaa viiveisiin. Lopuksi tutkitaan käyttökokemusta mittaamalla etätyöpöydän ruutunopeuden vaikutusta kokonaisviiveeseen. Tutkimustulokseksi saadaan, että viive vaikuttaa etätyöskentelyyn silloin kun kokonaisviive ylittää ruutunopeuden määrittämän enimmäisajan. Mitattu kokonaisviive voi ylittyä verkkoviiveestä, yleisrasitteen lisäämästä viiveestä tai näiden yhdistelmästä. Yleisrasitteen vaikutus ruutunopeuteen korostuu, kun etätyöratkaisua käytetään virtuaalikoneella, jonka resurssit eivät riitä ruutunopeuden ylläpitämiseen.
Published: 2022

43. Revisiting neutralization theory and its underlying assumptions to inspire future information security research

Author: Soliman, Wael and Mohammadnazar, Hojat
Subjects: underlying assumptions, ohjeet, työntekijät, tietoturvapolitiikka, neutralization theory, neutralointiteoria, tietoturva, kyberturvallisuus, ISP violations, tietojärjestelmät
Abstract: Over two decades ago, neutralization theory was introduced to information systems research from the field of criminology and is currently emerging as an influential foundation to both explain and solve the information security policy noncompliance problem. Much of what we know about the theory focuses exclusively on the neutralization techniques identified in the original as well as subsequent criminological writings. What is often left unexamined in IS research is the underlying assumptions about the theory’s core elements; assumptions about the actor, the act, the normative system, and the nature of neutralizing itself. The objective of this commentary is to revisit the origin of neutralization theory to identify its core assumptions and to lay a foundation for future IS research inspired by these assumptions. This paper points to five core assumptions: (1) The actor is an early-stage offender; (2) The act is shameful; (3) Neutralizing precedes and facilitates deviance; (4) Normative rules are disputable; and (5) Specific neutralization techniques are more relevant to specific violations. Ignoring these underlying assumptions could lead to a situation where we make unfounded claims about the theory or provide practitioners with harmful, rather than helpful, guidance. nonPeerReviewed
Published: 2022

44. Strategic Cyber Environment Management with Zero Trust and Cyber Counterintelligence

Author: Bodström, Tero T.
Subjects: rikollisuus, kybersodankäynti, turvallisuus, tietoturvapolitiikka, riskienhallinta, tietoturva, vastavakoilu, kyberturvallisuus, ennakointi, zero trust, cyber counterintelligence, information security strategy
Abstract: Organisations need to improve their information security practices, given the volume of successful cyberattacks and crimes. To enhance security in an organisation, information security must be considered a business issue, instead of a technical problem. Hence, organisations must change the security protocol from reactive action to proactive operation; must develop information security strategies that support the business; should implement better controls, systems, and services; and must create a process to proactively gather information about the possible threats and adversaries. This study proposes a novel method for combining a zero-trust strategy with cyber counterintelligence to gain the required security level and situational awareness to encounter modern threats. peerReviewed
Published: 2022

45. Beyond economic and financial analyses : A revelatory study of IT security investment decision-making process

Author: Kohli, Rajiv, Sarker, Suprateek, Siponen, Mikko, and Karjalainen, Mari
Subjects: behavioral, johtaminen, cybersecurity, päätöksenteko, revelatory study, IT security, tietoturva, tietotekniikka, kyberturvallisuus, decision making, investoinnit, yritykset, tietojärjestelmät
Abstract: Information Technology (IT) security breaches and the extent of damage they may cause to an organization are inherently uncertain. Therefore, managers’ decisions about whether to make IT security investment (ITSI) and how much, depend upon a subjective assessment of the economic value of the investment and the likelihood of the damage to the organization. When managers delay or fail to decide on whether and how much to invest in IT security, it can make organizations vulnerable to operational and strategic perils. Based upon interviews, document reviews, and observations in three organizations in Finland that made ITSI decisions to acquire a secure email application system, we examined the process through which ITSI decisions were made. Using institutional logics as the theoretical scaffolding, we find that ITSI decisions are driven by more than economic and financial analyses. We find that when stakeholders’ logics conflict with each other’s logics, framing through discourse gives way to a dominant logic, or a hybrid logic which in turn results in an ITSI decision outcome. Trigging events, within or outside the organizations, can lead to iterations of the decision-making process. Using the metaphor of a spiral, we illustrate the repetitive iterations through which institutional logics shape stakeholders’ ITSI decision-making process. nonPeerReviewed
Published: 2022

46. Renewing access management of multitenant VPN service

Author: Leppänen, Marko, Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences, and Tampere University
Subjects: Tietotekniikan DI-ohjelma - Master's Programme in Information Technology, pääsynvalvonta, käyttöoikeus, todentaminen, access control, remote access, authentication, tietoturva
Abstract: The use of VPN remote access services, especially in companies, has grown significantly in recent years as remote work has become more common. Users who log in to the service must be authenticated and access to the network must be authorized according to their identity rights. The thesis introduces the implementation of identity and access management from the perspective of a VPN remote access service provider. The service operates in a multitenant environment that sets its own requirements for access management. For multitenancy, an essential feature is the logical separation of customers from each other. The separation is also needed for user account managers on a customer-by-customer basis. A remote VPN sets its own requirements, such as storing and managing account-specific network properties. The paper presents the shared VPN service of the IT service provider company and its current access management solution, which is intended to be replaced. To this end, the system is examined and based on it, problem areas and recommendations for the new system are listed. The study finds that the architecture of the system is very complex and causes additional manual work for administrators. This is exacerbated by the shortcomings of the tool used to manage VPN user accounts. A more secure replacement for the current solution is planned through practices and standards of identity and access management. The research method utilized is design science, which is used to iterate through solution options. It has the advantage of identifying the strengths and weaknesses of the solution at an early stage. This saves time and resources. The result is an access management implementation proposal for the company's VPN service, which can replace the current solution. The proposal introduces the selected tools and processes and the options between which a choice was made. Selecting authentication protocol is a key decision that affects options in other access management parts. The choice was made between the LDAP, RADIUS and SAML protocols, of which LDAP proved to be the only suitable option due to the strict requirements of the environment. Based on the findings of the study, the Microsoft Active Directory (AD) service was chosen as identity store. This is influenced by the AD expertise found in the company's personnel, which guarantees maintenance and development competence. In addition, there is existing support for integrating AD into the company's privileged account management. Challenges are posed by some of the account life cycle management tasks and reporting constraints. The work proposes a solution to these with a company's automation system to which the directory service can be connected. The proposed solution enables more flexible customization of VPN access control while simplifying the management of user accounts. By evaluating the implementation proposal against a set of criteria and the requirements created on the basis of the current system, it is considered to be the recommended solution for the deployment. The work brings added value by presenting solutions that will be taken to further development. New two-factor authentication methods and role-based access control (RBAC) are the most important. These cannot be implemented for current customers during system migration but are recommended to be implemented in the future.
Published: 2022

47. Information Security Risk Assessments following Cybersecurity Breaches : The Mediating Role of Top Management Attention to Cybersecurity

Author: Faheem Ahmed Shaikh and Mikko Siponen
Subjects: post-breach management, top management team, General Computer Science, cybersecurity governance, risk assessment, riskinarviointi, tietotekniikka, yritykset, cybersecurity breach, attention-based view, tietoturva, kyberturvallisuus, tietomurto, johtoryhmät, Law, riskit, tietojärjestelmät
Abstract: Information Systems (IS) research on managerial response to cybersecurity breaches has largely focused on externally oriented actions such as customer redressal and crisis response. Within the firm itself, a breach may be a symptom of systematic problems, and a narrow, siloed focus on only fixing immediate issues through technical fixes and controls might preclude other managerial actions to ensure future cybersecurity. Towards this end, Information Security Risk Assessments (ISRA) can help surface other vulnerabilities following a breach. While the role of governance in such exercises is emphasized in standards, it is undertheorized in IS research and lacks empirical evidence. We draw on the attention-based view to theorize that the principles of focus of attention, structural distribution of attention, and situated attention can lead to the top management team (TMT) according greater attention to cybersecurity following relatively high breach costs. Using firm level data, we find that high breach costs result in greater TMT attention to cybersecurity, while also making it more likely that firms will carry out an ISRA. Moreover, TMT attention to cybersecurity partially mediates the relation between breach costs and the decision to carry out an ISRA. We theorize that this is because the TMT is best positioned to oversee resource allocation, consider business implications, and centrally orchestrate an ISRA. Our findings stress the need for the cybersecurity function to work with the TMT in managing breach response. peerReviewed
Published: 2023
Full Text: View/download PDF

48. Artificial Intelligence for Cybersecurity: A Systematic Mapping of Literature

Author: Abigail Wiafe, Emmanuel Nyarko Obeng, Stephen R. Gulliver, Felix Nti Koranteng, Isaac Wiafe, and Nana Assyne
Subjects: Artificial intelligence and cybersecurity, cybersecurity, General Computer Science, Computer science, information security, systematic reviews, protocols, 02 engineering and technology, Intrusion detection system, tekoäly, Computer security, computer.software_genre, 01 natural sciences, Domain (software engineering), systematic review, General Materials Science, kirjallisuuskatsaukset, tietoturva, kyberturvallisuus, systemaattiset kirjallisuuskatsaukset, tietoverkkorikokset, kyberrikollisuus, business.industry, 010401 analytical chemistry, General Engineering, artificial intelligence, 021001 nanoscience & nanotechnology, 0104 chemical sciences, Support vector machine, koneoppiminen, machine learning, computer crime, Artificial intelligence, lcsh:Electrical engineering. Electronics. Nuclear engineering, Systematic mapping, Intrusion prevention system, 0210 nano-technology, business, computer, lcsh:TK1-9971, Qualitative research
Abstract: Due to the ever-increasing complexities in cybercrimes, there is the need for cybersecurity methods to be more robust and intelligent. This will make defense mechanisms to be capable of making real-time decisions that can effectively respond to sophisticated attacks. To support this, both researchers and practitioners need to be familiar with current methods of ensuring cybersecurity (CyberSec). In particular, the use of artificial intelligence for combating cybercrimes. However, there is lack of summaries on artificial intelligent methods for combating cybercrimes. To address this knowledge gap, this study sampled 131 articles from two main scholarly databases (ACM digital library and IEEE Xplore). Using a systematic mapping, the articles were analyzed using quantitative and qualitative methods. It was observed that artificial intelligent methods have made remarkable contributions to combating cybercrimes with significant improvement in intrusion detection systems. It was also observed that there is a reduction in computational complexity, model training times and false alarms. However, there is a significant skewness within the domain. Most studies have focused on intrusion detection and prevention systems, and the most dominant technique used was support vector machines. The findings also revealed that majority of the studies were published in two journal outlets. It is therefore suggested that to enhance research in artificial intelligence for CyberSec, researchers need to adopt newer techniques and also publish in other related outlets. peerReviewed
Published: 2020

49. Method Framework for Developing Enterprise Architecture Security Principles

Author: Jarkko Nurmi, Sara Larno, and Ville Seppänen
Subjects: Process management, lcsh:T58.5-58.64, information security, lcsh:Information technology, Computer science, Emerging technologies, enterprise architecture management, constructive research, tietoturvapolitiikka, Enterprise architecture, Information security, yritykset, enterprise architecture principle, Body of knowledge, information security policy, Constructive research, Enterprise Architecture Management, Enterprise Architecture Principle, Information Security, Information Security Policy, Method Framework, Constructive Research, Enterprise architecture management, General Materials Science, kokonaisarkkitehtuuri, tietoturva, Set (psychology), Empirical evidence, method framework, tietojärjestelmät
Abstract: Organizations need to consider many facets of information security in their daily operations – among others, the rapidly increasing use of IT, emerging technologies and digitalization of organizations’ core resources provoke new threats that can be difficult to anticipate. It has been argued that the security and privacy considerations should be embedded in all the areas of organizational activities instead of only relying technical security mechanisms provided by the underlying systems and software. Enterprise Architecture Management (EAM) offers a holistic approach for managing different dimensions of an organization, and can be conceived as a coherent and consistent set of principles that guide how the enterprise must be designed. This article contributes with a method framework for integrating information security with EAM, aimed at providing support for the decision-making related to formulating context-aware EA security principles. The presented method framework is a result of a constructive research based on both the theoretical body of knowledge and the empirical evidence, obtained by interviewing 35 Finnish EA and information security practitioners. peerReviewed
Published: 2019
Full Text: View/download PDF

50. Hypervisor-Based White Listing of Executables

Author: Amit Resh, Michael Kiperberg, Roee Leon, Asaf Algawi, Anat Anatey Leon Zabag, and Nezer Jacob Zaidenberg
Subjects: operating systems, microprogramming, databases, virtualisointi, Computer Networks and Communications, Computer science, 0211 other engineering and technologies, Listing (computer), 02 engineering and technology, computer.software_genre, 020204 information systems, Microcode, 0202 electrical engineering, electronic engineering, information engineering, Code (cryptography), Overhead (computing), virtual machine monitors, tietoturva, Electrical and Electronic Engineering, image segmentation, 021110 strategic, defence & security studies, käyttöjärjestelmät, Linux, Hypervisor, computer.file_format, monitoring, Operating system, ohjelmointi, Executable, Law, computer
Abstract: We describe an efficient system for ensuring code integrity of an operating system (OS), both its own code and application code. The proposed system can protect from an attacker who has full control over the OS kernel. An evaluation of the system's performance suggests the induced overhead is negligible. peerReviewed
Published: 2019
Full Text: View/download PDF

Catalog

Books, media, physical & digital resources

See catalog results

Searchworks

Select search scope, currently: Articles Catalog books, media & more in Jio Institute collections Articles journal articles & other e-resources

Search

Search Constraints

Refine your results

Search Limiters

Topic

Publication Year Range

Language

Publication Type

Journal

Database

Publisher

263 results on '"tietoturva"'

Search Results

Catalog

Select search scope, currently: Articles

Catalog

books, media & more in Jio Institute collections

Articles

journal articles & other e-resources