SLA-kontrakt för ökad molnsäkerhet
SLA-kontrakt för ökad molnsäkerhet
Intervjupersoners uppfattningar om säkerhetsmått och säkerhetsramverk som förtydligar SLA-kontrakt för molnbaserade tjänster
Xxxxxx Xxxxxxxxx
Informatik B-uppsats
Termin: VT-22
Handledare: Xxxxxxxxx Xxxxxx
Sammanfattning
Mindre företag och organisationer har uttryckt ovilja att använda molntjänster på grund av otydliga säkerhetsvillkor. Skälet är att de Service Level Agreements (SLA) som reglerar ansvaret för säkerheten i Molnet, bland annat vad gäller datalagring och skydd av personuppgifter, upplevs vara otydliga. Syftet med denna studie var därför att undersöka vad användare av molntjänster anser om de säkerhetsramverk och säkerhetsmått som används i SLA-kontrakt för molntjänster. Genom semistrukturerade intervjuer av fyra personer och analys av intervjuerna visade resultatet att användarna ansåg att de säkerhetsramverk som användes i SLA-kontrakt för molnbaserade tjänster var för otydliga genom att vara alltför generella och inte tillräckligt relevanta för den egna verksamheten. Användarna ansåg att de säkerhetsmått som tillämpades i SLA-kontrakten skulle kunna vara tydligare genom att vara mer detaljerade och relevanta för den egna verksamheten. Slutsatsen blev därför att etablerade säkerhetsramverk som NIST, ISO och COBIT inte tillmötesgick användarnas behov av specifika och relevanta säkerhetsramverk och säkerhetsmått i SLA. En lösning skulle därför vara att använda mjukvara för att automatiskt generera SLA-kontrakt utifrån tydligare samt mer specifika och relevanta säkerhetsmått. En sådan lösning skulle öka användarnas upplevelse av säkerhet genom SLA och öka deras användning av molntjänster.
Nyckelord: Datasäkerhet, molntjänster, informationssäkerhet, SLA, säkerhetsramverk
Ordlista
Användare: Med ”användare” avses i denna uppsats de enskilda personer, mindre företag och organisationer som använder molntjänster i sin dagliga hantering av datatrafik (Itfikhar et al., 2017).
COBIT: Control Objectives for Information Technologies (COBIT) är ett välkänt internationellt säkerhetsramverk som kan användas för att hantera IT-säkerhet. COBIT används vanligtvis i företags digitala affärssystem och används ofta som underlag i SLA- kontrakt (Tariq, 2018).
ISO: International Standard for Information Security (ISO) är ett internationellt säkerhetsramverk som ofta används för att definiera potentiella säkerhetshot i organisationer, exempelvis i deras IT-säkerhetssystem. Här kan nämnas ISO/IEC 27017 som utvecklats specifikt för molntjänsteleverantörer och användare för att skapa en säkrare molnbaserad IT- miljö (Xxxxx et al., 2018).
NIST: National Institute of Standards and Technology (NIST) är ett ramverk som bland annat används för att organisera och förbättra organisationers cybersäkerhetsprogram. Ramverket består av en uppsättning riktlinjer och bästa praxis för att hjälpa organisationer att förebygga och hantera IT-säkerhet (Tash & Ghernaouti, 2008).
SLA: Service Level Agreement (SLA) är den överenskommelse som anger förväntningar och ansvarsfördelningar mellan tjänsteleverantören och användaren. SLA baseras på ett antal mått som beskriver de produkter/tjänster som ska levereras samt de IT-säkerhetshot som kan uppstå och hur de ska hanteras (Papadakis-Vlachopapadopoulosa et al., 2019).
Säkerhetsmått: De mått eller kriterier som används i säkerhetsramverk för att kategorisera de hot eller säkerhetsbrister som kan uppstå i ett informationssystem (Tariq, 2018).
Säkerhetsramverk: Teoretiskt ramverk som utifrån ett antal kriterier definierar de IT- säkerhetshot som kan uppstå och hur de ska förebyggas och hanteras, exempelvis som skydd från dataintrång (Tariq, 2018).
Innehållsförteckning
1.1 Bakgrund och problemformulering 1
1.2 Syfte och frågeställningar 3
2.3 Molnlagring och säkerhet 5
2.4 Molnsäkerhet inom ramen för CIA 5
2.6.1 Användares syn på säkerhetsmått molntjänster 7
2.7 Säkerhetsramverk för SLA 8
2.7.1 Användares syn på säkerhetsramverken 9
3.3. Metodens styrkor och svagheter 12
3.4 Etiska ställningstaganden 12
4.1 Ignorerade säkerhetsramverk 13
4.2 Xxxxxx säkerhetsmått för individuella säkerhetsbehov 14
4.3 Önskan efter specificerade SLA-kontrakt 14
5.1 Ignorerade säkerhetsramverk 16
5.2 Xxxxxx säkerhetsmått i förhållande till säkerhetsbehoven 17
5.3 Önskan efter specificerade SLA-kontrakt 17
Användarnas syn på säkerhetsramverken i SLA-kontrakten 19
Användarnas syn på säkerhetsmåtten i SLA-kontrakten 19
Användarnas syn på SLA-kontrakt i förhållande till säkerhetsramverk och säkerhetsmått 19
De senaste årtiondenas digitalisering har medfört stora förändringar i hur individer, företag och organisationer kommunicerar och arbetar i Sverige. Digitaliseringen har även inneburit nya lösningar för deras användning och lagring av digitala data. En av dessa lösningar är molnbaserade tjänster (Molntjänster eller Cloud services) som ger användare tillgång till lagrade data utan att behöva använda egen hårdvara (Rashid, & Xxxxxxxxxx, 2019). Molnbaserade tjänster innebär nya digitala säkerhetsproblem som behöver regleras genom så kallade Service Level Agreement (SLA) kontrakt. Dessa SLA-kontrakt bygger på säkerhetsmått som inte är väl definierade. Det leder till otydliga kontrakt för slutanvändarna och minskar benägenheten att använda molntjänster (Xxxxxxx et al., 2018). Denna brist på väl definierade SLA-kontrakt och de säkerhetsproblem som det kan medföra motiverar en studie som undersöker vilka säkerhetsmått och säkerhetsramverk som kan användas för tydliga och säkra SLA-kontrakt.
1.1 Bakgrund och problemformulering
Användare i form av mindre företag och organisationer har uttryckt tvivel över att använda molntjänster på grund av otydliga säkerhetsvillkor (Itfikhar et al., 2017). De har varit särskilt oroade över otillräckligt reglerade Service Level Agreements (SLA) mellan användaren och molnleverantören. Avtalen visade inte tydligt vilka säkerhetsmått som användes i SLA- kontrakten, t ex vad gäller ansvarsfördelning mellan användare och molntjänstleverantör. För att skapa en tillräckligt definierad SLA har hot och sårbarheter i molnsystemet vanligtvis granskats genom säkerhetsmått, men det har varit svårt att definiera vilket säkerhetsmått som ska användas för SLA-kontrakten (Papadakis-Vlachopapadopoulosa et al., 2019). Tidigare forskning visar att säkerhetsmåtten baserats på en uppsjö av värden som bland annat mäter databearbetningshastighet (Stantchev, 2009) hotbearbetning och riskbedömningar (Tash & Ghernaouti, 2008). Säkerhetsmåtten utgår vanligtvis från internationella säkerhetsramverk som International Standard for Information Security (ISO), Control Objectives for Information Technologies (COBIT) och National Institute of Standards and Technology (NIST). Men dessa säkerhetsmått och säkerhetsramverk har inte alltid blivit accepterade i forskningen som grund för att upprätta pålitliga och lättförståeliga SLA-kontrakt (Tariq, 2018).
Senare forskning har även undersökt mjukvaror som skapar automatiskt utarbetade SLA- kontrakt baserade på individuella behov hos varje användare. Men dessa mjukvaror har mött
samma problem med löst definierade säkerhetsmått och det skapar fortfarande otydliga SLA- kontrakt för skilda typer av enskilda användare (Halabi et al., 2019).
Inom ramen för CIA (confidentiality, tillgänglighet och integritet) och SaaS kan säkerheten visserligen ökas genom lösningar som exempelvis automatiska säkerhetskopieringar, datasegregering, HTTPS-anslutningar, kommunikation mellan flera noder, VPN (Virtual Private Network), cachning av webbdata, Memcache genom brandvägg och ”säkrare” molndatalagring (Basishtha & Boruah, 2013) och dessa molnbaserade säkerhetsåtgärder kan fastställas i SLA. Emellertid kvarstår problemet att skapa unikt anpassade SLA-kontrakt som utgår från säkerhetsmått och accepterade säkerhetsramverk som slutanvändarna förstår.
Forskningen visar även att det existerar molnbaserade säkerhetslösningar, bland annat i form av automatiska säkerhetskopieringar, datasegregering, HTTPS-anslutningar, VPN, cache, brandvägg och uppdaterad molndatalagring, och dessa molnbaserade säkerhetslösningar kan rentav fastställas i SLA-kontrakt (Talbot, 2010; Potluri et al., 2020). Däremot kvarstår problemet med att skapa SLA-kontrakt som är anpassade till varje användares säkerhetsbehov och som tillmötesgår etablerade säkerhetsramverk (Tabrizchi, & Rafsanjani, 2020).
Sammanfattningsvis framgår genom uppsatsens bakgrundsbeskrivning att det är nödvändigt att få djupare insikter i användares önskemål och erfarenheter av de säkerhetsmått och säkerhetsramverk som kan användas i SLA-kontrakt för molnbaserade tjänster. I nuläget existerar visserligen etablerade säkerhetsmått och internationellt erkända säkerhetsramverk. Problemet är att de fortfarande inte tycks vara anpassade till molnbaserade tjänster. Inte heller tycks SLA-kontrakten tillmötesgå molnanvändarnas önskemål om tydliga och pålitliga villkor. På grund av denna säkerhetsbrist motiveras en studie som undersöker vilka säkerhetsmått för molntjänster som användare anser skapar pålitliga och tydliga SLA-kontrakt i linje med internationella säkerhetsramverk. En sådan studie skulle kunna bidra till att fylla ett kunskapsgap i forskningen och öka användares motivation att använda molnbaserade tjänster.
1.2 Syfte och frågeställningar
Syftet med denna studie är att undersöka vad användare av molntjänster anser om de säkerhetsramverk och säkerhetsmått som används i SLA-kontrakt för molntjänster i förhållande till internationellt etablerade ramverk för datasäkerhet. Detta syfte leder till följande forskningsfrågor.
• Vad anser användare av molnbaserade tjänster om de säkerhetsramverk som används i deras SLA-kontrakt?
• Vad anser användare av molnbaserade tjänster om de säkerhetsmått som används i deras SLA-kontrakt?
• Hur uppfattas SLA-kontrakten i förhållande till de säkerhetsramverk och säkerhetsmått som används?
Uppsatsen avgränsar sig till säkerhetsmått och säkerhetsramverk som används för (a) molnbaserade tjänster (b) SLA-kontrakt och (c) enskilda användare i form av individer och enskilda mindre företag och organisationer med fokus på IT-säkerhet i Sverige. Skälet till att exkludera större företag och organisationer är att de har större resurser att tolka och förhandla SLA-kontrakt.
I kapitel 2 presenteras forskning om molntjänster och vilka säkerhetsproblem som de kan innebära och säkerhetsramverk som ofta utgör grund för SLA-relaterade säkerhetsmått i molnbaserade tjänster. I kapitel 3 presenteras metoden för denna studie och motivering till varför intervjuer används för datainsamling. I kapitel 4 presenteras resultatet som jämförs med den tidigare forskning som presenterades i kapitel två och tre. Kapitel 5 analyserar resultatet i förhållande till tidigare forskning och uppsatsens forskningsfrågor. Kapitel 6 presenterar slutsatser och föreslår framtida forskning i ämnet.
Det här kapitlet beskriver forskning om olika typer av molntjänster samt deras säkerhetsproblem och lösningar, ramverk för säkerhetsmått samt SLA och de säkerhetsmått som kan ingå i SLA-kontrakt.
Molntjänster delar resurser mellan flera användare genom molntjänsteleverantörer som gör att användaren inte behöver ha egen hårdvara (Surbiryala, & Rong, 2019). Molntjänster (t.ex. nätverk, lagring och applikation) finns i ett molnnätverk med tillgång till molntjänster via klientplattformar som smarta telefoner och datorer inom samma moln (Rashid, & Xxxxxxxxxx, 2019).
Enligt Xxxxxx (2018) finns det tre typer av molntjänster och de kallas Software as a Service (Saas), Platform as a Service (Paas) och Infra-structure as a Service (IaaS). Software as a Service fungerar som en plattform för flera applikationer med program och mjukvaror som gör att användare inte behöver installera några en applikationer eller program. Användarna kommer åt alla program och behöver inte oroa sig för installation, underhåll eller uppdateringar vilket sparar tid och kostnader. Adobe och Microsoft Office är exempel på SaaS. Enligt Attaran och Woods (2019) är Platform as a Service en plattform för att utveckla applikationer. Användare kan bygga och distribuera webbapplikationer på sina egna datorer utan att installera någon programvara. PaaS-leverantören har ansvaret för att skydda plattformen och kundapplikationer. Exempel på PaaS är Amazon Web Services, Microsoft Azure och Google App Engine. Infrastructure as a Service (IaaS) erbjuder enligt Saraswat och Tripathi (2020) virtuella maskiner, samt molnbaserad hårdvara och operativsystem som kan användas över molnets nätverk. IaaS ger användaren kontroll över operativsystemet och lagringen såväl som de distribuerade applikationerna, men den underliggande molninfrastrukturen hanteras eller kontrolleras inte av användarna. IaaS erbjuder användarna större utbud av funktioner än både SaaS och PaaS. Generellt använder enskilda användare och småföretag vanligtvis SaaS mer än PaaS och IaaS. Av detta skäl fokuserar denna uppsats främst på användares erfarenheter av SaaS (Saraswat & Xxxxxxxx, 2020; Xxxxxxx & Xxxxx, 2019).
Molnlagringssäkerhet i offentligt tillgängliga Moln är ett stort problem bland enskilda användare. Vanligtvis erbjuder offentliga molntjänster samma säkerhetsnivå som privata sådana, men de offentliga är lättare att underhålla (Venkatesh, & Eastaff, 2018). Molnlagring erbjuder många fördelar jämfört med lokala, individuella eller andra nätverksanslutna lagringsalternativ. Det är billigt och kan lagra stora datamängder, är billigare än elektronisk manuell lagring och tillhandahåller också egna system för säkerhetskopiering och återställning. Det finns inget behov för användare att använda ytterligare säkerhetstjänster och tillför ingen extra kostnad för deras datalagringsutrymme (Xxxxxx et al., 2019).
En nackdel med molnlagring är att datatillgänglighet kan vara ett problem och prestanda kan påverkas av långsamma internethastigheter. Dessutom har molnlagring specifika nätverksprotokoll och det kan orsaka kompatibilitetsproblem när filåtkomst görs via ett normalt LAN (Xxxxxx et al., 2019). För att säkerställa kompatibilitet mellan olika protokoll kan molnlagring därför kräva att användaren installerar ad-hoc program, och det kan utgöra ett säkerhetsproblem. En annan nackdel är att molnlagring begränsar prestanda genom att använda nätverkets bandbredd. Det innebär att ökade säkerhetsåtgärder ofta innebär minskad nätverksprestanda och hastighet. Sist men inte minst är molnlagring inte standardiserad av någon bransch vad gäller säkerhet och prestanda. Det innebär att olika gränssnitt kan krävas för olika molnlagringsdata, vilket ibland gör det till en utmaning för användarna att välja rätt protokoll och säkerhetsmått för SLA (Souri et al., 2018).
2.4 Molnsäkerhet inom ramen för CIA
När det gäller molnsäkerhet måste molntjänsteleverantören säkerställa datasäkerhet, i synnerhet för SaaS (Xxxxxxxxxxxxx et al., 2021). Eftersom det inte finns någon perfekt säkerhetslösning som kan gälla för alla användare måste molnleverantörerna ständigt arbeta för att minimera säkerhetsriskerna för varje användare. Molnbaserade tjänster omfattar med andra ord svårförutsägbara säkerhetsrisker och dessa analyseras vanligtvis genom ramverket för konfidentialitet, integritet och tillgänglighet (CIA - Confidentiality, Integrity och Availability). Konfidentialitet innebär att ingen tredje part kan se användarens data. Integritet betyder att användarens data kan ändras utan att upptäckas. Tillgänglighet innebär att användaren har ständig tillgång till uppgifterna. Molntjänster måste också hantera säkerhetsrisker och hot som kan försvaga någon av CIAs tre säkerhetsaspekter och några av dem presenteras nedan (Covert, Xxxxxxxxxx, Xxxxxxx, & Streff, 2020).
Ett stort antal webbplatser och företag har drabbats av attacker mot skadlig programvara genom så kallade Malware attacker. Attackerna kan användas för att antingen sprida skadlig programvara till Molnets webbservrar eller placera skadlig programvara direkt på enskilda webbservrar (Xxxxxx et al., 2021). För att förhindra skadliga attacker kan molnleverantörer skapa en bild av kundens virtuella maskin och lagra den i molnets bildarkiv. Datastöld är ett av de vanligaste sätten att hacka ett användarkonto (Li, & Yang, 2019). Lösenordet och användarkontot stjäls ofta, och denna stöld och förstörelse av konfidentiella data kan göra att molnlagring äventyras och göra den mindre säker. En säkerhetslösning är att användaren får ett e-postmeddelande med information om varje session vid slutet av varje session som kan användas för nästa inloggning (Li, & Yang, 2019). DDoS-attacker innebär att en främmande tredje part översvämmar molntjänsten med trafik. Det gör att tjänsten reagerar långsamt eller gör den otillgänglig. Molntjänster är relativt sårbart för DDoS-attacker, eftersom de kan delas av många användare. Som säkerhet kan molntjänsteleverantören tillämpa autentisering, auktoriseringsfiltrering eller intrångsdetekteringssystem som delar information och varna alla detekteringssystem i Molnet om en viss molnserver attackeras (Potluri et al., 2020). En annan motåtgärd är att använda kommunikation mellan flera noder och VPN (Virtual Private Network) (Talbot, 2010). Det var bara några exempel på de sårbarheter och hot som utifrån säkerhetsmått måste verifieras genom SLA-kontrakt. Inom ramen för SaaS har molnleverantören ansvar för de allra flesta momenten i säkerhetsarbetet. Användaren behöver enbart ansvara för användaråtkomst och databearbetning i samband med SaaS. Molnleverantören ansvarar för applikationsfunktionalitet och uppdateringar, underhåll av driftsystem, nätverkstrafikhastighet, kryptering och säkerhet, hypervisor, infrastruktur och fysisk hårdvara inklusive tillhörande fysiska föremål som behövs för att säkert underhålla molntjänsten. Dessa ansvarsområden måste återigen specificeras genom en uppsättning säkerhetsmått som utgör grunden för ett tillförlitligt SLA (McAfee, 2021).
Service Level Agreement (SLA) är ett skriftligt avtal som anger de tjänstenivåer som molnleverantörer erbjuder användare. SLAs främsta fördel är att det utifrån etablerade säkerhetsmått låter användare att komma överens om ansvarsfördelning, servicenivåer och säkerhetsmätningar (Xxxxxxx et al., 2018). Den specificerar dock inte alltid exakt hur dessa servicenivåer och säkerhetsmätning uppnås (Xxxx et al., 2018). SLA beskriver även ansvarsfördelningen mellan användare och molnleverantör i händelse av oväntade
säkerhetsavbrott. Som i fallet med en applikationskrasch delegerar användaren sina data till molndataleverantören som förväntas lösa problemet om SLA anger att molnleverantören är ansvarig för (Xxxxxxx et al., 2018). Molnleverantören måste därför erbjuda SLA på sätt som användare uppfattar är säkra och lättförståeliga. På grund av det måste molnleverantören tydligt specificera säkerhets- och servicenivåer som baseras på tillförlitliga säkerhetsmått (Xxxx et al., 2018; Xxxxxxx et al., 2018).
Säkerhetsmått ger användare skäl att acceptera eller neka ett SLA-kontrakt och de kan användas för att mäta säkerheten i Molnet. De hjälper till att fatta beslut om säkerhet, inklusive säkerhetsarkitekturer och kontroller som förbättrar effektiviteten i Molnets säkerhetsoperationer (Dash et al., 2018).
Säkerhetsmått kan kategoriseras på olika sätt, beroende på vilket syfte de tjänar, typ av användare och det ramverk för säkerhetsmått som används. Bland de vanligaste ramverken för säkerhetsmått är NIST, ISO och COBIT och de diskuteras i nästa kapitel för att skapa ett teoretiskt ramverk för denna uppsats. Ett sätt att kategorisera säkerhetsmått är genom att dela upp dem i de tre kategorierna implementering, effekt och effektivitet (Simmon, 2018). Implementeringsmått är avsedda att visa framsteg i informationssäkerhetsprogram, säkerhetskontrollpolicyer och procedurer. Effektmått används för att kvantifiera informationssäkerhetens inverkan på användarens dataanvändning. Effektivitetsmått är avsedda att övervaka om processer på programnivå eller säkerhetskontroller på systemnivå implementeras korrekt och fungerar som avsett.
2.6.1 Användares syn på säkerhetsmått molntjänster
Tidigare forskning om användares upplevelse av SLA-säkerhet föreslår specifika säkerhetsmått som är enkla att definiera i ett SLA. Måtten kan tillämpas på applikationer för nätarkitektur såväl som för mätningar på IP-nätverk för SLA-hantering och prestationsutvärderingsmått (Stantchev, 2009). Tidigare forskning har också undersökt användares upplevelser av molnsäkerhetsmått med hjälp av olika hotbedömningar samt riskbedömningar (Tashi & Ghernaouti, 2008). NIST identifierar tre breda säkerhetskategorier som täcker implementering, effektivitet och effekt. Här föreslår Xxxxxxxx et al. (2021) en metod för att automatiskt översätta SLA till mätvärden som är kompatibla med specifika
molntjänster och därför automatiskt anpassas till varje användare. Denna lösning har varit ett önskemål hos användare men har inte hunnit realiseras på marknaden ännu.
Även Xxxxxx et al. (2018) undersöker automatiserade och skräddarsydda säkerhetsmått för SLA. Emellertid konstaterar de, preics som Rampérez et al. (2021), att dessa är svåra att genomföra i verkligheten. Anledningen är att säkerhetsmåtten måste vara väl definierade och alltid uppfylla samtliga potentiella säkerhetsbrott. Av detta skäl täcker befintliga SLA-kontrakt för molnbaserade tjänster sällan alla oförutsedda händelser som kan inträffa gentemot användaren. Därför föreslår Casola et al. (2018) ett ramverk som möjliggör ett unikt SLA- kontrakt per tjänst. Tjänsten stöder en automatisk implementering av SLAs skräddarsydd för varje användares specifika behov. Studien visar specifika programvaror för att skapa sådana SLA-kontrakt per tjänst. Fyndet går i linje med Rampérez et al. (2021) förslag att automatiskt konvertera SLA-kontrakt för molnanvändare till specifika och väldefinierade villkor. Dessa specifika SLA-kontrakt är dock svåra att jämföra med etablerade ramverk som NIST och ISO. Skälet är att etablerade ramverk utformats med hänsyn till informationssäkerhet generellt men inte till molntjänster specifikt. Detta förhållande undersöks närmare nedan.
Användare i form av småföretag och mindre organisationer har vanligtvis erfarenhet av något av de tre internationellt etablerade standardiserade säkerhetsramverken NIST, ISO eller COBIT (Tariq, 2018). För att kunna jämföra användares erfarenheter av de säkerhetsramverk som ingår i deras SLA görs en jämförelse mellan dem nedan.
NIST säkerhetsramverk presenterar tre breda kategorier av säkerhetsmått i form av implementering, effektivitet och effekt. Xxxx och Ghernaouti (2008) utgår från dessa tre kategorier för att upprätta säkerhetsmått för SLA. Men de hävdar att NIST har ett större organisatoriskt perspektiv och sällan bör tillämpas på mindre enskilda användare eller småföretag alternativt mindre organisationer. Vidare framgår att NISTs uppdrag är att främja främst USA-baserad industriell verksamhet genom att tillhandahålla standarder och mätningar för att förbättra ekonomisk säkerhet och vetenskapliga mätningar.
ISO 27001 har mer ett riskorienterat fokus för alla typer av organisationer (Xxxxx et al., 2018). ISO-certifiering är tillgängligt för i princip alla organisationer, stora som små, inom alla sektorer. Standarden är särskilt användbar inom områden där informationssäkerhet har stor betydelse, som IT-, bank-, finans- och hälsosektorerna, och som hanterar stora datamängder.
Emellertid menar Xxxx och Ghernaouti (2008) att ISO i likhet med NIST främst utvärderar övergripande organisatorisk säkerhet och inte är fullt tillämpbar på mindre användare.
COBIT (Control Objectives For Information and Related Technology) är ett ramverk för IT- styrning som utvecklades av ISACA för att överbrygga det kritiska gapet mellan tekniska problem och användarnas/dataleverantörernas kontrollbehov. COBIT kan användas i alla branscher eller organisationer för att förbättra kvaliteten, kontrollen och tillförlitligheten hos informationssystem. Eftersom det ökar medvetenheten om IT-processer kan både privata och statliga organisationer använda COBIT, och detta inkluderar småföretag (Diesch, & Krcmar, 2020).
2.7.1 Användares syn på säkerhetsramverken
Forskningen visar att ovan nämnda ramverk inte nödvändigtvis är väl anpassade till mindre organisationer och till användning av molntjänster. Bland annat framgår genom Casola, Benedictis och Modic (2018) att det finns en hel rad av ramverk som kan användas men få av dem är anpassade för molntjänster. Därför används ramverk som tillämpats på datasäkerhet inom IT även på datasäkerhet för molnanvändning. Här framkommer att användare av molntjänster önskar väl anpassade ramverk som kan tillämpas på deras verksamhet och det inkluderar molntjänster (Rampérez et al., 2021). Ett säkerhetsproblem är enligt Al Nafea och Almaiah (2021) att molnleverantörer ofta baserar sina tjänster på interoperativ verksamhet som är etablerade flera länder. Det innebär att SLA-kontraktet för en användare som bor i ett land behöver ta hänsyn till säkerhetsmått och lagstiftning för samtliga av de länder som ingår i användarens molntjänst.
Denna alltför breda tillämpning har bidragit till att användare önskat autogenererade SLA- kontrakt baserade på etablerade ramverk som NIST, ISO, COBIT (Rampérez et al., 2021). Det skulle ge användarna den tydlighet, pålitlighet och relevans de eftersöker i SLA-kontrakt. Problemet är att det förekommer en brist på överensstämmelse mellan ovan nämnda etablerade ramverk och de säkerhetsmått som SLA-kontrakten baseras på. Därför tenderar användare att ignorera vilka ramverk som SLA-kontrakten baseras på, och det minskar användarnas säkerhet (Casola et al., 2018).
I uppsatsens analys kommer hänsyn tas till de resonemang som utarbetats detta kapitel för tidigare forskning. Det görs främst i förhållande till ovan nämnda tre säkerhetsramverk. Ett skäl är att ramverken är väletablerade i Sverige. Ett annat skäl är att uppsatsens genomgång av tidigare forskning visade att många SLA-kontrakt och säkerhetsmått för molntjänster på ett eller annat sätt baseras på något av de tre ramverken.
Studien utgick från kvalitativ metod med semistrukturerade intervjuer för att besvara uppsatsens syfte. En anledning var utifrån Xxxxx och Xxxxxxxxxx (2019) resonemang att metoden ökade möjligheterna att på djupet undersöka hur användare i praktiken tolkade SLA- kontrakt i förhållande till säkerhet för molntjänster. Kvantitativ metod hade gett alltför ytliga svarsresultat för detta syfte. En annan anledning var att tidigare studier vanligtvis tillämpat litteraturstudier. Därför upplevdes intervjuer och tematisering kunna tillföra nya perspektiv på forskningsområdet. Xxxxxxxx ansats valdes för att tillföra ny kunskap inom forskningsområdet snarare än att testa en redan befintlig teori genom deduktion. Visserligen användes NIST, ISO och COBIT som utgångspunkter för jämförelse med intervjudata men ramverken testades inte genom deduktion.
Datainsamling utfördes i linje med Kvale och Brinkmann (2017) och därför genomfördes ett bekvämlighetsurval genom att kontakta en bekant person som arbetar inom IT. Denna bekanta kontaktperson har kollegor som är småföretagare eller enskilda personer med professionell erfarenhet av molnbaserad IT-säkerhet och som granskat SLA-kontrakt i tjänsten. Kontaktpersonen etablerade kommunikation med sina kollegor via telefon och informerade om uppsatsens syfte och frågade om de ville delta i intervju. Fyra av kollegorna visade intresse för att delta och kontaktades av mig via telefon. Strax innan kontakt etablerades via telefon formulerades informationsbrev och intervjufrågor. Intervjufrågor formulerade utifrån uppsatsens frågeställningar och tidigare forskning. Efter att informationsbrev och intervjufrågor formulerats etablerades kontakt via telefon för att undersöka om kollegorna kvalificerade för deltagande enligt uppsatsens inklusionskrav. Ett inklusionskrav var att varje deltagare skulle ha praktisk erfarenhet och någon form av specialisterfarenhet av SLA-kontrakt och molnbaserad säkerhet. Här efterfrågades att kontaktpersonerna arbetat heltid i minst ett år med molnbaserad IT-säkerhet och vid minst ett tillfälle granskat SLA-kontrakt. Samtliga kvalificerade för dessa inklusionskrav. Vid samma telefontillfälle informerades de om sina forskningsetiska rättigheter, att deltagandet var helt frivilligt och att resultatet skulle anonymiseras. Alla samtyckte omedelbart till deltagande och genomförde intervjun direkt efter att ha godkänt att intervjun spelades in. Processen medförde att fyra personer, som var involverade inom IT-branschen och hade förhållandevis omfattande IT-kunskaper och flerårig praktisk erfarenhet av molnbaserad IT-säkerhet samt SLA-kontrakt, deltog i intervju. Att
intervjupersonerna verkligen hade denna praktiska erfarenhet säkerställdes genom första intervjufrågan om deras professionella erfarenhet. Varje intervju varade i 40-60 minuter och transkriberades inom 24 timmar, när minnet av intervjusvaren fortfarande var aktuellt.
En svaghet med telefonintervju var utifrån Xxxxx och Xxxxxxxxxx (2019) argument svårigheterna att bekräfta om intervjupersonerna svarade sanningsenligt på intervjufrågorna. Emellertid krävde intervjufrågorna så pass mycket specialistkunskaper att eventuellt osanna svar snabbt bör ha upptäcktas. En styrka med telefonintervjuer var att de ökade möjligheterna att över huvud taget få samtycke till intervju, eftersom intervju via fysiskt möte hade krävt extra tid och arrangemang från intervjupersonerna. Ytterligare en styrka var att telefonintervju ökade möjligheterna att fokusera på vad som yttrades utan distraheras av eventuella störningar i den fysiska omgivningen.
Dataanalysen genomfördes via tematisering enligt Xxxxx och Xxxxxxxxx (2019) samt Xxxxx och Brinkmanns (2017) riktlinjer. Det innebar att det transkriberade materialet lästes igenom i sin helhet i Word-dokumentet, som omfattade över 10 helsidor, för att få en övergripande uppfattning om intervjupersonernas svar. Därefter genomlästes intervjumaterialet ytterligare en gång för att finna gemensamma mönster samt likheter och olikheter i varje respondents intervjusvar i förhållande till uppsatsens frågeställningar. I denna process gulmarkerades textavsnitt som i extra hög grad anslöt till uppsatsens frågeställningar. Även textavsnitt som beskrev intervjupersonernas mest centrala åsikter i förhållande till frågeställningarna gulmarkerades. Samma sak gjordes med textavsnitt som markerade tydliga likheter och olikheter i intervjusvaren. Därefter jämfördes de gulmarkerade textavsnitten för att hitta ett antal koder. Koderna jämfördes i förhållande till uppsatsens frågeställningar och slogs samman till ett antal teman som kunde användas för analys. Här krävdes viss eftertanke för att skapa teman som representerade intervjumaterialet som helhet och samtidigt gav träffande infallsvinklar utifrån aningen skilda perspektiv, dels i förhållande till uppsatsens frågeställningar och dels i relation till tidigare forskning. Genom denna procedur skapades tre teman. Eftersom intervjufrågorna formulerats i förhållande till uppsatsens frågeställningar och tidigare forskning tenderade intervjusvaren att kretsa kring dessa frågeställningar. Det medförde att valda teman i hög grad reflekterar uppsatsens frågeställningar, och de kom att kallas Ignorerade säkerhetsramverk, Xxxxxx säkerhetsmått för individuella säkerhetsbehov och Önskan efter specificerade SLA-kontrakt.
3.3. Metodens styrkor och svagheter
En styrka med metoden var att den på ett ganska strukturerat sätt jämförde säkerhetsmått och ramverk i förhållande till internationellt accepterade och välanvända ramverk för datasäkerhet. En svaghet var att ramverken inte alltid tillämpats på molntjänster och det minskade tillförlitligheten i resultatet. En annan svaghet var att intervjusvaren granskade säkerhetsmått och ramverk i förhållande till olika typer av molntjänster. Det vill säga intervjupersonerna använde olika molntjänster och hade olika säkerhetsanspråk. Att jämföra samma säkerhetsmått men i förhållande till olika typer av säkerhetsrisker, eller löst definierade säkerhetsrisker, påminde ibland om att jämföra päron med äpplen. Denna utspridda jämförelse gav dock mer bredd i svarsresultaten. Ytterligare en svaghet var att enbart fyra intervjuer enligt Xxxxx och Brinkmanns (2017) argument inte alltid leder till tillräcklig datamättnad. Vidare kan mina förutfattade meningar om ämnet ha förvrängt tolkningarna av intervjusvaren. För att förhindra att förutfattade meningar skulle förvränga tolkningarna lades fokus på att tolka dem i förhållande till den tidigare forskning som uppsatsens inledande kapitel presenterat. Dessa styrkor och svagheter togs hänsyn till i analysen och slutsatserna.
För att skydda intervjupersonernas integritet genomfördes datainsamling och dataanalys med hänsyn till Vetenskapsrådets (2017) fyra forskningsetiska krav informationskravet, samtyckeskravet, konfidentialitetskravet och nyttjandekravet. Det innebar att jag före varje intervju informerade intervjupersonerna om deras forskningsetiska rättigheter, speciellt vad gäller rätten att vara anonym och att de när som helst kunde avbryta intervjun. Efter att varje intervjuperson samtyckt till deltagande säkerställdes att alla insamlade data var konfidentiella, t ex genom att intervjupersonernas namn aldrig uppgavs i uppsatsen. Intervjupersonerna informerades även om detta före intervjun. Insamlade data användes enbart i samband med denna uppsats och förstörs efter att uppsatsen godkänts och eventuellt publicerats.
Resultatet presenteras utifrån tre teman i form av Ignorerade säkerhetsramverk, Xxxxxx säkerhetsmått för individuella säkerhetsbehov och Önskan efter specificerade SLA-kontrakt (Tabell 1).
Tabell 1. Uppsatsens teman.
Tema |
Ignorerade säkerhetsramverk |
Oklara säkerhetsmått för individuella säkerhetsbehov |
Önskan efter specificerade SLA-kontrakt |
4.1 Ignorerade säkerhetsramverk
Resultatet från intervjuerna visade att respondenterna tyckte att säkerhetsramverken som SLA- kontrakten utgick från kunde ha varit tydligare. Här uppgav respondenterna att SLA-kontraktet hänvisade till olika ramverk som NIST och COBIT. Resultatet visade dock att respondenterna inte tänkte så mycket på säkerhetsramverken. De lade inte större vikt vid vilka ramverk SLA- kontrakten utgick från. De förstod att de borde ta mer hänsyn till vilka säkerhetsmått som existerade i SLA-kontrakten och jämföra dem med ramverkens säkerhetsmått. De tog otillräcklig hänsyn till säkerhetsramverken eftersom det krävdes tid att sätta sig in i dem och jämföra dem med de säkerhetsmått som SLA-kontraktet utgick från, vilket bland annat framkom genom Respondent 1 nedan.
”Ja, man borde checka av mer noga mot ramverken. Det är lätt att glömma bort den delen eftersom det tar tid att sätta sig in relationen mellan säkerhetsmåtten i SLA och ramverket. Jag kollar mest av ansvarsfördelningen mellan oss och leverantören i SLA-kontraktet. Sen utgår jag från att leverantören lyckas hålla sin del av avtalet, eftersom vi har en stor och stabil molnleverantör.” (Respondent 1)
Ytterligare ett skäl till att respondenterna ansåg sig ignorera säkerhetsramverket när de granskade SLA-kontraktet var att det behövdes kontinuerlig utbildning och kunskap för att tolka dem. Det medförde att de försökte förenkla processen att kontrollera SLA-kontraktens giltighet genom att använda sig av stabila och stora molnleverantörer, på ungefär samma sätt som när en kund besöker en butik och väljer vara beroende på varumärke.
Exempelvis uppgav en av respondenterna att COBIT innehöll cirka 350 säkerhetsmått som relaterar till informationssäkerhet. Han menade att omkring 50 av dem relaterade till SLA-
kontrakt eller till molntjänster. Samtidigt konstaterade han, i likhet med andra respondenter, att ramverken var utarbetade för informationssäkerhet men inte för informationssäkerhet för molntjänster. Därför såg de inga större skäl att lägga vikt vid de säkerhetsramverk som SLA- kontrakten utgick från.
4.2 Xxxxxx säkerhetsmått för individuella säkerhetsbehov
Respondenterna uppgav att SLA-kontraktet listade säkerhetsmått som ibland var oklara vad de stod för. SLA-kontrakten kunde inkludera vissa av de säkerhetsmått som ingick i ett ramverk men utesluta andra och det skapade oklarhet. SLA-kontrakten kunde även klumpa ihop vissa av de säkerhetsmått som ingick i säkerhetsramverket. Då blev raka jämförelser mellan säkerhetsmåtten och säkerhetsramverken svåra att genomföra i SLA.
Otydligheten låg i att SLA-kontrakten (a) inte gav detaljerade och lättförståeliga beskrivningar av ramverkens säkerhetsmått (b) använde egna säkerhetsmått som överlappade ramverkens säkerhetsmått och (c) baserades på molnleverantörer med interoperativ verksamhet där molnservrar och tjänster sträckte sig över flera nationer med olika säkerhetslagstiftning. Här menade ett par av respondenterna att det i olika länder finns olika lagar för lagring av persondata och därför skapar interoperativitet oklarhet i SLA. Exempel på det ges av Respondent 2 i nedanstående citat.
”Det är inte sådär jättetydligt vilka mått dom utgår från i ramverket. Alltså, ramverket i sig är ganska rättframt och lättförståeligt, men dom tricksar till det i kontraktet och försöker utgå från ramverket för att skapa nya mått som egentligen inte är helt avsedda för det ramverken skapades för. Typ molnanvändning med bas i flera länder.” (Respondent 2)
Som lösning valde respondenterna att anlita stora och välkända molnleverantörer eftersom de uppfattade dem vara mer stabila än små och okända leverantörer. Samtidigt konstaterade en av respondenterna att Amazon och Microsoft använder stora molntjänster, ändå blir de utsatta för hacking och läckage av privata data.
4.3 Önskan efter specificerade SLA-kontrakt
Respondenterna önskade att SLA-kontrakten var mer specifikt anpassade till deras individuella behov av säkerhet. Exempelvis menade Respondent 4 att ramverken var en förenkling av verkligheten och det gjorde dem otillräckliga som underlag för mindre användare med specifika behov.
”Vi är ju rätt specialiserade och behöver våra egna molntjänster. Därför behöver vi egentligen kontrakt som även de är specialiserade, så att säga.” (Respondent 4)
Här nämnde respondenterna mer specialiserade ramverk som EBPP som utvecklats för specifika system men som inte är heltäckande för större organisationer. En annan nämnde att ROCONA ingick i ett SLA-kontrakt och användes för att mäta säkerhetskonfiguration i nätverk. Xxxxxxxxx var enligt respondenterna att dessa ramverk var så specialiserade att de täckte enbart en begränsad del av verksamheten. Det var även oklart om ramverken validerats inom de branscher de verkade. De nämnde även att NIST och GQM (Goal, Question, Metric) var mer generella och målbaserade. Respondenterna ansåg dem vara relativt lättförståeliga men saknade de specifika säkerhetsmått som var nödvändiga för respondenternas individuella verksamhet. De var även anpassade för datasäkerhet men inte för deras molndatasäkerhet. Det medförde att användarna önskade SLA-kontrakt som var specificerade för deras individuella verksamhet, samtidigt som SLA-kontrakten baserades på väl definierade säkerhetsmått utifrån validerade säkerhetsramverk, vilket framkommer av Respondent 3 nedan.
”Det absolut bästa skulle vara om kontrakten var helt skräddarsydda till vår verksamhet och samtidigt baserades på metrics och ramverk som validerats inom branschen och som alla känner tillit till. Antagligen kommer det ta flera år innan det blir verklighet. Fram till dess får vi nog räkna med hopsnickrade SLA-kontrakt som man inte har riktig koll på, men som i ok grad funkar för just vår verksamhet.” (Respondent 3)
I ovanstående citat framgår respondenternas önskan att SLA-kontrakten är unikt anpassade till just deras verksamhet, samtidigt som den utgår från väl beprövade och erkända säkerhetsmått och ramverk. Här uttryckte de en önskan efter autogenererade SLA-kontrakt som är specialiserade för deras unika behov i verksamheten. Ett par av respondenterna trodde därför att framtiden skulle dra i riktning mot specialiserade och autogenererade SLA-kontrakt som baseras på väldefinierade säkerhetsmått och säkerhetsramverk.
Analysen genomförs enligt samma struktur som resultatet och jämförs med teori och tidigare forskning.
5.1 Ignorerade säkerhetsramverk
Resultatet från intervjuerna visade att respondenterna tyckte att säkerhetsramverken som SLA- kontrakten utgick från kunde varit tydligare. Denna otydlighet medförde att de tenderade att ignorera ramverken när de granskade SLA-kontraktet. Vidare uppgav respondenterna att SLA- kontraktet hänvisade till olika ramverk som NIST, GQM, EBPP och ROCONA. Det skiljer sig från Tariq (2018) som menar att NIST, ISO och COBIT är vanligast för att undersöka säkerhetsmått för dataanvändning i småföretag och mindre organisationer. Till skillnad från Xxxxx (2018) visade resultatet att SLA-kontrakten ofta utgick från ramverk som inte baserades på NIST, ISO och COBIT. Ett skäl för det ges av Tash och Ghernaouti (2008) som hävdar att NIST och ISO sällan bör tillämpas på mindre enskilda användare eller mindre organisationer. Ghernaouti (2008) visar även att NIST främst främjar verksamheter i USA för att säkerställa deras ekonomiska säkerhet. Även vad gäller ISO visar Xxxxx et al (2018) att ISO visserligen är tillgängligt för större och mindre organisationer inom alla samhällssektorer, i synnerhet inom såsom IT, finans och hälsovård. Emellertid menar Xxxx och Ghernaouti (2008) att ISO i likhet med NIST inte är fullt tillämpbar på mindre användare eftersom de främst utvärderar övergripande organisatorisk säkerhet. Uppsatsens resultat går därför emot Xxxxx et al (2018) och i linje med Ghernaouti (2008) och visade att dessa etablerade ramverks brist på relevans för respondenternas specifika säkerhetsbehov medförde att de ignorerades vid granskningen av SLA-kontrakten. Även COBIT anses i tidigare forskning av Diesch och Krcmar (2020) kunan användas i alla branscher och organisationer samt i flertalet småföretag för att förbättra kontrollen och tillförlitligheten. Däremot visar Xxxx och Ghernaouti (2008) samt Diesch och Krcmar (2020) att COBIT, precis som ISO och NIST, sällan är väl anpassade till mindre organisationers användning av molntjänster. Det kan jämföras med Casola et al. (2018) i likhet med uppsatsens resultat visar att flertalet säkerhetsramverk kan användas men få av dem är i praktiken anpassade för molntjänster i mindre organisationer.
5.2 Xxxxxx säkerhetsmått i förhållande till säkerhetsbehoven
Respondenterna tyckte att SLA-kontrakten angav säkerhetsmått som var oklara eftersom de var för odetaljerade eller svårförståeliga. Det kan jämföras med Xxxxxxxx et al. (2021) och Xxxxx (2018) som visar att NIST, ISO och COBIT identifierar breda säkerhetskategorier som täcker implementering, effektivitet och effekt. Xxxxx (2018) menar att de säkerhetsmått som ramverken utgår från kan tillämpas på småföretag och mindre organisationer. Det går emot uppsatsens resultat där respondenterna ansåg sig behöva tydligare och mer specifika säkerhetsmått anpassade till just deras verksamheter. Visserligen menar Xxxxxx (2018) att säkerhetsmått med utgångspunkt från NIST, ISO och COBIT kan kategoriseras på flertalet sätt beroende på typ av användare och verksamhet. Däremot tyckte uppsatsens respondenter återigen att sådana säkerhetsmått var för odetaljerade i förhållande till den egna verksamheten. Respondenterna menade även att SLA-kontrakten nämnde egna säkerhetsmått som inte alltid överensstämde med ramverken. Bland annat kunde vissa säkerhetsmått i SLA-kontraktet klumpas ihop och insortera under ett enda säkerhetsmått som nämns i ramverken. Det kan jämföras med Diesch och Krcmar (2020) som visar att etablerade ramverk sällan är väl anpassade till mindre organisationer och användning av molntjänster. Al Nafea och Almaiah (2021) menar att det existerar åtskilliga ramverk för SLA, men få av dem är anpassade för molntjänster och mindre organisationer med specifika säkerhetsbehov.
Även respondenterna menade att SLA-kontraktens säkerhetsmått behövde baseras specifikt på molntjänster. Problemet var enligt resultatet att molnleverantörer ofta baserar sina tjänster på interoperativ verksamhet med olika säkerhetslagstiftning i olika länder. Här visade Xx Xxxxx och Almaiah (2021) att SLA-kontraktet behöver öka sina hänsyn till säkerhetsmått och lagstiftning för de länder som ingår i molntjänsterna.
5.3 Önskan efter specificerade SLA-kontrakt
Resultatet visade att respondenterna önskade att SLA-kontrakten var mer specifikt anpassade till deras unika behov av molnsäkerhet. Det kan jämföras med Casola et al. (2018) som konstaterade att skräddarsydda säkerhetsmått för SLA numera existerar. Som även framkommer i uppsatsens resultat är de dock svåra att genomföra i verkligheten. Här visar Xxxxx och Xxxxxxxxxx (2008) att skräddarsydda säkerhetsmått kan vara svåra att genomföra i verkligheten eftersom ramverken är för generella. Exempelvis framgår att NIST identifierar tre breda säkerhetskategorier som täcker implementering, effektivitet och effekt som kan appliceras på organisationer utan krav på specialisering eller molntjänster.
Respondenterna föreslog automatiserade säkerhetsmått för deras verksamhet. Det kan jämföras med Rampérez et al. (2021) som förslag att mjukvara kan skapas för att automatiskt generera SLA-kontrakt med utgångspunkt från etablerade ramverk som ISO, COBIT eller NIST. I nuläget är dock sådana specifika SLA-kontrakt svåra att jämföra med etablerade ramverk som NIST och ISO eftersom nya säkerhetsmått skulle behöva utarbetas. Det bekräftas av Tash och Ghernaouti (2008) som menar att ISO i likhet med NIST främst utvärderar övergripande organisatorisk säkerhet och inte är fullt tillämpbar på mindre användare. Det kan vara ett skäl till att uppsatsens respondenter önskade mer specificerade SLA-kontrakt. Om dessa inom en snar framtid kan genomföras i praktiken återstår att se. Rampérez et al. (2021) menar att det kan genomföras inom vissa branscher där kraven på flexibilitet är lägre. I sådana branscher kan mjukvara utvecklas för automatiskt genererade SLA-kontrakt. Dessa kan baseras på de säkerhetsmått som anges i ISO, NIST, COBIT eller andra etablerade ramverk.
Slutsatserna från analysen dras i förhållande till uppsatsens forskningsfrågor Vad anser användare av molnbaserade tjänster om de säkerhetsramverk som används i SLA-kontrakt för molnbaserade tjänster, Vad anser användare av molnbaserade tjänster om de säkerhetsmått som används i SLA-kontrakt och Hur uppfattar användare av molnbaserade tjänster SLA- kontrakten i förhållande till de säkerhetsramverk och säkerhetsmått som används.
Användarnas syn på säkerhetsramverken i SLA-kontrakten
Angående uppsatsens första forskningsfråga Vad anser användare av molnbaserade tjänster om de säkerhetsramverk som används i SLA-kontrakt för molnbaserade tjänster framgick att de säkerhetsramverk som SLA-kontrakten utgick från var för generella, otydliga och inte helt relevanta för den egna verksamheten. Bland annat var NIST, ISO och COBIT alltför generella och irrelevanta för den egna verksamheten. De önskade därför ramverk som var enkla att tyda, väletablerade och erkända samt relevanta för den egna verksamheten.
Användarnas syn på säkerhetsmåtten i SLA-kontrakten
För uppsatsens andra forskningsfråga Vad anser användare av molnbaserade tjänster om de säkerhetsmått som används i SLA-kontrakt visade det sig att användarna återigen efterfrågade ökad tydlighet och relevans. De önskade även att säkerhetsmåtten skulle vara mer detaljerade genom att vara uppdelade i fler kategorier som var relevanta för just deras verksamhet. Även det går emot de bredare säkerhetsmått som ISO, NIST och COBIT använder.
Användarnas syn på SLA-kontrakt i förhållande till säkerhetsramverk och säkerhetsmått
Vad gäller studiens tredje forskningsfråga Hur uppfattar användare av molnbaserade tjänster SLA-kontrakten i förhållande till de säkerhetsramverk och säkerhetsmått som används framkom återigen att respondenterna önskade SLA-kontrakt anpassade till deras specifika behov av molnsäkerhet. Det aktualiserade frågan om automatiskt skräddarsydda säkerhetsmått för SLA.
I förhållande till uppsatsens syfte att undersöka vad användare av molntjänster anser om de ramverk och säkerhetsmått som används i SLA-kontrakt för molntjänster i förhållande till internationellt etablerade ramverk för datasäkerhet är den övergripande slutsatsen att ramverken och säkerhetsmåtten kunde varit mer specifika för den egna verksamheten och enklare att tyda i förhållande till ett etablerat ramverk. Användarna önskade att det etablerade
ramverket skulle vara mer specifikt och relevant än NIST, ISO och COBIT. En lösning kan vara automatiskt genererade SLA-kontrakt som via mjukvara väljer etablerade ramverk och tydliga säkerhetsmått. Dessa ramverk och säkerhetsmått skulle via autogenerering bli specifika för varje användare av molntjänster.
Studien visade att mjukvaror för att automatiskt genererade SLA-kontrakt med utgångspunkt från etablerade ramverk och tydliga säkerhetsmått skulle kunna vara en lösning för både användare och molnleverantörer. Fortsatt forskning skulle därför kunna undersöka de tekniska, juridiska och finansiella möjligheterna med att skapa mjukvara som autogenererar SLA- kontrakt för små företag och organisationer.
Xxxxx, X., Xxxxx, S., & Josephs, M. (2018). Aggregation of security metrics for decision making: a reference architecture. Proceedings of the 12th European Conference on Software Architecture. Companion Proceedings, 53, 1–7.
Al Nafea, X., & Xxxxxxx, M.A. (2021). Cyber Security Threats in Cloud: Literature Review.
International Conference on Information Technology (ICIT), 779-786.
Xxxxxxx, M, & Xxxxx, X. (2019). Molntjänster technology: improving small business performance using the Internet. Journal of Small Business & Entrepreneurship, 31(6), 495- 519.
Xxxxxx, V., Xx Xxxxxxxxxx, A., Xxxxx, X., Xxx, M., & Xxxxxxx, U. (2018). Per-service security SLAs for cloud security management: model and implementation. International Journal of Grid and Utility Computing, 9(2), 128-138.
Xxxxxx, X., Xxxxxxxxxx, D., Xxxxxxx, M., & Xxxxxx, X. (2020). Towards a Triad for Data Privacy. Proceedings of the 53rd Hawaii International Conference on System Sciences, 4379- 4386.
Xxxxxx, X., Xxxxx, S., & Xxxxxx, S. (2019). Panoramic View of Cloud Storage Security Attacks: An Insight and Security Approaches. 3rd International Conference on Computing Methodologies and Communication (ICCMC), 1029-1034.
Xxxx, S.R., Xxx, X., Xxxxxxxxxx, P.K., & Xxxxxx, B.S.P. (2018). Frameworks to develop SLA based security metrics in Cloud environment. In Xxxxxx X., Xxx H., Xxxxxx X., Xxxxxxx A. (eds) Xxxxxxxxxxxx for Optimization: Foundations, Applications, and Challenges. Studies in Big Data, 39, 187-206.
Xxxxxx, K, & Xxxxxx, X. (2020). SoK: linking information security metrics to management success factors. Proceedings of the 15th International Conference on Availability, Reliability and Security, 98, 1-10.
Xxxxxx, X., Xxxxxxxxx, M., & Xxxxxxxx, X. (2019). Toward Secure Resource Allocation in Mobile Cloud: A Matching Game. International Conference on Computing, Networking and Communications (ICNC), 370-374.
Xxxxxxx, X., Xxxxxxxx, S., & Xxxxxx, P. (2018). On verifying and assuring the cloud SLA by evaluating the performance of SaaS web services across multi-cloud providers. 48th Annual IEEE/IFIP International Conference on Dependable Systems and Networks Workshops (DSN-W), 69-70.
Xxxxx, X., & Xxxxxxxxx, S. (2017). Den kvalitativa forskningsintervjun. Stockholm: Libris.
MccAfee (2021). Security Issues in Molntjänster. Hämtad 2022-02-27: xxxxxx.xxx/xxxxxxxxxx/xx-xx/xxxxxxxx-xxxxxxxxx/xxxxx/xxxxxxxx-xxxxxx-xx-xxxxx- computing.html.
Xxxxxx, A.B., Xxxxx, M.A., Xxxxx, Q., Xxxxxxxx, X., & Xxxxxxxx, F.M. (2021). Machine Learning for Cloud Security: A Systematic Review. IEEE Access, 9, 717-735.
Xxxxxxxxx-Xxxxxxxxxxxxxxxxxxx, X., Xxxxxxxx, R.M., Xxxxxxxxxx, I., Xxxxxxxxxxxxx, X., Xxxxxx, X.X., & Xxxxxxxxxxxxxx, S. (2019). Collaborative SLA and reputation-based trust management in cloud federations. Future Generation Computer Systems, 100, 498-512.
Xxxxx, X., & Xxxxxxxxx, X. (2019). Forskningsmetodikens grunder. Lund: Studentlitteratur.
Xxxxxxx, X., Xxxxxx, X., & Xxxxxxxx, S. (2020). Detection and prevention mechanisms for DDoS attack in molntjänster environment. 11th International Conference on Computing, Communication and Networking Technologies (ICCCNT), 1-6.
Xxxxxxxx, X., Xxxxxxx, X., Xxxxxxx, D., Xxxxxxxxxx, X., & Xxxx, X. (2021). From SLA to vendor-neutral metrics: An intelligent knowledge-based approach for multi-cloud SLA-based broker. International Journal of Intelligent Systems, IF8.709.
Xxxxxx, X., & Xxxxxxxxxx, X. (2019). Molntjänster characteristics and services: a brief review. International Journal of Computer Sciences and Engineering, 7(2), 421-426.
Xxxxxxxx, X., & Xxxxxxxx, R.C. (2020). Molntjänster: Analysis of Top 5 CSPs in SaaS, PaaS and IaaS Platforms. 9th International Conference System Modeling and Advancement in Research Trends (SMART), 2020, 300-305.
Xxxxxx, X. (2018). Evaluation of Molntjänster. Services Based on NIST SP 800-145, NIST Special Publication, 500-322, 1-21.
Xxxxx, X., Xxxxxxxxxx, N.J., & Xxxxxxx, A.M. (2018). Formal verification approaches and standards in the molntjänster: a comprehensive and systematic review. Computer Standards & Interfaces, 58, 1-22.
Xxxxxxxxx, X. (2009). Performance evaluation of Molntjänster offerings: Proceedings of the 2009 Third International Conference on Advanced Engineering Computing and Applications in Sciences, 187-192.
Surbiryala, X., & Xxxx, X. (2019). Cloud Computing: History and overview. IEEE Cloud Summit, 2019, 1-7.
Xxxxxxxxx, X., & Xxxxxxxxxx, M.K. (2020). A survey on security challenges in cloud computing: issues, threats, and solutions. The Journal of Supercomputing, 76(1), 9493–9532.
Xxxxxx, X. (2010). Security in the ether. Technology Review, 113(1), 36-42.
Xxxxx, M.I. (2018). Analysis of the effectiveness of cloud control matrix for hybrid molntjänster. Journal of Future Generation Communication and Networking, 11(4), 1-10.
Xxxxx, I., & Xxxxxxxxxx, S. (2008). Efficient Security Measurements and Metrics for Risk Assessment. The Third International Conference on Internet Monitoring and Protection.
Xxxxxxxxxxxxx, X., Xxxxx, P., Xxxxxxxxx, X., & Xxxxxxxxxxx, X. (2021). Secure biometric authentication with de-duplication on distributed cloud storage. PeerJ Computer, 7(2), 1-9.
Venkatesh, X., & Xxxxxxx, M. (2018). A Study of Data Storage Security Issues in Molntjänster. International Journal of Scientific Research in Computer Science, 3(1), 1741- 1745.
Vetenskapsrådet (2017). Forskningsetiska principer. Hämtad 5 mars 2022: xxxxx.xx.xx/xxxxxxxXxxxxx/0000/0000000_xxxxxxxxxxxxxxxx_xxxxxxxxx_0000.xxx
Xxxx, X., Xxx, X., Xxxx, X., & Xxx, X. (2018). A Novel Dynamic Cloud Service Trust Evaluation Model in Molntjänster. 17th IEEE International Conference On Trust, Security And Privacy In Computing And Communications, TrustCom/BigDataSE, 2018, 10-15.
[Lästes upp i telefon.]
Hej, jag heter Xxxxxx och studerar informatik vid Handelshögskolan i Karlstad. Jag genomför en uppsats om vad användare av molntjänste anser om de säkerhetsramverk och säkerhetsmått som används i SLA-kontrakt för molntjänster.
Jag undrar om du skulle vara intresserad av att vara med i en intervju? Din intervju kan bidra till att öka förståelsen om datasäkerhet i samband med användning av molntjänster.
Om du väljer att delta kommer intervjusvaren att anonymiseras, så du är anonym och studien genomförs konfidentiellt, där inga utomstånde kommer få del av några uppgifter. Intervjun är så klart helt frivillig och du kan avbryta intervjun närhelst du vill.
1. Kan du berätta om din ålder, vad du jobbar med och vilka erfarenheter du har av molnbaserade säkerhetsfrågor och SLA-kontrakt i ditt yrke?
2. Är det någonting mer du känner till om molnsäkerhet eller SLA-kontrakt du vill dela med dig av?
3. Vilken roll spelar ramverket för IT-säkerhet, som ISO, NIST, COBIT, CIS eller något annat ramverk i ditt dagliga säkerhetsarbete?
4. Vilken roll spelar ramverken för att kunna identifiera säkerhetsmått i SLA-kontrakten för dina molnbaserade tjänster?
5. Hur väl tycker du att säkerhetsmåtten hjälper dig att uppfatta om du eller molntjänstleverantören har säkerhetsansvaret inom ett visst område?
6. Hur tydliga tycker du att säkerhetsmåtten är?
7. På vilka sätt tycker du att säkerhetsmåtten i SLA-kontraktet garanterar säkerheten?
8. Vilka säkerhetsmått tycker du saknas eller skulle behöver tydliggöras för att matcha SLA?
9. Har du några andra förslag på säkerhetsmått, ramverk eller SLA-kontrakt? Något som kan förbättras?