| 1. |
- Åhlfeldt, Rose-Mharie, et al.
(författare)
-
Kompetensbehov och kompetensförsörjning inom informationssäkerhet från ett samhällsperspektiv
- 2015
-
Rapport (övrigt vetenskapligt/konstnärligt)abstract
- På uppdrag av Myndigheten för samhällsskydd och beredskap (MSB) har en studie genomförts med syftet att komplettera resultatet från en tidigare genomförd förstudie (Åhlfeldt m.fl., 2014) med en analys av kompetensförsörjning och kompetensbehov på informationssäkerhetsområdet från ett samhällsperspektiv. Arbetet har genomförts av forskare från två lärosäten, Högskolan i Skövde och Karlstad Universitet, samt inom tre forskningsdiscipliner: pedagogik, informationssäkerhet och företagsekonomi.Uppdraget har varit att besvara följande frågeställningar:Vilka är kompetensbehoven för att ha en god och balanserad informationssäkerhet som bidrar till samhällets informationssäkerhet?Samtida kompetensbehov (nuläget)Framtida kompetensbehovHur ska nödvändig kompetens erhållas och på vem ligger ansvaret?Utifrån ovanstående frågeställningar, vilka är de viktigaste framgångsfaktorerna?Arbetet har genomförts i form av fokusgrupper med representanter från myndigheter och företag som har en nära verksamhetskoppling till samhällets informationssäkerhet och som är viktiga för att samhällets informationssäkerhet ska fungera.Resultatet visar att det finns stora brister avseende informationssäkerhetskompetens på alla nivåer i samhället. Tre tydliga områden pekas ut 1) nationellt - ökat behov av starkare styrning och ledning samt kravställning 2) organisation - ökat behov av kompetens från ledning till medarbetare men med starkt fokus på kompetenshöjande åtgärder på ledningsnivå samt vid upphandling och 3) medborgarperspektivet där framförallt skolområdet lyfts fram som ett viktigt insatsområde för kompetenshöjande åtgärder.För att uppnå nödvändig kompetens krävs utbildningsinsatser på alla ovan angivna områden. Dels utbildningar på akademisk nivå för informationssäkerhetsexperter men även övriga utbildningar inom t ex juridik och ekonomi. Även yrkesverksamma på organisationsnivå behöver riktade kompetenshöjande åtgärder som sätter informationssäkerhet i fokus utifrån organisationens verksamhetsbehov, allt ifrån ledningsnivå till medarbetarnivå.Resultatet visar även att ansvaret för samhällets kompetensförsörjning för informationssäkerhet ligger även den på alla ovan nämnda tre områden men med tydlig betoning på nationell nivå. Här betonas behovet av nationella krav för att medvetandegöra och lyfta informationssäkerheten i samhällsviktig verksamhet för att nå så många medborgare som möjligt. Förslag på framtida arbete avseende utveckling av metoder för framtida studier av kompetensförsörjningen pekar främst på metoder för att angripa bristen på helhetssyn samt kompetensförsörjning för management och medborgare.
|
|
| 2. |
- Islami, Lejla, et al.
(författare)
-
Capturing drivers' privacy preferences for intelligent transportation systems : An intercultural perspective
- 2022
-
Ingår i: Computers & security (Print). - : Elsevier BV. - 0167-4048 .- 1872-6208. ; 123, s. 102913-
-
Tidskriftsartikel (refereegranskat)abstract
- While recent research on intelligent transportation systems including vehicular communication systems has focused on technical aspects, little research work has been conducted on drivers' privacy perceptions and preferences. Understanding the driver's privacy perceptions and preferences will allow researchers to design usable privacy and identity management systems offering user privacy choices and controls for intelligent transportation systems. We conducted in-depth semi-structured interviews with 17 Swedish drivers to analyse their privacy perceptions and preferences for intelligent transportation systems, partic-ularly for user control and for privacy trade-offs with cost, safety and usability. We also compare our re-sults from the interviews with Swedish drivers with results from interviews that we conducted previously with South African drivers. Our cross-cultural comparison shows that perceived privacy implications, the drivers' willingness to share location information under certain conditions with other parties, as well as their appreciation of Privacy Enhancing Technologies differ significantly across drivers with different cultural backgrounds. We further discuss the cultural impact on privacy preferences, including those for privacy trade-offs, and the implications of our results for usable privacy-enhancing Identity Management for future vehicular communication systems. In particular, we provide recommendations for suitable pre-defined privacy options to be offered to users with different cultural backgrounds enabling them to easily make privacy-related control choices.
|
|
| 3. |
- Iwaya, Leonardo H, et al.
(författare)
-
E-Consent for Data Privacy : Consent Management for Mobile Health Technologies in Public Health Surveys and Disease Surveillance
- 2019
-
Ingår i: MEDINFO 2019. - : IOS Press. - 9781643680026 - 9781643680033 ; , s. 1223-1227
-
Konferensbidrag (refereegranskat)abstract
- Community health workers in primary care programs increasingly use Mobile Health Data Collection Systems (MDCSs) to report their activities and conduct health surveys, replacing paper-based approaches. The mHealth systems are inherently privacy invasive, thus informing individuals and obtaining their consent is important to protect their rights to privacy. In this paper, we introduce an e-Consent tool tailored for MDCSs. It is developed based on the requirement analysis of consent management for data privacy and built upon the solutions of Participant-Centered Consent toolkit and Consent Receipt specification. The e-Consent solution has been evaluated in a usability study. The study results show that the design is useful for informing individuals on the nature of data processing, allowing them to make informed decisions.
|
|
| 4. |
- Iwaya, Leonardo H, et al.
(författare)
-
mHealth : A Privacy Threat Analysis for Public Health Surveillance Systems
- 2018
-
Ingår i: 2018 IEEE 31st International Symposium on Computer-Based Medical Systems. - : IEEE. - 9781538660607 - 9781538660614 ; , s. 42-47
-
Konferensbidrag (refereegranskat)abstract
- Community Health Workers (CHWs) have been using Mobile Health Data Collection Systems (MDCSs) for supporting the delivery of primary healthcare and carrying out public health surveys, feeding national-level databases with families’ personal data. Such systems are used for public surveillance and to manage sensitive data (i.e., health data), so addressing the privacy issues is crucial for successfully deploying MDCSs. In this paper we present a comprehensive privacy threat analysis for MDCSs, discuss the privacy challenges and provide recommendations that are specially useful to health managers and developers. We ground our analysis on a large-scale MDCS used for primary care (GeoHealth) and a well-known Privacy Impact Assessment (PIA) methodology. The threat analysis is based on a compilation of relevant privacy threats from the literature as well as brain-storming sessions with privacy and security experts. Among the main findings, we observe that existing MDCSs do not employ adequate controls for achieving transparency and interveinability. Thus, threatening fundamental privacy principles regarded as data quality, right to access and right to object. Furthermore, it is noticeable that although there has been significant research to deal with data security issues, the attention with privacy in its multiple dimensions is prominently lacking.
|
|
| 5. |
- Iwaya, Leonardo H, et al.
(författare)
-
Mobile Health Systems for Community-Based Primary Care : Identifying Controls and Mitigating Privacy Threats
- 2019
-
Ingår i: JMIR mhealth and uhealth. - CANADA : JMIR Publications. - 2291-5222. ; 7:3, s. 1-16
-
Tidskriftsartikel (refereegranskat)abstract
- Background: Community-based primary care focuses on health promotion, awareness raising, and illnesses treatment and prevention in individuals, groups, and communities. Community Health Workers (CHWs) are the leading actors in such programs, helping to bridge the gap between the population and the health system. Many mobile health (mHealth) initiatives have been undertaken to empower CHWs and improve the data collection process in the primary care, replacing archaic paper-based approaches. A special category of mHealth apps, known as mHealth Data Collection Systems (MDCSs), is often used for such tasks. These systems process highly sensitive personal health data of entire communities so that a careful consideration about privacy is paramount for any successful deployment. However, the mHealth literature still lacks methodologically rigorous analyses for privacy and data protection.Objective: In this paper, a Privacy Impact Assessment (PIA) for MDCSs is presented, providing a systematic identification and evaluation of potential privacy risks, particularly emphasizing controls and mitigation strategies to handle negative privacy impacts.Methods: The privacy analysis follows a systematic methodology for PIAs. As a case study, we adopt the GeoHealth system, a large-scale MDCS used by CHWs in the Family Health Strategy, the Brazilian program for delivering community-based primary care. All the PIA steps were taken on the basis of discussions among the researchers (privacy and security experts). The identification of threats and controls was decided particularly on the basis of literature reviews and working group meetings among the group. Moreover, we also received feedback from specialists in primary care and software developers of other similar MDCSs in Brazil.Results: The GeoHealth PIA is based on 8 Privacy Principles and 26 Privacy Targets derived from the European General Data Protection Regulation. Associated with that, 22 threat groups with a total of 97 subthreats and 41 recommended controls were identified. Among the main findings, we observed that privacy principles can be enhanced on existing MDCSs with controls for managing consent, transparency, intervenability, and data minimization.Conclusions: Although there has been significant research that deals with data security issues, attention to privacy in its multiple dimensions is still lacking for MDCSs in general. New systems have the opportunity to incorporate privacy and data protection by design. Existing systems will have to address their privacy issues to comply with new and upcoming data protection regulations. However, further research is still needed to identify feasible and cost-effective solutions.
|
|
| 6. |
- Åhlfeldt, Rose-Mharie, 1960-, et al.
(författare)
-
Förstudie kompetensbehov informationssäkerhet
- 2014
-
Rapport (populärvet., debatt m.m.)abstract
- På uppdrag av Myndigheten för samhällsskydd och beredskap (MSB) har en förstudie genomförts med syftet att sammanställa forskningsresultat om kompetenshöjande åtgärder inom informationssäkerhetsområdet för att kartlägga utbildningsbehov och identifierade nyttoeffekter. Arbetet har genomförts av forskare från tre olika lärosäten, Högskolan Skövde, Karlstad Universitet och Stockholms Universitet, samt inom tre forskningsdiscipliner nämligen pedagogik, informationssäkerhet och företagsekonomi.Förstudien har haft i uppdrag att besvara följande frågeställningar:Hur definieras kompetens?Hur mäter man kompetens?Hur skiljer sig olika typer av utbildningsinsatser avseende nyttoeffekter? Vilka erfarenheter,utvärderingar förklaringsfaktorer kan identifieras?Hur och i vilken utsträckning tillgodogörs olika typer av utbildningar?Vad kännetecknar framgångsrika utbildningsinsatser?Resultatet visar att kompetensbegreppet är svårdefinierat och det finns ingen tydlig definition av begreppet. Ett försök till en sammanfattande beskrivning av kompetensbegreppet utifrån granskningen är att kompetens innebär en viss uppsättning kunskaper, färdigheter, etik och attityder i en viss kontext. Kompetens innefattar både egenskaper och intentioner där egenskap inkluderar kunskap och färdighet, och intentioner innefattar etik och attityder. Allt måste dock relatera till en kontext och alltid ses i sitt sammanhang.Ytterst få studier har fokus på mätning av kompetens både generellt och inom informationssäkerhetsområdet. De studier som genomfört någon form av mätning mäter främst kompetens utifrån det akademiska fältet och då i första hand utifrån ett kunskapsperspektiv. Forskning av mätning på yrkesverksamma är minimal inom de sökområden som granskats i denna förstudie.Avseende kompetensbehov, nyttoeffekter, erfarenheter och framgångsfaktorer visar granskningen att framgångsfaktorer generellt är när utbildningsinsatserna för yrkesverksamma har ett praktiknära fokus. Motivationen och engagemanget hos de som går en utbildning är av avgörande betydelse. Det går inte direkt att avgöra vilka utbildningstyper eller aktiviteter som är av störst betydelse utan granskningen visar att en kombination av olika utbildningsformer och aktiviteter är att föredra. Vidare är dialog och diskussion i den dagliga verksamheten av stor betydelse för att bygga upp en hållbar säkerhetskultur i organisationen. Den s k tysta kunskapen ska inte underskattas utan behöver tas i beaktande och stödjas.Ytterligare är ledningens engagemang, delaktighet och stöd för utbildningens genomförande av avgörande betydelse om en utbildning ska uppnå en tydlig effekt i verksamheten.Granskningen visar att det finns behov av ytterligare forskning avseende kompetensbehov och på vilket sätt olika utbildningsinsatser ger effekt i organisationer. Förslag på ett diskussionsunderlag för framtida arbete har tagits fram. Förslagen innefattar bl a behov av kompetensanalyser, metoder och verktyg för att mäta utbildningseffekter, riktade kompetenshöjande insatser för managementnivån, longitudinella studier för uppföljning av effekter samt utveckling av metoder och verktyg för ett situerat lärande.Granskningen har genomförts inom olika disciplinområden vilket har uppfattats mycket positivt av de deltagande forskarna. Eftersom informationssäkerhet är ett interdisciplinärt område krävs också att bredare perspektiv och ytterligare discipliner bör ingå i framtida fördjupade analyser i området. Exempel på tillkommande discipliner är beteendevetenskap, psykologi och juridik. Behovet av kompetens inom informationssäkerhetsområdet lär inte minska i framtiden och ytterligare forskning behövs för att rätt utbildning ska nå rätt person vid rätt tidpunkt och på rätt plats.Skövde i mars 2014
|
|
| 7. |
- Alaqra, Ala Sarah, et al.
(författare)
-
Transparency of Privacy Risks Using PIA Visualizations
- 2023
-
Ingår i: HCI for Cybersecurity, Privacy and Trust. - Cham : Springer. - 9783031358210 - 9783031358227 ; 14045 LNCS, s. 3-17
-
Konferensbidrag (refereegranskat)abstract
- Privacy enhancing technologies allow the minimization of risks to online data. However, the transparency of the minimization process is not so clear to all types of end users. Privacy Impact Assessments (PIAs) is a standardized tool that identifies and assesses privacy risks associated with the use of a system. In this work, we used the results of the PIA conducted in our use case to visualize privacy risks to end users in the form of User Interface (UI) mock ups. We tested and evaluated the UI mock-ups via walkthroughs to investigate users' interests by observing their clicking behavior, followed by four focus group workshops. There were 13 participants (two expert groups and two lay user groups) in total. Results reveal general interests in the transparency provided by showing the risks reductions. Generally, although participants appreciate the concept of having detailed information provided about risk reductions and the type of risks, the visualization and usability of the PIA UIs require future development. Specifically, it should be tailored to the target group's mental models and background knowledge.
|
|
| 8. |
- Karegar, Farzaneh, et al.
(författare)
-
Exploring User-Suitable Metaphors for Differentially Private Data Analyses
- 2022
-
Ingår i: Proceedings of the 18th Symposium on Usable Privacy and Security, SOUPS 2022. - 9781939133304 ; , s. 175-193
-
Konferensbidrag (refereegranskat)abstract
- Despite recent enhancements in the deployment of differential privacy (DP), little has been done to address the human aspects of DP-enabled systems. Comprehending the complex concept of DP and the privacy protection it provides could be challenging for lay users who should make informed decisions when sharing their data. Using metaphors could be suitable to convey key protection functionalities of DP to them. Based on a three-phase framework, we extracted and generated metaphors for differentially private data analysis models (local and central). We analytically evaluated the metaphors based on experts’ feedback and then empirically evaluated them in online interviews with 30 participants. Our results showed that the metaphorical explanations can successfully convey that perturbation protects privacy and that there is a privacy-accuracy trade-off. Nonetheless, conveying information at a high level leads to incorrect expectations that negatively affect users’ understanding and limits the ability to apply the concept to different contexts. In this paper, we presented the plausible suitability of metaphors and discussed the challenges of using them to facilitate informed decisions on sharing data with DP-enabled systems.
|
|
| 9. |
- Morel, Victor, 1992, et al.
(författare)
-
Automating privacy decisions -where to draw the line?
- 2023
-
Ingår i: Proceedings - 8th IEEE European Symposium on Security and Privacy Workshops. - : Institute of Electrical and Electronics Engineers (IEEE). ; , s. 108-116
-
Konferensbidrag (refereegranskat)abstract
- Users are often overwhelmed by privacy decisions to manage their personal data, which can happen on the web, in mobile, and in IoT environments. These decisions can take various forms -such as decisions for setting privacy permissions or privacy preferences, decisions responding to consent requests, or to intervene and ’reject’ processing of one’s personal data -, and each can have different legal impacts. In all cases and for all types of decisions, scholars and industry have been proposing tools to better automate the process of privacy decisions at different levels, in order to enhance usability. We provide in this paper an overview of the main challenges raised by the automation of privacy decisions, together with a classification scheme of the existing and envisioned work and proposals addressing automation of privacy decisions.
|
|
| 10. |
- Romare, Piero, 1995, et al.
(författare)
-
Tapping into Privacy: A Study of User Preferences and Concerns on Trigger-Action Platforms
- 2023
-
Ingår i: 2023 20th Annual International Conference on Privacy, Security and Trust, PST 2023. - : Institute of Electrical and Electronics Engineers (IEEE). - 9798350313871 - 9798350313888
-
Konferensbidrag (refereegranskat)abstract
- The Internet of Things (IoT) devices are rapidly increasing in popularity, with more individuals using Internet-connected devices that continuously monitor their activities. This work explores privacy concerns and expectations of end-users related to Trigger-Action platforms (TAPs) in the context of the Internet of Things (IoT). TAPs allow users to customize their smart environments by creating rules that trigger actions based on specific events or conditions. As personal data flows between different entities, there is a potential for privacy concerns. In this study, we aimed to identify the privacy factors that impact users' concerns and preferences for using IoT TAPs. To address this research objective, we conducted three focus groups with 15 participants and we extracted nine themes related to privacy factors using thematic analysis. Our participants particularly prefer to have control and transparency over the automation and are concerned about unexpected data inferences, risks and unforeseen consequences for themselves and for bystanders that are caused by the automation. The identified privacy factors can help researchers derive predefined and selectable profiles of privacy permission settings for IoT TAPs that represent the privacy preferences of different types of users as a basis for designing usable privacy controls for IoT TAPs.
|
|
