Are the Norwegian Internet users ready for the new threats to their information?: a survey on awareness and use of preventive technologies

Abstract

NORSK: I en setting hvor teknologi, og dermed trusler mot denne teknologien, utvikler seg veldig raskt, er det viktig for utviklere av nye tjenester som benytter seg av denne teknologien og i større grad fokusere på de kravene brukerne setter til systemet. De fleste er oppmerksomme på trusler mot våre konvensjonelle eiendeler, man setter for eksempel ikke fra seg bilen ulåst om kvelden og de fleste tegner forsikringer for å beskytte verdien den representerer. Men er folk oppmerksomme på at elektroniske verdisaker, i form av informasjon, er like verdifulle for kriminelle på Internett? Tjenester som Minside fra Norge.no, aggregerer mye informasjon på ett sted og gir brukerne tilgang til denne. Vi mener dette kan gjøre brukerne mer attraktive for angripere. Vi ser allerede denne type tilnærming hvor trojanere angriper enkeltbrukere av nettbank. Tyveri av kontodetaljer og påloggingsinformasjon er en direkte tilnærming, med umiddelbar gevinst i form av overførsel av tilgjengelige midler. Men hvis identitetstyverier og sosial entrepenørkunst(social engineering) blir mer vanlig i Norge, så kan brukere av informasjonsaggregerende tjenester som Minside bli populære mål. Hvis brukerne får noe av ansvaret med å beskytte sin egen informasjon, bør ekstra fokus rettes mot nettopp brukerne av tjenesten under identifiseringen av krav til tjenesten. Hvis trenden med å angripe enkeltbrukere fremfor sentrale servere forsetter, bør designere av slike tjenester forsikre seg om at brukerne er villige og i stand til å beskytte informasjonen på egne datamaskiner. Hvis brukerne ikke er i stand til eller ikke er villige til å beskytte datamaskinene sine tilstrekkelig, kan det hende de lar være å bruke tjenesten i isteden. Denne masteroppgaven undersøkte hvor oppmerksomme norske Internett-brukere er på områdene personvern og trusler mot datamaskiner koblet til Internett. I tillegg undersøkte den bruk av sikkerhetstiltak som anti-virus, anti-spionprogramvare(spyware), brannmur og sprett-opp-vindu(popup)-blokkerer. Fra studien av tidligere arbeid om fokus på personvern fant vi at mange sier personvern er viktig, men lar være å følge opp når det gjelder å benytte seg av personvernrettigheter og å aktivt beskytte sitt eget personvern. I tillegg finner undersøkelser en veldig stor andel av private datamaskiner infiserte med ondsinnet kode. Fra vår undersøkelse og den etterfølgende analysen fikk vi bekreftet hvor viktig oppmerksomhet på problemene er for bruk av sikkerhetstiltak. Vi fant også store forskjeller i bruk av de forskjellige sikkerhetstiltakene vi spurte om. Nesten alle sier de bruker anti-virus, mens bare omtrent halvparten av de spurte sier de bruker anti-spionprogramvare.

ENGELSK: In a setting where technology, and thus threats to this technology as well, evolves rapidly, it is important for designers of new services utilizing this technology to address to a greater extent the requirements the users of the services put on the system. Most are aware of the threats to conventional valuables, e.g. we do not leave our car unlocked in the street at night and most invest in insurance to protect the value it represents. But are people aware that their electronic valuables, in the form of information, are also prized targets for online criminals? With services like Mypage(Minside) that aggregate much information and makes it available to the users, we see a shift in the responsibility for protecting this information. We argue that this development could make the uses more attractive to attackers, we are already seeing this with trojans attacking individual users of Internet banking. The stealing of financial information is a direct approach, with the instant transfer of available funds in accounts. But if identity theft and social engineering becomes more common in Norway, we could see users of information aggregating services like Mypage becoming prime targets for attackers looking for information on targets. If the users are responsible for protecting the information on their computers, it is necessary to put more focus on the users when identifying the system requirements. If the trend of attacking individual users rather than the central servers is continuing, the designers of such systems should make sure that the users are capable and willing to take the responsibility for protecting the information on their own computers. If users are not capable or willing to make effort of protecting their computers, they might choose not to use the service instead. This thesis investigated levels of awareness towards privacy and threats to an online computer, and in addition the use of preventive technologies such as anti-virus, anti-spyware, firewall and popup-blocker. From the study of previous work on privacy awareness, we found many stating privacy is important, but not putting words into action when it comes to exercising privacy rights or actively protecting their privacy. In addition, recent surveys on malicious software show a very large part of consumer PCs infected. From our survey and subsequent analysis we confirmed the importance of awareness in explaining use of preventive technologies. We also found the extent of preventive technology use, with both good and bad news. We saw an almost universal use of anti-virus among our survey respondents, but only approximately half of the people asked use anti-spyware.