Information security risk assessment of smartphones using Bayesian networks

Loading...
Thumbnail Image
Journal Title
Journal ISSN
Volume Title
Sähkötekniikan korkeakoulu | Master's thesis
Date
2015-08-24
Department
Major/Subject
Tietoverkkotalous
Mcode
ETA3003
Degree programme
TLT - Tietoliikennetekniikka (TS2005)
Language
en
Pages
69+8
Series
Abstract
The amount of smartphones in use has grown exponentially during the last decade, and with this growth, users have become vulnerable to a new realm of information security threats. Although the security of desktop and laptop computers is relatively common knowledge, smartphone security is not as well understood among end-users, and has not been studied extensively. This thesis comprises an information security risk assessment of smartphone use in Finland using Bayesian networks. The primary research method in this thesis is a knowledge-based approach to building a causal Bayesian network model of information security risks and consequences. The risks, consequences, probabilities and impacts are identified from domain experts in a 2-stage interview process with 8 experts as well as from existing research and statistics. This information is then used to construct a model which is flexible and lends itself to different use cases such as sensitivity and scenario analysis. This model can also be extended when new data becomes available. The results show that smartphone use is accompanied by a wide variety of different information security risks such as advanced shoulder surfing techniques and unintentional data disclosure through legitimate applications. Although some risks are difficult or impossible for the user to control, most risks discussed in this thesis are strongly dependent on the user’s actions. Therefore, there is a need for increasing security awareness among smartphone users.

Käytössä olevien älypuhelinten määrä on kasvanut eksponentiaalisesti viimeisimmän vuosikymmenen aikana ja tämä muutos on tuonut mukanaan täysin uudenlaisia tietoturvariskejä. Vaikka loppukäyttäjillä on keskimäärin kohtuulliset yleistiedot perinteisten tietokoneiden tietoturvasta, ei älypuhelinten tietoturva ole vielä vastaavalla tavalla yleistietoa, eikä sitä ole tutkittu yhtä paljon. Tämä työ koostuu älypuhelinten tietoturvan riskikartoituksesta ja koskee nykyhetken Suomea ja käyttää menetelmänä Bayes-verkkoja. Ensisijainen tutkimusmenetelmä tässä työssä on kausaalisen Bayes-verkon rakentaminen tutkimustiedon sekä asiantuntijoiden tietämyksen perusteella. Älypuhelinten tietoturvaan liittyvät riskit, seuraukset, todennäköisyydet ja vaikutukset kartoitetaan kahdeksalta aiheasiantuntijalta kaksivaiheisen haastatteluprosessin aikana sekä olemassa olevista tutkimuksista ja tilastoista. Kerätyn tiedon avulla rakennetaan joustava malli, jota voidaan käyttää useaan käyttötarkoitukseen kuten herkkyysanalyysiin ja skenaarioanalyysiin. Mallia voidaan myös laajentaa, kun uutta tietoa tulee saataville. Työn tulokset osoittavat, että älypuhelimen käyttöön liittyy laaja skaala tietoturvariskejä, kuten edistyneet salakatselun menetelmät sekä tahaton tiedonjako asiallisten mobiilisovellusten kautta. Useimmat tässä työssä käsitellyt riskit ovat vahvasti riippuvaisia käyttäjän omista toimista, vaikka joitain riskejä käyttäjän voi olla vaikeaa tai jopa mahdotonta välttää. Käyttäjien tietoturvatietoisuuden lisäämiselle on näin ollen tarvetta.
Description
Supervisor
Hämmäinen, Heikki
Thesis advisor
Kekolahti, Pekka
Keywords
smartphone, information security, risk assessment, risk analysis, Bayesian network, Bayes
Other note
Citation