Foto på Joakim Kävrestad

Intervju med Joakim Kävrestad om ett nytt plugin för säkerhet på nätet

Hej Joakim! Du är adjunkt i Informationsteknologi vid Högskolan i Skövde och projektledare för ett projekt som finansierats inom ramen för PTS innovationstävling och som har fokus på personer med neuropsykiatrisk funktionsnedsättning, NPF.

Projektet heter Utveckling av beslutsstöd för användare i riskfyllda situationer online. Det är vi nyfikna på att veta mer om!

Vilka är de största utmaningarna med säkerheten på nätet enligt dig?

Just nu skulle jag säga att den största utmaningen är att användare utsätts av angripare i allt högre grad. Man använder phishing, dåliga lösenordsrutiner eller bristande kunskaper för att lura användare att göra saker de egentligen inte vill.

För företag kan det röra sig om att lura användare att klicka på länkar för att ladda ner skadliga programvaror, eller lämna ut uppgifter som är hemliga. För privatpersoner är det oftare ekonomiska motiv där man kan lura någon att lämna ut bank eller kortuppgifter eller använda någon identitet för att exempelvis ta lån.

Nånstans bygger allt detta på att användaren själv behöver ta ett stort ansvar för säkerhet, men jag menar att användare inte är rustade för det kunskapsmässigt eller kognitivt. Här har ”IT-världen” en stor utmaning i att säkerställa att framtidens datorer är lätta att använda på ett säkert sätt. Nu förväntas användaren kunna avvärja hot på egen hand och det är genuint svårt.

Berätta kort om er produkt, vem är den till för och varför behövs den?

Vi har skapat ett plugin- WebSec Assistant, för webbläsare som ska varna användare när de kan utsättas för säkerhetsrisker och ge stöd för användaren så att situationen kan hanteras säkert. Syftet är dels att göra användare uppmärksamma när något dåligt kan hända och dels att erbjuda träning. Just uppmärksamhetsdelen har i forskning visat sig vara effektiv när det kommer till att påverka hur användare agerar.

Pluginet är utvecklat för alla internetanvändare men vi har i våra användartester framförallt fokuserat på användare med kognitiva utmaningar. Andemeningen är att något som är lättanvänt för användare med kognitiva utmaningar också blir lättanvänt för alla användare.

Ni har använt er av en metod som heter Design science där användartestning är centralt. Hur har ni arbetat med det? 

Design Science är en forskningsmetod som används när man vill använda ett forskningsperspektiv för att utveckla något som ska vara till praktisk nytta, kan man säga. I korthet går det ut på att man utvecklar i cykler där varje cykel innehåller moment där det som utvecklas testas i den tänkta målgruppen.

Vi har arbetat med fokusgrupper som vid två tillfällen har fått testa produkten och sen diskutera dess styrkor och svagheter. I ärlighetens namn kanske med fokus på svagheter. I ett tidig skede ledde detta till ett komplett om-tänk kring vårt gränssnitt där vi förenklade den grafiska designen väldigt mycket. Vi fick även en förståelse för målgruppen som vi inte hade innan. Ett exempel är en bild vi hade med för att göra gränssnittet mer tilltalande. Denna bild fick alla möjliga kommentarer kring funderingar på hur den skulle tolkas och var väldigt störande för vissa användare varpå den togs bort.

När ni tog fram er produkt så tog ni fram en kravspecifikation med detaljerade krav. Hur tog ni fram specifikationen?

Dels utgick vi från en teori som heter Kontextbaserad Mikroträning. Det är en forskningsprodukt som vi arbetat med under ganska lång tid och den låg till grund för den grundläggande funktionen hos vår plugin. Teorin säger att cybersäkerhetsträning ska presenteras för användare när de befinner sig i riskfyllda situationer, och vara aktuell för just den situation som använder befinner sig i. Exempelvis får användaren lösenordstips när den ska skapa ett lösenord, eller phishing-information när den öppnar sin mailkorg.

Vi genomförde också intervjuer för att bättre förstå målgruppen och i detta skede intervjuade vi fyra personer som på olika sätt arbetat med kognitiv tillgänglighet. I detta skede testade vi olika tankar om design för att få återkoppling. Till sist låg även WCAG 2.1 och aktuell forskning om gränssnittsdesign till grund för vår utveckling.

Hur har ni arbetat för att sprida den här innovationen till de som behöver den?

Vi har spridit information via intresseorganisationer. Sen har vi varit ganska mediala och fått en del uppmärksamhet i media tidigare och fått spridning på det viset. Framöver kommer vi rikta in oss mer på spridning i företagsnätverk.

 

Även efter er utbildning hade användare ibland svårt att upptäcka nätfiske. Hur kommer det sig, vad behöver man arbeta mer med?

En stor utmaning är att användaren behöver göra en bedömning och den kan bli fel även om användaren är uppmärksam på rätt saker. Detta gäller främst när en motiverad angripare anstränger sig för att exempelvis skicka ett personligt mail med relevant innehåll. Vi ser till exempel att man riktar in sig på rekryterare och då skickar mail som ser ut att komma från en potentiell kandidat för någon aktuell tjänst.

På sikt tror jag att vi behöver fundera på hur tjänster som ofta utnyttjas av angripare fungerar i grunden. Det kanske behöver vara så att man inte kan dela filer via e-post, eller att det inte går att inkludera länkar som är formaterade så att man inte ser vilken sida de leder till. Detta skulle jag säga är väldigt mycket en öppen fråga som är svårt att ge en generell lösning på i dagsläget.

Det här är ett projekt mellan en högskola och ett företag. Vilka är dina tre bästa tips för en god samverkan?

Ha tydliga roller och intressen från början.

Skriv ett avtal för att säkerställa att man faktiskt tolkar roller och intressen på samma sätt.

Nätverka för att komma igång med samarbete så man är redo när en möjlighet uppenbarar sig.

Vilka är era huvudsakliga insikter från det här projektet?

Med vårt fokus har vi fått jobba och fundera mycket kring kognitiv tillgänglighet och tillgänglighet i det digitala samhället generellt. När vi digitaliserar mer och mer, både privat och offentligt, så skapar vi en väldigt bra tillgänglighet för de allra flesta men det finns ganska många individer som har svårt att ta del av det digitala samhället. Det är svårt att säga vad detta kommer medföra på sikt, men vi riskerar att bygga utanförskap. En lösning på detta är lättanvända system, som då är lättanvända för alla men just i säkerhetsfrågor och funktioner så har samhället en lång väg att gå.

En anslutande insikt är att system som designas för att fungera för användare med kognitiva utmaningar ofta blir lättare för alla att använda. En slutsats där är att kognitiv tillgänglighet helt enkelt borde integreras ofta, om inte alltid.