Explaining information security behavior : case of the home user

Abstract

Tässä pro gradu – tutkielmassa tutkittiin kotikäyttäjien tietoturvakäyttäytymis- tä. Mitkä tekijät vaikuttavat tietoturvakäyttäytymiseen, miksi tiettyjä suojakei- noja omaksutaan ja toisia sivuutetaan? On väitetty että kotikäyttäjät voivat olla uhka niin itselleen, muille kuin koko kyber- infrastruktuurille. Tutkielmassa hyödynnettiin kirjallisuuskatsausta sekä haastatteluja vastausten saamiseksi.

Kirjallisuuskatsauksen perusteella voidaan päätellä, että kotikäyttäjien käyttäytymiseen vaikuttaa uhan tunteen vakavuus sekä todennäköisyys mutta reagointi uhkaavaan tilanteeseen riippuu myös yksilön atk-taidoista sekä itse- luottamuksesta (minäpystyvyys). Yleisesti paremmat taidot johtavat korkeam- paan tietoturvaan. Käyttäjien asenteisiin vaikuttamalla tuloksia voidaan myös saada. Lopuksi, ystävien ja tuttujen neuvot sekä median vaikutus ts. subjektiivi- set normit voivat myös vaikuttaa positiivisesti tietotoruvakäyttäytymiseen.

Haastattelut tukivat suurelta osin olemassa olevaa kirjallisuutta mutta esille tuli myös uutta käsitteistöä aihepiiriin liittyen. Haastatteluiden perusteel- la voidaan väittää mm., että käyttäjät laiminlyövät tietoturvaa jos oma tieto nähdään arvottomana. Tietoturvaa voidaan parantaa pakottamalla tiettyjä tieto- turva käytänteitä sekä suosimalla automaatiota. Kun käyttäjä saa itse päättääkäytettävistä keinoista, tietoturva yleensä heikkenee. Huonot kokemukset saa- vat uhan tuntumaan oikealta ja siten parantaa myös tietoturvaa. Huonojen ko- kemusten jälkeen uhka ei tunnu enää teoreettiselta ajatukselta vaan vaara koe- taan oikeaksi. Ulkoiset vaikutukset kuten neuvot ystäviltä ja tuttavilta sekä me- diasta tulevat varoitukset ja kehotukset vaikuttavat käyttäjiin positiivisesti. Lo- puksi, haastatteluiden perusteella atk-taidot johtavat parempaan tietoturvaan mutta eivät aina, koska tietyissä tilanteissa ylimielisyyttä käytänteitä kohtaan voi esiintyä. Vähemmän taitavat käyttäjät laiminlyövät tietoturvaa useasti kos- ka heillä ei ole tarvittavaa tietämystä erilaisista uhista.

Lopussa tutkielman tuloksia ja niiden vaikutuksia pohdittiin suhteessa olemassa olevaan kirjallisuuteen sekä tuleviin tutkimuksiin. Tuloksia myös pohdittiin käytännön näkökulmasta.

This thesis set out to understand more about the phenomenon of home user information security behavior, what factors influence home user behavior and why some safety measures are adopted while others dismissed. It has been claimed that this big and growing group of users can be a threat to themselves, others and the whole cyber infrastructure. Thesis was implemented by reading relevant literature and conducting interviews to a small group of home users.

Based on the literature, it was discovered that home users are influenced when security threats are seen as real and severe (threat appraisal) but influence works better if the individuals have the necessary skills and confidence (i.e. self efficacy) to react to these threats. In general better computer skills tend to lead to higher information security. By influencing users’ attitudes, better information security can also be achieved. Finally, advices and suggestions from friends and peers as well as media visibility, i.e. subjective norms are seen as influencing factor on home user information security behavior.

Interviews mostly confirmed the existing literature but also brought up some new concepts to discussion. Based on the data some claims can be made about the home user’s information security behavior. First, users tend to neglect security when information is seen as invaluable. Second, information security can be improved when safety measures are forced on the users or if they are automatic in nature and giving the choice (whether to activate a safety feature) to the home users seemed to result in lesser security. Third, bad experiences work as a good tool to enhance threat appraisal therefore improving security. Such experiences make threats look very real and protection is not something theoretical to the user anymore. Fourth, external influence from peers, family and various medias influence users in a positive way. Finally, in the interviews it was found that skills lead to better security yet not always as some overconfidence might develop. Less skilled users seem to neglect some information security due to lack of knowledge about different threats.

In the end of the thesis implications to research and practice where dis- cussed to point out contributions of the study.