What affects the intention to change information security behavior when using biometric authentication in mobile payments?

Abstract

Mobiilimaksut ja mobiilimaksusovellusten käyttö ovat lisääntyneet merkittävästi viime vuosina. Käyttäjät käyttävät erityyppisiä tunnistautumismenetelmiä mobiilimaksujen suorittamiseen, mukaan lukien biometrinen tunnistautuminen. Yleisimmät mobiilimaksamisen biometriset tunnistustavat ovat sormenjälki- ja kasvojentunnistus. Käyttäjien määrän lisääntymisen myötä myös tietoturvauhat mobiilimaksuille ja biometriseen tunnistamiseen ovat lisääntyneet. Tämä johtaa siihen, että käyttäjien on pakko muuttaa tietoturvakäyttäytymistään vastaavasti. Tämän pro-gradu -tutkielman tarkoituksena oli tutkia, mitkä ovat tärkeimmät tekijät, jotka vaikuttavat tietoturvakäyttäytymisen muutoksiin, kun käytetään biometristä tunnistautumista mobiilimaksaessa. Lisäksi selvitettiin, onko tietoturva-alan ammattilaisten ja muiden kuin turvallisuusalan ammattilaisten välillä eroa. Tämä tutkielma koostuu kirjallisuuskatsauksesta ja empiirisestä tutkimuksesta, joka tehtiin kvalitatiivisena tutkimuksena. Tämän tutkimuksen tiedot kerättiin tekemällä puolistrukturoituja haastatteluja tietoturva-alan ammattilaisten ja ei-ammattilaisten kanssa. Tiedot analysoitiin haastatteluissa havaittujen seitsemän eri teeman avulla: käytettävyys, luottamus ja itsevarmuus, tietoturvatietoisuus, muiden käyttäytyminen, uusi näkökulma elämään, uudet lainsäädännöt ja määräykset sekä havaitut riskit, uhat, haavoittuvuudet ja tapahtumat. Tulokset osoittavat, että käytettävyys on keskeinen tekijä, joka vaikuttaa tietoturvakäyt- täytymisen muutokseen. Käyttäjät ovat valmiita uhraamaan turvallisuutensa saadakseen käytettävyyttä. Lisäksi luottamus valmistajia kohtaan vaikuttaa käyttäytymiseen. Tutkielmassa havaittiin myös, että tietoturvauhilla ja -tapahtumilla on vaikutusta käyttäytymiseen, mutta uhan tai tapahtuman lisääntynyt vakavuus lisää myös sen vaikutusta. Tietoturva-alan ammattilaisten ja muiden kuin ammattilaisten välillä ei havaittu merkittäviä eroja, mikä saattaa osoittaa, että muiden kuin turvallisuusalan ammattilaistenkin tietoturvaosaaminen on nykyään melko korkea, ja sitä kannattaisi tutkia enemmän.

Mobile payments and the use of mobile payment applications have increased significantly over the past years. Several different types of authentication methods are used to make mobile payments, one of them being biometric authentication. The most common biometric authentication methods in mobile payments are fingerprint and facial recognition. However, due to the increased number of users, the information security threats towards mobile payments and biometric authentication have also increased. The users are forced to change their information security behavior accordingly. This thesis aimed to research what are the main factors that affect information security behavior change when using biometric authentication in mobile payments. In addition, it was researched whether there can be seen a difference between information security professionals and non-security professionals. The thesis consists of a literature review and an empirical research, that was conducted as a qualitative study. The data for this study was gathered by conducting semi-structured interviews with information security professionals and non-professionals. The data was analyzed through 7 different themes identified in the interviews: usability, trust and confidence, information security knowledge, the behavior of others, new perspective on life, new legislation and regulations, and perceived risks, threats, vulnerabilities and incidents. The results show that usability is the key factor affecting the information security behavior change. Users are willing to sacrifice their security in order to gain usability. In addition, trust towards the manufacturers affects the behavior. It was also observed that threats and incidents have an effect on the behavior, but the increased severity of the threat or incident also increases the effect. No significant differences were observed between the information security professionals and non-security professionals, which indicates that the information security knowledge of non-security professionals may have increased recently, and it should be researched more.