| dc.description.abstract | Hendelsen i Ukraina hvor flere hundretusen plutselig ikke hadde strøm, økte bevisstheten rundt evnene til hackere. Norge har heldigvis ikke end opplevd en alvorlig hendelse Energiforsyningen er en av de viktigste samfunnsfunksjonene vi har, og en viktig del av den kritiske infrastrukturen. Med den stadig økende digitaliseringen av samfunnet, og implementeringen av IKT-systemet er vi mer utsatte enn før. Driftskontrollsystemene som er i bruk i dag ble egentlig ikke konstruert for å være på internett, noe som har gjort at sikkerhet ikke ble bygget inn fra begynnelsen av. Før ble kraftanlegg styrt manuelt, nå fjernstyres alt. Dette gjør at trusselbildet har endret seg for energiforsyningen: ikke bare må ta høyde for fysiske trusler, men også digitale. IKT-hendelser må det etableres beredskap på, på lik linje som fysiske hendelser. Det er et forholdsvis nytt felt og dermed er det mindre erfaring på hvordan man skal etablere beredskap på IKT-sikkerhet.
Studiens problemstilling er: Hvordan kan energiforsyningen etablere god beredskap på IKT-sikkerhet? Formålet med denne oppgaven er å etablere mulige suksesskriterier for etablering av beredskap på IKT-sikkerhet. Denne studien består av et datagrunnlag som er innhentet ved å bruke en kvalitativ metodetilnærming. Datagrunnlaget består av ni intervju og relevante dokumenter. Det teoretiske grunnlaget for denne oppgaven er begrepsforklaring av risiko, sårbarhet og trussel, beredskapsteori, Natural Accidents Theory og High reliability Theory.
Det er kommet frem til fem retningslinjer for hvordan man kan etablere god beredskap på IKT-sikkerhet:
1. ROS-analyser og verdivurdering er de viktigste elementene i identifiseringsfasen, og legger føring for resten av prosessen. Her må det nedsettes en analysegruppe som går gjennom potensielle IKT-trusler. Analysene må tilpasses trusselbildet og jevnlig oppdateres.
2. Beredskapsplanen må øves og trenes på. Og man gi folk ansvar for det de har til daglig ettersom de vil gjennomføre kjente oppgaver bedre. Man må vite hvilke ressurser man har tilgjengelige, både interne og eksterne. Dersom det oppstår en hendelse, og man ikke har denne kompetansen in-house, må man vite hvem man skal kontakte.
3. IKT-trusler kan endre karakter over tid, derfor må det hele tiden være fokus på kompetanseheving. I tillegg må man tilrettelegge for at virksomheten og dens ansatte er oppdaterte på sikkerhetsrutiner.
4. Sikkerhetstankegangen må gjennomsyre hele virksomheten, fra topp til bunn, og fra bunn til topp. Det er viktig at den samme forståelsen er gjennomgående i hele organisasjonen.
5. IKT-sikkerhet må ha likt høyt fokus som mer tradisjonell fysisk beredskap. Man kan ikke bli bedre på noe dersom det ikke blir prioritert. Dialog mellom ledelse, IT-avdeling og beredskapsstab må vektlegges. | nb_NO |
