Cybersikkerhet i nettselskap. En studie av cybersikkerhet i et menneskelig og organisatorisk perspektiv
Master thesis
Submitted version
Date
2019-06-15Metadata
Show full item recordCollections
- Studentoppgaver (TN-ISØP) [1410]
Abstract
Stabil energiforsyning er en kritisk infrastruktur som øvrige samfunnsfunksjoner er fullstendig avhengig av. Kraftbransjen har som resten av samfunnet blitt mer digitalisert og avhengig av IKT-baserte løsninger. Digitalisering og stadig flere komponenter tilknyttet internett har imidlertid medført at energisektoren eksponeres for en rekke nye cybertrusler. Cybersikkerhet har tradisjonelt vært en teknisk disiplin med mange tekniske løsninger tilgjengelig. Ofte viser det seg imidlertid at tekniske løsninger alene ikke er tilstrekkelig. Formålet med denne studien har vært å undersøke cybersikkerhet i kraftsektoren fra et ikke-teknologisk perspektiv. Denne studien undersøker hvilke ikke-tekniske barrierer som benyttes av nettselskapene, og hvilken effekt de mener barrierene har på cybersikkerheten. På bakgrunn av dette er følgende problemstilling lagt til grunn:
«Hvordan forstår nettselskaper betydningen av ikke-tekniske barrierer innen cybersikkerhet?»
For å svare på problemstillingen har IKT-sikkerhetsledere og øvrige sikkerhetsledere i tre nettselskap blitt intervjuet om hvordan de forstår de menneskelige og organisatoriske forholdenes innvirkning på cybersikkerheten, og hvilke barrierer som benyttes i dette sikkerhetsarbeidet. Funnene har blitt drøftet opp mot teori basert på risikostyring og barrierer, MTO-perspektivet, med ekstra fokus på den menneskelige faktor og organisatoriske ulykker, og kollektiv bevissthet (mindfulness).
Resultatene viser at nettselskapene bruker en rekke ulike ikke-tekniske barrierer innenfor cybersikkerhet, og at nettselskapene forstår cybersikkerhet som en kombinasjon av ikke-tekniske og tekniske barrierer. De ikke-tekniske barrierene er spesielt viktige innenfor opplæring og bevisstgjøring. I tillegg er det eksempler på at regler, rutiner og prosedyrer er viktige for å støtte opp om funksjonaliteten til tekniske barrierer. Samtidig har ikke-tekniske barrierer sine klare begrensninger ettersom de er avhengig av at de ansatte tolker og forstår hvordan barrierene skal iverksettes i praksis.
Nettselskapenes forståelse av menneskelige feilhandlinger peker i retning av forklaringer ved organisasjonen og miljøet de ansatte opererer i, heller enn karakteristikker med de ansatte selv. Dette gjenspeiles i nettselskapenes barrierestyring gjennom at flere av barrierene er satt inn for å redusere risikoen for feilhandlinger og øke feiltoleransen, samt prioriteringen av opplæring.
Nettselskapenes kollektive bevissthet er avgjørende for at ikke-tekniske barrierer skal fungere. Karakteristikker som utgjør kollektiv bevissthet observeres imidlertid blant nettselskapene. Dette kan tyde på at nettselskapene er årvåkne i møte med cybertrusler, noe som påvirker barrierenes pålitelighet.
Description
Master's thesis in Risk management and societal safety