Norske kommuners håndtering av risiko for cyberangrep via leverandørers IKT systemer
Master thesis
Permanent lenke
https://hdl.handle.net/11250/3023007Utgivelsesdato
2022Metadata
Vis full innførselSamlinger
- Studentoppgaver (TN-ISØP) [1601]
Sammendrag
Denne oppgaven har sett på “hvordan norske kommuner jobber med risikoen for cyberangrep via leverandørers IKT-tjenester" og i forlengelse hvilke krav de stiller til leverandørkjeden, både gjennom interne prosesser, som oppdragsgiver og hva som ligger innenfor regelverket for offentlige anskaffelser. Til slutt har oppgaven også sett på hvordan kommuner opplever myndighetenes arbeid på området.
Vi som forfattere valgte tidlig å splitte teorikapittelet opp i flere deler. Risiko, informasjonssikkerhet, cybersikkerhet og anskaffelser. Denne delingen er gjort for å dekke det nødvendige spekteret for å svare ut det brede forskingsspørsmålet.
Ettersom som vi har benyttet oss av spørsmålsformen «hvordan» i denne forskningen og har hatt et ønske om å studere enkelthendelser, gå i dybden, belyse små detaljer og gi informanter frihet til å uttrykke seg er kvalitativ forskningsmetode med intervjuer brukt. Totalt sett har oppgaven 14 informanter spredt over flere kommuner, en interkommunal samarbeidsvirksomhet (IKS), Kommune-CSIRT og Orange Cyberdefence.
Vårt hovedfunn i denne oppgaven viser at kommunene er til dels beviste på risikoen for cyberangrep via leverandørkjedene og jobber aktivt med å redusere denne. Pr dags dato ligger kommunene i denne oppgaven i det nedre sjiktet av modenhetsgrad når det gjelder risiko, men basert på langsiktige planer er de i ferd med å implementere et bedre styringssystem med felles definisjoner, metodikk og forståelse for hvordan de skal arbeide med fagområdet. Videre har vi gjennom denne oppgaven funn som tilsier at kommunene med fordel kunne integrert et bedre sett med standardkrav til cyber- og informasjonssikkerhet i sine anskaffelser. Til slutt ønsker vi å trekke frem oppgavens funn hvor kommunene opplever at det er for mange myndighetsaktører på fagområdene, som i forlengelse benytter ulike tilnærminger slik at det blir uoversiktlig for de kommunale virksomhetene å identifisere anbefalt beste praksis.