dc.description.abstract | Norge, som et av verdens mest digitaliserte land, har gjort enorm nytte av cyberteknologi,
men har samtidig åpnet opp for et svært omfattende og komplekst trusselbilde. Et
gjennomgående tema i årets trusselvurderinger fra blant andre NSM og PST er at det er
særlig utfordrende å vurdere og håndtere cyberrisiko. Momenter som lange leverandørkjeder,
hybride trusler og brå teknologisk utvikling fører til at trusselbildet blir svært usikkert. Vi
trenger følgelig risikobeskrivelser som reflekterer og tar høyde for dette. Det ble derfor
aktuelt å gjøre en undersøkelse av risikokonseptualiseringen hos en rekke virksomheter
kritiske for norsk samfunnssikkerhet og hvorvidt de hensyntar usikkerheten i det digitale
trusselbildet gjennom følgende problemstilling: Er risikokonseptualiseringen av
cybersikkerheten tilknyttet kritisk infrastruktur i Norge forenlig med usikkerhetsbasert
risikoteori?
Gjennom arbeidet har det blitt tatt utgangspunkt i et usikkerhetsbasert risikoperspektiv som
omhandler å definere risiko som konsekvenser med tilhørende usikkerheter, gjerne referert til
som «(C, U)». Oppgaven undersøker og vurderer fire ulike virksomheter tilknyttet kritisk
infrastruktur i Norge: NSM, Norges Bank, Petroleumstilsynet og Telenor. De er fra vidt
forskjellige sektorer, men har til felles at alle er tilknyttet kritisk infrastruktur og har ansvar
for tilhørende sikkerhetsarbeid. Metoden som benyttes er dokumentanalyse. Dette gjøres
primært gjennom å undersøke hvordan risiko omtales i publikasjoner fra virksomhetene selv.
Oppgaven kommer frem til at NSM og Norges Bank har begge et risikoperspektiv som
tilsvarer å konseptualisere risiko som en kombinasjon av sannsynlighet og konsekvens. Ut fra
usikkerhetsbasert risikolitteratur som trekkes frem i oppgaven, er dette en upassende
tilnærming til sikkerhetsrisiko og kan ofte ende i utilstrekkelige og/eller misvisende
risikobeskrivelser. Implikasjonene blir forsterket av at cyberrisikobildet er særlig preget av
usikkerhet. Videre kommer det frem at både Telenor og Petroleumstilsynet har en tilnærming
til risiko som baseres på (C, U)-perspektivet. Med utgangspunkt i informasjonen samlet inn i
denne oppgaven, kan man hverken avkrefte eller bekrefte problemstillingen helt kategorisk,
ettersom virksomhetene ikke opererer ut fra én felles risikokonseptualisering. Som et resultat
konkluderer oppgaven med at Petroleumstilsynet og Telenor sin risikokonseptualisering er
forenlig med usikkerhetsbasert risikoteori. NSM og Norges Bank gir på sin side uttrykk for
risikokonseptualisering som er uforenlig med usikkerhetsbasert risikoteori. | |