Sannsynlighet eller usikkerhet? En undersøkelse av risikokonseptualiseringen tilknyttet cybersikkerhet hos fire virksomheter kritiske for norsk samfunnssikkerhet

Abstract

Norge, som et av verdens mest digitaliserte land, har gjort enorm nytte av cyberteknologi, men har samtidig åpnet opp for et svært omfattende og komplekst trusselbilde. Et gjennomgående tema i årets trusselvurderinger fra blant andre NSM og PST er at det er særlig utfordrende å vurdere og håndtere cyberrisiko. Momenter som lange leverandørkjeder, hybride trusler og brå teknologisk utvikling fører til at trusselbildet blir svært usikkert. Vi trenger følgelig risikobeskrivelser som reflekterer og tar høyde for dette. Det ble derfor aktuelt å gjøre en undersøkelse av risikokonseptualiseringen hos en rekke virksomheter kritiske for norsk samfunnssikkerhet og hvorvidt de hensyntar usikkerheten i det digitale trusselbildet gjennom følgende problemstilling: Er risikokonseptualiseringen av cybersikkerheten tilknyttet kritisk infrastruktur i Norge forenlig med usikkerhetsbasert risikoteori?

Gjennom arbeidet har det blitt tatt utgangspunkt i et usikkerhetsbasert risikoperspektiv som omhandler å definere risiko som konsekvenser med tilhørende usikkerheter, gjerne referert til som «(C, U)». Oppgaven undersøker og vurderer fire ulike virksomheter tilknyttet kritisk infrastruktur i Norge: NSM, Norges Bank, Petroleumstilsynet og Telenor. De er fra vidt forskjellige sektorer, men har til felles at alle er tilknyttet kritisk infrastruktur og har ansvar for tilhørende sikkerhetsarbeid. Metoden som benyttes er dokumentanalyse. Dette gjøres primært gjennom å undersøke hvordan risiko omtales i publikasjoner fra virksomhetene selv.

Oppgaven kommer frem til at NSM og Norges Bank har begge et risikoperspektiv som tilsvarer å konseptualisere risiko som en kombinasjon av sannsynlighet og konsekvens. Ut fra usikkerhetsbasert risikolitteratur som trekkes frem i oppgaven, er dette en upassende tilnærming til sikkerhetsrisiko og kan ofte ende i utilstrekkelige og/eller misvisende risikobeskrivelser. Implikasjonene blir forsterket av at cyberrisikobildet er særlig preget av usikkerhet. Videre kommer det frem at både Telenor og Petroleumstilsynet har en tilnærming til risiko som baseres på (C, U)-perspektivet. Med utgangspunkt i informasjonen samlet inn i denne oppgaven, kan man hverken avkrefte eller bekrefte problemstillingen helt kategorisk, ettersom virksomhetene ikke opererer ut fra én felles risikokonseptualisering. Som et resultat konkluderer oppgaven med at Petroleumstilsynet og Telenor sin risikokonseptualisering er forenlig med usikkerhetsbasert risikoteori. NSM og Norges Bank gir på sin side uttrykk for risikokonseptualisering som er uforenlig med usikkerhetsbasert risikoteori.