Value chain security - Effects of soft governance on businesses for requirements to suppliers in ICT-security

Abstract

Det er uklart om regjeringen har fulgt opp tiltakene for anskaffelser for å håndtere sårbarheter i verdikjeden og om de foreslåtte tiltakene benyttes av virksomheter.Forskning har vist at mange kritiske funksjoner i samfunnet har vært avhengige av lange og uoversiktlige digitale verdikjeder. Leverandører hadde tidligere tilnærmet full oversikt over verdikjeden, bildet i dag er langt mer fragmentert og sårbarheter er ofte ikke kjent som et resultat av dette. Virksomheter stiller ikke tilstrekkelige krav til leverandører av tjenester, utfordringen ligger i anskaffelsesprosessen. Videre viser forskning at det er mangler i sikkerhetsbevisstheten til små og mellomstore virksomheter.

Målet med denne studien er å undersøke sikkerhet i verdikjeden. Denne studien vil se på den Norske state sine anbefalinger for sikkerhet i informasjonsteknologi ved anskaffelser og noen av virkningene anbefalinger har hatt på virksomheter. Har regjeringen i lys av den norske offentlige utredningen 2015: 13 - Digital sårbarhet, fulgt de foreslåtte tiltakene for anskaffelser for å håndtere de identifiserte sårbarhetene i verdikjeden? I denne sammenheng er en verdikjede definert som en struktur av leveranser mellom virksomheter der hver leveranse er en digital tjeneste, programvare eller maskinvare.

Basert på en gjennomgang av statens retningslinjer ble det opprettet 16 krav og gjennomført intervjuer med relevante offentlige etater. I tillegg ble en nettbasert spørreundersøkelse distribuert til norske virksomheter der de ble stilt spørsmål angående de foreslåtte kravene. Analysen av intervjuer viste at det ikke er noen etablert metode for å måle virkningen av retningslinjer og mangel på representasjon av små og mellomstore virksomheter i forarbeidene. Analysen av den nettbasert undersøkelsen demonstrerte at virksomheter ikke stiller alle de anbefalte krav til leverandøren og at det er en synelig forskjell i etterlevelse mellom små og store virksomheter.

Resultatene uttrykker en mangel på innsats for å etablere indikatorer for å måle effektiviteten av retningslinjene og at et segment av virksomheter har blitt forsømt. På bakgrunn av dette, for å få en bedre forståelse av implikasjonen av tiltakene, anbefales det at indikatorer utvikles og tilbakemeldinger samles fra alle virksomheter uavhengig av størrelse.

It is unclear if the government has followed through on the measures for procurement to manage vulnerabilities in the value chain and if the measures suggested are used by businesses. Research has shown that many critical functions in society had been dependent on long and obscure digital value chains. Where suppliers had close to a full overview of the value chain, the picture today is far more fragmented, and vulnerabilities are often not known as a result of this. Businesses do not make sufficient requirements for the supplier of a service, the challenge lies within the procurement process. There are also shortcomings in security awareness for small and medium-sized businesses.

The objective of this study is to investigate security in the value chain. Further, this study will also look at governmental recommendations in Norway for information technology security on procurement and some of the effects it has had on businesses. Has the government in light of the Norwegian public investigation 2015: 13 - Digital vulnerability followed the suggested measures regarding procurement to manage the identified vulnerabilities in the value chain? In this context, a value chain is defined as a structure of deliveries between businesses where each delivery is a digital service, software, or hardware.

Based on a review of the governmental guidelines, 16 requirements were created, and interviews were conducted with relevant governmental agencies. Additionally, an online survey was distributed to Norwegian businesses where they were asked questions concerning the suggested requirements. The analysis of interviews showed that there is no established method to measure the effectiveness of guidelines and a lack of representation of small and medium-sized businesses in preparatory work. The analysis of the online survey demonstrated that businesses do not adhere to all requirements and there is a gap in adherence between small and large businesses.

The results express a lack of effort to establish indicators to measure the effectiveness of the guidelines and that a segment of businesses has been neglected. On this basis, to get a better understanding of the implication of the measures it is recommended that indicators are developed, and feedback is gathered from all businesses regardless of size.