Attitudes and Perception of AMI Information Security in the Energy Sector of Norway

Abstract

Sammendrag

Digitaliseringen av samfunnet som helhet og kritisk infrastruktur spesielt introduserer nye utfordringer og angrepsflater for ondsinnede aktører som utnytter cyberdomenet for politisk, økonomisk eller personlig vinning. I kraftsektoren i Norge har introduksjonen av AMS bidratt til en økt digitalisering, og igjen økt kompleksiteten og behovet for kunnskap og kompetanse for å beskytte infrastrukturen og sikre leveransen av kraft til sluttbrukerne. Arbeidet med og fokusområdene innen informasjonssikkerhet drives fremover av både krav fra myndigheter, forskning i akademia, og den enkelte aktørs oppfattelse av hva som er viktige områder. Ved forskjellig fokusområder og manglende kunnskap innen informasjonssikkerhet vil både den digitale og fysiske sikringen av AMI bli utfordrende. Følgelig er det derfor et behov for å utforske hva som er oppfattelsen av informasjonssikkerhetsmessige risikoer blant interessentene i kraftsektoren i Norge og deres fokusområder i den forstand. Dette vil kunne bidra til å videre utforske behovet for å justere fokus og endre oppfattelsen av risiko ved å sammenligne aktørene og akademia sine fokusområder. Denne studien tar sikte på å gi en oversikt over hva interessentene oppfatter som informasjonssikkerhetmessige risikoer i kraftsektoren i Norge knyttet til AMS. Videre vil studien utforske hvilke områder akademisk litteratur fokuserer på, og sammenligne fokusområdene mellom litteraturen og interessentene i kraftsektoren. Basert på denne sammenligningen og identifiserte forskjeller, vil studien vurdere behovet for og forslå løsninger for å redusere disse.

Med utforskende forskning utdyper studien problemstillingen og forskningsspørsmålene, der kvalitative forskningsdesign ble brukt for å gjennomføre de ulike fasene av studien. En systematisk litteraturstudie ble gjennomført for å identifisere fokusområdene for informasjonssikkerhet og risiko i litteraturen. Semi-strukturerte intervjuer (N=27) ble gjennomført for å identifisere oppfattelsen av informasjonssikkerhetsmessig risiko blant alle interessentene i AMS i Norge. Forskningsutvalget bestod av personer fra forskjellige nivåer innen interessentene som håndterer AMS i ulik grad. Innsamlet data fra litteraturstudien og intervjuer ble analysert og deretter sammenlignet for å identifisere forskjeller i fokusområder. Videre undersøkte studien behovet for å justere fokusområder og oppfattelse av informasjonssikkerhet og risiko gjennom foreslåtte løsninger.

Funnene i denne studien indikerer at fokuset i litteraturen ligger på tekniske utfordringer i den distribuerte delen av AMS, mens interessentene overordnet har fokus på systemnivået. Den identifiserte litteraturen vurderer i all hovedsak ikke risiko i form av sannsynlighet og konsekvens, mens interessentene vurderer den overordnede informasjonssikkerhetsmessige risikoen som lav på alle nivåer i AMS. Interessentene tror at iverksatte tiltak vil kunne håndtere sårbarhetene og truslene i all hovedsak. Videre funn fra denne studien indikerer at det kan eksistere kognitive skjevheter i oppfattelsen av informasjonssikkerhetsmessig risiko, at det er tilfeller av ufullstendig cyber situasjonsforståelse, samt at det er behov for mer helhetlig forskning på den norske implementasjonen. To løsninger foreslås i den forbindelse for å håndtere disse utfordringene: 1) Økning av forskningsinnsatsen på både strategisk og organisasjons nivå, og 2) Utforske muligheten for å etablere en samlende regulatorisk enhet som står for både forhåndsgodkjenning av systemer og organisasjoner, samt tilsyn innen informasjonssikkerhet i kraftsektoren. Ved å benytte forskjellige metoder har denne studien bidratt med vitenskapelig og ny informasjon om risikoforståelse blant interessentene i AMI i kraftsektoren i Norge. Videre har den utforsket forskjellene mellom interessentenes og litteraturens fokusområder for informasjonssikkerhetsmessig risiko, samt kommet med anbefalinger for å håndtere de indikerte forskjellene.

Abstract

The digitalization of society in general and critical infrastructure in specific introduces new challenges and attacks surfaces for actors seeking to exploit the cyber domain for political, financial or personal gain. In the energy sector of Norway, the introduction of AMI has contributed to this digitalization, increasing the complexity and requirement for specialized knowledge to protect the infrastructure and the delivery of power. What drives the areas of focus and work in information security is both the regulatory requirements, research efforts and the individual stakeholder’s perception of what is important. With different areas of focus and gaps in knowledge, the work of securing AMI can be challenging. Consequently, there is a need to establish the state of information security risk perception amongst stakeholders in the energy sector of Norway to explore the need for alignment of focus and change in perception. This study aims to provide an overview of information security risk perception amongst the stakeholders in the Norwegian energy sector regarding AMI. Moreover, the study will explore the areas of focus amongst scientific academic literature and compare the areas of focus between the literature and the stakeholders of the energy sector. Further, based on the identified differences, the study will propose solutions to reduce these.

In terms of information security, vulnerabilities, threats, likelihood, consequences and assessments of risk in AMI and the differences between the stakeholders’ perception and the focus of literature were investigated through exploratory research. Qualitative research designs were employed to carry out the different phases in the study. A systematic literature review was conducted to determine the areas of focus for information security risks in literature. Semi-structured interviews (N=27) were carried out to identify the perception of information security risks amongst the whole chain of stakeholders of AMI in Norway. The collected data from the literature review and the interviews where then compared to identify areas of divergence and further the study explored the need for addressing this divergence through proposed solutions.

The findings indicate that the literature focuses on technical challenges in the distributed elements of AMI, while the stakeholders in general focuses on the system level. The identified literature does not assess the risk in terms of likelihood and consequence, while the stakeholders perceive the overall risk in the different layers of AMI to be low. The stakeholders believe the implemented measures will be able to handle the vulnerabilities and threats. The indications in this study suggests that there may exist a cognitive bias in information security risk perception, incomplete cyber SA and the need for more comprehensive research efforts on the Norwegian implementation. Two solutions are proposed to address these challenges: 1) Increase the research efforts on both strategical and organizational level, and 2) Explore the possibility for establishing a unifying regulatory entity conducting both preapproval of systems and organizations, and supervisions in the field of information security in the energy sector. By applying different methodologies, this study has provided scientific and novel understanding of risk perception amongst stakeholders of AMI in the energy sector of Norway. Further, it has explored the differences that exist between the stakeholders and academic literature in focus areas for risk, together with recommendations for addressing the indicated differences.