Hvordan få en økt bevissthet rundt cybersikkerhet i små- og mellomstore bedrifter?

Abstract

I dagens samfunn er cyberangrep i stor vekst, spesielt mot små og mellomstore bedrifter (SMB). Dette er også grunnen til at disse bedriftene har blitt mer opptatt av cybersikkerhet de siste årene. Europas økonomi består i store deler av SMB og mange av de store virksomhetene er avhengige av SMB sine produkter og tjenester. Uten tilgang på ressursene SMB leverer vil det påvirke store deler av næringskjeder, forsyninger og økonomi. De fleste virksomheter er derfor bekymret for utviklingen av cyberangrep i SMB, spesielt da det hevdes at 1 av 5 virksomheter har blitt utsatt for en eller annen form for cyberangrep. Derfor er vi nødt til å gjøre noe med den manglende kunnskapen og bevisstheten om cybersikkerhet i bedrifter.

I løpet av denne oppgaven vil vi se nærmere på hvordan man kan bygge bevissthet i SMB for å oppnå en bedre cybersikkerhet. Oppgaven blir gjennomført i samarbeid med en ganske normal mellomstor virksomhet i form av en casestudie. Oppgaven kan ha stor relevans for virksomheter som ønsker å lære om hvordan man kan bygge bevissthet og hvordan en økt bevissthet påvirker cybersikkerhet i virksomheten.

Virksomheten vi samarbeider med er i en digitaliseringsprosess der de skal gjøre om store deler av lagringen av og deling av informasjon. Når prosessen er ferdig vil man ha behov for et høyere kunnskapsnivå om cybersikkerhet blant de ansatte, da virksomheten i stor grad er avhengig av teknologi. Vi ønsker å avdekke hvordan man kan bygge kunnskap om temaet og hvordan økt kunnskap kan gi en bedre bevissthet. Virksomheten er bekymret for at et cyberangrep kan føre til at de ikke får utført arbeidet sitt.

I løpet av oppgaven vil vi se nærmere på hvordan ulike teorier kan brukes sammen for å bygge bevissthet. Dette vil være relevant for bruk i virksomheten som er i en digitaliseringsprosess der det trengs nye tiltak knyttet til sikker databruk og cybersikkerhet. Vi ønsker å finne ut hvordan teoriene fungerer hver for seg og om det kan fungere bedre når vi bruker de sammen. Ved å bruke teoriene sammen vil man kunne dekke hullene som de har hver for seg og oppnå en bedre kunnskapsarena som kan være med å øke bevisstheten.

Teoriene vi har tatt for oss er Trappetrinnsmodellen av Hagen et al. (2008) og soft-systems metoden av Checkland (1981). Modellene fokuserer hver for seg på det organisatoriske og det menneskelige. Trappetrinnsmodellen fungerer veldig top-down der policyer, prosedyrer og kontroller kommer fra ledelsen ned til de ansatte. Problemet med dette er at man ikke vet om de ansatte vil handle rasjonelt på problemer der de har lite kunnskap. Checkland fokuserer på en systematisk gjennomgang av problemet for å finne rotårsak, der man danner konseptuelle modeller for å visualisere problemet ovenfor de ansatte. Dette kan føre til en bedre bevissthet og gi mer rasjonelle beslutninger i samarbeid med trappetrinnsmodellen.

Cyberattacks are in massive growth, especially towards small- and medium-sized enterprises (SMEs). This is also the reason that these enterprises has focused more on cybersecurity over the last few years. Europe’s economy largely consists of SMEs and a many of the large enterprises rely on SMEs providing their products and services. The supply chain will suffer massively without access to the resources that SMEs provide, and it would impact economies, supplies and supply chains. That is why most enterprises are concerned for the growing trend of cyberattacks towards SME, considering there are claims that 1/5th of enterprises have been attacked in some sort of way. This is why we wanted to focus on the knowledge and awareness that is missing in a lot of enterprises.

We wanted to take a closer look at how we can build awareness in SMEs to achieve a higher level of cybersecurity. This project has been a collaboration between a normal mediumsized enterprise and us students in the form of a case study. The project can be relevant for other enterprises that wants to learn about building awareness and how increased awareness can impact cybersecurity within the enterprise.

The enterprise we are working with is in the middle of a digitalization process, where they are converting a lot of data and information sharing from analog to digital. When this process is done, the enterprise will have a need for a higher level of knowledge of cybersecurity between the employees because of the increased use of technology. We want to see how an enterprise can build knowledge about cybersecurity and how increased knowledge can lead to improved awareness. The enterprise is worried that a cyberattack might lead to them not being able to complete everyday tasks.

Throughout the project we want to look closer at how different theories can be used collaboratively to build awareness. This is relevant as the enterprise is in the middle of a digitalization process, where new measures and procedures are needed to fulfill secure use of data and cybersecurity. We want to find out how each theory work individually and if using them collaboratively will make them more efficient. By using the theories collaboratively, it will be possible to fill the gaps between them and achieve a better arena for creating knowledge and increasing awareness.

The theories we have focused on is the Staircase-method (SCM) by Hagen et al. (2008) and Soft-systems methodology by Checkland (1981). The models focuses on the organizational and human parts separately. The SCM works in a top-down way, where policies, procedures and control is coming from the leaders. The issue with this is that we cannot expect the employees to act rationally in situations where they lack knowledge. Checkland focuses on a systematic approach by analyzing the problem and finding its root cause, you will then make conceptual models to visualize the problem at hand to the employees. This might lead to increased awareness and more rational choices in collaboration with SCM.