Målrettet bevissthetsarbeidet for økt sikkerhet i informasjonssystemer: en tilfellestudie i Forsvaret

Abstract

NORSK: Problemeier i Forsvaret beskriver dagens metoder for beskyttelse av informasjonssystemer som uttilstrekkelige. Beskyttelsen er myntet på erfaring av identifiserte og kjente angrepsmetoder, og kan betegnes som reaktiv. Dette sammen med kompleksiteten i informasjonssystemene, gir den målrettede trusselaktør store konkurransefortrinn. Organisasjoner som ikke ønsker å bli den tapende part i kampen om sin informasjon, må derfor identifisere og implementere nye beskyttelsesstrategier. Vår overordnede hypotese er at en forsvarsstrategi basert på økt kunnskap om fienden kan bidra til et mer proaktivt informasjonssikkerhetsarbeid, og en mer effektiv utnyttelse av tilgjengelige ressurser. Kunnskapen om fienden kan økes ved å sette organisasjonens ansatte i bedre stand til tidlig deteksjon og rapportering av sikkerhetstrusler og hendelser. Vi har undersøkt om bevissthetsarbeid, i form av et skreddersydd bevissthetsprogram mot organisasjonens behov, er redskapet som kan skape en slik organisasjon. Et litteraturstudium er utført for å undersøke om denne problemstillingen beskrives i litteraturen og identifisere mulige innfallsvinkler til problemet. Forskningsspørsmålene er utledet fra problemstillingen og manglende empiriske funn i litteraturen. Forskningsarbeidet er utført som en tilfellestudie i Forsvaret, i et miljø med ekspertise innen beskyttelse av kritiske informasjonssystemer. Vi skisserer mulige løsningsforslag, som bygger på litteratur og empiriske funn. Vi omtaler sentrale utfordringer som må løses for at en eventuell implementering skal bli vellykket. Resultatene bekrefter i stor grad problemstilingens gyldighet. Undersøkelsene indikerer også at vår innfallsvinkel er hensiktsmessig. Det eksisterer et stort informasjonspotensial om fienden blant organisasjonens ansatte. Skal en strategi basert på øktfiendeforståelse gjennom økt IS-bevissthet kunne nyttegjøre seg av dette potensialet, nevnes spesielt kommunikasjonsflyten i organisasjonen som et av de viktigste suksesskriteriene. Realisering av strategien krever at det gjennomføres prosjekter som fortsetter vårt arbeid. Man må gå dypere inn i å identifisere den spesifikke informasjonen om fienden, som behøves for å kunne forsvare informasjonssystemene. Resultater fra denne type arbeid, sammen med en kategorisering av ansattes kunnskapsbehov, vil være viktige innspill til hvordan man skreddersyr bevissthetsarbeidet.

ENGELSK: The problem owner in the Norwegian armed forces describes the current methods used to protect our information systems as insufficient. The protection is based on the experience of known and identified attack methods, and can be described as reactive. This, together with the complexity of information systems, provides the targeted threat agent great competitive advantage. Organizations that don`t want to become the losing party in the battle of their information must identify and implement new protection strategies. Our overall hypothesis is that a defense strategy based on improved knowledge of the enemy can contribute to a more proactive information security work, and a more efficient utilization of available resources. Knowledge of the enemy can be increased by setting the organization's employees in a better position to early detection and reporting of security threats and incidents. We have investigated if information security (IS) awareness work, in the form of an IS awareness program tailored to your organization's needs, is the tool that can create such an organization. A literature study has been carried out to substantiate the validity of the problem and identify possible approaches to the problem. Research questions are derived with respect to the problem description and lack of the empirical findings in the literature. Research work is conducted as a case study in the military, in an environment with expertise in the protection of critical information systems. We outline possible solution proposals, which highlight key success criteria of an implementation of our approach. The results confirm the validity of the problem description, and that the project approach to the problem may be appropriate. There exists a huge information potential, about the enemy, among the organization's employees. Particularly is the communication flow within the organization identified as one of the most important success criteria, to make the strategy take advantage of this information potential. Realization of the strategy requires that project that continues our work is conducted. We need projects aimed at identifying the organization detailed need for information on the enemy. Results from this type of work, together with a classification of employees' knowledge needs, will be important inputs on how to tailor the IS awareness work.