IKT-sikkerhetsutfordringer i et organisasjons- og samfunnsperspektiv - Casestudie av tre virksomheter under sikkerhetsloven
Abstract
Økende avhengighet til IKT-systemer preger de fleste arenaer i vårt samfunn, og kritiske samfunnsfunksjoner er ifølge NOU 2015:13 (2015) avhengig av lange, sammensatte og uoversiktlige verdikjeder på tvers av sektorer og nasjoner. Trusselbildet preges av hyppige skift, samtidig som IKT-avdelingene ofte møter nye krav om tjenester fra omgivelsene. IKT-systemer passer inn i Perrows (1984) normalulykkesteori om systemulykker som kjennetegnes av høy interaktiv kompleksitet og tette koblinger. Feil ett sted i IKT-systemet kan forplante seg til andre steder i nettverket eller gjennom tilkoblede nettverk.
Nasjonal sikkerhetsmyndighet (NSM) innehar en samfunnsviktig rolle som Norges ekspertorgan for informasjons- og objektsikkerhet. NSMs ansvar omfatter utforming av krav og tiltak, gi rådgivning og veiledning, utstede godkjennelser og å føre tilsyn på bakgrunn av bestemmelser fastsatt i sikkerhetsloven (SL). En rekke offentlige- og private virksomheter er omfattet av sikkerhetskravene for beskyttelse av informasjon, og mange av disse virksomhetene inngår også i kritisk infrastruktur eller leverer samfunnskritiske tjenester. Resultater fra NSMs tilsynsaktiviteter kan tyde på at det er krevende for virksomhetene å opprettholde et IKTsystems sikre tilstand i henhold til SL. Det var derfor av interesse å finne ut mer om hvorfor sikkerhetsarbeidet eventuelt er utfordrende. Det empiriske grunnlaget for studien ble fremskaffet gjennom kvalitative intervjuer med 13 informanter fra tre virksomheter A, B og C underlagt SL.
Pentagonanalysen og drøftingen i kapittel 6 viste for det første at utfordringene omhandlet mer enn bare formelle kvaliteter som formell struktur og teknologi ettersom mange funn omfattet de uformelle kvalitetene kompetanse, verdier og holdninger; interaksjon; sosiale relasjoner og nettverk. For det andre viste analysen at det er avhengigheter mellom formelle og uformelle kvaliteter. Funnene kan derfor ikke betraktes som isolerte fenomener, men må forstås i sammenheng med hverandre. Et tredje moment er at virksomhetene også møtte utfordringer knyttet til eksterne faktorer som politisk nivå, NPM og leverandører.
Flertallet oppfattet sikkerhetskravene for gradert informasjon som relevante; legitime; bra hjelpemiddel, mens halvparten anså kravene til lavgradert informasjon som mindre legitime enn for høygradert informasjon. Halvparten mente preskriptive krav ikke holdt følge med teknologiutviklingen. Det var målkonflikter mellom kravet til administratorroller og – viii privilegier og behovet for fleksibilitet og effektiv drift gjennom NPM, noe som gjorde virksomheten mer sårbar.
Stramme økonomiske rammer; latente betingelser; økt interaktiv kompleksitet og tette koblinger; høyt tids- og arbeidspress; undervurdering av kapasitetsbehovet utfordret drift- og vedlikeholdsnivået av IKT-systemene, og resulterte i ad-hoc preget arbeidsform hos to virksomheter. Mangelfull verktøystøtte resulterte i mer manuelt drifts- og vedlikeholdsarbeid, og den menneskelige faktor regnes som det største problemet i forbindelse med vedlikehold. Samfunnskritiske tjenester hadde stanset i forbindelse med vedlikehold.
Målkonflikter mellom sikkerhet og tjenesteleveranser kunne skyldes: sikkerhet ble tatt for gitt; lederne ble målt på leveranser; NPM reduserte sikkerhetsmarginene; politisk bestemte leveranser. Fragmenterte prosjekter utfordret kommunikasjon og koordinering hos en virksomhet. Tidspress var mulig forklaring på svak koordinering, kommunikasjon og samhandling. Stort arbeidspress var mulig forklaring på gradvis frikobling fra etablerte rutiner.
Ansvarsavklaringer ved sammenkoblinger av IKT-systemer er viktig i et samfunnsperspektiv, da koordinering i en beredskapssituasjon hovedsakelig skjer gjennom etablert avtale. Mens politisk oppmerksomhet ble utløst av tilsynsrapporter og hendelser, kunne hendelser bli utløst av mangelfull informasjon eller feiltolkning. Svikt i sikkerhetsarbeidet og hendelseshåndtering kunne forklares med: menneskelige feil; feiltolkning; manglende forståelse for at feil var inntruffet.
Halvparten av informantene i virksomhetene B og C var fornøyd med kompetansenivået, mens alle andre ønsket en styrkning av kompetansen. Mangelfulle kurstilbud; behovet for kompetanse på både ny og gammel teknologi; turnover representerte organisatoriske sårbarheter. Brukeratferden i forhold til virksomhetens sikkerhetsutstyr ble utfordret av moderne privat utstyr. Brukerinvolvering i grupper er mer effektivt ved innføring av ny teknologi og utforming av brukerprosedyrer.
Studien viste behov for mer relevant ledelsesinformasjon, for å styrke forståelsen og utbedre koordineringen. Informantene ønsket at NSM videreutviklet rapportene, råd- og veiledningsarbeidet. I et organisatorisk- og samfunnsmessig perspektiv viser funnene og drøftingen fra denne studien behov for å videreutvikle det proaktive sikkerhetsarbeidet som da bør forankres helt på toppnivå