Preparing for cyber-incident exercises: Developing best practice within exercise control management (EXCON)

Abstract

Sammendrag De siste årene har det vært en stor økning i avanserte dataangrep mot både offentlige etater og private organisasjoner i Norge, noe som har ført til økt fokus på kompetanseheving og øving innen cyber- og informasjonssikkerhet. Samtidig er det stor mangel på kvalifisert og erfarent cyber- og informasjonssikkerhetspersonell til å opprette øvelseskontrollteam for å utføre disse øvelsene. Hovedmotivasjonen og formålet med denne studien har vært å få en forståelse av viktige faktorer som påvirker utviklingen og ledelse av øvelseskontrollteam. Videre var det ønsket gjennom studien å få en forståelse av hvordan øvingskontrollteam brukes i dag, og hvilke utfordringer de møter.

Med dette som bakgrunn er problemstillingen for denne oppgaven som følger: Hvordan utvikle beste praksis innen øvelseskontroll (EXCON) for øvelser for cyber- og informasjonssikkerhetshendelser.

For å besvare problemstillingen best mulig, er oppgaven basert på anerkjente læringsteorier knyttet til organisasjonslæring og teamutvikling. Sammen med relevant teori om ledelse, kommunikasjon og sosiotekniske tilnærminger danner dette grunnlaget for denne oppgaven. multi-method, bestående av intervjuer, en spørreundersøkelse og casestudier ble valgt for denne studien. For å bringe ulike perspektiver til studien ble dybdeintervjuene utført med seks informasjonssikkerhetseksperter fra ulike organisasjoner med relevant EXCON-erfaring. Undersøkelsen ble gjennomført blant EXCON-teammedlemmer under en øvelse hos norsk cyber-range i 2021. Resultatet fra denne studien viser at utvikling av øvelseskontrollteam ikke prioriteres av organisasjoner, ved at de ikke blir gitt tid eller ressurser til utdanning eller teamutvikling. Å være en del av et øvelseskontrollteam er sett på som en bijobb der organisasjoner stort sett er avhengige av å ansette eksterne eksperter. Dette er med på å forklare den høye turnoveren blant personellet. Et annet sentralt funn i denne oppgaven er viktigheten av øvelsesplanleggingskompetanse blant øvelseskontrollteamet, for at øvelsene skal bli planlagt og gjennomført på en god måte.

Abstract In recent years there has been a large increase in advanced cyberattacks against both government agencies and private organizations in Norway, which has led to an increased focus on cyber- and information security training and exercises. At the same time, there is a great shortage of qualified and experienced cyber- and information security personnel, to create exercise controls teams to execute these exercises. The main motivation and purpose of this thesis was to get an understanding of important factors that affects the development of the exercise control management. Further, it was desired trough the thesis to get an understanding of how exercise control teams are utilized today, and the challenges they meet.

With this as a background, the problem statement for this thesis is as follows: How to develop best practice within exercise control (EXCON) for cyber- and information security incident exercises.

To answer the problem in the best possible way, the thesis is based on recognized learning theories related to organizational learning and team development. Together with relevant theory on leadership, communication, and socio technical approaches, this forms the basis for this thesis. Mixed methods, consisting of interviews, a survey, and case studies were chosen for this thesis. To bring different perspectives to the thesis the in-depth interviews were conducted using six information security experts from different organizations with relevant EXCON experience. The survey was conducted amongst EXCON team members during a Norwegian cyber range exercise in 2021. The result from this thesis shows that the development of exercise control teams is not prioritized by organizations, not given time or resources for education or team development. Being part of an exercise control teams is a side job where organizations mostly rely on hiring external experts. Which helps explain the high turnover amongst the personnel. Another key finding in this thesis is the importance of exercise planning competence amongst the exercise control team, for the exercises to be successfully executed.