Cyber Threat Information Requirements for Strategic Decision-Making

Abstract

I en cybertrusselsituasjon må informasjon utveksles på tvers av disiplinære og organisatoriske grenser for å støtte beslutningstakere på alle nivåer. Denne informasjonsutvekslingen er preget av teknisk kompleksitet og skjer ofte under stort tidspress. Kommunikasjon i cybertrusselssituasjoner er et fagområde som mangler evidensbasert forskning, spesielt dens påvirkning på strategiske beslutningsprosesser. For å bidra til den vitenskapelige forståelsen av kommunikasjon i cybertrusselsituasjoner etablerer denne masteroppgaven informasjonsbehovene til strategiske beslutningstakere i slike situasjoner. I tillegg undersøker oppgaven egnetheten av forskjellige kommunikasjonsmetoder samt hensiktsmessig hyppighet for informasjonsdeling. Gjennom utforskende forskning og metodetriangulering belyser masteroppgaven problemstillingen. Forskningsdesignet besto av en systematisk litteraturstudie, en spørreundersøkelse (n=43) og semistrukturerte intervjuer (n=3). Forskningsutvalget besto av beslutningstakere og tekniske spesialister fra offentlig og privat sektor som har erfaring med cybertrusler. Forskningsresultatene tilsier at informasjon om organisasjonens verdier og den antatte effekten av cybertrusselen er svært viktig for en strategisk beslutningstaker. Videre er en strategisk beslutningstaker interessert i informasjon om de iverksatte samt nødvendige tiltakene for å håndtere situasjonen. Informasjon om cybertrusselsaktørens motivasjon og mål bidrar også til å støtte strategiske beslutninger. Teknisk informasjon, som kompromissindikatorer, er mindre relevant. Informasjonsutveksling i en cybertrusselsituasjon bør være kortfattet og formell, men det er hovedsakelig den strategiske beslutningstakerens preferanser som avgjør hvilke kommunikasjonsmetoder som er best egnet for situasjonen. Til slutt taler forskingen for at hyppigheten av informasjonsdeling er svært situasjons- og kontekstavhengig. Alvorlighetsgraden av situasjonen og organisasjonens forretningsområde påvirker også hvilken type informasjon og hvordan denne informasjonen bør formidles til en strategisk beslutningstaker. Gjennom en blandet forskningsmetodikk har denne oppgaven utviklet en metode for å utforske kommunikasjon i cybertrusselsituasjoner. Dette har gitt en ny og vitenskapelig forståelse av kommunikasjonens implikasjoner på strategiske beslutninger samt anbefalinger for fremtidig forskning.

A cyber threat situation involves high-stakes decision-making that relies on human communication where technical complexity and time sensitivity make communication in cyber threat situations challenging. Consequently, there is a need to establish the information requirements of strategic decision makers to improve the quality of cyber threat communication. This master's thesis aims to provide an overview of the information needed to make informed strategic decisions and non-technical considerations in a cyber threat situation. Moreover, the research project examines appropriate communication methods and information sharing frequencies in a cyber threat situation. Cyber threat information requirements were investigated through exploratory research. A mixed-methods research design was used to establish the information requirements of strategic decision makers. A systematic literature review was carried out to determine the information needed to make strategic decisions and non-technical considerations based on existing literature. A questionnaire (n=43) and semi-structured interviews (n=3) were conducted to determine the information requirements according to decision makers and technical specialists from the public and private sectors. Collected data from the literature review, questionnaire, and interviews were compared using triangulation to enhance the credibility and validity of the research findings. The findings indicate that information about organizational assets and the estimated impact of the cyber threat is crucial to a strategic decision maker. Furthermore, implemented and required measures to handle the situation are relevant. Information concerning the cyber threat actor's motivation and objectives also helps support decisions; technical information, such as indicators of compromise, is far less relevant. The findings suggest that cyber threat communication involving a strategic decision maker should be concise and formal, such as an executive summary. The findings also point at the strategic decision maker's preferences being the deciding factor of the most appropriate communication method. The severity of a cyber threat situation and an organization's characteristics affect the information requirements and sharing frequency. By applying a mixed research methodology, this thesis has developed a method for measuring cyber threat communication that has provided a novel and scientific understanding of its implications on strategic decision-making and recommendations for future research.