Threat mitigation and national security: A mixed methods study of perceptions on cyber security information sharing among Norwegian organizations

Abstract

Norske virksomheter blir i økende grad utsatt for målrettede cyberangrep som forsterker behovet for en helhetlig tilnærming til nasjonal sikkerhet. I dagens cyberlandskap har nasjonal sikkerhet i stor grad blitt enkeltvirksomheters kollektive ansvar på grunn av økt gjensidig avhengighet og komplekse leverandørkjeder. Denne studien har derfor undersøkt holdninger til informasjonsdeling på tvers av private og offentlige virksomheter i Norge, samt hvordan informasjonsdeling påvirker både enkeltvirksomheter og den nasjonale sikkerhetstilstanden. Både kvantitative og kvalitative undersøkelser ble benyttet for å gi en helhetlig og nyansert forståelse av holdningene innen det norske cybersikkerhetsmiljøet.

Studien avdekket at private og offentlige virksomheter deler cybersikkerhetsinformasjon av ulike grunner. I hovedsak deler offentlige virksomheter informasjon på bakgrunn av statlige krav og reguleringer, samt å utvikle samarbeidet med myndighetene. Private virksomheter anså imidlertid tilgangen til informasjon fra sidestilte virksomheter som den viktigste grunnen. De underliggende årsakene for at virksomheter velger å dele informasjon var forankret i troen på forbedret sikkerhetstilstand til enkeltvirksomheter, og et ønske om å bidra til nasjonal sikkerhet.

Selv om norske virksomheter generelt var mer villig til å dele informasjon med nasjonale tjenester enn øvrige norske virksomheter, ble tjenestene sterkt kritisert, i hovedsak for å dele informasjon av lav verdi med utilstrekkelig tidsriktighet. Til tross for dette var informasjonen ansett å ha høy konfidens, og ble benyttet særlig mot toppledere og ikke-teknisk personell i de respektive virksomhetene.

Studien avdekket også at cyberpersonell generelt var positive til den nye sikkerhetsloven og de sektorvise responsmiljøene. Allikevel indikerte funnene at det nåværende rammeverket for informasjonsdeling forsterket flere utfordringer som i sum svekker den samlede nasjonale sikkerhetstilstanden. For å motvirke disse utfordringene, er fire anbefalinger skissert i konklusjonen.

Norwegian organizations are increasingly targeted by cyber threat actors, reinforcing the need for a more holistic approach to national security. In the current Norwegian cyber landscape, the national security has to a large extent become the collective responsibility of individual undertakings due to increased interdependencies and complex supply chains. A descriptive mixed methods research design consisting of a dominant quantitative survey paired with qualitative in-depth interviews was used to examine perceptions of cyber security information sharing across Norwegian organizations, and its effect on individual organizations' and the overall national security posture.

This thesis found that private and public organizations had varied reasons for engaging in cyber security information sharing. Whereas public organizations participated due to superior requirements and regulations, and to develop relationships with government agencies, their private counterparts mainly participated to gain access to the information of similar undertakings. The underlying factors leading to cyber security information sharing were heavily influenced by a sense of mutual benefit toward increasing the individual undertakings' security posture, and a willingness to contribute to national security.

Even though undertakings were generally more willing to share information with the national services than any other organizations, the services were heavily criticized - mainly for disseminating low value information with insufficient timeliness. Despite this, information from national services was regarded as of high confidence, and was particularly used to address top management and non-technical personnel.

Although the study revealed general positive perceptions on the new Security Act and the Sector Response Entity model, findings also indicated that the current Norwegian information sharing framework contributes to increasing several challenges which restricts the overall national security posture. In the conclusion, the researchers propose four actions to counteract these challenges.