Developing a Cyber Template to improve communication during Cyber Threat Situations
Abstract
En cybertrusselsituasjon oppstår når en organisasjon blir angrepet av et cyberangrep. For å begrense mulig skade og gjenopprette normal drift er kommunikasjon avgjørende. Informasjon om cybertrusselsituasjonen må kommuniseres fra personen som oppdager hendelsen til beslutningstakerne i organisasjonen. Denne kommunikasjonen kan være utfordrende på grunn av ulik bakgrunn og kunnskap om cybersikkerhet. For å hjelpe organisasjoner med kommunikasjon i cybertrusselsituasjoner har vi utviklet en cybermal. Ideen bak cybermalen er at den skal brukes til å formidle kritisk informasjon til beslutningstakere ved hjelp av et standardisert format. Dette vil hjelpe folk med å formilde ønsket informasjon til beslutningstakere, slik at de kan opparbeide seg cybersituasjonsforståelse og ta de beste mulige beslutningene for organisasjonen.
Før vi kunne utvikle cybermalen måtte vi identifisere informasjonsbehovet til beslutningstakere under en cybertrusselsituasjon, samt hvilken type informasjon personer uten teknisk bakgrunn var i stand til å formidle. Vi måtte også identifisere hvilket format som skulle brukes for malen og hvilken type informasjon som skulle være en del av den. Forskningsmetodene som ble brukt for å samle inn data var en systematisk litteraturstudie som samlet inn både kvalitativ og kvantitativ data, og en spørreundersøkelse som samlet inn kvantitativ data. Spørreundersøkelsen samlet inn data om kunnskapsnivået, erfaringen, og utdanningen til deltakerne. Den ble også brukt til å samle inn data om deltakernes selvtillit dersom de skulle identifisere ulike cyberangrep, samt foretrukket kommunikasjonsform under stressende og/eller komplekse situasjoner. Spørreundersøkelsen ble distribuert til flere organisasjoner og alle i organisasjonen kunne svare. Funnene ble analysert og sammenlignet med eksisterende litteratur.
Funnene indikerer at beslutningstakere ønsker en kort beskrivelse av hendelsen, sammen med informasjon om tidspunkt og dato for hendelsen, mulige konsekvenser og effekter, og tiltak som er gjennomført og planlagt. Man kan forvente at personer uten teknisk bakgrunn er i stand til å gi en kort beskrivelse av hendelsen, tidspunkt og dato, og gjennomførte tiltak. Det er mindre sannsynlig at de vil kunne formidle mulige konsekvenser og effekter for organisasjonen, og planlagte tiltak, grunnet manglende kunnskap om ulike cyberangrep og cybersikkerhet. For å tette gapet mellom informasjonsbehovet til beslutningstakere og det personer uten teknisk bakgrunn kan formidle, foreslår vi at kommunikasjonen går via IT-personell. På den måten kan IT-personell gå gjennom den mottatte informasjonen, undersøke situasjonen nærmere, og legge til informasjon i malen basert på sin kunnskap, erfaring, og utdanning. Denne løsningen kan forbedre informasjonen som kommuniseres til beslutningstakere.
Videre ble det funnet at cybermalen bør kommuniseres gjennom en samtale ansikt til ansikt eller som en kort brief. Ved å benytte cybermalen som et manus vil kommunikasjonen bli konsis og formell, noe som er ønskelig for beslutningstakere. Cybermalen vises under kapittel 5, diskusjon. A cyber threat situation occurs when an organization is attacked by a cyber-attack. To mitigate the possible damage and restore operations back to normal, communication is key. Information about the cyber threat situation needs to be communicated from the person who discovers the incident to the decision-makers in the organization. This communication can be a challenge because of different backgrounds and knowledge about cybersecurity. To help organizations with communication in cyber threat situations, we have developed a cyber template. The idea behind the cyber template is that it can be used to communicate vital information to decision-makers, using a standardized format. This could help people communicate the desired information to decision-makers, so that they can gain cyber situational awareness and take the best possible decisions for the organization.
Before we could develop the cyber template, we needed to identify the information requirements for decision-makers during a cyber threat situation and what kind of information people without a technical background were able to communicate. We also needed to identify which format that should be used for the template and what kind of information that should be part of the template. The research methods used to collect data were a systematic literature review collecting both qualitative and quantitative data, and a questionnaire collecting quantitative data. The questionnaire collected data about the knowledge, experience, and education of the respondents. It was also used to collect data about respondents’ confidence if they were to identify different cyber-attacks, as well as preferred communication form during stressful and/or complex situations. The questionnaire was distributed to several organizations, and everybody in the organization could answer. The findings were analysed and compared to existing literature.
The findings indicate that decision-makers wants a brief description of the incident, together with information about time and date of the incident, possible consequences and effects, and actions taken and planned. One can expect that people without a technical background can give a brief description of the incident, time and date, and actions taken. It is less likely that they will be able to communicate possible consequences and effects for the organization, and planned actions, due to their lack of knowledge about different cyber-attacks and cybersecurity. To close the gap between the decision-makers information requirements and what people without a technical background can communicate, we suggest that the communication is guided through IT-personnel. In that way IT-personnel can review the information received, investigate the situation further, and add information to the template based on their knowledge, experience, and education. This solution could improve the information communicated to decision-makers.
Further, it was found that the cyber template should be communicated by a face-to-face conversation or a short brief. By using the cyber template as a manuscript, the communication will be concise and formal, which is desired by decision-makers. The developed cyber template is displayed in chapter 5, discussion.