| dc.description.abstract | Før Russlands invasjon av Ukraina meldte PST at cyberangrep utgjør den viktigste trusselen mot norske interesser. En måned etter rapporterte PST at vi kunne forvente en økning nettverksoperasjoner fremover. Digitalisering har gjort verden mer sammenkoblet, men det menes likevel at befolkningen har forholdsvis lite kunnskap om digitale trusler. Med etableringen og utviklingen av internett har cyberkriminalitet som fenomen vokst parallelt. Som et resultat av de endrede sårbarhetsflatene har resiliens vokst frem som en ny sikkerhetstenkning i virksomhetene og hvordan de håndterer avvikssituasjoner. I forhold til andre tilnærminger tar begrepet for seg hvordan man forbereder seg før situasjonen, responderer under situasjonen, og hvordan man lærer etter situasjonen.
Utgangspunktet ligger i problemstillingen: hvilke ikke-tekniske faktorer bidrar til cyberresiliens i Hydro? Avhandlingen har som formål å skape innsikt i hvordan Norsk Hydro opprettholdte tilnærmede normaltilstander i drift under cyberangrepet i 2019 med fokus på ikke-tekniske faktorer – herunder menneskelige, sosiale og organisatoriske dimensjoner av resiliens. For å besvare problemstillingen har oppgaven tatt utgangspunkt i et datamateriale på ti kvalitative intervjuer foretatt i ett av Hydro-verkene i landet. For å holde et fokus på hvordan informantene selv erfarte cyberangrepet har oppgaven tatt utgangspunkt i fenomenologi, eksplorativt design og abduktiv metode.
Analysen struktureres etter tidsperioden før, under og etter cyberangrepet, og i analysen identifiseres fem ikke-tekniske faktorer som gjorde seg gjeldende før, under og etter angrepet som diskusjonen struktureres etter. (1) Evnen til å antesipere ble sentral før angrepet i form av bevisstgjøring og grunnkompetansen alle ansatte besitter. (2) Avvikserfaring og improvisasjon ble sentral under angrepet i form av at responsgrunnlaget befant seg i ansattes egne erfaringer fra andre avvikssituasjoner og prosedyrer. (3) Desentralisering og organisatorisk struktur ble sentral både før og under angrepet siden strukturene var på plass lenge før angrepet fant sted, men også for at operatørene selv har myndighet over rutinemessige oppgaver. (4) Åpenhet ble sentral under og etter angrepet, både for hvordan konsernet håndterte angrepet utad og hvordan det ble håndtert lokalt. (5) Læring- og kunnskapsformidling er sentral etter angrepet og viser til bevisstgjøringen som har skjedd i etterkant. Avslutningsvis diskuterer jeg to problemer som kommer frem i intervjuene. Den ene er et såkalt «paradoksalt læringsutbytte» der man må ha krisesituasjoner for å oppnå læringsutbytte. Den andre er avveiningen mellom funksjonalitet og sikkerhet, og vanskeligheter med å kombinere sikkerhetsarbeid sammen med ordinært arbeid. | |
| dc.description.abstract | Before Russia’s invasion of Ukraine, the Norwegian Police Security Service reported that cyber-attacks are the most important threats against Norwegian interests. A month later they reported that we could expect an increase in network operations going forward. Digitization has made the world interconnected, but the awareness about digital threats within the Norwegian populace is low. With the development and the rapid growth of the internet, cybercrime as a new form of crime as grown similarly. As a result of the changing vulnerabilities, resilience has emerged as a nuanced way of studying security and safety in businesses and how they handle insecurities, crisis, and disturbances. Contrasting other ways of studying risk, resilience takes an aim at looking at disturbances before the situation, during the situation, and after the situation.
The point of departure lies in the question: which non-technical factors contribute to cyber-resilience in Hydro? The dissertation aims at creating an understanding of how the Norwegian aluminum plant Norsk Hydro maintained near-normal working conditions during the 2019 cyber-attack, by focusing on non-technical factors – meaning human, social and organizational dimensions of resilience. The work builds on data generated through ten qualitative interviews in one of the Hydro firms in Norway, and builds on phenomenology, explorative design and abductive methods.
The analysis is structured after the time-period before, during and after the cyber-attack, and five non-technical factors are identified for which the discussion is structured after. (1) The ability to anticipate was important before the attack in the form of awareness-building and basic training all employees must go through. (2) Crisis experience and improvisation was essential during the attack as the response tactic played on employees’ previous experiences with crisis and procedures. (3) Decentralization and organizational structure were found to be important both before and during the attack as these structures were in place long before the attack, but also because employees at the sharp end have authority over daily routine tasks. (4) Transparency was a key factor during and after the attack, both for how the company publicly handled the attack, but also locally. (5) Learning and knowledge distribution are important after the attack, mostly for their role in awareness-building after the fact. Furthermore, I discuss two arising problems from the data. One entailing paradoxical learning, where learning is only achieved through crisis. The other discussing the balance between functionality and security and finding the right balance between security work and routine tasks. | |
