Statsforvalterens veiledning innen digital sikkerhet

Abstract

Digitalisering har ført til omfattende samfunnsmessige endringer som skaper muligheter for arbeidsliv og offentlig forvaltning. Imidlertid har utviklingen resultert i en økning av cyberangrep og digitale hendelser mot offentlige virksomheter. Som en konsekvens av utviklingen stilles høyere krav til beredskap og kunnskap om hvordan offentlig forvaltning kan sikre seg mot mulige angrep. Samtidig står kommuner overfor begrensninger knyttet til digital sikkerhetskompetanse og ressurser, noe som krever samordning på tvers av sektorer og forvaltningsnivåer. Samordning i offentlig sektor preges av mangel på koordinering av roller og ansvar, og veiledning fra statlige aktører om håndtering av digital sikkerhet. Masteroppgaven tar sikte på å forstå og adressere disse utfordringene, gjennom å besvare problemstillingen: Hvordan veileder statsforvalteren kommuner innen digital sikkerhet, og hvordan kan veiledningen forbedres? Gjennom å benytte kunnskapsforvaltning, kunnskapsdeling og ansvar som teoretisk rammeverk, har oppgaven som formål å danne et kunnskapsgrunnlag som kan støtte testing, utvikling og vurdering av målrettede tiltak for å styrke veiledning innen digital sikkerhet overfor kommuner.

Vi har gjennomført en komparativ casestudie hvor vi har intervjuet ansatte ved alle statsforvalterembetene i landet, med et særlig ansvar innenfor sikkerhet og beredskap. Funnene viser at embetene har en bred forståelse av hva det innebærer å veilede kommuner innen digital sikkerhet, og hvilket ansvar de har for veiledningen. På grunn av et generelt formulert oppdrag knyttet til digital sikkerhet fra sentrale myndigheter, er det varierende hvorvidt embetene prioriterer veiledning på dette området. Tilsyn og øvelser er identifisert som de mest sentrale metodene for direkte veiledning. Gjennom disse aktivitetene blir statsforvalteren kjent med kommunenes behov for veiledning, og kan derfor tilpasse tilbudet deretter. Mangel på kompetanse er et sentralt funn i prosjektet. Den begrensede tekniske kompetansen internt hos statsforvalteren gjør at det må samordnes ressurser eksternt for å kunne tilby tilstrekkelig veiledning. Kompetansedager og seminarer er viktige metoder for indirekte veiledning. Veiledningen er mindre ressurskrevende og har en mer generell tilnærming, som ikke nødvendigvis er tilpasset behovet til den enkelte kommune. Manglende kompetanse gjør veiledningen reaktiv, fokusert på konsekvenser av digitale angrep, fremfor forebygging. Utfordringene er sammensatt og skyldes utilstrekkelige ressurser, utydelig mandat og manglende samordning. For å møte utfordringene og oppnå effektiv veiledning må det foreligge tydelig mandat, kompetente ansatte og ressurser til å koordinere arbeidet.

Digitalization has led to extensive societal changes, creating opportunities for the labor market and public administration. However, this development has resulted in an increase in cyberattacks and digital incidents targeting public sector organizations. As a consequence, there are higher demands for readiness and knowledge on how public administration can protect itself against potential attacks. Nonetheless, municipalities face limited available resources and expertise to effectively manage and share knowledge on digital security across sectors and levels of governance. The aim of this master’s thesis is to understand and address these challenges by answering the research question: How do the county governors guide municipalities on digital security, and how can their guidance be improved? The theoretical framework consists of knowledge management, The thesis aims to establish a knowledge base that can support the testing, development, and assessment of targeted measures to strengthen the guidance towards municipalities. The theoretical framework consists of knowledge management, knowledge sharing and accountability. The thesis aims to establish a knowledge base that can support testing, development, and assessment of targeted measures to enhance guidance on digital security towards municipalities.

We conducted a comparative case study by interviewing employees responsible for security and readiness in all the Norwegian county governor offices. The findings show that the county governors have a broad understanding of what it means to guide municipalities in digital security and what responsibility it entails. Due to a generally formulated mandate from central authorities, the priority to guidance varies among the county governors. Supervision and exercises are identified as the most central methods for direct guidance. These activities allow the county governors to become acquainted with the municipalities' needs for guidance and adapt their support accordingly. Limited competence is a key finding in the project. The limited technical competence within the county governor's office requires external competencies to provide adequate guidance on digital security. Training days, seminars and workshops are important methods for indirect guidance. This guidance is less resource-intensive and has a more general approach, which is not necessarily tailored to the individual municipality's needs. The limited competence makes the guidance reactive, focused on the consequences of digital attacks rather than prevention. The challenges are complex and stem from insufficient resources, unclear mandate, and a lack of coordination. Thus, an effective guidance requires a clear mandate, competent staff, and resources to coordinate the work.