Cybersikkerhet og situasjonsbevissthet i maritim næring: En kvalitativ studie av skipsoperatørers erfaringer

Abstract

Bakgrunn: Cybersikkerhet er et tema som stadig blir viktigere for maritime og offshore-industrier grunnet rask digital transformasjon, og situasjonsbevissthet er en viktig teori for å kunne forklare og forstå menneskelig oppførsel og for å unngå menneskelige feil. Det er derfor et behov for mer forskning på dette menneskelige aspektet ved cybersikkerhet. Formål: Formålet ved denne studien handler om å skape en større forståelse for hvordan cybersikkerhet oppleves av skipsoperatører i norske rederier. Problemstilling: «Hvordan opplever skipsoperatører cybersikkerhet i sin arbeidshverdag?». Teori: Innholdet i teorigrunnlaget betrakter oppgavens tema som er sentrert rundt cybersikkerhet. Teorigrunnlaget vil starte med en generell redegjørelse av cybersikkerhet og cyber risikostyring på organisasjons- og teamnivå, før det snevres inn på individuell situasjonsbevissthet og kognitiv beslutningsteori, samt heuristikker og bias. Metode: Kvalitativ metode med semistrukturert oppbygning. Utvalget består av skipsoperatører, som er en samlebetegnelse for stillingen vessel manager og operations manager m.m. Intervjupersonene har enten denne stillingstittelen nå eller fra tidligere, eller en stilling som er tilsvarende. Systematisk tekstkondensering er brukt for å analysere de transkriberte intervjuene. Resultater: Funnene tyder på at skipsoperatørene har en grunnleggende forståelse av cybersikkerhet, men at variasjon i stillingsrelevans og egen interesse skaper et skille i kunnskapsnivået. Dette gjelder også opplevelsen av opplæring, tolkning av cyberrisikostyringssystem, og organisatorisk rammeverk. Styringssystemet og tilrettelegger for rask håndtering og bistand, men amputerer dermed en dypere forståelse av cybersikkerhet. Konklusjon: Organisasjoner med styringssystem og opplæringsprogram som ikke er tilstrekkelige i møte med cyberrisikoer, kan i verste fall gjør menneskene til en større risiko enn ressurs. Studiet gir en implikasjon på hvilke individuelle faktorer og systemfaktorer som i større eller mindre grad påvirker skipsoperatørers situasjonsbevissthet rundt cybersikkerhet. Det kan dermed argumenteres for at mer dybdegående opplæring av ansatte og tilrettelegging i styringssystemene kan gi en større atferdsendring på et organisatorisk nivå, som igjen kan styrke cybersikkerheten hos rederiene. Nøkkelord: Cybersikkerhet, cyber risiko, cyber risikostyring, situasjonsbevissthet, heuristikker, individuelle faktorer, skipsoperatører, norske rederier og bevisstgjøring

Background: Cybersecurity is an increasingly important issue for maritime and offshore industries due to the rapid digital transformation. Situation awareness is a key theory for explaining and understanding human behaviour and preventing human errors. Thus, there is a need for more research on the human aspect of cyber security. Purpose: The purpose of this study is to create a greater understanding of how cybersecurity is experienced by ship operator in Norwegian shipping companies. Research question: “How to ship operators experience cybersecurity in their daily work?” Theory: The theoretical framework of the thesis focuses on cybersecurity. It begins with a general overview of cybersecurity and cyber risk management at an organizational and team level, then narrows down to individual situation awareness and cognitive decision theory, primarily heuristics and biases. Method: The study employs a qualitative method with a semi-structured design. The selection consists of five ship operators, a collective term for the position of vessel manager and operations manager. The interviewees either currently hold or have previously held these positions or equivalent ones. Systematic text condensation is used to analyze the transcribes interviews. Results: The findings suggest that ship operators have a basic understanding of cybersecurity, but variations in job relevance and personal interest create a disparity in knowledge levels. This also applies to the experience of training, interpretation of cyber risk management systems, and the organizational framework. The management system facilitates quick handling and assistance but hinders a deeper understanding of cybersecurity. Conclusion: Organizations with management systems and training programs that do not educate and make employees more resilient to cyber risks, might turn people into a greater risk than a resource. The study highlights which individual and system factors influence ship operators’ situation awareness regarding cyber security. It can therefore be argued that more in-depth training of employees and facilitation in the management systems can lead to greater behavioral change at an organizational level, which in turn can strengthen the cyber security of shipping companies. Keywords: Cybersecurity, cyber risk, cyber risk management, situational awareness, heuristics, individual factors, ship operators, Norwegian shipping companies, awareness.