Å navigere cybertrusler: Norske maritime virksomheters bruk av cybertrusseletterretning i arbeidet med risiko
Abstract
Norske maritime virksomheter står midt i en kraftig transformasjon fra mer tradisjonelle forretningsmodeller til å bli stadig mer digitaliserte. Dette gjør virksomhetene potensielt mer sårbare for cybertrusler. For å møte denne utviklingen blir god risikostyring viktig, og da særlig med fokus på cyberrisiko. Som del av dette er cybertrusseletterretning en avgjørende faktor for å sikre at norske maritime virksomheter arbeider proaktivt med de truslene som kan ramme dem.
Utgangspunktet for denne oppgaven har vært å finne ut hvordan norske maritime virksomheter vurderer og bruker cybertrusseletterretning for å forebygge cybertrusler. Med bakgrunn i dette ble følgende problemstilling utarbeidet: «Hvordan kan norske maritime virksomheter bruke cybertrusseletterretning for å bedre sitt arbeid med cyberrisikostyring og -vurderinger?». Oppgaven er skrevet i samarbeid med NORMA Cyber som er en ideell organisasjon for norske maritime virksomheter, og som blant annet fokuserer på produksjon og deling av cybertrusseletterretning til slike virksomheter.
Oppgaven tar utgangspunkt i tradisjonell teori knyttet til etterretning og risiko, men også nyere forskning vedrørende cyberrisiko og cybertrusseletterretning er trukket inn. I tillegg benyttes forskning som spesifikt ser på cyberrisiko og -trusler i maritim sektor.
Oppgaven er gjennomført som en deskriptiv flercasestudie, og data ble samlet inn basert på åtte semistrukturerte intervjuer av norske maritime virksomheter av varierende type, størrelse og geografi. Som del av oppgaven ble også en representant fra NORMA Cyber intervjuet. Oppgaven baserer seg på stegvis-deduktiv induktiv metode. Dette genererte et omfattende datagrunnlag som ble videre kategorisert til fire hovedkategorier med empiriske funn: «Arbeidet med cyberrisikostyring og -vurderinger», «Bruk av cybertrusseletterretning i virksomhetene», «Formidling av cybertrusseletterretning» og «NORMA».
Funnene har bidratt til å identifisere at norske maritime virksomheter opplever høy verdi av cybertrusseletterretning, men at bruken varierer fra selskap til selskap. Dette henger særlig sammen med størrelse og modenhet. Kriteriene for å lykkes med god kommunikasjon av cybertrusseletterretning er minst mulig bruk av stammespråk, lavest mulig grad av hemmelighold, og deling i kanaler som oppleves smidige og åpner opp for dialog. Samtidig må det involveres bredt i arbeidet med cyberrisiko for at virksomhetene skal lykkes. Risikovurderinger må begrunnes kvalitativt, uavhengig om de skal ende opp i en risikomatrise eller annen kvantitativ skala. Videre må arbeidet med cyberrisiko integreres med virksomhetens overordnede prosesser for risikostyring og -vurderinger. Norske maritime virksomheter bør bruke scenarioer i sitt arbeid med cyberrisikovurderinger, og bruke disse aktivt for å vurdere nye og ukjente trusler. Avslutningsvis må NORMA Cyber videreutvikles som et sektorvist responsmiljø for maritim sektor, kontinuerlig forbedre de leveransene de har i dag, men også vurdere å møte etterspørselen etter nye leveranser innenfor cyberrisikostyring. Norwegian maritime enterprises are currently undergoing a significant transformation from more traditional business models to becoming increasingly digitalized. This makes the enterprises potentially more vulnerable to cyber threats. To address this development, effective risk management becomes crucial, particularly with a focus on cyber risk. As part of this, cyber threat intelligence is a critical factor in ensuring that Norwegian maritime enterprises work proactively with the threats that can affect them.
The basis for this thesis is to find out how Norwegian maritime enterprises assess and use cyber threat intelligence to prevent cyber threats. Based on this, the following research question was developed: "How can Norwegian maritime enterprises use cyber threat intelligence to improve their work with cyber risk management and assessments?". The thesis is written in collaboration with NORMA Cyber, a non-profit organization for Norwegian maritime enterprises, which focuses on the production and sharing of cyber threat intelligence to such enterprises.
The thesis is based on traditional intelligence and risk theory, but also incorporates recent research regarding cyber risk and cyber threat intelligence. Additionally, research specifically looking at cyber risk and threats in the maritime sector is utilized.
The thesis is conducted as a descriptive multi-case study, and data was collected based on eight semi-structured interviews of Norwegian maritime enterprises of varying type, size, and geography. As part of the thesis, a representative from NORMA Cyber was also interviewed. The thesis employs a step by step deductive-inductive method. This generated a comprehensive dataset which was further categorized into four main categories with empirical findings: "Current practice with cyber risk management and assessments," "Use of cyber threat intelligence in the enterprises," "Dissemination of cyber threat intelligence," and "NORMA".
The research has helped to identify that Norwegian maritime enterprises experience high value from cyber threat intelligence, but that usage varies from company to company. This is particularly related to size and maturity. The criteria for successful communication of cyber threat intelligence include minimal use of tribal language, the lowest possible degree of secrecy, and sharing in channels that are perceived as flexible and open for dialogue. At the same time, a broad involvement in the work with cyber risk is necessary for the enterprises to succeed. Risk assessments must be justified qualitatively, whether they are to end up in a risk matrix or another quantitative scale. Furthermore, the work with cyber risk must be integrated with the enterprise's overall processes for risk management and assessments. Norwegian maritime enterprises should use scenarios in their work with cyber risk assessments, and actively use these to assess new and unknown threats. Finally, NORMA Cyber must continue to be developed as a sector-specific response environment for the maritime sector, continuously improve the deliveries they have today, but also consider meeting the demand for new deliveries in the area of cyber risk management.