Risikostyring i forsvarssektoren

Abstract

Februar 2022 invaderte Russland Ukraina. I kjølvannet av vestlige våpendonasjoner til Ukraina og et ønske om å styrke egne forsvar, har den opplevde verdien av forsvarsmateriell økt. Russiske cyberenheter har forsøkt å kompromittere ukrainske informasjonssystemer knyttet til slagmarken. Dette resulterer i økt risiko mot forsvarssystemer. Produsenter av forsvarsmateriell må gjennomføre god risikostyring for å minimere denne risikoen. En av de mest sentrale virksomheten innen sektoren i Norge er selskapet Kongsberg Defence & Aerospace (KDA).

Denne oppgaven søker å svare på problemstillingen: Hvordan kan KDA forbedre risikostyringsprosessen for produktene virksomheten leverer til kundene sine? For å svare på dette ble bestepraksis utledet fra relevante rammeverk og lover. Disse ble sammenlignet med faktisk praksis basert på åtte semi-strukturerte intervjuer med ansatte ved KDA. Det ble identifisert at KDA i stor grad følger bestepraksis. Samtidig ble det framsatt fire anbefalinger for forbedring av risikostyringen: 1. Risikovurderingene bør være basert på objektive vurderinger og være sporbare. 2. Opprett et system for å monitorere for risikofaktorer for å formidle nye tiltak til alle relevante kunder. 3. Opprett et minimumsikkerhetsnivå for alle informasjonssystemene på tvers av divisjonene i KDA som reflekterer KDAs forretningsmål og risikoappetitt. 4. Opprett tettere dialog med godkjenningsmyndigheter av informasjonssystemene på ledelsesnivå.

February 2022 Russia invaded Ukraine. Due to Western military donations to Ukraine and a desire to strengthen Western defenses, the perceived value of defense equipment has increased. Simultaneous, Russian cyber units tries to compromise Ukrainian battlefield communication systems. This results in increased risk towards defence systems. Producers of such systems must conduct risk management well to minimise risks. One of the most central organization within the defence sector in Norway is Kongsberg Defence & Aerospace (KDA).

The goal of this paper is to answer the following problem: How can KDA improve its risk management linked to delivieries to customers? A best practice was derived from relevant frameworks and laws. Best practice was compared to actual practice, which was derived from eight semi-structured interviews with employees at KDA. based on this, it is assessed that KDA mostly follows best practice. Yet, four recommendations to improve risk management at KDA were presented: 1.Risk assessments should be carried out in an objective manner with traceability. 2. A system to monitor for changes in risk factors should be in place in order to communicate new measures to reduce risk to all customers. 3. A minimum security level for all information systems across all divisions that reflect KDAs business goals and risk appetite should be in place. 4. Improve the top-level communication with approval authorities of information system.