Tilnærming til cybersikkerhet
Abstract
Digitaliseringen av kraftnettet medfører en betydelig trussel for nettselskaper. Dette gir økt kontroll og overvåking av kraftnettet, men introduserer samtidig nye tilknytningspunkter som kan utnyttes av ondsinnede aktører. Kontinuerlig leveranse av strøm er kritisk for samfunnssikkerheten, og lengre avbrudd kan få alvorlige konsekvenser. Selv om cybersikkerhet er et omfattende forskningsområde, fokuserer kun en liten andel av denne forskningen på de sosiale aspektene ved cybersikkerhet. Eksisterende forskning peker på menneskene som det svakeste leddet i organisasjonenes cybersikkerhet. Det finnes imidlertid fortsatt ikke tilstrekkelig forskning som forklarer hvorfor mennesker utgjør en så stor cyberrisiko. For å gi et bedre innblikk i hvordan ansatte i nettselskaper arbeider med cybersikkerhet er problemstillingen i dette forskningsprosjektet definert som: "Hvordan forstås cybersikkerhet i nettselskaper, og hvilke utfordringer assosierer selskapene med cybersikkerhet?".
For å undersøke denne problemstillingen gjennomførte jeg i dette forskningsprosjektet syv intervjuer, med informanter fra fire forskjellige nettselskaper i Norge. Disse intervjuene gir empiri som kan diskuteres opp mot eksisterende forskning, og bidra til utvikling av forskningsbasen. Eksisterende litteratur fremhever at cybersikkerhetskultur og cyberrisikostyring er avgjørende for effektiv cybersikkerhet. De individuelle faktorene ved cybersikkerhetskultur er essensielle for cybersikkerheten. Funnene fra dette forskningsprosjektet viser imidlertid at både bevisstheten og atferden til ansatte kan utgjøre betydelige utfordringer. Informantene rapporterte også om utfordringer knyttet til gjennomføringen av cyberrisikostyring, ettersom dette er et komplekst og uforutsigbart felt.
Forståelsen av cybersikkerhet varierte blant informantene, og den akademiske definisjonen av cybersikkerhet er mer omfattende og presis enn hva informantene beskrev. Det kom også frem at flere sikkerhetsbegreper, som informasjonssikkerhet, IKT-sikkerhet og cybersikkerhet, i praksis ofte brukes om hverandre. Dette indikerer at forskjellen mellom disse begrepene ikke er tilstrekkelig forstått blant de ansatte. The digitalization of the power grid poses a significant threat to distribution system operators. While it offers increased control and monitoring of the grid, it simultaneously introduces new connection points that malicious actors can exploit. Continuous power supply is critical to ensuring public safety, and prolonged outages can have severe consequences. Although cybersecurity is a well-researched field, only a small portion of this research focuses on the social aspects of cybersecurity. Existing studies identify people as the weakest link in an organization's cybersecurity. However, there is still insufficient research explaining why humans represent such a significant cyber risk. To provide better insight into how employees in distribution system operators work with cybersecurity, the research question in this project is defined as: "How is cybersecurity understood in distribution system operators, and what challenges do the companies associate with cybersecurity?".
To investigate this research question, I conducted seven interviews with employees from four different distribution system operators in Norway. These interviews provide empirical data that can be discussed in relation to existing research and contribute to the development of the research base. Existing literature emphasizes that a cybersecurity culture and cyber risk management are crucial for effective cybersecurity. The individual factors of a cybersecurity culture are essential for maintaining cybersecurity. However, the findings from this research project show that both the awareness and behavior of employees can present significant challenges. Informants also reported challenges related to implementing cyber risk management, as this is a complex and unpredictable field.
The understanding of cybersecurity varied among the informants, and the academic definition of cybersecurity is more comprehensive and precise than what the informants described. It also emerged that several security terms, such as information security, ICT security, and cybersecurity, are often used interchangeably. This indicates that the differences between these terms are not sufficiently understood among employees.