Beskyttelse av sensitiv informasjon; En studie av norske nettselskapers beskyttelse av sensitiv informasjon.

Abstract

I dag tar de fleste tilgangen til strøm for gitt. Vi forventer at komfyren skal fungere når vi lager middag, at det er varmt vann i dusjen og at lyset tennes når vi trykker på bryteren (Statnett, 2014, 28.11). Nettselskapene i Norge jobber for å opprettholde en sikker og stabil strømforsyning. Dette arbeidet inkluderer beskyttelse av sensitiv informasjon, altså opplysninger om energiforsyningen som kan brukes til å skade anlegg eller påvirke funksjoner som har betydning for energiforsyningen (beredskapsforskriften, 2013). Min studie har fokus på de sikringstiltakene, barrierene, som implementeres i nettselskapene for å beskytte sensitiv informasjon. I tillegg beskrives viktigheten av ansattes kollektive bevissthet for at barrierenes funksjon skal kunne opprettholdes. Oppgaven svarer på følgende problemstilling: Hvordan bruker norske nettselskaper barrierer for å forhindre uønsket innsyn i sensitiv informasjon og hvordan påvirker de ansattes kollektive bevissthet barrierenes funksjon? I den forbindelse har jeg gjennomført tre intervjuer i tre nettselskaper, samt ett i Norges vassdrags- og energidirektorat (NVE). Innsamlede intervjudata er diskutert sammen med sekundærdata (rapporter, risikobilder, NOUer med mer), egne observasjoner, samt teori på (1) intenderte og ikke-intenderte handlinger og hendelser, (2) barrierer og (3) kollektiv bevissthet. Oppgaven konkluderer med at samtlige nettselskaper har innført barrierer av fysisk, teknisk og operasjonell karakter for å hindre lekkasje av sensitiv informasjon. Disse barrierene brukes i et samspill. En teknisk brannmur er ubrukelig hvis en utro tjener på innsiden i et selskap plugger inn en minnepinne med skadevare, eller lekker sensitiv informasjon til utenforstående. Fysiske sperringer og adgangskontroll i inngangspartiet i selskapenes kontorbygg er bortkastet hvis en slurvete ansatt ukritisk slipper gjester gjennom med sitt ansattkort, eller låner ut sitt ansattkort. Jeg argumenterer i denne oppgaven for at kollektiv bevissthet hos ansatte har en slags overordnet rolle for å hindre uønsket innsyn i sensitiv informasjon. Dette fordi mange barrierer vil miste sin funksjon hvis ansatte ikke har fokus på informasjonsbeskyttelse. «Sikkerheten i selskapenes IT-systemer blir ikke bedre enn ‘det svakeste leddet’ i verdikjeden» (Hagen m.fl., 2017, s. 12). Vi mennesker gjør feil, med og uten vilje. Et selskap som jobber mot kollektiv bevissthet vil jobbe for trusselbevissthet og barrierebevissthet, noe som gjør at de ansatte har en forståelse for eksisterende trusselsituasjon, samt svakheter i sikkerhetsbarrierer og behov for nye barrierer der det trengs. Samtidig er påliteligheten til strømleveransen i Norge god. Det kan tyde på at det etableres barrierer som holder trusselaktører ute. Barrierene fungerer i et samspill hvor mangfoldighet og redundans er stikkord som gjør beskyttelsen av sensitiv informasjon mer robust. For at barrierene skal være relevante og holde, og dermed beskytte sensitiv informasjon, må ansatte i kraftbransjen ha en kollektiv bevissthet med tanke på både trusler og barrierer; de må være bevisste på verdien som må beskyttes (verdibevissthet), på truslene mot verdiene (trusselbevissthet) samt på de barrierer som må etableres for å beskytte verdiene mot trusselaktørene (barrierebevissthet).