Samarbeid om cybersikkerhet: En studie av håndtering av IKT-sikkerhetshendelser

Abstract

Norge er et av verdens mest digitaliserte land og Lysne-utvalget slo i 2015 fast at dette gjør oss sårbare. En rekke alvorlige IKT-sikkerhetshendelser de senere år har vist oss at denne sårbarheten er reell. I 2019 lanserte norske myndigheter en nasjonal strategi for digital sikkerhet og to sentere ble opprettet for å styrke samfunnets evne til håndtere IKT-sikkerhetshendelser. Nasjonalt cybersikkerhetssenter (NCSC) og Kripos cyberkrimsenter NC3 arbeider begge med å beskytte innbyggere og virksomheter fra trusler i det digitale rom. Sentrene inngår i en såkalt multistakeholdermodell bestående av aktører fra det offentlige og det private som alle arbeider med å håndtere trusler og hendelser i det digitale rom. Hvordan nøkkelaktører i dette systemet samarbeider er temaet i denne masteroppgaven. Tverrsektorielt samarbeid mellom myndighetsaktører innenfor samfunnssikkerhet har helt siden innføringen av samvirkeprinsippet i 2012 vært et prioritert utviklingsområde. I den nasjonale strategien for digital sikkerhet er offentlig-privat samarbeid en grunnpilar. På bakgrunn av dette er følgende problemstilling utformet: Hvordan fungerer samarbeid mellom aktører i norske myndigheters styringssystem for håndtering av IKT-sikkerhetshendelser?

På grunnlag av dokumentanalyse og semistrukturerte kvalitative intervjuer med informanter fra NSM, Kripos NC3, HelseCERT og Østre Toten kommune beskrives samarbeid mellom nøkkelaktører innenfor håndtering av IKT-sikkerhetshendelser. Samarbeid analyseres i lys av to typologier om styring på cybersikkerhetsfeltet, en hierarkisk typologi og en multistakeholder-typologi (multistakeholdermodellen). Løsepengevirusangrepet som rammet Østre Toten kommune i januar 2021 benyttes som et illustrerende eksempel på hendelseshåndtering i praksis.

I studien avdekkes tilstedeværelse av forhold som kan signalisere overlappende ansvarsområder og interessekonflikt mellom de sektorovergripende aktørene NCSC og Kripos NC3. Det pekes også på utfordringer knyttet til manglende felles situasjonsforståelse av trusselbildet og relevante botemidler. Alvorlighetsgraden av konsekvensene til disse utfordringene oppfattes som motvirket av en rekke samarbeidsordninger og god kommunikasjon mellom aktørene i styringssystemet. Betydningen av åpenhet om IKT-sikkerhetshendelser tematiseres også i studien. Analysen tilsier at åpenhet fra rammede virksomheter styrker samfunnets evne til å håndtere IKT-sikkerhetshendelser gjennom bevisstgjøring og læringspunkter som kommer alle til gode.