Cyberattacks and cyber events affecting critical infrastructure in Norway

I en verden preget av digitalisering og globalisering, har cyberrisiko blitt en stadig mer sentral utfordring for organisasjoner. Utfordringen er at global cyberrisko er uhåndgripelig – nesten som gass – noe vi ikke kan sanse i tradisjonell forstand, men som likevel kan få fatale følger. For å unngå å bli handlingslammet i en tilstand av uvisshet, trenger vi teori for å forstå cyberrisiko, og perspektiver til å gripe inn i det uhåndgripelige. Denne avhandlingen anvender det teoretiske rammeverket fra risikosamfunnet, og spør: Hvilke utfordringer representerer uhåndgripelig cyberrisiko for organisasjoner, og hvordan kan de håndtere den? Avhandlingen anvender Giddens’ forståelse av fabrikkert (menneskeskapt) risiko, og utvider Becks typologi og kjennetegn ved uhåndgripelig risiko. Den plasserer cyberrisiko som arketypen av global risiko i risikosamfunnet, noe som betyr at cyberrisiko av natur er uhåndgripelig. Dette studeres ved hjelp av fire perspektiver fra avhandlingens artikler: Regulering, åpenhet, framsyn og strategi. Perspektivene tillater oss å redusere uhåndgripeligheten knyttet til cyberrisiko. Cyberrisiko kan lokaliseres ved å studere faktiske og mulige konsekvenser. Den kan visualiseres for å legge til rette for mer meningsfulle diskusjoner og forståelse av cyberrisiko, og som resultat kan cyberrisiko forebygges. Dette medfører at cyberrisiko ikke lenger er som gass, men i en noe mer håndfast form som gjør det mulig å redusere risiko. Utover de individuelle bidragene i avhandlingens forskningsartikler, bidrar avhandlingen i sin helhet ved å videreutvikle Becks typologi over globale risikoer og utdype rollen til og viktigheten av cyberrisiko i (verdens-)risikosamfunnet. I tillegg framhever avhandlingen hvordan uhåndgripelig cyberrisiko kan forstås og håndteres i organisasjoner.

Virkninger: Prosjektet har gitt ny kunnskap om cyberrisiko i kraftbransjen, især offentlige aktørers trusselbilde, scenarioanalyse for å avdekke cybertrusler, hvordan regulering forstås og arbeides med og hvordan løsepengevirus blir benyttet av trusselaktører. Det vises til at det må tenkes og arbeides annerledes med cyberrisiko enn "tradisjonell" risikostyring fordi cyberrisiko er i konstant endring. Dette krever en mer dynamisk tilnærming. Prosjektet avdekte et behov økt samarbeid mellom bedriften, ulike forskningsmiljøer både nasjonalt og internasjonalt og relevante aktører som arbeider med cyberrisiko i Norge. For å danne seg et helhetlig bilde av cyberrisiko trenger aktørene med ansvar for cybersikkerhet å være i dialog med hverandre, offentlige myndigheter og forskningsmiljøer. Effekter: Kunnskapen om de ulike aktørenes forståelse av cyberrisiko og økt grad av samarbeid øker muligheten aktørene har for å møte utfordringene på en koordinert måte. Samlet bidrar dette til effekt i form av mer kunnskapsbasert forståelse i praksisfeltet og mer praksisorientert kunnskap i forskningsmiljøene. Effekten av dette kan være bedre forståelse og håndtering av cyberrisiko i norsk kraftbransje. Dette kan også bidra til at myndighetene i større grad kan basere framtidige retningslinjer både på forskningsbasert kunnskap og på operasjonelle forutsetninger. Erfaringene og kunnskapen fra prosjektet kan potensielt også overføres til andre sektorer hvor cyberrisiko også utgjør en samfunnsutfordring. Dette kan potensielt også være nyttig internasjonalt med tanke på tilsvarende utfordringer der.

Prosjektet har som hovedmål å framskaffe faktabasert kunnskap om cyberangrep som rammer kritisk infrastruktur i Norge. Kunnskapen kan bidra til å identifisere kilder til driftsforstyrrelser og nedetid, og bestemme tilpassede sikringstiltak. Formålet med prosjektet er å oppnå kunnskap som kan bidra til å sikre kritisk infrastruktur. De mest sentrale FoU-utfordringene er: - underrapportering og mørketall knyttet til cyberangrep, og - begrenset mulighet og/eller ressurser til å spore cyberangrep.