THEORETICAL ADVANCES OF CYBER RESILIENCE – PRACTICE, GOVERNANCE AND CULTURE OF DIGITALIZATION

Prosjektets vil styrke samfunnets evne til å bygge cyber-sikkerhet og redusere digital sårbarhet gjennom konsepter fra fagfeltet "resilience". Resilience som begrep er sentralt for bl.a. EUs policyer og strategier innen cyber-sikkerhet. Fagfeltet er sammensatt med mange røtter, med fokus på egenskaper som bl.a. motstandsdyktighet, gjenvinningsevne og robusthet. I de senere år har det vokst fram en særegen tilnærming, Resilience Engineering, som er mer eksplisitt orientert mot dynamisk tilpasningsevne. Samfunnets digitale sårbarhet og det geopolitiske trusselbildet har økt dramatisk. Cyber-sikkerhet må i økende grad ta høyde for ondsinnet, villet påvirkning og intelligent omgåelse av sikkerhetstiltak. For å dra nytte av resilience-tenkningen opp mot digital sårbarhet kreves mer anvendbar kunnskap, samt en kritisk refleksjon rundt kunnskapsgrunnlaget. Det bygges et teoretisk fundament gjennom hovedbegrepet "cyber resilience", med relevans for praktikere, ledere og styrende myndigheter som skal håndtere digital sårbarhet i dagens og framtidens kritiske samfunnsfunksjoner. Fokus er på sosioteknisk praksis i daglig håndtering av komplekse systemer, styring og ansvarliggjøring i forhold til nye risikoer, og kulturelle forskjeller som følger med ulike teknologiske tilnærminger. Dette gjelder f.eks. generell IT, industriell IT, og nye teknologiske trender. Fremveksten av kunstig intelligens (KI) er en særegen utfordring siden resilience-tenkningen setter menneskelig kunnskap, erfaring og forestillingsevne sentralt. Prosjektet er empirisk innrettet mot olje- og gass-sektoren, energisektoren og vannforsyningen, Teoriutviklingen forankres i studier av nåværende samt framtidige IT-løsninger i disse, men de teoretiske resultatene vil ha bredere relevans. Resilience impliserer nye premisser for kontroll og styring. TECNOCRACI adresserer derfor et bredt spekter av sårbarheter og trusler som følger med en akselererende digitalisering, der stigende kompleksitet medfører mangel på både oversikt og tid til å forstå utfordringene i detalj. Genuine overraskelser må forventes, og må håndteres selv når forberedelsene viser seg å være utilstrekkelige eller uhensiktsmessige. Cyber resilience utelukker derfor ikke, men overskrider begreper som innebygget robusthet og planlagt gjenvinningsevne. Cyber resilience kan verken være individuell eller transaksjonell, men basert på initiativ og gjensidighet. Teoriutviklingen må derfor også ha i sikte et digitalt økosystem som i fellesskap kan understøtte fremvoksende løsninger på dynamiske og uforutsette utfordringer, både for den enkelte virksomhet og i et overordnet (systemisk) perspektiv. Dette er spesielt viktig i forhold til den nye geopolitiske situasjonen, med Norge som energileverandør. Resilience er et stadig mer populært begrep. Forskningsdesignet er derfor innrettet for å manøvrere i et landskap av teori og praksis der begrepet tas i bruk på ulike premisser. Det er viktig å være teoretisk stringent, men også pragmatisk orientert i forhold til ulike anvendelser og kontekster. Forhåndsantakelser skal ikke være en tvangstrøye som skjermer forskningen mot uventede funn og innsikter. Teoriutviklingen må derfor være stegvis, reflektert og kritiserbar. Det er ikke kun en konklusjon ved reisens slutt, men like mye refleksjoner underveis, i ulike kontekster, som vil bidra til en anvendelig og praktiserbar teori som sluttresultat. Resultatene så langt peker imidlertid mot å vie spesiell oppmerksomhet mot fenomenet adaptiv kapasitet der resilience forstås som prosess, skille dette fra forståelsen av resilience som et resultat av andre prosesser og fenomener (dvs som et epifenomen), men samtidig fokusere på hvordan de ulike tilnærmingene kan understøtte hverandre. Et overordnet teoretisk rammeverk er i løpende utvikling og publiseres stegvis, og det er publisert litteraturstudier som relateres til forarbeidet. Resultatene fra disse anvendes i empiriske studier. Siste fase av teoriutviklingen er rettet mot det dialektiske forholdet mellom "work as imagined" og "work as done", knytningen til kompleksitetsteori, hvordan systemisk cyber resilience kan supplere begrepet systemisk risiko, samt bruk av "explainable" KI som verktøy for å styre adaptiv kapasitet. Det vedlikeholdes et felles referansegrunnlag for de tre caseområdene, som kan brukes for ekstern kommunikasjon. I tillegg til workshops og intervjuer blir det brukt en spesialtilpasset forskningsmetode basert på et spillbasert treningsverktøy som brukes til å operasjonalisere case-studier. Dette verktøyet gir verdifull tilbakemelding både til den virksomheten som utforsker scenariene og praksisene, og til teoriutviklingsprosessen. TECNOCRACI har dialog med andre forskningsprosjekter, spiller inn foreløpige resultater i nye prosjektforslag, og gir innspill til private og offentlige virksomheter. Resultatene vil kunne brukes til policyutvikling, trening og utvikling av adaptiv kapasitet som supplement til øvrig digital sikkerhet.

Industrial Control Systems or "Operational Technologies" (OT) implement key functions in safety-critical industrial and critical infrastructure contexts. OT and IT systems are exposed to cyberattacks, mercilessly demonstrating a persistent security gap, affecting safety. Human and organizational contribution to any safety or security solution requires a practice-oriented approach to "work as done", a sociotechnical perspective to unlock the dialectic between "work as done" and "work as imagined", and a sensitivity to technocultural diversities. TECNOCRACI is founded on the belief that the emerging concept of cyber resilience can be extended to meet the above requirements in a manner that also meets the need for managerial accountability for the (speed of) digitalization. The objective is to develop a supportive and comprehensive theory cyber resilience, grounded in current and future challenges of digitalized critical infrastructures. While modern safety approaches acknowledge the sociotechnical perspectives of situated practice, and the leading resilience (engineering) approaches are founded on them, the field of cyber security is still dominated by experts' advice and technically oriented "best practices" of unclear origin. There is thus a fundamental risk of a mere relabelling of existing cyber security practices into "resilience", and of seeking alignment between "work as imagined" and "work as done" rather than releasing the dialectical potential through commitment to situated practice. The needed transition is not straightforward, as the complexities of cyber events often are more intractable and less tangible than those related to safety. TECNOCRACI addresses these challenges by combining descriptive studies of the use of current technologies, with prospective studies on the use of new technologies in critical infrastructures, as the engine of theory development. The results will be highly applicable for any digitalization process.