Cybersikkerhet - Et spill i kontinuerlig utvikling

Abstract

Cyberkriminalitet er en stadig voksende trussel og i ferd med å bli et reelt samfunnsproblem. Den teknologiske utviklingen har ført til at tradisjonell kriminalitet kan begås på nye måter, for eksempel ved bruk av internett. Cyberspace- miljøet hvor denne typen kriminalitet foregår åpner for tilkobling mellom flere enheter, fjerner geografisk avstand og gir mulighet for anonymitet og et høyt fortjenestepotensial. Fenomenet har videre ført til at cybersikkerhet har blitt en av topp-prioritetene på sikkerhetspolitiske agendaer over hele verden. Formålet med denne avhandlingen er å undersøke hvordan gass- og oljeselskapet Wintershall Dea forebygger cyberangrep samt hvilke opplevelser og forståelser ulike grupper ansatte har av arbeidet. For å oppnå dette har fremgangsmåten bestått av individuelle intervjuer med syv informanter som innehar stillinger tilknyttet cybersikkerhet (eksperter), i tillegg til en spørreundersøkelse av vanlige ansatte som ikke er eksperter på området. Metoden har altså vært en kombinasjon av et kvalitativt og kvantitativt datamateriale for å besvare problemstillingen. Oppgavens funn presenteres hovedsakelig i lys av et teoretisk rammeverk som kan knyttes til teorier i kriminologien. Funnene viser at fokuset på cybersikkerhet er større enn noen gang. Omfanget av trusler og mulighetene for nye typer trusler gjør at det er viktig for ekspertene å til enhver tid holde seg oppdatert på trusselbildet og utvikle kompetansen sin for å holde tritt med trusselaktørene. Sik blir det en konstant jakt etter sikkerhet. I den sammenheng uttrykkes det at det er en livsstil å arbeide med cybersikkerhet. Cyberangrep bli stadig mer målrettet og avansert på grunn av teknologiens hurtige utvikling. Dermed kan ekspertene aldri vite hvilken trussel de står ovenfor og kan utsettes for. Oppgavens funn illustrerer at ekspertene anvender en barrieretankegang med både tekniske og menneskelige barrierer for å forebygge cyberangrep. Det største fokuset er på de menneskelige barrierene og forstås i sammenheng med at cyberkriminelle de siste årene har rettet søkelyset mot mennesker og det faktum at den menneskelige faktor er en større sårbarhet enn noensinne. Ansatte ses i denne sammenheng som «det svakeste punkt» og det brukes store ressurser på å lære dem opp i sikker atferd på internett og skape en bevissthet blant dem. Et stort fokus rettes mot å skape en god sikkerhetskultur i selskapet og faktorene tillit, dialog, ledelse og opplæring anses som særlig viktige. Funnene indikerer at det er krevende å lære opp ansatte i cybersikkerhet. De ansatte synes å forstå at cybersikkerhet er viktig og at cyberkriminalitet kan ramme alle. Slik sett virker ansatte å forstå risikoen cyberangrep utgjør. Likevel viser funnene at flere ansatte ikke gjør det de bør for å være sikre på nett blant annet ved at de bruker samme passord flere steder, ikke bytter passord jevnlig, og er usikre på hva de skal se etter for å gjenkjenne svindelforsøk. Avhandlingens funn tyder også på at flesteparten av de ansatte opplever en god sikkerhetskultur. Likevel fremkommer det at flere vegrer seg for å ta kontakt med IT-teamet og dette kan ha konsekvenser for om de rapporterer egne og kollegers brudd som igjen kan føre til uoppdagede angrep. Å jobbe med cybersikkerhet synes å være et arbeid som aldri tar slutt. Ekspertene må stadig være oppdatert på trusselbildet og utvikle sin kompetanse for å holde tritt med potensielle lovbrytere som stadig finner nye måter å angripe på. Samtidig må ekspertene drive konstant opplæring av ansatte slik at de også er oppdatert på trusselbildet og forstår alvorligheten av cyberangrep. Slik ser cybersikkerhet ut til å være et spill i kontinuerlig utvikling og et kappløp mellom sikringssiden på den ene siden og trusselsiden på den andre.