Digital sikkerhet i sivil sektor: Hovedtendenser og utfordringer

Abstract

Norge digitaliseres stadig mer, og er i dag et av verdens mest digitaliserte land. De aller fleste arbeidstakere i Norge må utføre deler av eller hele sin jobb ved hjelp av digitale systemer. Den stadig økende digitaliseringen gir mange muligheter for automatisering og effektivisering, men skaper også utfordringer. Digitale angrep omtales jevnlig i media, og den siste tiden har det vært en økning i frekvens. Aktører som ønsker å skade norske virksomheter, kan nå gjøre dette fra hvor som helst i verden, og de kan gjøre dette skjult og i stor grad uten risiko. I lys av den raske digitale utviklingen i Norge, har denne masteroppgaven gjennomført dokumentstudier av norske myndigheters styrende dokumenter for digital sikkerhet, for å avdekke utviklingstrender i disse dokumentene. Oppgavens har valgt fire styrende dokumenter som grunnlag for dokumentanalysen, disse er: NOU:2015 kjent som Lysneutvalgets rapport (2015), Stortingsmelding 38 (2016-2017) kjent under navnet IKT-sikkerhet – et felles ansvar, Nasjonal Strategi for Digital Sikkerhet (2019) og lov om nasjonal sikkerhet (2019). Oppgaven analyserer først disse styrende dokumentene hver for seg ved hjelp av Asdal og Reinertsen (2020) sitt verktøy for dokumentanalyse og Carol Bacchis (2009) metode for analyse av policydokumenter. Oppgaven benytter så disse identifiserte trendene til å peke på mulige utfordringer med implementeringen av ulike tiltak for å bedre den digitale sikkerheten i norske virksomheter.

Generelt oppleves de styrende dokumentene som relativt samkjørte i sine prioriteringer, og at endringene kun unntaksvis endres fra dokument til dokument. Det oppleves imidlertid som at dokumentene blir mer operasjonaliserte og konkrete i sine anbefalinger, jo senere de er publisert. Dette kan ha en sammenheng med at virksomhetene selv får mer ansvar for å strukturere sitt arbeid med digital sikkerhet. Av oppgavens analyser fremkommer det at området digital sikkerhetskultur er generelt lite prioritert gjennom alle de analyserte dokumentene, og at økning av kompetanse på IKT-sikkerhet er en vedvarende prioritet.

Oppgaven har videre pekt på at digital sikkerhet er et gjenstridig problem som ikke kan løses permanent. Samordning synes å være den største utfordringen for myndighetenes arbeid med digital sikkerhet. Dette kommer til syne gjennom Justis- og beredskapsdepartementets manglende informasjon om nasjonens digitale sikkerhetssituasjon og en generell mangel på IKT-sikkerhetskompetanse i Norge. Intra-organisatoriske faktorer som tydelig ansvarliggjøring, gjensidig tillit mellom virksomheter og myndigheter, og god kommunikasjon vil være viktig for fremtidig samordning av arbeidet.

Norway is one of the most digititalized countries on the planet. Just about every organization is relying on digital systems to support their processes and achieve their objectives. Unfortunately, the increasingly rapid transfer into digital systems comes at a price. Organizations are threatened by increasingly creative adversaries that seek to exploit the organizations weaknesses through the gathering of information, interrupting processes and potentially challenging the very existence of the targeted organization. In light of this, our master thesis seeks to explore the governing public documents regulating Norway’s policy on cybersecurity. This has been done through analyzing the following documents: NOU:2015, know as the report of the “Lysne” public committee (2015), Stortingsmelding 38 (2016-2017), known to be called “IKT-security – a shared responsibility”, Norwegian strategy for digital security (2019) and Law of national security (Sikkerhetsloven) (2019). This thesis has analyzed these documents by using Asdal and Reinertsen’s (2020) theory on document studies, and Carol Bacchi's (2009) method for analyzing policy documents.

The main findings of this thesis has been that the governing documents generally seem to be synchronized in terms of priorities throughout the period between 2015 and 2019. The changes we see are that the priorities get gradually more operationalized over the years. A possible cause to this could be the increased responsibility that the organizations themselves are given in order to structure their own work with digital security. We can also see from the analysis that culture aspects linked to digital security have not been prioritized, and that the general lack of qualified people with IT and cybersecurity education and background persists.

The thesis also points out that cybersecurity seems to be a so-called “wicked problem”, which cannot be solved permanently. This means that work to improve cybersecurity within organizations is a never ending process. Furthermore, collaboration and synchronization of cybersecurity work across all sectors of the country continues to be a challenge. The Department of Justice and Public Security are not fulfilling their responsibilities as the coordinating department, which is visible through the lack of shared information regarding the general status of cybersecurity in Norway. Intra-organizational factors such as responsibilities, mutual trust between government and organizations, and communication will continue to be important factors in the future work of coordinating and organizing cybersecurity in Norway.