Digital sikkerhetskultur i kraftsektoren – en studie av kjennetegn ved den digitale sikkerhetskulturen i kraftsektoren

Abstract

Sammendrag Vårt moderne samfunn preges av i stor grad av digitalisering. Digitalisering handler enkelt sagt om å bruke teknologi til å forbedre og fornye våre virksomheter i samfunnet, samtidig som man ivaretar god sikkerhet. Norske virksomheter opplever digitale angrep tett på kroppen daglig, og det har vært flere eksempler på alvorlige dataangrep i Norge de siste årene. Dette stiller nye krav til hvordan virksomhetene driver sitt sikkerhets- og beredskaps arbeid. Det digitale sikkerhetsarbeidet må stå i stil til hvilken digital risiko virksomhetene blir utsatt for. Nasjonale risikovurderinger peker spesielt mot mennesket som et yndet mål for dem som prøver å trenge igjennom digitale systemer. Ettersom mennesket alltid vil være brukeren av de digitale løsningene, betyr det at de også kan påvirkes i ulik retning til å gjøre feil eller dele sensitiv informasjon om virksomheten. Våre samfunnskritiske virksomheter, som kraftsektoren, vil alltid være utsatt for større digital risiko siden de arbeider med våre grunnleggende verdier. På bakgrunn av dette har vi valgt å ta for oss de menneskelige og organisatoriske faktorene som spiller inn på arbeidet med å skape en god digital sikkerhetskultur i virksomhetene i kraftsektoren. Vi kom frem til følgende problemstilling: Hva kjennetegner norske kraftvirksomheter sitt arbeid med digital sikkerhetskultur, sett fra fagansatte og ledelsen sitt perspektiv. Litteraturen i studien har vi hentet fra tradisjonelle teorier rundt menneskeskapte og høypålitelige organisasjoner og sikkerhetskultur. Digital sikkerhetskultur er et relativt nytt begrep og dermed er de tradisjonelle teoriene viktige for å beskrive fenomenet. Vi har også benyttet oss av nyere nasjonal og internasjonal forskning på digital sikkerhetskultur. I tillegg har vi trukket inn offentlige dokumenter som beskriver hvordan nasjonale myndigheter tilnærmer seg digital sikkerhetskultur. Norske kraftselskaper er i all hovedsak eid av offentlig sektor, og dermed må de forholde seg til nasjonale føringer på området og er underlagt norske lover og regler. Forskningsprosjektet vårt ble gjennomført som en deskriptiv flercasestudie, med deltakelse fra to ulike kraftvirksomheter. Datainnsamlingen ble gjennomført ved bruk av kvalitativ metode inspirert av Grounded Theory og stegvis-deduktiv induktiv metode, og vi gjennomførte totalt 11 intervjuer av fagansatte og ledere i to forskjellige kraftvirksomheter. Videre transkriberte vi alle intervjuene, kodet dem og kategoriserte dem med bruk av analyseprogrammet NVivo. Etter en omfattende prosess med koding satt vi igjen med bredt datamaterialet som dannet grunnlaget for tre hovedkategorier av empiriske funn: «digital sikkerhet», «digital sikkerhetskultur» og «barrierer». Disse kategoriene dannet grunnlaget for vår drøftelse og konklusjon i studien. Forskningsprosjektet har som formål å bidra til innsikt i hva som kjennetegner den digitale sikkerhetskulturen sett fra ledelse og fagansatte i kraftsektoren. Gjennom vår analyse og drøfting har vi funnet direkte knytninger mellom oppgavens empiriske funn og eksisterende litteratur på området. Risikoforståelse, ledelsens påvirkning og forebyggende arbeid påvirker hverandre gjensidig og spiller en viktig rolle for å utvikle en god digital sikkerhetskultur. Vår konklusjon er at for å skape en god digital sikkerhetskultur i kraftbransjen kreves det god bevissthet rundt digital sikkerhet hos de ansatte gjennom kunnskap og risikoforståelse. Ledelsen spiller en sentral rolle i organiseringen og forankringen av digitalt sikkerhetsarbeid i virksomhetene. De bør selv gå frem som gode rollemodeller for å øke tilliten til de ansatte. Forebyggende arbeid gjennom myke barrierer må prioriteres for å endre holdninger og kunnskap de ansatte har til digital sikkerhet.

Our modern society is characterized by a large degree of digitalisation. Digitization is simply about using technology to improve and renew our businesses in society, while ensuring good security. Norwegian businesses experience digital attacks on a daily basis, and there have been several examples of serious data attacks in Norway in recent years. This places new demands on how businesses conduct their security and preparedness work. The digital security work must be in line with the digital risk the businesses are exposed to. National risk assessments point in particular to humans as a favorite target for those who try to penetrate digital systems. As the person will always be the user of the digital solutions, this means that they can also be influenced in different directions to make mistakes or share sensitive information about the business. Our businesses critical to the function of our society, such as the power sector, will always be exposed to greater digital risk since they work with our fundamental services. Based on this, we have chosen to address the human and organizational factors that play a role in the work to create a good digital safety culture in businesses in the power sector. We arrived at the following problem: What characterizes Norwegian power companies work with digital safety culture, seen from the perspective of professional employees and management? We have used literature in the study from traditional theories around man-made and highly reliable organizations and safety culture. Digital security culture is a relatively new term and thus the traditional theories are important to describe the phenomenon. We have also made use of recent national and international research on digital security culture. In addition, we have included public documents which describes how national authorities approach digital security culture. Norwegian power companies are mainly owned by the public sector, and they must comply with national guidelines and are subject to Norwegian laws and regulations.Our research project was carried out as a descriptive multiple case study, with participation from two different power companies. The data collection was carried out using a qualitative method inspired by Grounded theory and a step-by-step deductive inductive method, and we conducted a total of 11 interviews of specialist employees and managers in two different power companies. Furthermore, we transcribed all the interviews, coded them and categorized them using the analysis program NVivo. After an extensive process of coding, we were left with broad data material that formed the basis for three main categories of empirical findings: "digital security", "digital security culture" and "barriers". These categories formed the basis for our discussion and conclusion in the study. The purpose of the research project is to contribute to insight into what characterizes the digital safety culture from the perspective of management and specialist employees in the power sector. Through our analysis and discussion, we have found direct connections between the thesis' empirical findings and existing literature on the subject. Risk understanding, management's influence and preventive work mutually influence each other and play an important role in developing a good digital security culture. Our conclusion is that in order to create a good digital security culture in the power industry, a good awareness of digital security is required among employees through an understanding of risk and knowledge. The management plays a central role in the organization and in the anchoring of digital security work in the businesses. They themselves should act as good role models to increase trust in the employees. Preventive work through soft barriers must be prioritized in order to change employees' attitudes and knowledge of digital security.