Risikovurderinger i informasjonssikkerhet utløsende faktor og oppfølging. Risikovurderinger i informasjonssikkerhet utløsende faktor og oppfølging

nbbmnmgg Risikovurderinger i informasjonssikkerhet utløsende faktor og oppfølging Hva utløser risikovurderinger og hva benyttes de til etter gjennomføring? Risikovurderinger i informasjonssikkerhet utløsende faktor og oppfølging Eirik Versjon Albrechtsen 05.06.02 Hovedoppgave Våren 2002 HOVEDOPPGAVE VÅREN 2002 Eirik Albrechtsen Institutt for industriell økonomi og teknologiledelse Fakultet for samfunnsvitenskap og teknologiledelse

Forord Denne hovedoppgaven er utført ved Institutt for industriell økonomi og teknologiledelse, studieretning for Helse, Miljø og Sikkerhet (HMS) ved NTNU. Hovedoppgavens formål har vært å få en forståelse for prosessen med å utløse en risikovurdering og hva risikovurderingene benyttes til etter gjennomføring innen informasjonssikkerhet. Hovedoppgaven er en slags fortsettelse fra fordypningsprosjekt (5 vekttall) ved NTNU høstsemesteret 2001. Fordypningsprosjektet tok for seg organisatoriske faktorer i informasjonssikkerhet. Jeg vil takke mine to veiledere; Tor Olav Grøtan ved Kompetansesenter for IT i helsevesenet (KITH) og Ragnar Rosness ved SINTEF Teknologiledelse, avdeling Sikkerhet og pålitelighet. Rosness skal ha spesiell takk for meget gode tips om analyse og skriveprosess. Begge har gitt gode og lærerike tilbakemeldinger gjennom hele prosessen, og har vist en interesse for oppgaven som har vært motiverende for meg. Faglærer Jan Hovden ved NTNU skal også takkes for tilbakemeldinger. Medstudent Ivar Kufås fortjener også en takk i forbindelse med samordning av intervjuer, samt gode diskusjoner og tilbakemeldinger underveis. Til slutt skal de som har stilt opp som intervjuobjekter takkes. Dere har i tillegg til å være svært imøtekommende, interesserte, engasjerte og behjelpelige kommet med god informasjon som har vært til meget god hjelp. Trondheim, 10.juni 2002 Eirik Albrechtsen Hovedoppgave våren 2002 for Eirik Albrechtsen i

Sammendrag Hovedoppgaven har hatt som formål å beskrive hva som utløser risikovurderinger og hva disse benyttes til etter gjennomføring av risikovurdering. Fokus har spesielt vært på beslutning om å utføre risikovurdering og beslutning om hva risikovurderingen skal benyttes til i etterkant, samt hvilke forhold som utløser en beslutning om å utføre risikovurdering. I forbindelse med beslutninger er det lagt vekt på å undersøke hvem beslutningstaker er, hva slags makt som benyttes og hva som karakteriserer beslutningsprosessen. Vedrørende hva risikovurderingen benyttes til er aksept for, begrensinger for, læring av og oppfølging av tiltak belyst. Om vurderingen blir benyttet til å øke sikkerhetsnivået etter gjennomføring er også undersøkt. For å løse problemstillingen er det gjennomført kvalitative forskningsintervju i fire ulike bransjer. De fire bransjene har vært bankvesenet, helsevesenet (sykehus), forsvaret og statlig forvaltningsorgan. Innsamlet empiri er analysert ved bruk av cross-case analyser. Undersøkelsene viste at det er et stort mangfold av forhold som utløser beslutninger om å gjennomføre risikovurderinger. De utløsende faktorer som kom frem i undersøkelsene var lovverk, hendelser, sikkerhetsstyringssystem, omdømme, verdier, førevar, endringer i teknisk system, endringer i omgivelser, endringer i organisasjon, ekstern påvirkning og sertifisering. Lovverket er den mest nevnte faktor, og fungerer som en overbyggende faktor for de øvrige faktorene. Videre er sikkerhetsstyringssystem, tekniske endringer, endringer i omgivelser og omdømme (kun bankvesenet) de faktorene som er nevnt av flest virksomheter. Beslutning om å utføre risikovurderinger ligger hos stabsfunksjonen som ivaretar informasjonssikkerhet, både gjennom selv å ta beslutning og ved å utarbeide retningslinjer for andre organisasjonsenheter. For å få gjennomslag for beslutningen benyttes makt i form av strukturell posisjon i organisasjonen og ekspertise. Beslutningen karakteriseres ved byråkratiske beslutningsmodeller (Koopman og Pool, 1991). Det er liten grad av deltakelse og involvering av andre i organisasjonen ved beslutning om å utføre risikovurdering. Risikovurderinger benyttes i stor grad som et verktøy for å ivareta informasjonssikkerhet i de undersøkte virksomheter, med unntak av forsvaret hvor de benyttes i liten grad. Ved gjennomføring av risikovurderingen forsøker de fleste av de undersøkte virksomheter å sette sammen en bred vurderingsgruppe på så lavt nivå som mulig. Det er interessant å merke seg at deltakelse betyr mye ved gjennomføring av risikovurderingen, men lite i forbindelse med andre deler av risikovurderingsprosessen. Hele risikovurderinger outsources ikke, da virksomheten ønsker å ha eierskap til vurderingen innad i organisasjonen. Undersøkelsene tyder på at risikovurderinger blir benyttet til å øke sikkerhetsnivået etter gjennomføring av vurderingen, de havner ikke i skuffen. Beslutning om hva risikovurderingen skal benyttes til ligger i hovedsak på avdelingsnivå og delvis i IT-avdeling. Også beslutningen om hva risikovurderingen skal benyttes til kan karakteriseres som byråkratisk beslutningsmodell. I enkelte av de undersøkte virksomheter benyttes også deltakelsesmodellen (Koopman og Pool, 1991) i beslutningen. I alle de undersøke virksomhetene finner man en politisk beslutningsmodell (Koopman og Pool, 1991) i det beslutninger taes i et maktspill med flere ulike interesser, det er mange aktører og interessenter tilstede, det er flere begrensinger for beslutningen og andre beslutninger i virksomhetens daglige liv skal taes samtidig. Beslutningen om hva risikovurderingen skal benyttes til er derfor langt mer kompleks enn beslutning om å utføre risikovurderinger. Hovedoppgave våren 2002 for Eirik Albrechtsen ii

Beslutningstaker før gjennomføring av risikovurderingen og etter gjennomføring er ikke den samme, det oppstår en diskontinuitet i eierskapet til risikovurderingen. Den økte kompleksiteten ved beslutningen om hva vurderingen skal benyttes til sammen med diskontinuiteten ved eierskap innebærer at man går fra å optimalisere beslutninger før vurdering til å satisfisere beslutninger etter vurdering. Dette innebærer at man går fra sikkerhetsmessig optimal trigging av risikovurderinger til å finne gode nok tiltak som ivaretar alle interesser ved beslutning om hva vurderingen skal benyttes til. De sikkerhetsmessig beste tiltakene blir derfor nødvendigvis ikke valgt. I enkelte av de undersøkte virksomheter er det en konflikt mellom teknisk og organisatorisk sikkerhetsarbeid. Dette vil blant annet være et hinder for hva risikovurderingen skal benyttes til, det kan oppstå konflikter mellom tekniske og organisatoriske tiltak. Bakgrunnen for problemene er manglende forståelse for behovet for hverandres sikkerhetsarbeid. I tillegg så snakker teknisk leir et teknisk språk som kan skape barrierer i kommunikasjonen mellom teknikere og øvrig organisasjon. De to leirene benytter seg av hver sin begrensede rasjonalitet i arbeidet med informasjonssikkerhet, som medfører at den totale sikkerheten ikke blir så god som den kunne ha vært. Bankvesenet skiller seg ut fra de øvrige bransjer på flere punkter. Som den eneste av bransjene som tilhører privat næringsliv betyr tillit i markedet mye for sikkerhetsarbeidet. Sykehus skiller seg noe ut fra de andre bransjene i det deltakelse og involvering er av større betydning enn hos de øvrige. Forsvaret skiller seg ut fra de øvrige bransjer i det de ikke benytter risikovurderinger i stor grad. Undersøkelsene tyder på at risikovurderinger benyttes i stor grad som et verktøy for å øke sikkerhetsnivået, vurderingene går ikke i skuffa men benyttes aktivt. Dette må sees på som positivt. Undersøkelsene har imidlertid vist at det finnes noen ulemper: - Beslutningstaker ved beslutning om å utløse risikovurdering og ved beslutning om hva vurderingen skal benyttes til er ikke den samme. - Beslutningen om hva vurderingen skal benyttes til er kompleks, og hindrer sikkerhetsmessig optimale løsninger - Bruk av posisjonsmakt og ekspertise innebærer bruk av begrenset rasjonalitet - Risikovurderingsprosessen har en byråkratisk tilnærming som hindrer deltakelse og fleksibilitet i sikkerhetsarbeidet - Forholdet mellom teknisk og organisatorisk sikkerhetsarbeid er i noen tilfeller uhensiktsmessig Med bakgrunn i undersøkelsene er følgende forbedringspotensialer foreslått: - Samme beslutningstaker for å utløse risikovurdering og for hva vurderingen skal benyttes til - Risikovurderinger må være en del av alle handlinger og beslutninger i en organisasjon - Mindre komplekse beslutninger om hva risikovurderinger skal benyttes til - Bevege seg vekk fra en byråkratisk tilnærming til å involvere hele organisasjonen i hele risikovurderingsprosessen - Forbedre forståelse og kommunikasjon mellom teknisk og organisatorisk sikkerhetsarbeid - Forsvaret må få forståelse for nytten av risikovurderinger, samt få mer brukervennlige metodeverktøy. Hovedoppgave våren 2002 for Eirik Albrechtsen iii

Definisjoner Informasjonssikkerhet. Beskytte informasjon mot et bredt spekter av trusler for å sikre den daglige drift, minimere skade og maksimere overskudd fra en virksomhets investeringer og inntektskilder (BS7799, 1999). I denne oppgave elektronisk lagret informasjon. Integritet. Se Tabell 1.1, side 4. IT-sikkerhetsavdeling. Stabsfunksjon med teknisk sikkerhet som arbeidsområde. Ligger gjerne under virksomhetens IT-avdeling. Konfidensialitet. Se Tabell 1.1, side 4. Organisatorisk sikkerhet (administrativ). Beskyttelse og sikring av elektronisk informasjon i form av administrative og organisatoriske tiltak. Sikkerhet som ikke ligger inne i hardware og software. Risiko. I NS 5814 Krav til risikoanalyser er risiko definert som et uttrykk for den fare som uønskede hendelser representerer for mennesker, miljø og materielle verdier, og uttrykkes og beregnes ved sannsynligheten for og konsekvensen av uønskede hendelser. For informasjonssikkerhet vil risiko også være et uttrykk for den fare som uønskede hendelser representerer for immaterielle verdier. Risikovurdering. Systematisk fremgangsmåte for å beskrive og/eller beregne risiko. Utføres ved kartlegging av uønskede hendelser, og årsaker til, sannsynligheter for og konsekvenser av disse. (Rausand, 2002). Begrepet risikovurdering er i denne oppgave også definert til å omfatte begreper som risikoanalyse, sikkerhetsanalyse og risiko- og sårbarhetsanalyser (ROSanalyser) Risikovurderingsprosessen. Alle deler av prosessen ved risikovurderinger. Herunder beslutning om å utføre, selve gjennomføringen, beslutning om hva som skal gjøres med resultater fra vurderingen, implementering av tiltak og oppfølging. Risikovurderingsprosessen er illustrert i Figur 2.2. Safety. Sikkerhet mot uønskede hendelser som opptrer som følge av en eller flere tilfeldigheter. Security. Sikkerhet mot uønskede hendelser som er et resultat av overlegg og planlegging. Sikkerhetsavdeling. Stabsfunksjon med sikkerhet som arbeidsområde. Kan arbeide med både teknisk og organisatorisk sikkerhet. Har gjerne hovedvekt på organisatorisk sikkerhet framfor teknisk, da teknisk sikkerhet gjerne finnes i IT-avdeling. Teknisk sikkerhet. Beskyttelse og sikring av elektronisk lagret informasjon ved tekniske tiltak. Sikkerhet inne i hardware og software. Tilgjengelighet. Se Tabell 1.1, side 4. Utløsende faktor. Forhold som utløser beslutning om å gjennomføre risikovurdering. Hovedoppgave våren 2002 for Eirik Albrechtsen iv

Innholdsfortegnelse INNLEDNING...1 1 BAKGRUNN...2 1.1 INFORMASJONSSIKKERHET OG SÅRBARHET...2 1.2 INFORMASJONSSIKKERHET...4 1.3 RISIKOVURDERING...5 2 PROBLEMBESKRIVELSE...8 2.1 FORMÅL...8 2.2 DELOPPGAVER...8 2.3 RAMMEVERK FOR Å UTVIKLE FORSKNINGSSPØRSMÅL...8 2.4 FORSKNINGSSPØRSMÅL...9 2.5 AVGRENSNINGER...11 3 METODE...12 3.1 FORSKNINGSDESIGN...12 3.2 UNDERSØKELSESOPPLEGG...13 3.3 ANALYSE...13 4 TEORI...14 4.1 BESLUTNINGER...14 4.2 RASJONALITET...14 4.3 BOLMAN OG DEALS PERSPEKTIVER PÅ ORGANISASJON OG LEDELSE...16 4.4 BESLUTNINGSMODELLER...17 4.5 BESLUTNINGSARENAER...18 4.6 MAKT...21 4.7 UTLØSENDE FAKTOR...25 4.8 ORGANISASJONSLÆRING...25 5 LOVVERK...27 5.1 PERSONOPPLYSNINGSLOVEN...27 5.2 SIKKERHETSLOVEN...27 5.3 ANDRE LOVER OG FORSKRIFTER...28 6 BESKRIVELSE AV DE BRANSJER SOM ER UNDERSØKT...29 6.1 BANKVESENET...29 6.2 HELSEVESENET (SYKEHUS)...31 6.3 FORSVARET...33 6.4 STATLIG FORVALTNINGSORGAN...34 7 RESULTAT OG DISKUSJON...36 7.1 UTLØSING AV RISIKOVURDERING...36 7.1.1 Utløsende faktor... 37 7.1.2 Hvem tar beslutning om å utføre risikovurdering?... 42 7.1.3 Makt ved beslutning om å utføre risikovurdering... 44 7.1.4 Beslutningsmodeller: beslutning om å utføre... 45 7.1.5 Bruk av risikovurderinger... 45 7.1.6 Oppsummering: utløsing av risikovurdering... 46 7.2 GJENNOMFØRING AV RISIKOVURDERINGER...47 7.2.1 Hvem deltar i gjennomføringen?... 47 7.2.2 Outsourcing... 48 7.2.3 Oppsummering: gjennomføring av risikovurderinger... 49 7.3 HVA BENYTTES RISIKOVURDERINGEN TIL ETTER GJENNOMFØRING AV VURDERING?...50 7.3.1 Hva benyttes risikovurderingen til?... 51 Hovedoppgave våren 2002 for Eirik Albrechtsen v

7.3.2 Hvem tar beslutning om hva vurderingen skal brukes til?... 51 7.3.3 Makt ved beslutning om hva vurderingen skal benyttes til... 53 7.3.4 Beslutningsmodeller: Beslutning om hva vurderingen skal benyttes til... 54 7.3.5 Begrensninger for hva risikovurderingen benyttes til... 55 7.3.6 Tekniske tiltak vs organisatoriske tiltak... 57 7.3.7 Aksept for tiltak... 59 7.3.8 Organisasjonslæring... 59 7.3.9 Oppfølging... 60 7.3.10 Oppsummering: hva benyttes risikovurderingen til etter gjennomføring?... 60 7.4 SAMMENHENGER FØR OG ETTER RISIKOVURDERING...62 7.4.1 Sammenhenger mellom deltakere i de ulike delene av risikovurderingsprosessen... 62 7.4.2 Makt... 63 7.4.3 Beslutningsmodell... 63 7.4.4 Aksept og deltakelse... 64 7.4.5 Lovverk... 64 7.4.6 Organisatorisk sikkerhet vs teknisk sikkerhet... 64 7.5 LIKHETER OG ULIKHETER MELLOM BRANSJENE...64 7.5.1 Likheter... 64 7.5.2 Ulikheter... 65 7.6 FORDELER, ULEMPER OG FORBEDRINGSPOTENSIALER...67 7.6.1 Fordeler... 67 7.6.2 Ulemper... 67 7.6.3 Forbedringspotensialer... 69 8 KONKLUSJON...70 8.1 VIDERE FORSKNING...72 8.2 SELVKRITIKK...73 9 KILDER...74 VEDLEGG 1: INTERVJUGUIDE...I VEDLEGG 2: EKSEMPEL PÅ STEP-DIAGRAM... II VEDLEGG 3: MATRISER OVER INNSAMLET EMPIRI... IV Hovedoppgave våren 2002 for Eirik Albrechtsen vi

Figurliste FIGUR 1.1 SIKKERHETSFORSKNINGENS OMFANG OG MANGFOLD (NOU, 2000)...3 FIGUR 1.2 SIKKERHET VS FUNKSJONALITET I IKT (GRØTAN, 2002B)...5 FIGUR 2.1 SYKLUS FOR RISIKOHÅNDTERING...8 FIGUR 2.2 RAMMEVERK FOR Å UTVIKLE FORSKNINGSSPØRSMÅL (RISIKOVURDERINGSPROSESSEN)...9 FIGUR 4.1 DEN RASJONELLE BESLUTNINGSPROSESSEN (KOOPMAN OG POOL, 1991)...17 FIGUR 4.2 AKTØRER I BESLUTNINGSSITUASJONER VEDRØRENDE INFORMASJONSSIKKERHET...19 FIGUR 4.3 HOVEDTYPENE AV BESLUTNINGSSITUASJONER (KØRTE, AVEN & ROSNESS,2002)...20 FIGUR 4.4 ENKELKRETSLÆRING...26 FIGUR 4.5 DOBBELKRETSLÆRING...26 FIGUR 7.1 LOVVERKET OMSLUTTER ALLE DE ANDRE UTLØSENDE FAKTORENE...38 FIGUR 7.2 KLASSIFISERING AV BESLUTNINGSTAKER FOR UTFØRING AV RISIKOVURDERING...43 FIGUR 7.3 SFÆRE FOR DELTAKELSE I GJENNOMFØRING AV RISIKOVURDERING...48 FIGUR 7.4 KLASSIFISERING AV BESLUTNINGSTAKER I ETTERKANT AV GJENNOMFØRING...52 FIGUR 7.5 KOSTNADSMINIMAL FOREBYGGENDE INNSATS (MATSON, 1989)...55 FIGUR 7.6 BEGRENSINGER FOR SIKKERHETSARBEIDET SKAPER BROWNSKE BEVEGELSER" SOM DRAR VIRKSOMHETEN MOT UAKSEPTABEL RISIKO...57 FIGUR 7.7 DISKONTINUITET: BESLUTNING OM HVA RISIKOVURDERINGEN SKAL BENYTTES TIL HAR FORFLYTTET SEG TIL HØYRE I FORHOLD TIL BESLUTNING OM Å UTFØRE RISIKOVURDERINGEN...62 FIGUR 8.1 BESLUTNINGSTAKER FØR OG ETTER RISIKOVURDERING ER IKKE DEN SAMME...70 Tabelliste TABELL 1.1 DEFINISJONER AV KONFIDENSIALITET, INTEGRITET OG TILGJENGELIGHET (BS7799, 1999 OG DATATILSYNET, 2000)...4 TABELL 4.1 BOLMAN OG DEALS (1998) FIRE RAMMEVERK...16 TABELL 4.2 KARAKTERISTIKA VED FEM BESLUTNINGSTYPER (ROSNESS, 2001 OG KØRTE, AVEN OG ROSNESS, 2002)...20 TABELL 4.3 KILDER TIL MAKT (BOLMAN OG DEAL, 1998 OG MORGAN, 1986)...22 TABELL 6.1 BESKRIVELSE AV UNDERSØKTE VIRKSOMHETER I BANKVESENET...29 TABELL 6.2 BESKRIVELSE AV UNDERSØKTE VIRKSOMHETER I HELSEVESENET...31 TABELL 6.3 BESKRIVELSE AV UNDERSØKTE VIRKSOMHETER I FORSVARET...33 TABELL 6.4 BESKRIVELSE AV UNDERSØKT VIRKSOMHET I STATLIG FORVALTNING..34 TABELL 7.1 DATA FRA UNDERSØKELSER VEDRØRENDE UTLØSNING AV RISIKOVURDERING...36 TABELL 7.2 DATA FRA UNDERSØKELSER VEDRØRENDE GJENNOMFØRING AV RISIKOVURDERING...47 TABELL 7.3 DATA FRA UNDERSØKELSER VEDRØRENDE OPPFØLGING AV RISIKOVURDERING...50 Hovedoppgave våren 2002 for Eirik Albrechtsen vii

Innledning Med innføring av informasjonsteknologi følger også behovet for å sikre seg mot at uønskede hendelser mot informasjonsteknologien skal inntreffe. Uønskede hendelser vil i denne forbindelse være tap av elektronisk lagret informasjons konfidensialitet, integritet og tilgjengelighet. Et av de verktøyer som benyttes for å ivareta informasjonssikkerhet er risikovurderinger. Risikovurderinger er en systematisk fremgangsmåte for å beskrive og/eller beregne risiko. Risikovurderinger utføres ved kartlegging av uønskede hendelser, og årsaker til, sannsynlighet for og konsekvenser av disse. Hovedoppgaven skal belyse hva som utløser risikovurderinger og hva disse benyttes til i etterkant. Spesielt har fokus vært på beslutning om å utføre risikovurderinger og beslutning om hva risikovurderingen benyttes til i etterkant. Hvilke forhold som utløser en beslutning om å utføre risikovurdering er også belyst. I forbindelse med beslutninger er det lagt vekt på å undersøke hvem beslutningstaker er, hva slags makt som benyttes og hva som karakteriserer beslutningsprosessen. I forbindelse med hva risikovurderingen benyttes til er det vurdert aksept for, begrensinger for, læring av og oppfølging av tiltak. Om risikovurdering blir benyttet aktivt for å øke sikkerhetsnivået etter gjennomføring av risikovurderingen er også belyst. Det er gjort lite forskning på problemstillingen tidligere, både for informasjonssikkerhet og generelt for alle bransjer. Hovedoppgaven har derfor hatt en eksplorerende tilnærming, i tillegg til at forståelse for resultatene har vært viktig. Empiri er innsamlet ved kvalitative intervjuer i fire bransjer. Bransjene har vært bankvesenet, helsevesenet, forsvaret og Statlig forvaltning. Alle bransjene er avhengige av god informasjonssikkerhet i sitt daglige arbeid. For å besvare problemstillingen er det benyttet teori om kilder til makt og teori om ulike beslutningsmodeller. Teori om beslutningsarenaer, hvem som tar beslutning og dennes myndighetsnivå og nærhet til farekilden, er også benyttet. Bolman og Deals (1998) fire perspektiver på organisasjon og ledelse er benyttet for å kunne forstå resultatene. Kapittel 1 gir en bakgrunn for oppgavens formål. I kapittelet er det gitt en kort beskrivelse om hva informasjonssikkerhet er. Det er også beskrevet hva risikovurderinger er, samt at noe av den kritikk rettet mot disse er beskrevet. I kapittel 2 er problemstilling og forskningsspørsmål beskrevet. I kapittel 3 beskrives forskningsdesign, undersøkelsesopplegg og analysemetode. I kapittel 4 er den teori som er benyttet for å forstå empiri beskrevet. Flere ulike teoretiske tilnærminger er presentert. Lovverk som gir føringer for risikovurderinger i de ulike bransjer er presentert i kapittel 5. Kapittel 6 gir en beskrivelse av de fire bransjene som det er gjennomført undersøkelser i. Kapittel 7 presenterer de resultater som er kommet frem i undersøkelsene. Samtidig er resultatene diskutert. Sammenhenger før og etter risikovurdering er diskutert, samt om det er likheter og ulikheter mellom bransjene. Eventuelle forbedringspotensialer er også diskutert. Kapittel 8 presenterer hovedoppgavens konklusjon. Hovedoppgaven har lagt vekt på forståelse for prosessene rundt risikovurderinger. En relativt bred problemstilling, som også har krevd en relativt bred tilnærming med mange ulike teoretiske utgangspunkt. Hovedoppgave våren 2002 for Eirik Albrechtsen 1

1 Bakgrunn 1.1 Informasjonssikkerhet og sårbarhet Konsekvensene av driftsforstyrrelser i IKT systemer og infrastruktur kan være sammensatte og alvorlige for samfunnets funksjonsdyktighet. Fungerende IKT vil også ha stor betydning for samfunnets evne til å håndtere kriser. - Stortingsmelding nr.17 (2001-2002) Samfunnssikkerhet Informasjonsteknologi finnes overalt i dagens samfunn. Alle samfunnselementer vil på en eller annen måte være avhengig av IKT-systemer, informasjon- og kommunikasjonsteknologisystemer (NOU, 2000). Informasjonsteknologi (IT) har både positive og mindre heldige sider. Informasjonsteknologi skiller seg fra tidligere teknologi på tre felter; lagringsmuligheter, informasjonsbehandling og kommunikasjon (Groth, 1999). Dette har blant annet gitt god støtte for og effektivisert funksjoner på alle samfunnsnivå, gitt raskere tilgjengelig informasjon og effektivisert kommunikasjon selv over store avstander. På den annen side har denne avhengigheten økt sårbarheten på alle nivå i samfunnet. En svikt i noen få avgjørende IT-systemer kan føre til lammelser på alle samfunnsnivå. Herunder tap av informasjons tilgjengelighet, integritet og konfidensialitet. Hovedfokus i denne oppgave er på virksomhetsnivå, og det er vel knapt en virksomhet i Norge som ikke benytter IT i noen grad. Det er selvfølgelig varierende grad av bruk av IT blant virksomhetene, men likevel er de fleste sårbare med hensyn til tap av tilgjengelighet, integritet og konfidensialitet. Det er flere funksjoner i dagens samfunn som baserer seg på bruk av IT, eksempelvis e-handel, finansielle funksjoner (bank, forsikring, børsmegling), innlevering av elektronisk selvangivelse, informasjonsvirksomhet (hjemmesider), trafikkstyring i transportsektoren, kraftforsyning, telekommunikasjon og matdistribusjon (basert på just-in-time ved hjelp av IT). De siste årene kan man finne en del større eksempler som illustrerer samfunnets sårbarhet i forbindelse med bruk av IT: Kabelbruddet på Sørlandet juli 2000 som lammet store deler av landsdelen, blant annet ble alle fly på Kjevik lufthavn stående på bakken fordi all informasjonsteknologi ved flyplassen var nede. Terrorhandlingene mot USA 11.september 2001 viser også hvor sårbart det moderne samfunnet er for terrorangrep, og det er i dag ikke utenkelig at slike ondsinnete grupperinger er i stand til å drive elektronisk terror. Det er ingen tvil om at en slik handling vil ramme store deler av samfunnet. En annen hendelse høsten 2001 som etterhvert kom noe i bakgrunnen for terrorhandlingene mot USA 11.september, var en hendelse i EDB Fellesdata 2.august samme år, hvor mange norske bankers elektroniske banktjenester ble stående til stor ergrelse for mange bankkunder. I forbindelse med skiftet til år 2000 kunne man se at samfunnet brukte mange ressurser på informasjonssikkerhet, noe som også viser hvor sårbart samfunnet faktisk er i forhold til informasjonssikkerhet. Dette illustrerer også hvor viktig informasjonsteknologi blir ansett i dagens samfunn. De som til nå er nevnt er hendelser som har rammet samfunnet på et forholdsvis høyt nivå, og har fått mye mediaomtale. Man kan si at dette er bare toppen av isfjellet, i tillegg kommer alle de hendelser som har rammet på lavere nivåer og har fått mindre eller ingen omtale. I bunnen av isfjellet kan man finne hendelser som har rammet privatpersoner. Bare i år 2001 registrerte eksempelvis Nærings- og handelsdepartementet 50000 virustyper (Jahren, 2002). Hovedoppgave våren 2002 for Eirik Albrechtsen 2

Disse eksemplene illustrerer at informasjonssikkerhet er viktig og meget aktuelt i dagens samfunn. Som det kan sees av det ovenstående er informasjonssikkerhet et bredt sammensatt fagområde. For å illustrere dette har jeg valgt å benytte Jan Hovdens figur av sikkerhetsforskningens omfang og mangfold fra Sårbarhetsutvalgets innstilling Et sårbart samfunn (NOU, 2000) som i april 2002 endte opp i en stortingsmelding (Stortingsmelding nr.17, 2002). Denne figuren er ment å vise det omfang og mangfold samfunnsikkerhet innebærer. Inn under samfunnsikkerhet hører selvfølgelig også informasjonssikkerhet, men figuren er meget hensiktsmessig til å vise hvor bredt omfang og stort mangfold informasjonssikkerhet innebærer. Figur 1.1 Sikkerhetsforskningens omfang og mangfold (NOU, 2000) Informasjonssikkerhet gjelder på alle samfunnsnivåer, noe som kan sees av den vertikale aksen i figuren. Fra individnivå til nasjonalt (og internasjonalt) nivå er informasjonssikkerhet viktig. Den horisontale aksen viser hvor bredt fagområdet informasjonssikkerhet er. Både utilsiktede og tilsiktede hendelser er trusler mot informasjonssikkerhet. Det skilles gjerne mellom to sikkerhetstyper safety som er vern mot utilsiktede hendelser og security som er vern mot tilsiktede hendelser. Jeg skal ikke gå inn i dybden på hva begrepene innebærer, men komme med noen eksempler. Utilsiktede hendelser kan være menneskelige feilhandlinger (utilsiktede), naturkatastrofer og systemfeil. Tilsiktede hendelser kan eksempelvis være hackerangrep, uærlige ansatte og virusangrep. Trusselbildet er dermed bredt, uoversiktlig, diffust og sammensatt. Det er en gråsone mellom safety og security innen informasjonssikkerhet. I forhold til mer tradisjonelt sikkerhetsarbeid som sikkerhet i HMS-begrepet, så er det i informasjonssikkerhet mye større fokus på teknisk sikkerhet enn på organisatorisk sikkerhetsarbeid. Det er derfor viktig at man forsøker å få en fin balanse mellom det organisatoriske og det tekniske arbeidet med informasjonssikkerhet. Tidligere hadde man isolerte, lukkede datasystemer. Nå er alle koblet sammen i nett, dermed øker også sårbarheten. Det stilles som før krav til teknisk sikkerhet, samtidig er det et økende behov for å ha noe mer enn tekniske løsninger, man må tilstrebe et organisatorisk system. Først og fremst må man skape en sikkerhetskultur i alle ledd (Jahren, 2002). Hovedoppgave våren 2002 for Eirik Albrechtsen 3

Dette har vært en meget kort innføring i hva informasjonssikkerhet er. Det hadde ikke vært vanskelig å gå enda mer i dybden, men hensikten her har først og fremst vært å beskrive hva informasjonssikkerhet er som en innledning for resten av oppgaven. En dybdeavhandling ville kanskje vært en hovedoppgave i seg selv. Personlig tror jeg det er behov en utredning om tematikken for her er det mange kokker og mye søl som snakker om det samme med forskjellige ord. 1.2 Informasjonssikkerhet British Standard 7799 (BS7799) - Information security management definerer begrepet informasjonssikkerhet slik: Informasjonssikkerhet skal beskytte informasjon mot et bredt spekter av trusler for å sikre den daglige drift, minimere skade og maksimere overskudd fra en virksomhets investeringer og inntektskilder. Det vil i det følgende bli fokusert på den informasjon som er lagret elektronisk. Så når begrepet informasjonssikkerhet blir benyttet i oppgaven, menes sikkerhet knyttet til IT-systemer for å beskytte informasjon i disse. Begreper som IT-sikkerhet og IKT-sikkerhet kunne også vært benyttet. I og med at informasjonssikkerhet omfatter sikkerhet ved behandling av informasjon både i og utenfor ITsystemene føler jeg at dette er et mer passende begrep å benytte enn IT-sikkerhet og IKTsikkerhet, som er mer knyttet til systemteknisk sikkerhet (datasikkerhet). Informasjonssikkerhet konkretiseres som regel gjennom begrepene konfidensialitet, integritet og tilgjengelighet. BS7799s og Datatilsynets definisjoner av begrepene er gitt i Tabell 1.1. Årsaken til at definisjoner fra begge er gitt er at Datatilsynet fokuserer i større grad enn BS7799 på teknisk sikkerhet, mens BS7799 har en mer helhetlig tilnærming til det å beskytte informasjon. Konfidensialitet Integritet Tilgjengelighet Tabell 1.1 Definisjoner av konfidensialitet, integritet og tilgjengelighet (BS7799, 1999 og Datatilsynet, 2000) BS7799 Sikre at informasjon er tilgjengelig bare for de som er autorisert til å ha adgang til den Verne nøyaktigheten og fullstendigheten av informasjon og behandlingsmetoder Sikre at autoriserte brukere har tilgang til informasjon og tilknyttet utstyr Datatilsynet Beskyttelse mot at uvedkommende får innsyn i opplysningene Beskyttelse mot endring av opplysningene Sørge for at tilstrekkelig og relevante opplysninger er tilstede Teknisk og organisatorisk leir Det ser ut til å være to angrepsvinkler på arbeidet med informasjonssikkerhet. Den ene er teknisk datasikkerhet som er en naturlig del av å ivareta informasjonssikkerheten i ITsystemer. Den andre er en organisatorisk tilnærming, hvor man ser på bruk og drift av ITsystemene i et organisatorisk perspektiv. Arbeidet med informasjonssikkerhet er i følge Grøtan (2002a) fremdeles i stor grad preget av den tekniske delen av informasjonssikkerhet, datasikkerhet tilpasset EDB-stadiet i IKT-utviklingen. Dette innebærer en forståelse av informasjon som en fysisk ressurs, tro på byråkratiske prinsipper for styring og ledelse og en klokkertro på objektiv og ingeniørmessig risikovurdering. Grøtan (2002a) mener at dette er utilstrekkelig for å ivareta informasjonens og kunnskapens rolle i dagens og fremtidens IKTvirkelighet. En helhetlig og integrert tilnærming er nødvendig. Figur 1.2 viser at sikkerhetsarbeidet i første rekke angripes på et datateknisk nivå, mens funksjonalitet sees i forbindelse med den informasjon og kunnskap som faktisk benyttes. Hovedoppgave våren 2002 for Eirik Albrechtsen 4

Kunnskap Informasjon Funksjonalitet Sikkerhet Data Premisser: personvern, lovgivning, m.m. Figur 1.2 Sikkerhet vs funksjonalitet i IKT (Grøtan, 2002b) Som figuren illustrerer legger lovverket premisser for sikkerhetsarbeidet. Lovverkene er i hovedsak rettet mot teknisk datasikkerhet, og i liten grad på organisatoriske aspekter. Det ligger eksempelvis i ordet datatilsynet hvor deres fokus ligger i sikkerhetsarbeidet. Det skal også nevnes at informasjonssikkerhet som sådan er et relativt ungt fagområde, og det er begrenset hvor mye forskning som er gjort (Finne, 1998). Tradisjonelt så har fokus som nevnt vært på det datatekniske (Grøtan 2002a og 2002b). De utenlandske forskningsartikler jeg har benyttet meg av i hovedoppgaven gjenspeiler også dette. Hovedfokus ligger på det tekniske, organisatoriske aspekter er nevnt i meget liten grad. Jeg er av den formening at det tekniske og det organisatoriske sikkerhetsarbeidet må integreres i hverandre. Både teknisk og organisatorisk sikkerhetsarbeid er viktig i seg selv, men uten hverandre har det liten hensikt. Gode sikkerhetsmessige tekniske løsninger gir ikke god informasjonssikkerhet dersom organisatorisk sikkerhet som eksempelvis rutiner og kunnskaper om bruk av IT-systemene ikke er tilfredsstillende. På samme måte hjelper det lite at organisatoriske tiltak fungerer utmerket, dersom de sikkerhetsmessige tekniske tiltakene ikke er tilstede. Man er derfor avhengig av et integrert og godt sikkerhetsarbeid fra begge sider. 1.3 Risikovurdering Som en del av arbeidet med å ivareta informasjonssikkerhet benyttes risikovurderinger. Risikovurderinger er et proaktivt verktøy som gjør at man er i stand til å være i forkant av de uønskede hendelser som kan tenkes å inntreffe, slik at man dermed kan hindre dem i og inntreffe. Definisjon Vurdering av risiko kan foregå på mange måter og med mange forskjellige navn. Risikoanalyser, sårbarhetsanalyser, risiko- og sårbarhetsanalyser (ROS-analyser), sikkerhetsanalyser og risikovurderinger er bare noen eksempler på navn på vurderinger av risiko. Vurderingene kan være både av kvalitativ og kvantitativ art. For å unngå konflikter og forvirringer mellom navn og begreper, vil jeg i min oppgave holde meg til begrepet risikovurdering. Risikoanalyse kunne like gjerne vært benyttet, sårbarhetsanalyser, risiko- og sårbarhetsanalyser (ROS-analyser) og sikkerhetsanalyser likeså. Hovedoppgave våren 2002 for Eirik Albrechtsen 5

Et valg måtte taes, og mitt valg falt på risikovurdering blant annet fordi i at de mest sentrale lovverkene (sikkerhetsloven og personopplysningsloven) benytter dette begrepet. I denne oppgaven innebærer risikovurdering en systematisk fremgangsmåte for å beskrive og/eller beregne risiko. Risikovurderingen utføres ved kartlegging av uønskede hendelser, og årsaker til, sannsynlighet for og konsekvenser av disse (Rausand, 2002). I NS 5814 Krav til risikoanalyser er risiko definert som et uttrykk for den fare som uønskede hendelser representerer for mennesker, miljø og materielle verdier. Risiko uttrykkes og beregnes ved sannsynligheten for og konsekvensen av uønskede hendelser. For informasjonssikkerhet er det fristende å tilføye en fjerde verdi som uønskede hendelser representerer en fare for: immaterielle verdier. Dette er bare et eksempel på en definisjon på hva risiko er, det finnes ingen entydig definisjon. Det kan blant annet nevnes at Society of Risk Analysis jobbet i to år uten å finne noen god entydig definisjon (Rausand, 2002). For å illustrere at det finnes flere definisjoner er det interessant å nevne forsvarets definisjon da denne er rettet mot tilsiktede hendelser. Definisjonen sier at risiko er en funksjon av trussel, sårbarhet og verdi. Trussel tar utgangspunkt i hvem som har kapasitet og intensjon for å gjøre skade. Dette sammenlignes med systemets sårbarhet (overlevelsesevne) overfor de skader som kan oppstå for så å danne sannsynlighet. Konsekvens uttrykkes med bakgrunn i objektets/informasjons verdi (Larsen, 2002). Krav til risikovurderinger Det finnes en rekke bransjeavhengige og -uavhengige lover som setter føringer for sikkerhetsarbeidet. Enkelte av disse stiller også krav til at risikovurderinger skal gjennomføres (se kapittel 5). I 2001 ble to svært sentrale lover rettet mot informasjonssikkerhet innført i Norge - personopplysningsloven og sikkerhetsloven. Begge disse stiller krav til at risikovurderinger skal utføres. For de aller fleste virksomheter som benytter seg av informasjonsteknologi vil personopplysningsloven gjelde. Det kan derfor sies at det er krav til gjennomføring av risikovurderinger i de aller fleste virksomheter. Som en følge av den sårbarhet informasjonsteknologien representerer har det dukket opp mange forskjellige retningslinjer for hvordan informasjonssikkerhet skal/kan organiseres. Eksempler på dette er NS-ISO 17700 Informasjonsteknologi som bygger på British Standard 7799. BS7799 har vært et tradisjonsrikt foregangseksempel innen arbeidet med informasjonssikkerhet. Datatilsynet har utarbeidet veiledninger med bakgrunn i personopplysningsloven og den canadiske regjering har utarbeidet noen retningslinjer som blir ansett som meget gode, for å nevne noen (Albrechtsen, Kufås og Tobiassen, 2002). I alle disse eksemplene ligger det også krav om gjennomføring av risikovurderinger. Metoder for risikovurderinger Risikovurderinger har etterhvert blitt business og det er mange konsulentfirma som tilbyr bistand/utførsel av risikovurderinger. Det finnes også en lang rekke metoder for å utføre risikovurderinger innen informasjonssikkerhet (Albrechtsen, Kufås og Tobiassen, 2002). Lichtenstein (1996) sier at det finnes mange metoder å velge mellom, alle med sine varianter og problemer. Dette omfanget viser at risikovurderinger er en sentral del av arbeidet for å ivareta informasjonssikkerhet. Felles for alle metodene er at de bygger på grovanalysemetodikken (Albrechtsen, Kufås og Tobiassen, 2002). Det er imidlertid verdt å merke seg som Labuschagne og Eloff (1996) sier: Although technological advances in leaps and bounds, the methods used to analyse risk and identify countermeasures remain unchanged. Behovet for å vurdere hvor hensiktsmessig dagens risikovurderinger og prosesser rundt denne er absolutt til stede. Hovedoppgave våren 2002 for Eirik Albrechtsen 6

Kritikk mot risikovurderinger..., risk assessment is not as risky as the systems being assessed, but it has its unfortunate consequences for our society nevertheless - Charles Perrow (1999) Labuschagne og Eloff (1996) kritiserer som nevnt selve metodikken ved risikovurderinger, det finnes også annen kritikk mot risikovurderinger. Hovden (1998) peker på uklarheter ved risikovurderinger blant risikoanalytikere og brukere med hensyn til: Hva risikovurderingen uttrykker/skal uttrykke Hvordan man skal forstå usikkerhet i vurderingen og usikkerhet knyttet til dens resultater Hva som er sammenhengen mellom risikovurderingens resultater og opplevd risiko I hvilken grad vurderingen og dens resultater er objektive eller subjektive Hvilken rolle bruk av ekspertvurderinger har innenfor risikovurderingen Hvordan kan man gjøre bruk av standardisering i forhold til modeller, metoder og data? Perrow (1999) og Shrader-Frechette (1991) peker på behovet for å bygge bro mellom risikoanalytikere (eksperter) og resten av samfunnet (lekfolket). Det må ikke bli slik at det ekspertene sier blir det korrekte, det er behov for å trekke inn andre slik at andre oppfatninger av risikoen blir synbar. Resultatet av en risikovurdering er informasjon som benyttes som beslutningsstøtte for hvilken risiko man vil leve med, hvilken man vil redusere og hvilken man vil fjerne. Ut fra resultatene besluttes hvilke tiltak som skal gjennomføres. Også i andre faser av risikovurderingsprosessen er beslutninger sentrale; eksempelvis beslutning om å utføre en risikovurdering og beslutninger om hvilken risiko som finnes i analyseobjektet. Beslutninger er derfor en sentral del av en risikovurderingsprosessen. Som det er nevnt ovenfor er det en del kritikk rettet mot risikovurderinger, det er derfor naturlig at det også sees på beslutningene omkring risikovurderingen. Pfeffer (1992) sier at man alt for ofte er opptatt av å gi ros eller ris i forbindelse med beslutninger, fremfor å fokusere på og forbedre beslutningsprosessen. Perrow (1999) peker på at å leve med risikofylte systemer innebærer at man blant annet må forstå den politiske naturen til risikovurderinger. Perrow sier videre at det sentrale ved risikovurderinger ikke er hvilken risiko man har, men makten til å påføre risiko for de mange for nytten til de få. Straub og Welke (1998) peker på at mye av den litteratur som finnes omkring risikohåndtering innen informasjonssikkerhet tar for seg risikovurderinger, og tar lite hensyn til de andre fasene i et risikohåndteringssystem. Utfra disse kritiske synspunktene på risikovurderinger og prosesser rundt disse kan det sees at det er behov for forskning rundt tematikken. Denne hovedoppgaven vil forsøke å belyse noen av de kritiske synspunkter på risikovurderinger. Hovedoppgave våren 2002 for Eirik Albrechtsen 7

2 Problembeskrivelse Kapitlene 2.1 og 2.2 er hentet fra oppgavetekst tatt ut ved Institutt for industriell økonomi og teknologiledelse, NTNU 15.januar 2002. 2.1 Formål Oppgaven har to hovedformål: Det første formålet er å beskrive hva som utløser risikovurderinger innen informasjonssikkerhet. Det andre formålet er å beskrive hva risikovurderingene benyttes til etter de er gjennomført. 2.2 Deloppgaver 1. Litteraturundersøkelser om relevant organisasjonsteori, samfunnsvitenskapelig beslutningsteori og liknende undersøkelser i andre sektorer 1 2. Kartlegge ved hjelp av kvalitative undersøkelser i ulike bransjer hva som er den utløsende årsak til risikovurderinger. 3. Kartlegge ved hjelp av kvalitative undersøkelser i ulike bransjer hva som skjer med de risikovurderingene etter de er gjennomført. 4. Vurdere sammenhenger mellom punkt 2 og 3. 5. Vurdere likheter og ulikheter mellom de bransjer som undersøkes. 6. Diskutere fordeler og ulemper ved utløsende årsaker og oppfølging av analysene/vurderingene. 7. Diskutere eventuelle forbedringpotensialer. 2.3 Rammeverk for å utvikle forskningsspørsmål Syklus for risikohåndtering For å utvikle rammeverk for problemstillingen har jeg tatt utgangspunkt i figuren nedenfor hentet fra Skavland Idsø og Mejdell Jakobsen (2000), med enkelte egne tilføyelser for å illustrere problemstillingen. Beslutning Iverksette tiltak Evaluere Foreslå tiltak Forbedre Utløsende faktor Analysere Planlegge Beslutning Figur 2.1 Syklus for risikohåndtering 1 Liknende undersøkelser i andre sektorer har etter avtale med faglærer falt bort. Årsaken til dette er at det har vist seg vanskelig å finne litteratur som tar for seg tematikken. Hovedoppgave våren 2002 for Eirik Albrechtsen 8

Figur 2.1 viser syklus for risikohåndtering (sirkelen) etter Skavland Idsø og Mejdell Jakobsen (2000). Syklusen kjennes igjen som en lukket styringssløyfe. Selv om det ikke bestandig er etter en slik sløyfe det foregår i virkeligheten, så vil en slik forenklet figur være meget behjelpelig til å forklare problemstillingen. Tekst og piler som ligger utenfor sirkelen er satt på av meg. Det mørkeste feltet viser hvor selve risikovurderingen gjennomføres, mens det lysere feltet viser hvordan oppfølging og kontinuerlig arbeid skjer. Min oppgave vil besvare hva som utløser risikovurderinger og hva de benyttes til i etterkant. Det er i figuren forsøkt vist hvor den utløsende faktoren for en risikovurdering ligger. En utløsende faktor medfører en beslutning om å gjennomføre en risikovurdering. Dette kan sees på høyre side av sirkelen. Jeg har satt inn en stiplet linje fra sirkelen til den utløsende faktoren for å vise at oppfølgingsfasen kan være den utløsende faktoren for en ny risikovurdering. Det skal i denne forbindelse legges til at den utløsende faktor ikke nødvendigvis er én enkelt faktor, men kan være et samvirke av flere faktorer. Hva resultatene benyttes til vil ligge i det lyse feltet, herunder beslutning om hva vurderingen skal benyttes til, implementering og oppfølging. Det som skjer inne i det mørke feltet vil ikke belyses i særlig stor grad, i en oppgave med større rammebetingelser ville det imidlertid vært interessant å gå inn på dette området. Enkelte faktorer ved selve utføringen av risikovurderingen vil imidlertid bli belyst, som eksempelvis deltakelse og involvering. Rammeverk for utvikling av forskningsspørsmål Tid Utløsende årsak Tiltak/ Beslutning Gjennom-føring Resultat Beslutning Imple-mentering Oppfølging Figur 2.2 Rammeverk for å utvikle forskningsspørsmål (risikovurderingsprosessen) Ut fra Figur 2.1 har jeg i Figur 2.2 forsøkt å sette opp et rammeverk for oppgaven, rammeverket kan også være en modell for den totale prosessen for en risikovurdering. Utløsende faktor gir beslutning om å utføre en risikovurdering. Risikovurderingen gir et resultat. Ut fra resultatet gjøres en beslutning om hva vurderingen skal benyttes til som skal implementeres, og disse oppfølges. Når jeg i det videre snakker om risikovurderingsprosessen er det alle elementene og samspillet mellom disse i Figur 2.2 jeg henviser til. 2.4 Forskningsspørsmål Forskningsspørsmålene er utarbeidet ut fra oppgaveteksten (kapittel 2.1 og 2.2) og rammeverket for å utvikle forskningsspørsmål i Figur 2.2. Hovedoppgavens oppgavetekst tilsier at det skal beskrives hva som utløser risikovurderinger og hva disse benyttes til i etterkant. I det videre har jeg beskrevet hvilke forskningsspørsmål jeg vil undersøke for å besvare oppgaven. Hovedoppgave våren 2002 for Eirik Albrechtsen 9

Hva utløser en risikovurdering? Det ene av hovedformålene med hovedoppgaven er å beskrive hva som utløser en risikovurdering. For å besvare hva som utløser en risikovurdering vil jeg undersøke: Hva er de utløsende faktorene? Med utløsende faktor menes et forhold som fører til en beslutning som utløser gjennomføring av en risikovurdering. I Figur 2.2 kan det sees hvor i prosessen for en risikovurdering den utløsende faktoren finnes. Når det skal undersøkes hva som utløser risikovurderinger vil det være av interesse å belyse beslutningen for å få utløst vurderingen. Herunder finne ut hvem som tar beslutningen og dens myndighetsnivå, nærhet til farekilden og rolle i organisasjonen. For å få gjennomslagskraft for en beslutning er man avhengig av makt bak beslutningen. Makt kan være så mangt, det vil derfor være av interesse å kartlegge hvilke maktkilder som gir den nødvendige gjennomslagskraft. Det vil også være av interesse å belyse hvordan beslutningsprosessen foregår. I forbindelse med beslutningsprosessen er det også interessant å se om deltakelse og involvering av hele organisasjonen har noen betydning. Gjennomføring av risikovurderingen Det ligger ikke i oppgavens mandat å belyse selve gjennomføringen av risikovurderingen. Det er likevel av interesse å finne ut hvem som deltar i gjennomføringen for å se om det er sammenhenger mellom deltakelse/ikke-deltakelse og de øvrige faser i risikovurderingsprosessen. Det er også av interesse å se om risikovurderingen outsources. Hva benyttes risikovurderingene til etter gjennomføring? Hovedoppgavens andre hovedformål er å beskrive hva risikovurderingene brukes til etter at de er gjennomført. For å besvare dette vil jeg undersøke: Først og fremst er det naturlig å undersøke om risikovurderingene faktisk benyttes til noe. Havner de i skuffa eller benyttes de aktivt? Etter gjennomføring av en risikovurdering vil det bli tatt en beslutning om hva den skal benyttes til. Det er av interesse å undersøke denne beslutningen nærmere. Undersøkelser i denne forbindelse vil i stor grad være de samme som de som er nevnt under beslutninger ovenfor, det vil si: hvem tar beslutning, makt ved beslutningen, hvordan beslutningsprosessen foregår og om det er deltakelse/involvering ved beslutningen. I tillegg er det av interesse å belyse om det finnes begrensinger som hindrer tiltak i å gjennomføres. Beslutningen om hva risikovurderingen skal benyttes til ender gjerne opp med tiltak. Tiltak kan være både teknisk rettete og organisatoriske/administrative. Hvordan er forholdet mellom tekniske og organisatoriske tiltak? Hvordan blir tiltakene gjennomført, sørger man for at hele organisasjonen lærer, eller løser man problemet der og da uten noen form for læring? I forbindelse med implementering av tiltak vil det være av interesse å vurdere aksept for tiltakene. Det må også vurderes hva risikovurderingen brukes til i et lengre perspektiv. Følges tiltakene opp? Hovedoppgave våren 2002 for Eirik Albrechtsen 10

2.5 Avgrensninger Oppgaven tar for seg informasjonssikkerhet og risikovurderinger på virksomhetsnivå, i tillegg til delvis på nasjonalt nivå i forbindelse med forsvaret. Selve gjennomføringen av risikovurderingen vil ikke bli belyst utover å se på deltakelse i gjennomføringen. Jeg har også valgt å ikke se på hva slags type tiltak som kommer ut av risikovurderingene. Dette ville betydd en nøyaktig og konkret beskrivelse av de enkelte tiltak. Årsaken til dette ikke er gjort er beskrevet i kapittel 8.2. Sammenhenger mellom beslutninger og faktisk handling er ikke belyst. Hovedoppgave våren 2002 for Eirik Albrechtsen 11

3 Metode I dag morges fjernet jeg et komma. I ettermiddag satte jeg det på plass igjen. - Oscar Wilde om forfatterskap 3.1 Forskningsdesign Forskningsdesign er her beskrevet etter Hn Tjoras (2001) forslag til prosjektplan. Fokus og formål (hva og hvorfor) Oppgaven har som beskrevet i kapittel 2 hatt som formål å beskrive hva som utløser risikovurderinger og hva disse benyttes til etter gjennomføring av risikovurderingen. Fokus er rettet mot selve prosessen ved disse forhold, med spesiell vekt på beslutninger. Formålet er å få en forståelse rundt problemstillingen. Det er gjort lite forskning på dette området tidligere, slik at oppgaven også er av eksplorerende art. Miljø og informanter (hvor og hvem) Empiriske data er hentet fra ti virksomheter fordelt på fire bransjer. Av disse har fire virksomheter tilhørt bankvesenet, tre vært sykehus, to vært i forsvaret (stabs- og operativt nivå) og en vært statlig forvaltningsorgan. Bransjene er valgt med bakgrunn i at informasjonssikkerhet er en viktig funksjon i disse. Undersøkelsen har blitt det Stake (1994) kaller collective case study, studie av en rekke case for å undersøke et forhold. I alle bransjene bortsett fra statlig forvaltning er det gjennomført intervjuer med flere virksomheter. Dessverre lot dette ikke seg gjøre i statlig forvaltning, slik at det mangler noe bredde i undersøkelsene fra den bransjen. De intervjuede har vært i stabsfunksjoner med klart ansvar for arbeidet med informasjonssikkerhet. For å komme i kontakt med de enkelte har det vært meget god hjelp av såkalte gatekeepers, mange av de intervjuede har selv fungert som dette. Metodevalg (hvordan) Formålet med oppgaven er forståelse framfor beskrivelse, kvalitativ metode er derfor påkrevd. Jeg har derfor valgt å benytte kvalitativt forskningsintervju for å samle inn empiri. Kvalitativt forskningsintervju er en delvis strukturert tilnærming med fastlagte temaer, men rekkefølge bestemmes underveis og informanten får snakke fritt med utgangspunkt i spørsmålene (Kvale, 1994). I intervjuene er det lagt vekt på at informantene skal snakke så mye som mulig. Spørsmålene i intervjuguiden (vedlegg 1) er ment som en veiledning i samtalene, for å forsøke å dekke over problemstillingen i så stor grad som mulig. Disse spørsmålene ble på ingen måte slavisk fulgt, det var viktigere å utdype det samtalen dreide seg inn mot. Med bakgrunn i dette er derfor ikke alle spørsmål i intervjuguiden stilt til alle informanter. I en oppgave som søker å kartlegge, kunne det kanskje vært hensiktsmessig med en kvantitativ undersøkelse. Ved en slik metode ville jeg imidlertid ha mistet muligheten til forståelse, nærhet og mer dyptgående informasjon. Den åpne interaksjonen mellom intervjuer og informant har vært svært nyttig for å få god informasjon. Målet med undersøkelsene har i tillegg vært forståelse og ikke beskrivelse og forklaring, dermed har en kvalitativ tilnærming vært å foretrekke framfor kvantitativ. En annen fordel med å utføre kvalitative intervjuer har vært muligheten til å endre på problemstillingen underveis. Hovedoppgave våren 2002 for Eirik Albrechtsen 12

3.2 Undersøkelsesopplegg Jeg vil klarlegge et forhold ved undersøkelsene. Intervjuene ble gjennomført sammen med en medstudent, Ivar Kufås, som også skrev hovedoppgave om informasjonssikkerhet. Hans hovedoppgave undersøkte hvilke prinsipper innen sikkerhetsstyring som er mest hensiktsmessige for å ivareta informasjonssikkerheten på best mulig måte, en annen angrepsvinkel enn min med andre ord. I og med at vi hadde samme målgruppe av informanter valgte vi å organisere oss slik at intervjuene ble gjort sammen, dette av hensyn til informantene og oss selv. Praktisk så ble intervjuene gjennomført i tre deler. Først en felles del om den enkelte virksomhet og hvordan denne organiserte sitt sikkerhetsarbeid og dennes trusler, utfordringer og dokumenterte styringer. Deretter gjennomførte jeg min del, før Ivar avsluttet med sin del. Jeg vil derfor understreke at vi ikke har benyttet oss av samme empiriske data utover de felles data om virksomhetene og deres organisering av sikkerhetsarbeidet. Samtidig vil jeg legge til at en slik arbeidsform så absolutt har vært hensiktsmessig og fruktbar for oss begge, i det vi har bidratt med tilbakemeldinger til hverandre underveis i arbeidsprosessen og i forbindelse med selve intervjuene. I enkelte av intervjuene har jeg benyttet meg av STEP-diagrammer for å kunne gi en bedre forståelse mellom informant og intervjuer om prosessen. Bruk av dette har vært meget hensiktsmessig. Eksempel på et STEP-diagram er gitt i Vedlegg 2. STEP-diagrammer (Sequentially Timed Events Plotting) er opprinnelig en metode for ulykkesgranskning som innebærer en grafisk fremstilling av hendelsesforløp. Jeg har i disse intervjuene benyttet meg av en grafisk fremstilling fra STEP-diagrammer for å illustrere risikovurderingsprosessen. 3.3 Analyse Intervjuene ble tatt opp på minidisc, for så å bli gjennomhørt. Ved gjennomhøring ble det foretatt en form for koding, i det data ble brutt ned, vurdert og skrevet i stikkordsform. Dette ble skrevet ned i matriser gitt i vedlegg 3. Ut fra disse matrisene dannet jeg nye matriser med alle virksomheter samlet, som muliggjorde sammenligninger mellom virksomhetene. Bruk av matriser gjorde analysen enklere og mer systematisk. I analysen har jeg benyttet meg av cross-case analyse (Miles og Huberman, 1994). Ved å benytte en slik analysemetode må hvert case forståes i sine egne termer, slik at man får en mer helhetlig forståelse enn om man hadde sammenlignet enkeltvariable med hverandre. Crosscase analyse gjør at man er i stand til å forstå lokale forhold for hvert case og får en mer sofistikert beskrivelse og forklaring. Hovedoppgave våren 2002 for Eirik Albrechtsen 13