Fremtiden er nå. En analyse av hvordan endringer i nasjonale trusselvurderinger påvirker departementenes styring av IKT-sikkerhet i underliggende virksomheter.
Abstract
Cyberdomenets kompleksitet og stadige utvikling stiller krav til relevant og adekvat styring. Økt digitalisering medfører strengere krav til, og bevissthet omkring IKT-sikkerhet. Til tross for at Norge er et av verdens mest digitaliserte land er ledende eksperter og fagmyndigheter kritiske til hvorvidt norske myndigheter er i stand til å ta inn over seg de trusler og utfordringer økt digitalisering representerer. Oppgaven er derfor todelt, a) dokumentere utvikling i nasjonalt trusselbilde med fokus på cybertrusselen over en periode på 13 år, og b) dokumentere hvordan departementers styring av underliggende virksomheter har utviklet seg i samme tidsrom.
Oppgaven har til hensikt å undersøke hvorvidt det foreligger en korrelasjon, eller mangel på sådan, mellom utviklingen i det nasjonale trusselbildet, og styringsutøvelse i det politisk – administrative system, med et eksplisitt fokus på styring relevant for IKT-sikkerhet og cyberdomenet. Et av formålene med oppgaven har vært å avdekke hvorvidt kritikken mot styringsutøvelsen er berettiget, eller om det kan tenkes å være relevante nyanser som bør gis nærmere oppmerksomhet. Videre har oppgaven til hensikt å undersøke hvilken styringsutøvelse som gjør seg gjeldene når det dreier seg om styring av IKT-sikkerhet og øvrige utfordringer som cyberdomenet representerer - hvorvidt styringen kan karakteriseres som detaljstyrende eller ikke, samt om det har vært en endring i denne styringsutøvelsen i det aktualiserte tidsrommet.
I analysearbeidet har vi tatt i bruk dokumentanalyse som forskningsdesign, og datainnsamlingen har bestått av å analysere årlige nasjonale trusselvurderinger utgitt av etterretnings- og sikkerhetsmyndighetene; Politiets sikkerhetstjeneste, Nasjonal sikkerhetsmyndighet og Etterretningstjenesten, samt analyse av årlige tildelingsbrev utarbeidet av Helse- og omsorgsdepartementet til Folkehelseinstituttet og Olje- og energidepartementet til Norges vassdrags- og energidirektorat. Analysen er gjennomført med utgangspunkt i fastsatte koder, og avgrenset til å gjelde for tidsperioden 2011-2023.
Av interessante funn avdekker oppgaven at det foreligger et økt fokus på trusler i cyberdomenet i de nasjonale trusselvurderingene. Videre antyder oppgaven at departementenes styring relatert til IKT-sikkerhet er noe ulik, men at den i all hovedsak bærer preg av en forskyvning fra målstyring til aktivitetsstyring innenfor den undersøkte tidsperioden. Overordnet belyses det en korrelasjon mellom utviklingen i det nasjonale trusselbilde og departementenes styring av IKT-sikkerhet.