Model for national cybersecurity resilience and situation awareness improvement : An information quality –centric approach leveraging fusion of established practitioner and academic disciplines

Abstract

This research addresses the perceived prevailing situation, where organizations are still struggling hard to build information-as-an-asset –mindset and thus fail to recognize and control their critical information assets. These assets and operations they enable are the main interest of parties committing cyber-crimes, hence for the efficiency of cybersecurity the assets and control over them should be the focus, especially for the organizations providing critical infrastructure services, which whole national society’s resilience relies on. The research done weaves together several complex disciplines in information- and information security management and governance of those and further instantiates those in the context of cybersecurity. This is done for purposes of finding synergies and capabilities not one discipline alone could establish, but holistic value is realized. Further from the fusion of the disciplines a capability of creating situation awareness over critical information assets of national critical infrastructure service providers is provided – a capability much sought after both by Finland’s Cybersecurity Strategy as well as the strategies of most G20 countries. The outcome of the research – the model - and the target of primary research question is thus created, proof of concept is presented and later the model is introduced to leading Finnish cybersecurity experts for initial evaluation and discovery of its potential (Research Question 2) . Last (Research Question 3), from the empirical study, more evidence is highlighted on the organizations’ capability for information-as-an-asset –thinking. The results show that in Finland’s cybersecurity context, the information assets are identified at best on “a decent” level, there exists little if any controls over them and that the concepts of data quality and data monitoring are not established – all which is encouraging for any party interested in harming national stability, and a finding, which should be of utmost relevance for parties responsible for Finland’s cyber resilience. The created model is of high potential even on national level and at the same time it breaks classic silos of organizations’ operations providing added synergy and removal of negative overlaps.

Vaikka organisaatiot tunnistavat teoriatasolla tiedon merkityksen toiminnalleen, ei sitä kuitenkaan käsitellä tärkeänä omaisuutena. Seuraus on kyvyttömyys tunnistaa ja hallita toiminnan jatkuvuudelle kriittistä tietoa. Juuri tämä kriittinen tieto ja sen mahdollistamat operaatioiden jatkuvuudet ovat usein kyberrikollisten kiinnostuksen pääkohde. Tarkastellen tätä kyberturvallisuuden kehitystarpeista, olisi näiden tietojen tunnistamisen ja niiden hallinnan perustamisen oltava korkean prioriteetin tehtäviä. Tämä pätee varsinkin toimijoille, jotka tuottavat kriittisen infrastruktuurin palveluita, joiden varassa on yhteiskunnan toiminnanjatkuvuus kriiseissä. Tehty tutkimus yhdistää useita monimutkaisia ja irrallisia konsepteja tietoturvan ja tiedonhallinnan sekä näiden hallinnon osalle. Näitä tutkittiin erityisesti kyberturvallisuuden kontekstissa. Tutkimuksen tarkoituksena oli tunnistaa synergioita ja kyvykkyyksiä, joihin ko. toimintakonseptit eivät yksinään toimien pystyisi. Vain näin tekemällä voitiin luoda toiminnallisuutta, joka on holistista – yhdistettyjen osien summaa suurempaa. Yhdistelmämallista luotiin myös kyvykkyys muodostaa tilannetietoisuutta ja tilannekuvaa kansallisen kriittisen infrastruktuurin palveluiden toimittajien kriittisten tieto-omaisuuksien tilaan ja luotettavuuteen. Mallin tarkoituksena on tunnistaa ja kontrolloida tehokkaasti tietoon kohdistuvia, tietoa korruptoivia, kyberuhkia. Tällaista kyvykkyyttä ei ole ollut olemassa, vaikka sen merkitys on niin Suomen kuin useamman G20-maan kyberstrategioissa tunnistettu kriittiseksi. Strategioissa siitä puhutaan yleisesti tilannetietoisuutena. Malli, joka oli myös tärkeimmän tutkimuskysymyksen kohde, konseptoitiin ja tutkimuksen empiirisessä osassa tutkittiin niin konseptin toimivuuden kuin mahdollisen kansallisen merkityksen osalle viiden suomen johtavan kyberturvallisuusekspertin toimesta. Lisäksi haettiin vielä lisätodistetta mallin tarpeellisuudelle tutkimalla organisaatioiden kykyä käsitellä tietoa omaisuutena. Tulokset tästä kertovat, että kyky on korkeintaan keskinkertaista ja että kontrollit tietoon ja sen laatuun puuttuvat lähes kokonaan. Tilanne on otollinen kyberrikollisille, sietämätön kansallisen toiminnanjatkuvuuden (resilienssin) vastuutahoille. Luotu malli on hyvin potentiaalinen ja rikkoo rajoja luoden synergiaa ja poistaen päällekkäisyyksiä organisaation toiminteiden välillä.