Digital Supply Chain Vulnerabilities in Critical Infrastructure: A Systematic Literature Review on Cybersecurity in the Energy Sector

The main purpose of this paper is to identify the current state of the art on digital supply chain cybersecurity risks in critical infrastructure and how the term resilience is used in this context. To achieve this objective, the authors applied a systematic literature review method that summarises and analyses the studies relevant for the research topic. In total 33 papers were identified. The results show that limited research is done on supply chain risks in critical infrastructure. Relevant frameworks and methods for resilience of supply chains have also been identified. These frameworks and methods could be very beneficial for a more holistic management of cybersecurity risks in the increasingly complex supply chains within critical infrastructure.publishedVersionPaid open acces

Cybersikkerhet i måleverdikjeden for fjellskredvarsling

Master's thesis in Risk management and society safetyDigitaliseringsprosessen som Norges vassdrag- og energidirektorat (NVE) nå ønsker å iverksette skal forbedre dagens teknologibruk. Ved hjelp av digitale målere og skyløsning kan NVE gjøre data mer tilgjengelig, effektivisere arbeidsoppgaver, gi bedre beslutningsgrunnlag og samvirke bedre. NVE er avhengig av digitale verdikjeder som strekker seg over flere sektorer. Den største sårbarheten er som Nasjonal Sikkerhetsmyndighet (NSM) sier, kompleksiteten i det norske digitale samfunnet, og ved implementering av komplekse digitale løsninger kommer det flere sårbarheter. Studiens problemstilling er følgende: Hvordan kan NVE sikre den digitale og skybaserte måleverdikjeden for fjellskredvarsling? Formålet til studien har vært å undersøke hvordan man ivaretar cybersikkerheten i digitale målere og skyløsningen Azure i måleverdikjeden for fjellskredvarsling hos NVE. Studiens undersøkelse har en kvalitativ tilnærming hvor metodene dokumentanalyse og intervju blir sammenstilt i en risikoanalyse. Risikoanalysen benyttet i studiet baserer seg på metodikken fra ISO 31000. Analysen tar for seg tre ulike verdikjeder: intern, norsk leverandør og transnasjonal leverandør. Datainnsamlingen har bestått av relevante dokumenter og åtte intervjuer av nøkkelpersoner innenfor studiets problemstilling. Det teoretiske kapittelet bidrar med begrepsforklaring av cybersikkerhet, sikkerhetskultur og risiko knyttet til sårbarhet, trussel og verdi. Resultater fra risikoanalysen viser at det er størst risiko knyttet til tap av måledata. Dagens måleinfrastruktur er utrustet med gode tekniske barrierer for å sikre redundans. Risikoen ligger derimot på den stadig mer komplekse og uoversiktlige verdikjeden, hvor man ikke har tilstrekkelig med kontroll på leverandører. Samtidig blir det avdekt manglende gode rutiner for en tverrsektoriell risiko. Menneskelige feilhandlinger som verdivurdering av skjermingsverdig informasjon og mangelfulle risikovurderinger er fremhevet ved flere anledninger. Disse feilhandlingene er potensielle sårbarheter som kan føre til integritets- og konfidensialitetsbrudd. Studien konkluderer med at risikoen er betydelig høyrere for de eksterne verdikjedene grunnet manglende mulighet for kontroll. Konklusjonen avslutter med anbefalte tekniske og organisatoriske sikringstiltak: segregerte nettverk, logging av aktivitet, minimere administratorrettigheter, skaffe oversikt over alle åpne porter (brannmur, ruter, svitsjer), gjennomføre inntrengingstester, ende-til-ende kryptering, overordnet rammeverk for cybersikkerhet med tilhørende anbefalte aktiviteter