Mange bransjer og enkeltbedrifter gjennomfører, på eget initiativ eller etter pålegg, opplæring og informasjon om informasjonssikkerhet. Mørketallsundersøkelsen[7] og andre undersøkelser indikerer at man ikke alltid lykkes med slike tiltak. Vi vil i denne oppgaven ta for oss faktorer som påvirker effektiviteten av slike tiltak. For å belyse dette vil vi ta for oss energibransjen, som er et godt eksempel på en bransje som bruker opplæring og pålegg i informasjonssikkerhet.
Det finnes mange sårbare informasjonssystemer som et resultat av økende bruk av IT. I dag brukes IT-baserte systemer for flere typer arbeidsoppgaver, kontroll, overvåkning, styring osv. Fokus på informasjonssikkerhet er derfor viktig. De fleste virksomheter, offentlig og private, løser dette problemet ved å gjennomføre opplæring innen informasjonssikkerhet. Noen bransjer og virksomhet går så langt som å pålegge sine ansatte opplæring. Det kan være i form av lover og forskrifter eller ved et regelverk. Er dette en effektiv vei å gå? Dette vil bli belyst gjennom energibransjen.
NVE fører tilsyn og holder kurs innenfor informasjonssikkerhet og bevisstgjøring. Slike sikkerhetstiltak bør føre til holdningsendringer i energibransjen slik at tilfredsstillende sikkerhet blir opprettholdt. Som beskrevet i Beredskapsveiledningen § 6-1[16] jf Bfk § 4-1 skal det utnevnes en IT sikkerhetsleder, en mann. Muligheten for at disse ikke ser på seg selv som et "verktøy" for noe kriminelt er til stedet, fokuset er muligens rettet mot kun å levere for eksempel strøm.
Med undersøkelser av forhold knyttet til energibransjen vil denne oppgaven prøve å finne svar på om forskrifter, regelverk og tilsyn som pålegger opplæring gir bedre informasjonssikkerhet.
Informasjonssikkerhet kan ses på som en kostnadsfaktor, men det er nødvendig for å opprettholde konfidensialitet, integritet, tilgjengelighet. Forebygging vil være mye billigere enn hvis ulykken først skulle inntreffe.
Økonomisk innsparing og økt effektivitet er sentrale begreper for å beskrive dagens samfunnsutvikling innen bedrifter, virksomheter og organisasjoner, noe som ikke vil stoppe i framtiden. Motivasjonen ligger i å få gjennomført en analyse for å se om sikkerheten bedres med bevisstgjøring og opplæring.
Rapporten vil samtidig avdekke situasjonen innefor informasjonssikkerhet hos energibransjen som anses å være viktig for samfunnet, det være seg befolkningen som unngår å sette liv og helse i fare, det kan være trafikk- og kloakksystemer som ikke fungerer uten strøm. Samtidlig vil man finne ut om informasjon i form av bevisstgjøring, opplæring og tilsyn vil forbedre informasjonssikkerheten. Vi kan da bruke disse resultatene for å trekke slutninger, ikke bare i energibransjen, men også i andre bransjer og enkeltbedrifter generelt.
Forskningsspørsmål
