Ocenjevanje in krepitev informacijskovarnostne kulture pri izvajalcih bistvenih storitev: Analiza organizacijskih dejavnikov v odpornosti na kibernetske grožnje

Sodobna, vse bolj digitalizirana družba je neločljivo povezana z nenehno uporabo informacijsko-komunikacijskih tehnologij (IKT), kar posameznike, organizacije in države posledično izpostavlja številnim kibernetskim grožnjam. Varnostna poročila kažejo na eksponentno povečanje kibernetskih napadov po vsem svetu, posledice tega pa so ogromne, celo uničujoče finančne, poslovne in druge izgube. Glede na ugotovite, da je velika večina kibernetskih napadov na organizacije posledica človeškega dejavnika – nepazljivosti zaposlenih, ne varne uporabe IKT –, je postalo jasno, da odpornosti proti kibernetskim grožnjam ni mogoče doseči zgolj s tehničnimi sredstvi. Družboslovne vidike informacijske varnosti moramo namreč obravnavati v neločljivi povezavi s tehničnimi orodji in informacijskovarnostnimi procesi. Prevladujoča zgodba o človeški ravni informacijske varnosti se trenutno vrti okoli koncepta informacijskovarnostnega zavedanja. Koncept izhaja iz predpostavke, da bo znanje o informacijski varnosti rezultiralo v bolj skrbnem ravnanju zaposlenih in posledično večji odpornosti na kibernetske grožnje. Statistični podatki in raziskave v gospodarstvu kažejo, da ima ta vrsta pristopa omejeno vrednost, zato mora področje preseči tovrstne poenostavljene psihološke modele. V zadnjih letih je koncept informacijskovarnostne kulture (IVK) začel pridobivati pozornost tako v akademskih krogih kot v industriji. IVK se nanaša na oblikovanje ustreznih prepričanj in vrednot o informacijski varnosti, ki usmerjajo zaposlene pri njihovi uporabi IKT, kot tudi vzpostavitev organizacijskega okolja, ki je odporno na kibernetske grožnje. Vendar pa je taka definicija za raziskovalne namene nekoliko ohlapna, saj ne vključuje pojasnjevalnih mehanizmov, ki bi povezovali socio-tehnične lastnosti organizacije z vedenjem posameznika kot ključno odvisno spremenljivko. Koncept IVK je pojmovan na zelo različne načine, pogosto pa ni podanih jasnih definicij, kar predstavlja problem vsebinske veljavnosti, nadalje pa se težave kažejo v merjenju tega pojava in pridobivanju zanesljivih rezultatov. Projekt temelji na predpostavki, da je močna IVK najboljši človeški ""požarni zid"", ki ga lahko organizacija zgradi za spopadanje s kibernetskimi grožnjami. Glavni namen projekta je oblikovati dopolnjen model IVK, na podlagi katerega bo mogoče oceniti odpornost proti kibernetskim grožnjam in podati priporočila za krepitev te odpornosti. Po prenovljeni direktivi EU o informacijski varnosti bodo morale organizacije, ki spadajo med izvajalce bistvenih storitev v Sloveniji (več kot 400), redno ocenjevati odpornost na kibernetske grožnje, zato bo merjenje in ocenjevanje IVK v teh organizacijah postalo nujno. Eden glavnih ciljev tega projekta je izvajalcem bistvenih storitev ponuditi orodje za ocenjevanje IVK in pripraviti smernice za krepitev IVK v tovrstnih organizacijah. Natančneje bo projekt zasledoval naslednje cilje: Oblikovanje organizacijskega, socio-tehničnega modela IVK, ki bo združeval organizacijske dejavnike, tehnološke artefakte in informacijskovarnostno vedenje v enoten pojasnjevalni model. Izgradnja metodološkega aparata za veljavno in zanesljivo merjenje IVK v organizacijah izvajalcev bistvenih storitev. Ocena IVK pri izvajalcih bistvenih storitev v Sloveniji. Izdelava priporočil za izboljšanje IVK pri izvajalcih bistvenih storitev, ki bodo tudi širše uporabne za ostale deležnike v gospodarstvu.  Projekt bo sledil teoretično utemeljenemu raziskovanju, ki bo rezultiralo v prenovljeni konceptualizaciji IVK. Ta bo eksplicitno uporabljena tudi za namen aplikativnega cilj projekta pri ocenjevanju IVK med izvajalci bistvenih storitev. Zadnja dva cilja sta še posebej pomembna za sofinancerja projekta, Urad Vlade RS za informacijsko varnost, ki bo s projektnimi rezultati olajšal implementacijo prenovljene evropske direktive NIS2 na nacionalno raven.