dc.contributor | Ravndal, Jacob Aasland | en_GB |
dc.contributor | Johnsen, Siw Tynes | en_GB |
dc.contributor | Kjeksrud, Stian | en_GB |
dc.contributor | Broen, Torgeir | en_GB |
dc.date.accessioned | 2018-09-19T11:27:57Z | |
dc.date.available | 2018-09-19T11:27:57Z | |
dc.date.issued | 2014-05-23 | |
dc.identifier | 1230 | |
dc.identifier.isbn | 978-82-464-2387-6 | en_GB |
dc.identifier.other | 2014/00973 | |
dc.identifier.uri | http://hdl.handle.net/20.500.12242/1073 | |
dc.description.abstract | Societies are becoming increasingly dependent on the cyber domain, a man-made domain where
developments continue to take place at an extremely rapid pace. Historically, in the traditional
warfighting domains, attacks on critical assets could be deterred through the display of credible
offensive capabilities. In cyberspace, this is not the case. Often, one will not be aware of a threat
until after an attack has taken place, and even then it will be arduous to prove its point of
origination. When traditional deterrence is not an option, other preventive or protective measures
must be considered.
This report promotes resilience: accepting the risk that an attack will take place, and focusing on
improving the ability to prevent, detect, absorb, and recover from it. There are in fact universal
mitigating measures with “guaranteed effect” that make systems more resilient to cyber attacks.
The report describes a generic methodology designed to support decision-makers in enhancing
resilience through a better understanding of how their organization is dependent on the cyber
domain, and how they can be better prepared to maintain essential capabilities and services in the
event of cyber attacks on their critical assets.
The main body of the report is a step-by-step guide to the practical application of the
methodology. It takes a working group through the identification of an organization’s critical
assets, analysis of its dependencies on cyber space and any associated vulnerabilities, and the
need to maintain a current threat picture. Finally it introduces mitigating measures that will help
make a system more resilient. As this methodology is generic, some parts of it will be more
relevant than others for your organization and your specific level within that organization. While
the methodology is presented as a whole, parts of it can also be standalone or used as separate
methods as appropriate. | en_GB |
dc.description.abstract | Samfunnet blir stadig mer avhengig av cyberdomenet, et menneskeskapt domene der utviklingen
skjer ekstremt raskt. Historisk sett, i de tradisjonelle krigføringsdomenene, kunne man avskrekke
en motstander fra å angripe kritisk infrastruktur ved å vise frem troverdige offensive kapabiliteter.
I cyberdomenet er dette ikke mulig på samme måte. Ofte vil man ikke kjenne til spesifikke trusler
før etter at man har blitt angrepet, og selv da vil det være vanskelig å bevise hvor angrepet
kommer fra. Siden tradisjonell avskrekking ikke er tilstrekkelig, må man vurdere andre måter å
beskytte seg på.
Denne rapporten fremhever resiliens: å akseptere risikoen for at et angrep vil finne sted, og legge
vekt på å øke evnen til å forhindre, oppdage og absorbere cyberangrep, samt evnen til å
gjenopprette normaltilstand etter angrep. Rapporten beskriver en generisk metode hvis mål er å
hjelpe beslutningstakere til å forstå hvordan deres organisasjon er avhengig av cyberdomenet, og
hvordan de kan forberede seg til å opprettholde essensielle tjenester og kapabiliteter når kritiske
ressurser blir utsatt for cyberangrep. Målet er med andre ord å sette beslutningstagere i stand til å
gjøre sin organisasjon mer resilient.
Metodens hoveddel er en steg-for-steg prosess for hvordan man kan bruke metoden i praksis. Den
tar en arbeidsgruppe gjennom identifisering av en organisasjons kritiske ressurser, analyse av
disses cyberavhengigheter og -sårbarheter, samt behovet for å opprettholde et oppdatert
trusselbilde. Til slutt introduserer rapporten konkrete tiltak som kan hjelpe til med å gjøre et
system mer resilient. Siden metoden er ment å være generisk, vil noen deler være mer relevante
enn andre for ulike organisasjoner og enheter. Selv om metoden er presentert som en helhet der
de ulike stegene følger hverandre kronologisk, er det også mulig å bruke de ulike delprosessene
hver for seg, slik det passer organisasjonen best. | en_GB |
dc.language.iso | en | en_GB |
dc.title | Resilience methodology - multinational experiment 7 | en_GB |
dc.subject.keyword | Cyberdomenet | en_GB |
dc.subject.keyword | Cyberspace | en_GB |
dc.subject.keyword | Elektronisk krigføring | en_GB |
dc.subject.keyword | Nettverksbasert forsvar | en_GB |
dc.subject.keyword | Kritisk infrastruktur | en_GB |
dc.subject.keyword | Risikoanalyse | en_GB |
dc.source.issue | 2014/00973 | en_GB |
dc.source.pagenumber | 39 | en_GB |