Skoči do osrednje vsebine

TAP L5-50163 Ocenjevanje in krepitev informacijskovarnostne kulture pri izvajalcihbistvenih storitev: Analiza organizacijskih dejavnikov v odpornosti na kibernetske grožnje

Šifra:

L5-50163

Obdobje:

1.10.2023 - 30.9.2026

Letni obseg:

0,67 FTE | 2024

Vodja projekta na FDV:

prof.dr. Gregor Petrič

Sofinancerji:

Logix, d.o.o., Valicon d.o.o.

Sodelujoče RO: Fakulteta za družbene vede UL, Fakulteta za varnostne vede UM
Drugi sodelujoči: Urad vlade RS za informacijsko varnost

Veda:

Družboslovje

Sestava projektne skupine:

https://cris.cobiss.net/ecris/si/sl/project/20991

Bibliografske reference:

https://bib.cobiss.net/bibliographies/si/webBiblio/hindexyears_20240130_161511_l5-50163.html

Vsebinski opis projekta:

Sodobna in vse bolj digitalizirana družba je neločljivo povezana z nenehno uporabo informacijsko-komunikacijskih tehnologij (IKT), kar posameznike, organizacije in države posledično izpostavlja številnim kibernetskim grožnjam. Varnostna poročila kažejo na eksponentno povečanje kibernetskih napadov po vsem svetu, posledice tega pa so ogromne, celo uničujoče finančne, poslovne in druge izgube. Glede na ugotovite, da je velika večina kibernetskih napadov na organizacije posledica človeškega dejavnika – nepazljivosti zaposlenih, ne varne uporabe IKT –, je postalo jasno, da odpornosti proti kibernetskim grožnjam ni mogoče doseči zgolj s tehničnimi sredstvi. Družboslovne vidike informacijske varnosti moramo namreč obravnavati v neločljivi povezavi s tehničnimi orodji in informacijskovarnostnimi procesi. V zadnjih letih je koncept informacijskovarnostne kulture (IVK) začel pridobivati pozornost tako v akademskih krogih kot v industriji. IVK se nanaša na oblikovanje ustreznih prepričanj in vrednot o informacijski varnosti, ki usmerjajo zaposlene pri njihovi uporabi IKT, kot tudi vzpostavitev organizacijskega okolja, ki je odporno na kibernetske grožnje. Vendar pa je taka definicija za raziskovalne namene nekoliko ohlapna, saj ne vključuje pojasnjevalnih mehanizmov, ki bi povezovali socio-tehnične lastnosti organizacije z informacijskovarnostnim vedenjem (IVV) posameznika kot ključno odvisno spremenljivko. Koncept IVK je sicer pojmovan na zelo različne načine, pogosto pa ni podanih jasnih definicij, kar predstavlja problem vsebinske veljavnosti, nadalje pa se težave kažejo v merjenju tega pojava in pridobivanju zanesljivih rezultatov. Projekt temelji na predpostavki, da je močna IVK najboljši človeški "požarni zid", ki ga lahko organizacija zgradi za spopadanje s kibernetskimi grožnjami. Glavni namen projekta je oblikovati dopolnjen model IVK, na podlagi katerega bo mogoče oceniti odpornost proti kibernetskim grožnjam in podati priporočila za krepitev te odpornosti. Po prenovljeni direktivi EU o informacijski varnosti NIS 2 bodo morale organizacije, ki spadajo med izvajalce bistvenih (in pomembnih) storitev v Sloveniji (okrog 1000 subjektov), redno ocenjevati odpornost na kibernetske grožnje, zato bo merjenje in ocenjevanje IVK v teh organizacijah postalo nujno. Eden glavnih ciljev tega projekta je izvajalcem bistvenih storitev ponuditi orodje za ocenjevanje IVK in pripraviti smernice za krepitev IVK v tovrstnih organizacijah. Natančneje bo projekt zasledoval naslednje cilje: 1. Oblikovanje organizacijskega, socio-tehničnega modela IVK, ki bo združeval organizacijske dejavnike, tehnološke artefakte in informacijskovarnostno vedenje v enoten pojasnjevalni model; 2. Izgradnja metodološkega aparata za veljavno in zanesljivo merjenje IVK v organizacijah izvajalcev bistvenih storitev; 3. Ocena IVK pri izvajalcih bistvenih storitev v Sloveniji; 4. Izdelava priporočil za izboljšanje IVK pri izvajalcih bistvenih storitev, ki bodo tudi širše uporabne za ostale deležnike v gospodarstvu; 5. Diseminacija rezultatov in priporočil v znanstveni in strokovni literaturi. V projektu sodeluje interdisciplinarna skupina uveljavljenih in mednarodno prepoznanih raziskovalcev iz področja družboslovne informatike, informacijske varnosti, obramboslovja, komuniciranja ter metodologije in statistike. Projekt je razdeljen v šest medsebojno povezanih delovnih sklopov (DS), ki vključujejo jasne cilje teoretično utemeljenega raziskovanja in metodologije. DS1 – Razvoj teoretičnega okvirja: Namen tega delovnega sklopa je razviti celovit organizacijski socio-tehnični teoretični model informacijske varnosti, ki bo služil kot osnova za analize in napredovanje skozi celoten projekt. Teoretični model bo iterativno temeljil na povratnih informacijah empiričnega raziskovanja ter se bo razvijal od začetnega teoretičnega modela do končnega, empirično testiranega modela. Delovne naloge: T1. Pregled literature o konceptualizacijah in merjenju IVK (M2–M5): Izveden bo podroben pregled ključnih organizacijskih faktorjev IVK in IVV. T2. Oblikovanje začetnega teoretičnega modela (M3–M7): Na podlagi pregleda literature in kvalitativne raziskave bo vzpostavljen začetni teoretični model informacijske varnosti. T3. Oblikovanje situacijsko-specifičnega pojasnjevalnega modela IVK (M13–M18): Na podlagi izsledkov kvalitativne raziskave in začetnega modela bo vzpostavljen revidiran in razširjen organizacijski, socio-tehnični model informacijske varnosti, ki bo osnova za glavno kvantitativno empirično študijo. T4. Končni, empirično testiran model (M28): Vzpostavljen končni model IVV, ki bo služil kot vstopna točka za oblikovanje smernic za izboljšanje IVK. Specifični cilji: - Izvesti kritičen primerjalni pregled literature o konceptu IVK in IVV ter njihovem medsebojnem odnosu; - Identificirati organizacijske, socio-tehnične pojasnjevalne dejavnike IVV na individualni in organizacijski ravni. - Razviti dopolnjen teoretični model IVK. DS2 – Kvalitativna raziskava: Glavni cilj tega delovnega sklopa je pridobiti situacijsko-specifični vpogled v družboslovne vidike informacijske varnosti pri izvajalcih bistvenih storitev, identificirati relevantne procese, ki jih trenutna literatura ne obravnava, ter oceniti stališča in potrebe deležnikov v zvezi z NIS2. Poleg tega bodo intervjuji služili za napredovanje odnosa z izvajalci bistvenih storitev za bolj učinkovito uresničevanje smernic, razvitih v okviru WP4. Za dosego tega cilja bomo izvedli poglobljene, pol-strukturirane intervjuje z odgovornimi osebami za informacijsko (korporativno) varnost v organizacijah ponudnikov bistvenih storitev v Sloveniji. Delovne naloge: T1. Identifikacija ponudnikov bistvenih storitev v skladu z NIS2 in zbiranje kontaktov (M4–M7): Identifikacija in zbiranje kontaktov vseh ponudnikov bistvenih storitev v skladu z novo direktivo NIS2 (približno 1000). Vsem identificiranim organizacijam bo poslano vabilo in obrazec za sodelovanje. Rekrutirati želimo vsaj eno odgovorno osebo za informacijsko (korporativno) varnost v organizacijah ponudnikov bistvenih storitev v vsakem sektorju (11) v skladu z direktivo NIS2. T2. Protokol, rekrutacija (M4–M7): T3. Izvedba poglobljenih intervjujev (M10–M12): Vsi poglobljeni intervjuji bodo izvedeni osebno, z dovoljenjem (obveščenim soglasjem) sodelujočih ter zvočno posneto. Z namenom povečevanja veljavnosti kvalitativnih odgovorov bo izvajalec intervjujev (raziskovalec) zagotovil jasno razumevanje narave študije za udeležence. Skupaj bo izvedenih približno 10–15 poglobljenih, pol-strukturiranih intervjujev odgovornimi osebami za informacijsko (korporativno) varnost v organizacijah izvajalcev bistvenih storitev. Udeleženci intervjujev bodo ob tem naprošeni za nadaljnje sodelovanje v kvantitativni raziskavi. T3. Tematska analiza (M12–M13): Vsi zvočno posneti intervjuji bodo prepisani v transkripte s pripadajočimi terenskimi zapisniki in bodo uvoženi v program za analizo kvalitativnih podatkov. Uporabljeni bodo psevdonimi za zagotavljanje anonimnosti in zaupnosti podatkov sodelujočih organizacij. Podatki bodo predvidoma analizirani z induktivno tematsko analizo. T4. Implementacija ugotovitev kvalitativne raziskave (M14–M15): Rezultati analize kvalitativnih podatkov bodo uporabljeni za nadaljnji razvoj in nadgradnjo začetnega teoretičnega modela (DS1) ter kot osnova za razvoj in optimizacijo procesa operacionalizacije orodij za merjenje IVK (DS3). Specifični cilji: - Pridobiti situacijsko-specifičen vpogled v družboslovne vidike informacijske varnosti pri izvajalcih bistvenih storitev; - Ustrezno analizirati zbrane kvalitativne podatke; - Pripomoči k nadgradnji začetnega teoretičnega modela; - Zagotoviti natančnejši vpogled za proces operacionalizacije merskih inštrumentov v DS3. DS3 – Kvantitativna raziskava: Kvantitativna raziskava je sestavljena iz dveh točk zbiranja podatkov. Prva točka bo namenjena pridobivanju začetnega vpogleda v stanje IVK pri izvajalcih bistvenih storitev, preizkusu začetnega teoretičnega modela ter identifikaciji morebitnih metodoloških težav za drugo, glavno točko zbiranja podatkov. V drugi točki podatki bo izvedena spletna anketa na enaki populaciji izvajalcev bistvenih storitev z namenom testiranja prenovljenega teoretičnega modela z visoko statistično močjo, kar nam bo omogočilo dokončanje teoretičnega modela in razvoj zanesljivih smernic za izboljšanje IVK. Delovne naloge: T1. Začetne operacionalne definicije konstruktov in zasnova merskega inštrumenta (M3–M7): Za prvo (začetno) spletno anketo na izvajalcih bistvenih storitev bodo na podlagi pregleda literature identificirane obstoječe lestvice za merjenje IVK in IVV v organizacijskem kontekstu, ki bodo prilagojene nacionalnemu in situacijsko-specifičnemu okolju izvajalcev bistvenih storitev. T2. Izvedba prve (začetne) spletne ankete (M11–M12): Preko pridobljenih kontaktov izvajalcev bistvenih storitev v Sloveniji (glej DS2, T1) bomo izvedli začetno spletno anketo med odgovornimi osebami za informacijsko (korporativno) varnost v organizacijah (vsaj n = 30) ter zaposlenimi (vsaj n = 300) izvajalcev bistvenih storitev z namenom ocene trenutnega stanja glede družboslovnih vidikov informacijske varnosti v skladu z novo direktivo NIS2. T3. Analiza prve (začetne) ankete (M12–M13) in ocena stanja IVK (M13): V tej fazi bodo predstavljene ugotovitve o trenutnem stanju IVK med izvajalci bistvenih storitev. Poročilo o začetni oceni bo podalo nekaj praktičnih smernic za organizacije v skladu z novo direktivo NIS2. T4. Oblikovanje merskih inštrumentov in vprašalnika za glavno raziskavo (M15–M22): Glavni cilj glavne spletne ankete bo testiranje prenovljenega teoretičnega modela informacijske varnosti. Lestvice za obstoječe koncepte bodo prilagojene nacionalnemu in organizacijskemu kontekstu, medtem ko bo pri novih konceptih izveden standarden in strog postopek razvoja merskih inštrumentov, ki bo vključeval ekspertno oceno, oceno vsebinske veljavnosti in pilotno testiranje. T5. Izvedba glavne raziskave za testiranje pojasnjevalnega modela IVK (M24): Zbiranje podatkov za glavno raziskavo bo izvedeno v organizacijah izvajalcev bistvenih storitev v Sloveniji (v skladu z novo direktivo NIS2). Uporabljeno bo neverjetnostno vzorčenje. Vzorčni okvir vključuje nabor vseh izvajalcev bistvenih storitev oz. njihovih zaposlenih. Uporabljene bodo različne tehnike za povečanje stopnje odzivnosti s ciljem doseči vsaj 30% stopnjo odziva med organizacijami in 15% stopnjo odziva znotraj organizacij. T6. Analiza glavne raziskave (M25–M27): Namen te naloge je pripraviti zbrane podatke ankete za analizo in izvesti dvostopenjsko analizo. Za analizo manjkajočih vrednosti in možnih dopolnitev bodo izvedeni ustrezni metodološki pristopi. Predvideno bo izveden pristop dvonivojskega modeliranja strukturnega modela s preučevanjem dejavnikov na individualni in organizacijski ravni z namenom ugotavljanja poglobljene ocene stanja IVK pri izvajalcih bistvenih storitev v Sloveniji. Specifični cilji: - Empirično testirati začetni in prenovljeni teoretični model ter oceniti stanje IVK pri izvajalcih bistvenih storitev. DS4 – Smernice za izboljšanje informacijskovarnostne kulture: Namen tega delovnega sklopa je vzpostaviti praktične smernice za izboljšanje IVK, predvsem med izvajalci bistvenih storitev v Sloveniji, posredno pa tudi za druge organizacije v poslovnem ali javnem sektorju. Smernice bodo temeljile na testiranju prenovljenega teoretičnega modela in bodo naslavljale vprašanje, kako lahko organizacije in njihovo vodstvo, skupaj z odgovornimi osebami za informacijsko (korporativno) varnost upravljajo z organizacijskimi dejavniki za izboljšanje odpornosti proti kibernetskim grožnjam. Delovne naloge: T1. Pregled obstoječih pristopov za izboljšanje IVK v organizacijah (M3–M7): Ta naloga je namenjena pregledu obstoječih predlogov, smernic, navodil in dobrih praks za izboljšanje IVK v slovenski in tuji strokovni ter znanstveni literaturi. T2. Začetni predlog smernic (M6–M12): Na podlagi pregleda obstoječih pristopov za izboljšanje IVK ter rezultatov kvalitativne ter prve kvantitativne raziskave bomo oblikovali začetni nabor praktičnih smernic za organizacije. To bo predvsem služilo kot priprava za izvajalce bistvenih storitev v Sloveniji pri sprejemanju nove direktive NIS2 v svoje poslovanje. T3. Dopolnitev smernic s situacijsko-specifičnim kontekstom (M29–M35): Na podlagi empiričnega testiranja dopolnjenega teoretičnega pojasnjevalnega modela in začetnega nabora smernic bomo razvili situacijsko-specifične smernice za izboljšanje IVV. Poudarek bo predvsem na izboljšanju pomembnih vrzeli, ugotovljenih pri oceni stanja IVK pri izvajalcih bistvenih v Sloveniji. Specifični cilji: - Vzpostaviti praktične smernice za izboljšanje IVK, namenjene izvajalcem bistvenih storitev v Sloveniji. DS5 – Diseminacija: Namen tega delovnega sklopa je širitev znanstvenih ugotovitev in rezultatov, pridobljenih med različnimi fazami tega raziskovalnega projekta. Intenzivno širjenje naših ugotovitev bo prispevalo k pridobivanju in deljenju novega znanja, vpogledov ter razumevanja koncepta IVK, s čimer se povezujejo znanstveni in praktični pristopi na področju vedenjske informacijske varnosti. Delovne naloge: T1. Oblikovanje in redno posodabljanje spletne strani projekta (M1–M36): Ob začetku projekta bo vzpostavljena spletno stran, namenjena predstavitvi dejavnosti in rezultatov projekta nacionalni in mednarodni znanstveni skupnosti ter industriji in splošni javnosti. Spletna stran vključuje kratek opis projekta, osnovne informacije o financiranju, dejavnostih projekta in raziskovalnih rezultatih, vključno z informacijami, kdaj bodo ti predvidoma na voljo v posameznih fazah raziskovalnega projekta. Spletna stran bo objavljena v slovenščini in angleščini. Poleg tega bo spletna stran občasno deljena na različnih kanalih različnih spletnih družbenih omrežij. T2. Diseminacija in uporabnost rezultatov projekta (M1–M36): Teoretični in empirični rezultati projekta bodo diseminirani preko objavljenih znanstvenih ali strokovnih člankov ter s prispevki na mednarodnih in nacionalnih znanstvenih konferencah, sestankih, kongresih ali simpozijih. T3. Diseminacija rezultatov projekta v industriji, zakonodaji in širši javnosti (opcijsko): Izven znanstvene skupnosti bodo praktični rezultati projekta predstavljeni na javnem dogodku, namenjenemu predvsem industriji, pa tudi širši javnosti. Dogodek bo vključeval več dejavnosti, osredotočenih na predstavitev oblikovanih smernic za krepitev IVK v organizacijah. Specifični cilji: - Doseči največjo možno razširjenost in uporabo znanstvenih in praktičnih rezultatov projekta; - Objaviti teoretične in empirične rezultate v mednarodnih znanstvenih revijah; - Predstaviti rezultate na mednarodnih in nacionalnih znanstvenih konferencah, sestankih, kongresih ali simpozijih; - Ustvariti in redno vzdrževati uradno spletno stran projekta. DS6 – Upravljanje projekta: Skupno vodenje projekta, vključno z administrativnim in znanstvenim vodenjem, bo zagotovilo uspešno uresničevanje vseh dejavnosti projekta v delovnem programu. Delovne naloge: T1. Spremljanje vseh aktivnosti projekta (M1–M36): Vodenje projekta bo vključevalo spremljanje izvajanja vseh upravnih nalog, izvajanje vseh projektivnih aktivnosti v skladu z določenimi cilji, komunikacijo s sofinancerji in drugimi partnerji, zagotavljanje kakovosti aktivnosti projekta, rezultatov, spoštovanje vseh rokov delovnih nalog, časovnih razporedov in ključnih točk projekta ter pripravo (letnih) rednih poročil. Projektno vodenje bo tudi zagotavljalo učinkovito reševanje izzivov in ustrezno obravnavo vseh raziskovalnih produktov. T2. Koordinacija delovnih nalog (M1–M36): Skupina za projektno vodenje bo odgovorna za koordinacijo raziskovalnih dejavnosti in zagotavljanje učinkovitega prenosa raziskovalnih ugotovitev med posameznimi deli raziskovanja. Prav tako bodo zagotavljali redno komunikacijo o dejavnostih in napredku, kot tudi usklajevanje s sofinancerji. Skupina za vodenje projekta bo vključevala vodjo projekta ter enega ali dva mlajša raziskovalca. Specifični cilji: - Koordinacija raziskovalne skupine in raziskovalnih dejavnosti; - Redna komunikacija s sofinancerjem; - Spremljanje izvajanja projektivnih aktivnosti v skladu z določenimi cilji; - Spremljanje kakovosti projektivnih aktivnosti, izdelkov in rezultatov; - Spremljanje in izvajanje upravnih nalog; - Spremljanje proračuna in poročanje; - Spremljanje učinkovitega prenosa ugotovitev med posameznimi raziskovalnimi fazami; - Organizacija sestankov za raziskovalno skupino in morebitno reševanje težav.


Nazaj na seznam projektov