Disputas: Jan Marius Evang

Nettverkstjenester har en viktig rolle i dagens samfunn. Bedrifter, myndigheter og enkeltpersoner er avhengige av internett i sitt daglige virke.

Nettverkene som til sammen utgjør internett, driftes av forskjellige aktører som bedrifter, offentlige etater og innholdsnettverk (CDN-er), i tillegg til globale og lokale internettleverandører (ISP-er).

Drift av disse nettverkstjenestene er en kompleks oppgave. Tallrike komponenter kan potensielt forstyrre tjenesten, og det er viktig for nettverkstjenesteoperatører å forstå risikoen knyttet til hver komponent.

Mål og utfordringer ved nettverkssikkerhet

Nettverkssikkerhet omfatter tre grunnleggende mål: konfidensialitet, integritet og tilgjengelighet. Konfidensialitet og integritet blir ofte behandlet sammen, da de har felles angrepsvektorer og løsninger. Å sikre tilgjengelighet er en separat utfordring.

Hovedfokuset for tilgjengelighet er å garantere at nettverkstjenesten er operativ og kan brukes. Selv om brudd på konfidensialitet og integritet kan ha indirekte påvirkning på tilgjengelighet, skiller risikoreduseringsstrategiene seg betydelig. I denne sammenhengen er motstandsdyktighet og redundans sentrale konsepter.

Hovedfunn i forskningen

Sammen analyserer artiklene i denne avhandlingen det komplette risikolandskapet som skal til for å levere et stabilt nettverk for kritiske tjenester. Store deler av forskningen er utført på Media Network Services’ (MNS) globale videokonferansenettverk. Dette nettverket er valgt på grunn av relevansen for risikostyring, og anvendeligheten av resultater for andre nettverksoperatører.

Artiklene I og VI bruker 18 måneders måledata for å analysere de grunnleggende årsakene til nettverksavbrudd, og avslører at de viktigste bruddene stammer fra leide linjer, fysiske feil og menneskelige feil. Derimot tilskrives relativt få nettverksproblemer til lokale nettverksfeil eller ondsinnede angrep. Denne innsikten i de grunnleggende årsakene fungerer som en basis for etterfølgende analyser.

Artikkel II presenterer 5 år med risikoregisterdata for å fremheve rollen til standarder som ISO27001 for reduksjon av risiko og viser effekten av å implementere et robust rammeverk for risikostyring på tvers av ulike organisasjonsnivåer.

Artikkel III ser på internettrisiko og demonstrerer effektive avbøtende strategier som forbedrer nettverkets motstandskraft mot avbrudd, pakketap og høy latenstid der årsakene skyldes internett.

Artikkel IV viser en samvariasjon mellom organisasjoners sikkerhetsimplementeringer og overholdelse av to sikkerhetsstandarder, Mutually Agreed Norms for Routing Security (MANRS) og ISO27001. Ved å verifisere RPKI-deltakelse (Resource Public Key Infrastructure), IP-spooferbeskyttelse og internett-risikopoeng for organisasjoner som følger MANRS og/eller ISO27001, demonstrerer vi at en sikkerhetsbevisst bedriftskultur er koblet til bedre sikkerhetspraksis.

Nylige hendelser som koronapandemien og Russlands inntrengning i Ukraina viser viktigheten av også å vurdere hvordan myndigheter og ledelse påvirker risiko. Artikkel VII utvider forskningen til å omfatte nasjonale styringsrisikoer, spesielt den store avhengigheten til nasjonale webtjenester av utenlandske mikrotjenester og skytjenester, og understreker nødvendigheten av å vurdere bredere kontekstuelle faktorer.

Med utgangspunkt i den kollektive innsikten fra disse artiklene, ved å kombinere de teoretiske analysene med eksperimenter på et operativt nettverk og erfaringer fra det virkelige livet, fremstår artikkel V som en syntese.

Artikkelen foreslår en innovativ ti-lags modell som pragmatisk organiserer identifiserte risikofaktorer. Denne modellen integrerer empiriske funn i et praktisk rammeverk, og resultatene kan generaliseres til en rekke ulike nettverk. Ved å bruke ti-lagsmodellen vil nettverksoperatører redusere sin tilgjengelighetsrisiko og levere tjenester av høyere kvalitet til sine kunder.