Sammendrag

Nettverkstjenester har en viktig rolle i dagens samfunn. Bedrifter, myndigheter og enkeltpersoner er avhengige av Internett i sitt daglige virke. Nettverkene som til sammen utgjør Internett, driftes av forskjellige aktører som bedrifter, offentlige etater og innholdsnettverk (CDN-er), i tillegg til globale og lokale internettleverandører (ISP-er). Drift av disse nettverkstjenestene er en kompleks oppgave. Tallrike komponenter kan potensielt forstyrre tjenesten, og det er viktig for nettverkstjenesteoperatører å forstå risikoen knyttet til hver komponent. Nettverkssikkerhet omfatter tre grunnleggende mål: konfidensialitet, integritet og tilgjengelighet [1]. Konfidensialitet og integritet blir ofte behandlet sammen, da de har felles angrepsvektorer og løsninger. Å sikre tilgjengelighet er en separat utfordring. Hovedfokuset for tilgjengelighet er å garantere at nettverkstjenesten er operativ og kan brukes. Selv om brudd på konfidensialitet og integritet kan ha indirekte påvirkning på tilgjengelighet, er typen risikoreduserende strategier forskjellig, og redundans er sentralt. Sammen analyserer artiklene i denne avhandlingen det komplette risikolandskapet som skal til for å levere et stabilt nettverk for kritiske tjenester. Store deler av forskningen er utført på Media Network Services’ (MNS) globale videokonferansenettverk. Dette nettverket er valgt på grunn av relevansen for risikostyring, og anvendeligheten av resultater for andre nettverksoperatører. Paper I og VI bruker 18 måneders måledata for å analysere de grunnleggende årsakene til nettverksavbrudd, og avslører at de viktigste bruddene stammer fra leide linjer, fysiske feil og menneskelige feil. Derimot tilskrives relativt få nettverksproblemer til lokale nettverksfeil eller ondsinnede angrep. Denne innsikten i de grunnleggende årsakene fungerer som en basis for etterfølgende analyser. Paper II presenterer 5 år med risikoregisterdata for å fremheve rollen til standarder som ISO27001 for reduksjon av risiko og viser effekten av å implementere et robust rammeverk for risikostyring på tvers av ulike organisasjonsnivåer. Paper III ser på internettrisiko, og demonstrerer effektive avbøtende strategier som forbedrer nettverkets motstandskraft mot avbrudd, pakketap og høy latenstid der årsakene skyldes Internett. Paper IV viser en samvariasjon mellom organisasjoners sikkerhetsimplementeringer og overholdelse av to sikkerhetsstandarder, Mutually Agreed Norms for Routing Security (MANRS) og ISO27001. Ved å verifisere RPKI-deltakelse (Resource Public Key Infrastructure), IP-spooferbeskyttelse og Internett risk score for organisasjoner som følger MANRS og/eller ISO27001, demonstrerer vi at en sikkerhetsbevisst bedriftskultur er koblet til bedre sikkerhetspraksis. Nylige hendelser som COVID-19 og den russiske inntrengningen i Ukraina viser viktigheten av også å vurdere governance-risiko. Paper VII utvider forskningen til å omfatte nasjonale styringsrisikoer, spesielt den store avhengigheten til nasjonale webtjenester av utenlandske mikrotjenester og skytjenester, og understreker nødvendigheten av å vurdere bredere kontekstuelle faktorer. Med utgangspunkt i den kollektive innsikten fra disse artiklene, ved å kombinere de teoretiske analysene med eksperimenter på et operativt nettverk og erfaringer fra det virkelige livet, fremstår Paper V som en syntese, og foreslår en innovativ 10-lags modell som pragmatisk organiserer identifiserte risikofaktorer. Denne modellen integrerer empiriske funn i et praktisk rammeverk, og resultatene kan generaliseres til en rekke ulike nettverk. Ved å bruke 10-lagsmodellen vil nettverksoperatører redusere sin tilgjengelighetsrisiko og levere tjenester av høyere kvalitet til sine kunder.