Cybersecurity is one of the pillars of successful digitalization of our societies. A key component of cybersecurity is that staff involved in cybersecurity work develop situational awareness of the cyber environment and respond to events  based on that understanding. Despite growing interest in situation awareness for cybersecurity, few empirical studies look at cyber situation awareness from the human actor’s perspective within organizational contexts. The purpose of this thesis is to contribute to research on improving cyber situation awareness capabilities in organizations, with a focus on the Swedish public sector.

The thesis includes five papers concerning different aspects of cyber situation awareness. In the first paper, a census is conducted presenting a snapshot of the cybersecurity maturity of the Swedish public sector and how the public sector communicated cybersecurity risks during the COVID-19 pandemic. In the second paper, the conditions under which cybersecurity work is conducted at Swedish administrative authorities are investigated, and results from semi-structured interviews with respondents involved in cybersecurity work are presented. In the third paper, four personas, based on empirical material from the first and second papers, are created and validated. In the fourth paper, a case study on how staff members involved in handling a cyberthreat in a large, complex organization develop cyber situation awareness while handling the threat is presented. In the fifth paper, participatory video prototyping is used to explore common operational picture system support needs to aid cyber situation awareness for staff involved in handling cyberthreats.

The thesis discusses challenges to cyber situation awareness in organizations, how cyber situation awareness can be improved, and how common operational pictures should be designed. 

Cybersäkerhet är en av grundpelarna för en framgångsrik digitalisering av våra samhällen. En nyckelkomponent för cybersäkerhet är att personal som arbetar med cybersäkerhet utvecklar cyberlägesförståelse för att ”få koll på läget” i cybermiljön och, baserat på den förståelsen, reagerar på händelser. Trots det växande intresset för cyberlägesförståelse så finns det få empiriska studier som undersöker cyberlägesförståelse från den mänskliga aktörens perspektiv i organisatoriska sammanhang. Syftet med avhandlingen är att bidra till cyberlägesförståelseforskningen  genom att undersöka cyberlägesförståelse i organisationer och presentera empiriska studier med fokus på svensk offentlig sektor.

I denna avhandling ingår fem artiklar som studerar olika aspekter av cyberlägesförståelse. I den första artikeln har en totalundersökning av den svenska offentliga sektorn genomförts och en  ögonblicksbild av sektorns cybersäkerhetsmognad samt hur offentlig sektor kommunicerade om cybersäkerhetsrisker under COVID-19-pandemin presenteras. I den andra artikeln har de förutsättningar under vilka cybersäkerhetsarbete bedrivs vid svenska förvaltningsmyndigheter undersökts och resultat från semi-strukturerade intervjuer med respondenter som deltar i cybersäkerhetsarbetet vid förvaltningsmyndigheterna presenteras. I den tredje artikeln presenteras fyra personor, baserade på det empiriska materialet från den första och andra artikeln, som validerats. I den fjärde artikeln presenteras en fallstudie om hur personal i en stor, komplex organisation utvecklade cyberlägesförståelse under tiden de hanterade ett cyberhot. I den femte artikeln utforskas behovet av systemstöd för lägesbilder som kan underlätta för cyberlägesförståelse hos personal som hanterar cyberhot genom den deltagande design-metoden video-prototypande. 

Avhandlingen diskuterar utmaningarna för cyberlägesförståelse i organisationer, hur cyberlägesförståelse kan förbättras, samt hur systemstöd för lägesbilder bör utformas för att stödja cyberlägesförståelse.