Kyberturvallisuuden kiihdyttäjä : tietoturvakonsultointiyhtiöiden COVID-19-diskurssin habermasilainen analyysi

Abstract

Maaliskuun 11. päivä 2020 Maailman terveysjärjestö WHO julisti COVID-19-koronavirustaudin globaaliksi epidemiaksi eli pandemiaksi. Pandemian myötä ihmisten liikkumista ja kokoontumista on rajoitettu useissa maissa ympäri maapalloa merkittävästi tämän kirjoitushetkellä jo yli vuoden ajan. Tällä on ollut useiden organisaatioiden päivittäiselle toiminnalle myös tuntuvaa vaikutusta, kun työntekijät ovat konttorille saapumiseen sijaan viranomaisten määräysten ja suositusten mukaisesti hoitaneet työtehtäviään kotoaan tai muusta etätyöskentelypisteestä käsin. Tässä pro gradu -tutkielmassa tutkitaan kahden tietoturvakonsultointiyhtiön, Deloitten ja PwC:n, COVID-19-pandemiaa ja kyberturvallisuutta käsittelevien verkkojulkaisujen (artikkelit, blogit ja raportit) tuottamaa kuvaa ja merkityksiä COVID-19-pandemiasta organisaatioiden kyberturvallisuudelle. Tutkielman päätutkimuskysymyksenä on millaiseksi CO-VID-19-pandemian merkitys ja vaikutus organisaatioiden kyberturvallisuudelle tutkimusaineistossa kuvataan. Lisäksi tutkielmassa analysoidaan sitä, mitä mahdollisia seurauksia ja vaikutuksia tutkimusaineistossa olevalla kielenkäytöllä on ymmärryksellemme kyberturvallisuudesta COVID-19-pandemian aikana sekä millaisia kyberturvallisuuteen liittyviä valtasuhteita julkaisut tuottavat ja ylläpitävät. Tutkielma perustuu sosiaalisen konstruktionismin käsitykseen todellisuudesta, jossa sosiaalinen todellisuus, kuten ymmärryksemme turvallisuudesta, nähdään rakentuvan ihmisten välisessä vuorovaikutuksessa esimerkiksi kielenkäytön kautta. Tutkielmassa käytetty tutkimusmenetelmä on habermasilainen diskurssianalyysi, jossa tutkimusainestoa on analysoitu Jürgen Habermasin neljän kommunikaation pätevyysvaatimuksen – totuuden, oikeellisuuden, vilpittömyyden ja ymmärrettävyyden – kautta. Tutkielman keskeisimpänä johtopäätöksenä COVID-19-pandemia näyttäytyy tutkimusaineistossa organisaatioille kyberriskejä kasvattaneena ennalta-arvaamattomana murrok-sena, jossa pärjäämiseksi organisaatioiden tulee päivittää tietoturvakyvykkyyksiään sekä prosessien että teknologian osalta. Lisäksi tutkimusaineiston havaittiin tuottavan kyberturvallisuudesta käsitystä tietoturva-asiantuntijoiden ja -päättäjien valtakenttänä, jolla organisaatioiden henkilöstö näyttäytyy lähinnä organisaatioiden riskejä kasvattavana toimijana.

On 11th of March 2020 World Health Organization declared COVID-19 as a global pandemic. Due to pandemic there has been significant restrictions on people’s movement and gatherings in countries around the globe. COVID-19 has also had an impact on day-to-day operations of several organizations. As ordered and recommended by the local authorities, many organization has moved to remote working mode. In this master’s thesis the focus is on the organizational cyber security discourse of COVID-19. This is done by analyzing the publicly available COVID-19 themed cyber security publications (articles, blogs and reports) of two cyber security consulting firms, Deloitte and PwC. The main research question of the thesis is that what are the impacts and meanings of COVID-19 to the organizations’ cyber security in the discourse produced by these two cyber security consulting firms. The thesis also analyzes what are the possible consequences and implications of this dis-course for our understanding about the cyber security and what kind of power relations regarding cyber security are produced in the analyzed publications. The thesis is based on social constructionism’s understanding of reality. Social constructionism sees the social realities as something that are constructed in human interactions, especially via the use of language. The applied research method in the thesis is the Habermasian discourse analysis. In the Habermasian discourse analysis the texts are analyzed using the validity claims of communication by Jürgen Habermas. Habermas has defined four validity claims which are truth, legitimacy, sincerity and comprehensibility. The key finding of the thesis is that in the publications of cyber security consulting firms the COVID-19 pandemic is seen as an unpredictable rupture which has increased the cyber risks for the organizations. To successfully operate in the midst of the pandemic, the organ-izations are advised to update their cyber security capabilities, both technolo-gy- and process-wise. It was also noticed that the publications produce and uphold the understanding where cyber security is seen as a domain of cyber security specialists and decision makers and where the employees and end-users are mainly seen as sources for cyber risks.