An Integration of Cyberprivacy, Cybersecurity, and Smart Grid Strategies for Protecting Critical Infrastructure

Abstract

This dissertation addresses the need for robust critical infrastructure protection given the current drastic societal changes and rapid digital transformation. Advances in computation, communication, and data processing have brought unprecedented efficiency and connectivity. Yet, they have also introduced new cyber risks and privacy challenges across organizational, societal, and economic domains. The energy system – as a core component of critical infrastructure and a foundation for other essential services – exemplifies these dynamics. Smart grids and electrification initiatives expose sensitive operational and personal data to sophisticated cyber threats and privacy risks.

Despite extensive research in cybersecurity, cyberprivacy, and smart grid protection, these areas are still largely treated as distinct domains, which limits their joint effectiveness against complex and evolving threats. To address this issue, this work develops a unified framework that integrates models, standards, and strategies from each field. By bridging technical and conceptual gaps, the framework aligns security measures with privacy norms and the operational requirements of smart grids, enhancing protection across interconnected systems.

This dissertation adopts a multidisciplinary, interpretative mixed-methods approach and employs a conceptual framework synthesis to address critical infrastructure protection. Current critical infrastructure protection models, typically organized around resilience and prevention strategies and the pillars of policies, processes and procedures; prevention, detection and mitigation; and vulnerabilities, threats and attacks, prove insufficient in addressing the current complexities, growing interdependencies, and the role of human and organizational factors. These models tend to be narrow and overly technical, often neglecting broader socio-technical dynamics and cross-system challenges. To better reflect these realities, the developed framework expands into seven domains: policies and organizational governance; risk and threat analysis; socio-technical and human factors; interdependencies and multi-system interaction; cyberprivacy and data governance; protection and mitigation schemes; and evaluation metrics. This expanded model, along with its functional description, offers a more comprehensive foundation for understanding risks and implementing effective, holistic protection strategies.

Tämä väitöskirja tarkastelee kriittisen infrastruktuurin suojelun kasvavaa tarvetta digitaalisen transformaation kiihtyessä. Teknologian kehitys on parantanut tehokkuutta ja verkkoyhteyksiä, mutta samalla lisännyt kyberriskejä ja yksityisyys-haasteita. Energiajärjestelmä, joka on olennainen osa kriittistä infrastruktuuria, on erityisen haavoittuvainen, sillä älyverkot ja sähköistäminen altistavat arkaluonteisia, operatiivisia ja henkilökohtaisia tietoja kehittyneille kyberuhille.

Vaikka kyberturvallisuutta, tietosuojaa ja älyverkon suojelua on tutkittu laajasti, niitä käsitellään usein erillisinä osa-alueina, mikä heikentää niihin liittyvien ratkaisujen tehokkuutta. Vastauksena tähän haasteeseen tämä väitöskirja kehittää integroidun viitekehyksen, joka yhdistää kunkin alan mallit, standardit ja strategiat. Lähestymistapa sovittaa yhteen tietoturvatoimenpiteet, tietosuojanormit ja älyverkon toimintavaatimukset, parantaen verkoston suojatasoa.

Tämä tutkimus hyödyntää mixed method -lähestymistapaa ja kritisoi perinteisiä kriittisen infrastruktuurin suojelumalleja, jotka keskittyvät resilienssiin ja ennalta-ehkäisyyn, mutta eivät huomioi sosio-teknisiä dynamiikkoja ja kasvavia riippuvuuksia. Ehdotettu viitekehys laajentaa mallit seitsemään osa-alueeseen: hallinto, riskianalyysi, sosio-tekniset tekijät, järjestelmien vuorovaikutus, kybertietosuoja, suojelujärjestelmät ja arviointimittarit. Tämä laajempi näkökulma tarjoaa kattavamman perustan riskien ymmärtämiselle ja kokonaisvaltaisille suojelustrategioille.

Viitekehyksen kehittämisen lisäksi väitöskirja tunnistaa systeemisiä ja teknisiä puutteita, tarjoaa näkemyksiä energiajärjestelmistä ja antaa suosituksia standardeista, direktiiveistä ja koulutustyökaluista kriittisen infrastruktuurin suojelun tukemiseksi.