Strengthening Information Security Resilience in the European Energy Retail Sector : A Multi-Method Study of Cultural Factors, Critical Controls, and Key Risks

Toimittaja(t)

Vaasan yliopisto
2026-05-29
Artikkeliväitöskirja
Tuotantotalous (tekniikka)
vertaisarvioitu
978-952-395-264-5.pdf
Lopullinen julkaistu versio - 6.28 MB
Huom! Tiedosto avautuu julkiseksi: 29.05.2026
Suorsa, M. (2026). Strengthening Information Security Resilience in the European Energy Retail Sector : A Multi-Method Study of Cultural Factors, Critical Controls, and Key Risks [Doctoral dissertation, University of Vaasa]. Osuva. https://urn.fi/URN:ISBN:978-952-395-264-5
Lataukset13

Pysyvä osoite

https://urn.fi/URN:ISBN:978-952-395-264-5

Kuvaus

Compilation dissertation’s summary section is licensed under Creative Commons Attribution NonCommercial 4.0 International.
Energia-alan myyntisektori on kriittinen osa energiateollisuuden arvoketjua, sillä se tuottaa keskeisiä palveluja kuluttajille, yrityksille ja julkisille organisaatioille. Sektori on altis vakaville kyberuhille, joita voimistavat geopoliittiset jännitteet, valtiollisten toimijoiden tukemat kyberhyökkäykset, monimutkaiset järjestelmäarkkitehtuurit sekä tiukka sääntely, kuten Euroopan unionin GDPR (General Data Protection Regulation) ja NIS2-direktiivi (Network and Information Security Directive 2). Näistä haasteista huolimatta empiirinen tutkimus siitä, miten organisaatiokulttuuri, kriittiset tietoturvakontrollit ja riskienhallinta yhdessä vahvistavat kyberturvallisuuden resiliens¬siä IT-hallinnon, riskienhallinnan ja vaatimustenmukaisuuden (IT Governance, Risk Management and Compliance, IT-GRC) viitekehyksessä, on puutteellista. Tämä väitöskirja vastaa tunnistettuun tutkimustarpeeseen monimenetelmällisellä tutkimusasetelmalla, joka koostuu neljästä toisiinsa kytkeytyvästä osatutkimuksesta. Tutkimus sisältää tapaustutkimuksen eurooppalaisen energiayhtiön tietoturva-kulttuurista henkilöstökyselyjen ja eksploratiivisen faktorianalyysin avulla sekä sisäisesti raportoitujen tietoturvapoikkeamien analyysin hyödyntäen vika- ja vaikutus-analyysiä sekä bow-tie-mallinnusta. Lisäksi väitöskirja tarkastelee toimialarajat ylittävästi GDPR-seuraamusraportteja juurisyyanalyysin keinoin. Tulokset osoittavat, että kyberturvallisuuden resilienssi edellyttää johdon vahvaa sitoutumista, selkeitä vastuita sekä henkilöstön kannustamista riski- ja tietoturvapoikkeamien raportointiin. Kriittiset tietoturvapuutteet liittyvät erityisesti pääsyn-hallintaan, korkean käyttöoikeustason valvontaan, tietojärjestelmien elinkaaren muutostenhallintaan, tietoturvatestaukseen, haittaohjelmasuojaukseen, henkilöstön tietoisuuteen ja koulutukseen, turvalliseen tiedonkäsittelyyn sekä tietoturvapoikkeamien kokonaisvaltaiseen hallintaan. Tutkimus tunnistaa kahdeksan energia-alan myyntisektorille tyypillistä kyberriskiä ja osoittaa, että kerrokselliset kontrollit sekä hyökkäys–puolustus-mallinnus vahvistavat riskienhallintaa ja organisaation tilannekuvaa. Väitöskirja edistää IT-GRC -teoriaa tarjoamalla integroivan viitekehyksen, joka yhdistää organisaatiokulttuurin, kontrollit ja sektorikohtaiset riskit. Tulokset tarjoavat yritysjohdolle konkreettisia keinoja vahvistaa kyberturvallisuuden resilienssiä strategisen ohjauksen, korkean prioriteetin tietoturvakontrollien ja sektorikohtaisten riskien hallinnan avulla.

URI

DOI

Emojulkaisu

ISBN

978-952-395-264-5

ISSN

2323-9123
0355-2667

Aihealue

Sarja

Acta Wasaensia|582

OKM-julkaisutyyppi

G5 Artikkeliväitöskirja

Saavutettavuusominaisuudet

Navigointi mahdollista, looginen lukemisjärjestys
Kuvien ja kuvioiden vaihtoehtoiset kuvaukset puutteelliset tai puuttuvat. Artikkeli 3 ei ole saavutettava.

Avainsanat

data securitytechnologyleadership (activity)information networksrisk managementorganisational cultureinnovationsinformation technologyroot cause analysis
Tietueen kaikki tiedot