Fra juli 2024 afslutter hun sin direkte tilknytning til projektet og fortsætter som adjunkt i Techno-Antropologi-laboratoriet (TANTlab).
Hvad har din forskning i ADD-projektet fokuseret på?
Jeg har udført en etnografisk undersøgelse af cybersikkerhed i små og mellemstore virksomheder (SMV’er) i Danmark. Målet var at forstå, hvordan SMV’er håndterer cybersikkerhed ved at observere deres daglige praksis. Jeg har derfor besøgt mere end 30 SMV’er rundt om i landet og opholdt mig i deres forskellige kontorlokaler og produktionssteder, samtidig med at jeg har interviewet både ledere og medarbejdere for at få indblik i, hvordan de arbejder med cybersikkerhed.
I løbet af min forskning har jeg udviklet begrebet “hverdags-cybersikkerhed”. Kort fortalt er dette en term, der kategoriserer alle de typer af praksisser, hvor virksomheder finder måder at tackle cybersikkerhedsproblemer på, som måske ikke er “efter bogen” i forhold til, hvad der anses for at være den gyldne standard af mange cybersikkerhedseksperter, men hvor virksomhederne alligevel formår at håndtere mange af de mest relevante cybersikkerhedsproblemer og har deres egen solide logik. Og det er et begreb, der efter min mening på passende vis beskriver virkeligheden for langt de fleste SMV’er i Danmark, som håndterer cybersikkerhed som én af mange andre bekymringer og risici for deres virksomhed.
Kan du give et eksempel på disse “hverdags-cybersikkerhedspraksisser”?
For eksempel så vi, at en logistikvirksomhed ikke brugte adgangskodebeskyttelse på de computere, som mange forskellige medarbejdere skal bruge i løbet af dagen. Tænk på en stor terminal, hvor lastbilchauffører står i kø for at printe leveringsordrer. Det at undlade adgangskodebeskyttelse på computere betragtes typisk ikke som “god cybersikkerhed,” men for denne virksomhed var det ikke på grund af sjuskethed. I stedet udviklede de alternative sikkerhedsstrategier. I dette tilfælde var printercomputeren kun tilgængelig, når kontoret var bemandet, og dermed var terminalen under opsyn af kontorpersonalet. På den måde kunne ingen ukendte personer få adgang til computeren. Ret smart!
Hvad kan det bredere samfund lære af din forskning?
Min forskning udfordrer den konventionelle opfattelse i cybersikkerhedsfællesskabet, at SMV’er er uvidende, ressourceløse og generelt ligeglade med cybersikkerhed. Det er ikke det billede, jeg har set under mine mange besøg hos SMV’er rundt om i Danmark, og det er vigtigt, fordi det viser os, at SMV’er 1) faktisk går op i cybersikkerhed, og 2) de finder måder at håndtere cybersikkerhedsproblemer på, selvom det måske er ved hjælp af andre metoder, end vi typisk tænker på.
Dette giver praktisk indsigt, som kan hjælpe med at forme mere effektive og realistiske cybersikkerhedsstrategier for små og mellemstore virksomheder. Derfor har vi også indgået et partnerskab med Erhvervsstyrelsen (nu Styrelsen for Digitalisering og IT) for at udvikle indsigter og værktøjer, der kan hjælpe SMV’er med at reflektere over og udvikle deres egne cybersikkerhedspolitikker. Vi har hørt fra vores samarbejdspartnere, at sådanne historier om dilemmaer og den daglige praktiske håndtering stadig informerer deres arbejde.
Hvilken indvirkning har din forskning haft på forskningsagendaen og fællesskabet, som du er en del af?
Efter at have arbejdet inden for cybersikkerhed i over 10 år, vil indvirkningen af min forskning strække sig ud over det arbejde, jeg har udført som en del af ADD-projektet. Feltet er gået fra at være ingeniør- eller forsvarscentreret til at inkludere andre discipliner som psykologi, men senest også antropologi og videnskabs- og teknologistudier. Som en del af denne udvikling er der et skub mod brugen af kvalitative og etnografiske metoder. Især ideen om at bruge etnografi til at sende forskere ud i virksomheder eller organisationer for at forstå de daglige praksisser. Studier af den meget almindelige hverdagscybersikkerhed giver en anderledes perspektiv på problemet, da det ikke handler om at leve op til den gyldne standard, men ofte om at gøre tingene godt nok.
Vi arbejder således hen imod en overgang fra at stole på ekspertvurderinger til at udfordre og inkorporere mere praktiske, feltbaserede situationer. Selvom ekspertvurderinger og alarmisme stadig dominerer cybersikkerhedsområdet, kan undersøgelse af daglig cybersikkerhed føre til nye indsigter og tilgange, da vi måske begynder at tænke på det på en lidt anderledes måde.
Hvilke venues har været særligt succesfulde for indvirkning?
Succesen af vores samarbejde med Erhvervsstyrelsen kom af, at vi ikke forsøgte at påstå, at vi havde alle svarene. Det handlede ikke om at hævde, at vi kunne løse alle problemerne med cybersikkerhedspraksisser. I stedet prioriterede vi samarbejde og kommunikation ved at holde regelmæssige møder for at holde os på linje med projektet.
Samtidig kan vi ikke tvinge forskningsindflydelse. Det handler mere om at identificere fælles bekymringer med offentlige interessenter og forhandle og kommunikere om mulige interventioner, som forskningen kan bidrage med. I vores projekt var vi heldige at kunne „intervenere ved invitation“, hvilket betød, at vores samarbejdspartnere havde en vis frustration over, hvordan cybersikkerhed blev forstået i SMV’er, og fordi tidligere kampagner syntes at have fejlet. Ved at finde sådanne samarbejdspartnere, som er åbne over for en lidt ny tilgang og værdsætter komplekse empiriske historier, kan de samfundsvidenskabelige perspektiver fra ADD skabe reel, specifik og lokal indvirkning.
Nu hvor du forlader ADD-projektet, hvad skal du så videre til?
Mit næste forskningsprojekt fokuserer på telekommunikationsnedbrud og cyberangreb i Grønland og Danmark. Dette projekt, finansieret af Carlsbergfondet, hedder DigiBreak. Her sigter min kollega Mette Simonsen Abildgaard og jeg efter at forstå, hvordan folk i dagligdagen håndterer nedbrud af digitale systemer, og udvikle praktiske løsninger baseret på de ressourcer, de har til rådighed. I et andet projekt, som starter i 2025, vil vi se nærmere på infrastrukturprojekter i Arktis, specifikt aldrende datacentre og kabler på Island i mit tilfælde. Dette projekt er finansieret af den Uafhængige Forskningsfond. På mange måder har ADD-projektet givet mig mulighed for at udforske mange flere interessante facetter af digitalisering i Danmark og Arktis.
Hvad vil du savne mest ved at være en del af ADD-projektet?
Det tværfaglige samarbejde, som er integreret i både ADD-projektet og TANTlab på Aalborg Universitet, hvor jeg har været tilknyttet, har fascineret mig fra begyndelsen. At bringe folk fra så mange forskellige akademiske discipliner sammen har været meget interessant at være en del af, og det er noget, der beriger den bredere debat om, hvordan digitale teknologier påvirker det danske samfund. Jeg mener, det er meget værdifuldt for de mange forskningsprojekter i ADD, at de er formet af de diskussioner, vi har haft på tværs af vores mange forskellige discipliner som antropologi, datavidenskab, statskundskab, organisationsteori og mere, for blot at nævne nogle få. Jeg vil savne det, men ser frem til at følge projektet fra sidelinjen.