DISS. ETH Nr. 20279 THE GOVERNANCE OF CYBERSECURITY An Analysis of Public-Private Partnerships in a New Field of Security Policy A B H A N D L U N G zur Erlangung des Titels DOKTOR DER WISSENSCHAFTEN der ETH ZÜRICH vorgelegt von MANUEL SUTER Lic. phil. I, Universität Zürich geboren am 10.08.1979 von Luzern LU Angenommen auf Antrag von Prof. Dr. Andreas Wenger Prof. Dr. Volker Schneider 2012
Summary Catchwords such as cybercrime, cyberterror or cyberwarfare are omnipresent in the current debates on new risks in the field of security policy and more generally, in the everyday media. These terms reflect the fact that the increasing importance of Information and Communication Technologies (ICTs) for modern societies has created new dependencies and entails serious risks. Governments are challenged by this new development as they can hardly mitigate such new risks without the help of the private sector. IT-systems and solutions are not only developed, but also owned and operated by the private sector and therefore, the government often lacks the necessary specialized knowledge to assess threats and implement the appropriate countermeasures. Confronted with this situation, governments started to establish Public-Private Partnerships (PPPs) for cybersecurity. Today, such PPPs play a key role and exist for all important subfields of cybersecurity: for the fight against cybercrime, for the protection of critical information infrastructure, for conducting awareness campaigns, and for developing national policies and strategies. Despite of their importance, PPPs for cybersecurity have so far largely been ignored in scholarly research. Research Question This dissertation aims to increase the knowledge on PPPs for cybersecurity. In particular, it examines the role of public actors in these partnerships. While government agencies are very active in some of these collaborative organizations, they remain rather passive in others. This variation is of great interest as it is linked to the broader question about the right role of governments in the governance of cybersecurity. The research question is therefore: Which factors determine the role of public actors in PPPs for cybersecurity? Theory and Framework of Analysis In order to analyze the role of public actors, the research draws on the theory of network governance, especially on the theoretical approaches to network management. The management of inter-organizational networks such as PPPs is a broadly discussed topic in the literature on networks and public management. Network management differs from traditional top-down management since collaboration cannot be enforced. The literature on network management highlights two distinct forms of management which are important in networks: the management of horizontal interactions (process management) and the management of content (project management). The theory on network management is used to describe and operationalize the dependent variable public network management in PPPs for cybersecurity. The variable consists of two dimensions: the intensity of public network management (how important public actors are for the management of a PPP) and the type of public network management (if public actors are more important for process or project management). It is argued that both the intensity and the type of public network management are determined by the functional and structural characteristics of the PPPs. The goal of the research is therefore to build a contingency model for public network management in PPPs for cybersecurity. Data and Methodology The analysis is based on data collected in an online survey. The dataset includes 61 PPPs from 22 countries (from Europe, North-America and Asia). Descriptive and analytical comparative statistics are used to identify which factors determine the role of public actors in these PPPs. VI
Results The results of the analysis confirm the impact of the functional and structural characteristics of PPPs on the intensity and type of public network management. The intensity of public network management is mainly determined by the functional characteristics number of tasks and target audience. Public network management is more intense in PPPs with many tasks and in PPPs that focus on services for their members. The type of public network management is strongly influenced by the variable phase of development. In the first phase of a partnership, public actors focus on coordinating and activating the members of a PPP; in the second phase, they try to implement content-oriented project management strategies; and they refocus on process management in the third phase. This result confirms that public actors have to adapt their network management strategies to the evolving structure of the partnership. Relevance of the Findings The results of this research have shown that that PPPs need to be understood as interorganizational networks and that they should be managed accordingly. As PPPs vary considerably with regard to their goals and structures, it is impossible to define one single best way for public actors to manage these PPPs. Instead, it has become clear that public actors need to adapt their management strategies to the specific characteristics of the partnerships in which they are involved. The most relevant finding for the practice of cybersecurity governance is thus the need for flexibility of public network management in PPPs. In order to find best practices for public management in PPPs for cybersecurity, the characteristics of the partnerships need to be taken into account. The contingency approach to public network management that has been developed in this research provides the basis to understand and assess the activities of public actors in PPPs for cybersecurity. VII
Zusammenfassung Schlagwörter wie Cyber-Kriminalität, Cyber-Terror oder Cyber-Krieg sind heute allgegenwärtig. Sie veranschaulichen die sicherheitspolitischen Risiken, welche durch die Abhängigkeit moderner Gesellschaften von Informations- und Telekommunikationstechnologien (IKT) entstanden sind. Diese Risiken stellen eine grosse Herausforderung für die Regierungen dar, weil die neuen Technologien von privaten Unternehmen entwickelt und unterhalten werden. Regierungen haben daher oft kaum mehr genügend spezialisiertes Wissen, um die Risiken abzuschätzen und Gegenmassnahmen zu beschliessen oder umzusetzen. Als Antwort auf diese Herausforderung haben viele Regierungen damit begonnen, so genannte Public-Private Partnerships (PPPs) im Bereich der Cyber-Sicherheit zu etablieren. Solche öffentlich-privaten Partnerschaften existieren heute für alle Teilbereiche der Cyber- Sicherheit: für den Kampf gegen die Cyber-Kriminalität, zum Schutz der kritischen Informationsinfrastrukturen, für Kampagnen zur Sensibilisierung der IT-Nutzer und auch zur Entwicklung von neuen Strategien und politischen Initiativen. Trotz der wichtigen Rolle von PPPs im Bereich Cyber-Sicherheit gibt es noch wenig Forschung zu diesem Thema. Forschungsfrage Diese Dissertation soll deshalb das Wissen über solche PPPs erhöhen. Dabei steht vor allem die Rolle der öffentlichen Akteure im Zentrum. Während die öffentlichen Akteure in einigen Partnerschaften eine führende Rolle spielen, bleiben sie in anderen eher passiv. Diese Varianz ist von grossem Interesse, weil sie direkt mit der Frage nach der angemessenen Rolle der Regierungen in der Governance der Cyber-Sicherheit verknüpft ist. Die Forschungsfrage lautet deshalb: Welche Faktoren bestimmen die Rolle der öffentlichen Akteure in PPPs für Cyber-Sicherheit? Theorie und Analyserahmen Um die Rolle der öffentlichen Akteure in PPPs zu analysieren, werden Konzepte aus der Theorie der Network Governance verwendet. Nützlich sind dabei insbesondere die Ansätze, welche zum Netzwerk-Management entwickelt worden sind. In der Verwaltungsforschung werden die Bedeutung von inter-organisationellen Netzwerken und deren Management breit diskutiert. Netzwerke zwischen Organisationen sind zunehmend wichtiger in der öffentlichen Verwaltung. Solche Netzwerke zu steuern und koordinieren stellt neue Anforderungen, da traditionelle, hierarchische Formen des Managements auf Grund der Freiwilligkeit der Zusammenarbeit nicht adäquat sind. In der neueren Literatur werden zwei Formen von Netzwerk-Management unterschieden: das Management von horizontalen Interaktionen (Prozess-Management) und das Management des Inhalts der Zusammenarbeit (Projekt-Management). Diese Literatur wird verwendet, um die abhängige Variable Rolle der öffentlichen Akteure zu beschreiben und zu operationalisieren. Zwei Dimensionen werden dabei untersucht: die Intensität des öffentlichen Netzwerk-Managements (wie wichtig die öffentlichen Akteure für das Management der Partnerschaft sind) und dessen Art (ob öffentliche Akteure eher Prozess- oder Projektmanagement betreiben). Das Hauptargument der Dissertation ist, dass sowohl die Intensität als auch die Art des Netzwerk-Managements durch öffentliche Akteure von den funktionalen und strukturellen Charakteristika der PPPs beeinflusst werden. Das Ziel ist es, ein Kontingenz-Modell zu entwickeln, welches die Rolle von öffentlichen Akteuren im Management von PPPs für Cyber-Sicherheit erklärt. VIII
Daten und Methodik Die Analyse basiert auf Daten, die durch eine online Umfrage erhoben wurden. Der Datensatz umfasst 61 PPPs aus 22 Ländern (aus Europa, Nord-Amerika und Asien). Die Hypothesen werden mit Methoden aus der deskriptiven und analytischen Statistik überprüft. Resultate Die Resultate der Analyse bestätigen den Einfluss der funktionalen und strukturellen Charakteristika der PPPs auf die Intensität und Art des Netzwerk-Managements durch öffentliche Akteure. Die Intensität wird vor allem durch die funktionalen Faktoren Anzahl Aufgaben und Zielpublikum beeinflusst. Öffentliche Akteure sind stärker im Netzwerk- Management involviert, wenn eine PPP mehr Aufgaben hat und wenn das Zielpublikum sich auf die Mitglieder der Partnerschaft beschränkt. Die Qualität des Netzwerk-Managements durch öffentliche Akteure hingegen wird vor allem durch den strukturellen Faktor Alter der PPP beeinflusst. In einer ersten Phase konzentrieren sich öffentliche Akteure auf die Koordination der Zusammenarbeit, dann versuchen sie den Inhalt mitzubestimmen und übernehmen schliesslich in einer dritten Phase wieder vermehrt Koordinationsaufgaben. Dieses Resultat verdeutlicht, dass Netzwerk- Management eine dynamische Aufgabe ist. Relevanz der Ergebnisse Die Analyse hat gezeigt, dass PPPs als Netzwerke zwischen öffentlichen und privaten Akteuren verstanden werden sollten und auch dem entsprechend gesteuert und koordiniert werden müssen. Weil die PPPs für Cyber-Sicherheit verschiedene Aufgaben übernehmen und auch unterschiedliche strukturelle Merkmale vorweisen, ist es unmöglich, eine beste Lösung für das Verhalten von öffentlichen Akteuren in solchen Partnerschaften zu definieren. Stattdessen sollte den Akteuren genügend Freiraum gewährt werden, damit sie ihre Management-Strategien den jeweiligen Begebenheiten innerhalb der PPP anpassen können. Die Wichtigkeit von Flexibilität in der Governance von Cyber-Sicherheit wird durch die Resultate dieser Analyse unterstrichen. Gleichzeitig hilft das entwickelte Kontingenz-Modell die Aktivitäten von öffentlichen Akteuren in PPPs für Cyber-Sicherheit besser zu verstehen und zu beurteilen. IX