Cybersecurity governance responses in the Estonian digital governance model, 2007–2023

Abstract

Viimastel aastakümnetel on valitsused üle maailma üha enam digitaliseerinud, mistõttu on tõusetunud küsimused selle kohta, kuidas rakendada küberjulgeolekumehhanisme e-valitsemise lahenduste kaitsmiseks. Selles doktoritöös käsitletakse Eestit kriitilise juhtumina küberjulgeoleku ja e-valitsemise valdkonnas, analüüsides Eesti küberjulgeoleku valitsemise kujunemist. Iseäranis keskendutakse Eesti e-valitsemise süsteemi arengule aastatel 2007–2023. Eesti juhtumianalüüs on kolmetahuline. Esiteks kaardistab doktoritöö Eesti e-valitsemise maastiku ning kõrgelt digitaliseeritud keskkonnale omased küberjulgeolekualased väljakutseid. Teiseks uuritakse riiklikke struktuure ja ökosüsteemi, mis on kujundatud küberjulgeoleku valitsemiseks selles tugevalt digitaliseeritud kontekstis, ning selle kujundamisega seotud kaalutlusi. Kolmandaks analüüsib doktoritöö valitsemisprotsesside toimimist ja otsusetegemist küberjulgeolekukriisi korral, ning mitmekesiseid tegureid, mida selles protsessis arvesse võetakse. Doktoritöö panustab küberjulgeoleku valdkonda uute teoreetiliste ja praktiliste teadmistega. Kaardistav juhtumiuuring Eesti näitel annab avalikult kättesaadavatele allikatele tuginedes põhjaliku ülevaate Eesti e-valitsemise ja küberjulgeoleku maastikust. Poliitikamuutuste ja koostööpõhise valitsemise teooria lõikepunktis panustab doktoritöö analüüsiga, kuidas mitme sidusrühma osalusega õppimise ja kohanemise protsess on viinud küberjulgeoleku valitsemise ökosüsteemi kujunemiseni, mille eesmärk on tugevdada tulevast küberjulgeolekut ning mis on kohandatud Eesti eripärasele digitaliseerituse kontekstile. Lisaks uurib doktoritöö Eesti riigi lähenemisi kesksetele küberjulgeolekukriisidele, käsitledes neid ajaloolise institutsionalismi teooria ja kriisiohje vaatenurgast ning avades otsustusprotsesside kujunemist eesmärgiga tugevdada tulevast küberjulgeolekut. Kuna neid teoreetilisi lähenemisi küberjulgeoleku valitsemisele on varasemalt vähe arendatud, pakub see doktoritöö neis valdkondades uusi teoreetilisi panuseid. Samuti pakub doktoritöö praktilisi õppetunde Eesti kriitilisest juhtumist, mida on võimalik üle kanda ja kohaldada teiste riikide kohalike eripäradega, mis tegelevad küberjulgeoleku väljakutsetega digitaliseeritud valitsemise kontekstis. As governments across the world have increasingly digitalised in recent decades, concerns about how to implement cybersecurity mechanisms to protect e-governance provisions have emerged. This dissertation employs Estonia as a critical case in the domains of cybersecurity and e-governance, examining the evolution of Estonian cybersecurity governance, particularly pertaining to its e-governance system, between 2007 and 2023. This examination of the Estonian case is threefold: firstly, this dissertation explores the landscape of Estonian e-governance and the unique cybersecurity concerns of this highly-digitalised context. Secondly, it examines the governmental structures and ecosystem crafted to govern cybersecurity in a highly-digitalised setting, and the considerations surrounding this process. Thirdly, this dissertation looks at how governance processes and decision-making unfold when a cybersecurity crisis befalls the e-governance system, and the myriad factors that are considered in this process. This dissertation makes novel theoretical and practical contributions in the field of cybersecurity governance. It provides an exploratory case study of the Estonian case, providing an in-depth overview of the Estonian e-governance and cybersecurity landscape using publicly-available documentation. Subsequently, it contributes at the nexus of policy change and collaborative governance theory, looking at how a process of learning and adapting in a multi-stakeholder setting has led to the development of a cybersecurity governance ecosystem aimed at bolstering future cybersecurity and tailored to the unique digitalisation context of Estonia. Additionally, this dissertation examines the governmental approaches to key cybersecurity crises in Estonia, viewing these through a lens of historical institutionalist theory and a crisis management approach, ultimately ascertaining the ways in which decision-making was undertaken, aimed at bolstering future cybersecurity. As these theoretical fields are currently underdeveloped in the domain of cybersecurity governance, this dissertation makes new theoretical contributions in these spaces. In addition, this dissertation offers practical learnings from the Estonian critical case that can be transferred and tailored to the local intricacies of other governments grappling with cybersecurity in the context of their digitalised governmental provisions.