Har du en insider i din verksamhet?

SÄPO har de senaste åren levererat ett tydligt budskap; säkerhetshoten mot Sverige ökar och de största säkerhetshoten från andra länder kommer från Ryssland, Iran och Kina. I det här blogginlägget kommer jag fokusera på ett av de många utpekade säkerhetshoten: insiderhotet och hanteringen av det i verksamheters personalsäkerhet.

Vad är en insider?

SÄPO beskriver mer i detalj vad en insider kan vara: "En insider är en person som är behörig att delta i säkerhetskänslig verksamhet eller tar del av säkerhetsskyddsklassificerade uppgifter och använder uppgifterna på ett olovligt sätt genom att till exempel lämna ut dessa till obehöriga eller på annat sätt orsakar skada i den säkerhetskänsliga verksamheten." Läs mer här (under avsnittet personalsäkerhet).

Hade det funnits ett facit till vem insidern är, så hade varje personalsäkerhetsansvarig inom en verksamhet jublat. Svårigheten med att upptäcka en insider är känd – det kan vara vem som helst. Det finns flera kända svenska fall med insiders. Det senaste involverar två bröder, där storebrodern nyligen dömdes för grovt spioneri för att ha sålt information från Försvarsmakten och SÄPO till Ryssland. Stig Wennerström är ett annat exempel. Översten från flygvapnet dömdes även han för grovt spioneri 1963 för att ha sålt ut större delen av Sveriges försvar till Sovjetunionen under omkring 15 år. Även Stig Bergling dömdes för grovt spioneri då han på 70-talet sålde information från Försvarsmakten och SÄPO till Sovjetunionen. Som kuriosa från det fallet kan nämnas att Stig Bergling ett tag hade som arbetsuppgift hos SÄPO att leta efter sig själv, när SÄPO började misstänka att de hade en mullvad i sin egen organisation

Varför blir någon en insider?

Drivkrafterna bakom en insiders beteende kan skifta från fall till fall. För personerna ovan har bland annat följande motiv framhävts:

• Ekonomi: Stärka sin privatekonomi. Köpa exklusivare fastighet, kläder, festarrangemang, öka sin sociala status.

• Besvikelse: Upplevt sig nedvärderad/utfryst på sin arbetsplats, inte fått de befodringar eller arbetsuppgifter man önskat.

• Ideologi: Wennerström motiverade bland annat sitt agerande med att han hade kunnat upprätthålla terrorbalansen i världen och således i praktiken verkat för fred.

Det har inte framkommit information om att någon av individerna redan innan sin anställning har varit fast beslutna att bli en insider, utan det tycks snarare ha handlat om ett beslut som växte fram med tiden.

Hur tänker antagonisten om ”verktyget” insider?

För att förstå vad insiderhotet är för något, måste förståelse finnas för hur det kan tillämpas. Det är här vikten av analys och bedömning kommer in, dvs. en förståelse för hur en antagonist skulle kunna tänka och agera.

I exemplen ovan så har individerna (insidern) som värvas av främmande makt ofta redan tillgång till verksamheten. För antagonistens del gäller det då att leta efter drivkrafter och tillfällen hos individen för att öka sannolikheten att värva personen till att försörja antagonisten med information. Fallgroparna för antagonisten med ett sådant upplägg kan vara många, och en risk som antagonisten hela tiden måste utvärdera är om insidern bland annat är dubbelagent.

Men om antagonisten sett utifrån ett långsiktigt perspektiv istället vill skapa möjlighet att placera ut en motiverad individ från den egna organisationen och därigenom minimera risker och sårbarheter, hur skulle det kunna se ut? Här följer ett exempel på upplägg.

Ryssland erbjuder förmånliga gratisstudier vid sina universitet. En stor del av studenterna kommer bland annat från länder i Sydamerika. Man kan tänka sig att individer som erbjuds gratisstudier och möjligen därefter förmånliga arbetserbjudanden, känner stor tacksamhet mot Ryssland. Det är något som rysk säkerhets- och underrättelsetjänst är väl införstådda i, och en värvningsprocess påbörjas. När väl processen är klar har antagonisten (Ryssland i det här exemplet) ”vunnit över” en individ med ett annat medborgarskap och därmed skapat en mindre sårbarhet mot egen organisation och större förnekelsebarhet mot andra.

Vad kan vi dra för slutsats från detta exempel? Insiders kan alltså ha olika bakgrunder, men också agera utifrån en uppsjö av olika motivationsfaktorer. Det är därför vi inte kommer få en vägledning som säger “så här gör en insider alltid”. Förnekelsebarheten är något att eftersträva; då kan antagonisten “klä av” hotet genom att visa att personen kommer från ett land som inte har pekats ut som ett av de större hoten, vilket kan innebära att den initiala vaksamheten går ner.

Hur avslöjar man en insider?

Exemplen ovan visar på en möjlig insider som är på väg in i eller som sedan länge redan finns i verksamheten. Är insidern en individ som är fast besluten att skada en organisations verksamhet och som samtidigt har kunskaper om hur man kan förbli oupptäckt, då får man hoppas på att individen/antagonisten själv gör ett misstag. Om du arbetar i en verksamhet där säkerhetsfrågor generellt och personalsäkerhet i synnerhet inte prioriteras, ökar risken för att en insider inte behöver ha lika höga förkunskaper för att lyckas med sitt uppdrag och förbli oupptäckt. Men vi kan öka medvetenhet och förståelse kring insiderhotet inom hela organisationen. Som Anna Dahlberg skriver i sin krönika i Expressen:

“Den svenska naiviteten behöver ge vika för en ökad grad av misstänksamhet. Då kommer färre att vilja vara nyttiga idioter åt främmande makt.”

Men är jag inte elak om jag vill “vädra mina tankar” kopplat till en försämrad magkänsla om en kollega? Det är bland annat denna naivitet vi måste sudda ut; i en väl fungerande verksamhet är det inget som är konstigt med att vara uppmärksam och vilja ”vädra”. Det betyder inte att vi ska skapa en angivarkultur. Det handlar lika mycket om att arbetsgivaren ska få en möjlighet att skydda en anställd genom att fånga upp och stötta arbetstagaren i en situation som annars riskerar att utnyttjas av främmande makt.

Men hur går vi till väga med den här informationen i vårt personalsäkerhetsarbete?

Här följer några bra förslag på hur en organisation kan stärka sin personalsäkerhet:

• För det första måste attityden till säkerhetsarbetet komma uppifrån och vävas samman i det det övriga arbetet.

• Personalsäkerhetsarbetet ska inte ses som något kortsiktigt, utan bör utgöra fungerande rutiner och uppföljning (kontroll) som tillämpas över tid.

• Nära kontakt och dialog med anställda där ett öppet klimat välkomnas. Det ska vara enkelt för den anställde att veta vem man kan prata med.

• Utbildning, utbildning, utbildning. Förutom att sända ut viktig information, så är det här ett ypperligt tillfälle för den anställde att få “vädra” sina tankar.

• Se till att ha en välfungerande säkerhetsorganisation som lever upp till det som beskrivs ovan. Förutom att det skapar förtroende för organisationen så inger det även en intern trygghet genom att “ni har koll på läget”.

• Bolla tankar och idéer och ta stöd av exempelvis andra i branschen eller tillsynsmyndigheten om ni kör fast i analyser, bedömningar eller rekommendationer.
  
  

Finns det någon positiv bieffekt av att arbeta aktivt med personalsäkerhet, förutom att vi stärker såväl verksamhetens som Sveriges säkerhet?

• En verksamhet som visar sina anställda att deras säkerhet är viktig, genom att inte bara vid enstaka tillfällen samtala om det utan visar att det sker kontinuerligt och naturligt, är också ett sätt för en verksamhet att bygga lojalitet och pålitlighet hos de anställda.

• Nära kontakt och dialog där ett öppet klimat välkomnas, skapar en möjlighet för en “tränad” säkerhetsorganisation att indikera sårbarheter och i ett tidigt skeende kunna implementera säkerhetsskyddsåtgärder.

• En anställd som upplever att arbetsgivaren värnar om de anställdas säkerhet och också visar det i praktiken, kommer sannolikt att bli mer benägen att påpeka upplevda händelser/fenomen.

• Personalsäkerhetsrekommendationer är något positivt. Det visar på att ni har analyserat informationen och kommer med adekvata rekommendationer, vilket kommer att vara viktigt den dag tillsynsmyndigheten knackar på dörren.

Philip Ölmunger arbetar som säkerhetsskyddsspecialist på Knowit. Han är en mycket erfaren säkerhetsexpert som bl.a. arbetar med personalsäkerhet och säkerhetsskyddsfrågor. Han är specialiserad på utfrågning/samtalsledning och lögndetektion och är instruktör inom ämnet. Även textanalys och psykolingvistik är Philips kompetensområden. Philip har dessutom hög kompetens inom säkerhetsutbildning.