Lär känna insidern

Nyhet , Säkerhetsskydd , Verksamhetsskydd
onsdag 30 november 2022

Att en insider skulle kunna vara vem som helst är något som vi måste börja våga förhålla oss till. Man föds inte till insider utan oftast det är livssituationen som avgör. God säkerhetskultur förebygger och hanterar problematiken.

Vad säger forskningen om insiders?

Vilka är de som väljer att lämna ut företagshemligheter eller bedriva spionage? Vad är det som gör att just de väljer att ta dessa ödesdigra steg? Det är svåra frågor men en del av svaren finns i intervjuer och förhör som har hållits med dem som har blivit avslöjade. Det finns både spioner och infiltratörer men insider blir man först efter en tid, påverkad av något eller någon.

Forskning visar att ca 80 % av alla kända insiderfall i USA på eget initiativ har erbjudit sig att lämna ut information till någon utanför den egna organisationen. De flesta fall har ägt rum utan föregående kontakt med någon främmande underrättelsetjänst. I sammanhanget är det viktigt att skilja på insiders och infiltratörer. En infiltratör är någon som i bedrägligt syfte tar sig tillträde till en organisation eller påbörjar en anställning för att bedriva spioneri eller utföra sabotage. Initiativ från infiltratörer kan komma från främmande makt, ideologiskt motiverade aktörer eller kriminella grupperingar. Skadan som både insiders och infiltratörer åsamkar är jämförbar. Däremot är det mycket ovanligt att personer på eget initiativ påbörjar en anställning för att börja bedriva spioneri.

Historiskt sett har insidern oftast varit en man. Visst förekommer det fall med kvinnor men endast i mindre utsträckning. En förklaring är att det kan ha med maktstrukturer att göra eftersom det oftast är män som fram till modern tid har haft tillgång till skyddsvärd information. Den typiska insidern är en man mellan 30 och 50 år. Många är gifta och har familj. Över hälften har bra positioner i samhället och är högskoleutbildade. De flesta har arbetat flera år i den egna organisationen. Majoriteten av dessa insiders är inte några ensamvargar, något som man annars lätt skulle kunna få bilden av.

Aktuell forskning visar att problematiken endast är toppen är av ett isberg. Trenden är att spionaget och insidersproblematiken mot Sverige och övriga länder ökar.

Tillfälle, förmåga och motiv

Insidern är oftast en anställd, tidigare anställd, leverantör, konsult, forskare eller på annat sätt knuten till verksamheten. Från den egna plattformen kan insidern lätt få access till skyddsvärd information som till exempel anläggningar, säkerhetssystem, data- och it-system. Få insiders har stulit den information som de senare olovligen lämnat ut. Antingen har insidern själv haft egen tillgång till informationen eller så har han fått den av någon kollega. Det kan vara en handling som tillfälligt har lånats ut, uppgifter som snappats upp under ett lunchmöte eller något som framkommit i samband med en ärendedragning. Det kan vara enkelt att komma över känslig information. Det finns alltid ett tillfälle för insidern även om det kan vara slumpartat.

Det måste även finnas en förmåga. Insidern behöver kunna hantera lögnen som denne lever i. Att leva ett dubbelliv som insider är en situation som kan vara mycket pressande.

Slutligen måste det finnas ett motiv. Flera av oss har både tillfälle och förmåga men vår inre kontroll gör att vi saknar motiv. Insidern flyttar fram och sätter sina egna gränser. Hos denne fungerar inte den inre kontrollen.

En insider kan vara vem som helst – men denne har alltid ett motiv.

Bakomliggande motiv

Bakomliggande motiv är oftast ekonomiska. Tidigare handlade det om dålig ekonomi, skulder och brist på pengar. Idag handlar det mer om egen vinning och om människors ökade behov av pengar för överkonsumtion. Den lyxiga fasaden får inte raseras och för att kunna upprätthålla den, räcker den vanliga lönen inte till. Det behövs mer pengar och det extra tillskottet ger guldkant på tillvaron. Informationen som finns att tillgå på arbetet kan då bli lösningen på insiderns problem.

Ofta handlar det om ”greed before need” än om dålig ekonomi och skulder. Att inte ha tillräckligt med pengar för att kunna spela i en högre division kan vara ett känslomässigt dilemma. I en säkerhetsprövning är det därför bättre att lägga fokus på om det finns tecken på att personen lever över sina tillgångar istället för att låta sig oroas över dennes höga bostadslån.

Om insidern är ideologiskt motiverad är motivet oftast inte ekonomiskt. Motivet kan istället vara politiskt, ha koppling till något värdestyrt engagemang eller en ideologisk hjärtefråga. Det finns insiders som är beredda att gå mycket långt för att rädda något som de ideologiskt tycker är mycket viktigare än till exempel Sveriges säkerhet. Ett välkänt fall är ”Cambridge Four”, där fyra brittiska överklasstudenter från Cambridge University samtliga var övertygade kommunister. Före och under andra världskriget försåg de Sovjetunionen med information.

Bakomliggande motiv skulle även kunna grunda sig på besvikelse och bitterhet. Sådana känslor skulle kunna utveckla ett hatiskt känslotillstånd och driva en person mycket långt. Missnöje och bitterhet är därför viktiga indikatorer att ta fasta på. När dessa väl har utvecklats till en pågående hämnd är insidern i mål och då märks inte bitterheten lika väl.

En insiders personlighet

Det handlar oftast om grandiosa personligheter med narcissistiska drag och som dessutom är socialt kompetenta. Det kan vara manipulativa och karismatiska individer. Det kan till och med vara personer som man gärna vill se på ledande positioner i företaget. Med djärvhet utmanar de och tar för sig. De kliver över gränser utan problem och märkligt nog tillåts de av organisationen att göra det. Den försynte och blyge insidern lyser här med sin frånvaro.

Vid en ändamålsenlig säkerhetsprövning hittar man ibland indikatorer som missbruk, privata problem, tidigare brottslighet, konfliktbenägenhet, arbetsrelaterade beteendeförändringar och utsvävande konsumtionsvanor. Samtliga är sårbarheter som kan vara typiska för en insider.

Uppmärksamma – rapportera – förhindra

Det finns förebyggande åtgärder mot problematiken. Först och främst ska det finnas en tydlig säkerhetskultur på alla nivåer i den egna organisationen. Stöd och förståelse från ledning och chefer är ett måste. Det är nödvändigt med tydliga säkerhetsrutiner och en ökad säkerhetsmedvetenhet bland all personal. Vidare rekommenderas ett förebyggande säkerhetsskydd där det förutom säkerhetsprövning även ingår utbildning och riktad rådgivning i säkerhetsrelaterade frågor.

Problematiken med insiders har oftast en psykologisk förklaring. Därför är det viktigt att lära känna sin personal. En väl genomförd säkerhetsprövning vid nyanställning och en uppföljande sådan under hela anställningen är nödvändigt. Var proaktiv och uppmärksamma och avbryt i god tid innan problemen får för allvarliga konsekvenser. Före detta insiders har ibland påtalat att det hade gått för långt och att det inte fanns någon möjlighet för dem att backa. Därför kan det räcka med små åtgärder om dessa sätts in tidigt. Slutligen måste det finnas rutiner för hur man tar om hand om incidenter när skadan väl inträffar.

Bristande kontrollsystem

Kontrollsystemen är ofta ineffektiva. Det händer att vi lånar ut den personliga datorn till obehöriga kollegor. Besökare får ibland följa med in i känsliga utrymmen. Vi får inte ta hem, visa eller låna ut handlingar men det händer att vi gör det ändå. Vi får inte berätta om våra projekt men visst försäger vi oss ibland. Vi får inte lämna ut koden till säkerhetsskåpet men visst sker det. Listan kan göras längre. Det handlar om dålig säkerhetskultur.

Fokusera inte enbart på säkerhetsprövning i samband med nyanställning. En säkerhetsprövning pågår under hela anställningen. Varje chef har ett ansvar behålla och fördjupa personkännedomen om sin personal. Först då har man möjlighet att tidigt upptäcka beteenden innan det går så långt som till ett skadligt beteende. Tänk på att vi känner varandra precis till den gräns som den andre vill att vi ska känna dem och inte ett steg längre.

Ett fungerande säkerhetsskydd är grunden för all beredskapsplanering. Öka motståndskraften och reducera sårbarheterna. Tänk säkerhetsskydd.

Kontakta gärna mig om du vill veta hur vi på Basalt kan hjälpa din verksamhet med ert säkerhetsskydd.

Författare

Per Blom
Konsult säkerhetsskydd
per.blom@basalt.se

Kontakta mig

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional	11 months	Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy	11 months	Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie	2 years	LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang	session	LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc	1 day	LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.

Kaka	Varaktighet	Beskrivning
_ga	2 years	_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE	2 years	Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1	1 minute	Inställd av Google för att särskilja användare.
_gat_UA-55739322-1	1 minute	En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid	1 day	Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen	30 minutes	Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest	session	För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT	2 years	YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager	1 year
nQ_cookieId	1 year	Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory	1 month	LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.

Kaka	Varaktighet	Beskrivning
VISITOR_INFO1_LIVE	5 months 27 days	En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC	session	YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.

Kaka	Varaktighet	Beskrivning
_hjSession_2668272	30 minutes	Ingen beskrivning
_hjSessionUser_2668272	1 year	Ingen beskrivning
AnalyticsSyncHistory	1 month	Ingen beskrivning
li_gc	2 years	Ingen beskrivning
nQ_userVisitId	30 minutes	Ingen beskrivning