I en tid då hotbilden mot Sverige blir alltmer komplex och svårförutsägbar är det avgörande att vi inte bara ser utåt för att skydda oss, utan också inåt. Insiderhot – handlingar utförda av personer inom en organisation som utnyttjar sin tillgång till information eller resurser för att orsaka skada – utgör en allvarlig risk för både statliga myndigheter och privata företag, oavsett verksamhetsområde. Trots detta saknar Sverige idag en tydligt formulerad strategi för att hantera dessa hot på nationell nivå. Detta inlägg granskar behovet av en sådan strategi och hur lärdomar från USA kan bidra till att bättre förebygga, identifiera och motverka insiderhot.
I säkerhetspolisens (Säpo) vägledning ”personalsäkerhet” behandlas insidern endast kort på sidan fem under rubriken ”vad är en insider”. Här står det bland annat:
”Det är inte möjligt att skapa en generell profil för personer som kan komma att bli insiders. Insiderhandlingar uppstår till följd av ett upplevt motiv samt ett tillfälle som uppkommer på grund av sårbarheter i säkerhetsskyddet”.
Det ligger något i det Säpo skriver – men samtidigt så utelämnas det som varit känt sedan länge genom etablerad forskning: att det finns urskilningsbara mönster hos insiders, att de oftast färdas längs med en kausal bana och att det finns erkända välfungerande metoder för att identifiera personer som befinner sig i riskzonen (Shaw & Sellers, 2015). Säpo skriver i samma stycke att den uppföljande säkerhetsprövningen är av största vikt och visst är den viktig – men den är långt ifrån det enda verktyget tillgängligt för att förebygga, identifiera, mildra och motverka insiderhandlingar.
Att förlita sig på uppföljande säkerhetsprövning som ett verktyg för att ”hitta” insiders är en strategi som gång på gång visat sig vara otillräcklig. Vi ser detta i rapporter och nyhetsartiklar om myndigheter och organisationer som blivit utsatta – allt ifrån de hemligaste delarna inom våra underrättelse- och säkerhetstjänster, finanssektorn och domstolsväsendet. Den rådande utvecklingen, i kombination med den begränsade förmågan hos många organisationer att på ett effektivt sätt upptäcka insiders, gör att behovet av nya mer genomgripande strategier är akut. Det finns vissa företag på den svenska marknaden som är på framkant inom området men vad hände med en central nationell strategi?
Vi är helt enkelt inte förberedda!
USA ett föregångsland
För att förbättra vår beredskap är det viktigt att dra lärdomar från länder som har hanterat allvarliga insiderincidenter, såsom USA. Där har man utvecklat omfattande åtgärder för att hantera insiderhot, baserat på erfarenheter från tidigare fall. Det handlar inte bara om tekniska lösningar utan också om att förstå hur en lojal medarbetare kan förvandlas till en insider, samt vilka faktorer som bidrar till denna utveckling. Exempel från USA visar att framgång ligger i en kombination av tekniska och mänskliga insatser samt ett engagerat arbete med en säkerhetskultur. I Sverige saknas dock beprövade handlingsplaner och strategier för att effektivt identifiera och hantera insiderhot.
I USA har insiderhotprogram blivit en central del av säkerhetsarbetet inom flera organisationer. Erfarenheterna har visat vikten av samarbete mellan säkerhetsfunktionen, HR, beteendevetare och juridiska avdelningen. Fokus ligger alltså inte bara på tekniska lösningar utan också på att involvera medarbetarna och främja en stark säkerhetskultur. Programmen inkluderar utbildning och träning för att medarbetare ska kunna identifiera och rapportera riskbeteenden i tid. Trots att AI diskuteras som ett effektivt verktyg, är det fortfarande den enskilda, utbildade och engagerade medarbetaren som är ovärderlig för att upptäcka avvikande beteenden. Frågan som uppstår är varför denna diskussion är så begränsad i Sverige, trots att problemet är känt. Vad kan vi lära oss från andra länder som har tagit betydande steg för att skydda sig mot insiderhot? Det är hög tid att ta dessa frågor på allvar och utveckla en nationell strategi som är både robust och framåtblickande, samt att introducera begreppet insiderhotprogram i Sverige.
Från reaktivt till proaktivt
I USA har myndigheter som Defence Counterintelligence and Security Agency (DCSA) och deras Center for Development of Security Excellence (CDSE) gjort betydande framsteg inom ”Insider Threat Mitigation”. CDSE har utvecklat metoder och presenterar lösningar som integrerar både tekniska och mänskliga faktorer för att förebygga insiderhot, inklusive avancerad dataanalys och psykologiska profileringsverktyg för tidig upptäckt av avvikande beteende. De betonar också vikten av en stark säkerhetskultur, där alla medarbetare utbildas i att känna igen och rapportera potentiella hot. CDSE erbjuder bland annat verktyg som ”Insider Threat Toolkit” för att stödja organisationer i deras hantering av insiderhot. Cybersecurity and Infrastructure Security Agency (CISA) har också utvecklat riktlinjer och verktyg för att motverka insiderhot, som är tillgängliga för både offentliga och privata organisationer.
Ett proaktivt tillvägagångssätt
I USA har det samordnande organet National Insider Threat Task Force (NITTF), och DCSA tillsammans med Department of Homeland Security (DHS), initierat National Insider Threat Awareness Month (NITAM), en årlig kampanj som syftar till att öka medvetenheten om insiderhot genom utbildning och informationsspridning.
Under denna månad genomförs aktiviteter som workshops, seminarier, webbinarier och distribution av informationsmaterial för att förbättra förståelsen av insiderhot och hur de kan förebyggas. Kampanjen involverar både offentliga och privata organisationer på nationell nivå, vilket skapar en gemensam förståelse och betonar vikten av att identifiera och hantera insiderhot tidigt. NITAM fungerar som en påminnelse om vikten av kontinuerlig utbildning och säkerhetsmedvetenhet, samtidigt som den uppmuntrar organisationer att genomföra eller uppdatera sina egna säkerhetsrutiner. Genom att erbjuda ett omfattande utbud av utbildningsmaterial och vägledningar hjälper NITAM organisationer att integrera insiderhotprogram i sina dagliga rutiner och stärka sin säkerhetskultur proaktivt.
Hur Sverige kan dra nytta av dessa strategier
Genom att studera hur NITTF och DCSA arbetar samt hur CISA strukturerar sina insiderhotprogram och proaktiva medvetandekampanjer, kan Sverige ta viktiga steg för att förbättra vår förmåga att hantera insiderhot. Vi kan lära oss följande:
- Precis som CDSE har gjort, bör Sverige utveckla tydliga riktlinjer och verktyg som kan stödja både offentliga och privata organisationer i att skapa effektiva insiderhotprogram. Dessa riktlinjer bör vara öppna, lättillgängliga och tillämpbara.
- Genom att införa en årlig ”Insiderhotmedvetenhetsmånad” i Sverige kan vi öka medvetenheten om insiderhot och ge alla organisationer möjlighet att fokusera på utbildning och träning inom detta område.
- En viktig del av de amerikanska myndigheternas strategi är öppenhet och främjandet av informationsdelning och samarbete mellan olika aktörer. Sverige skulle kunna dra nytta av att skapa plattformar där företag och myndigheter kan dela erfarenheter och bästa praxis.
Ett nödvändigt skifte för Sveriges säkerhet
Det är uppenbart att svenska myndigheter behöver omvärdera och anpassa sin strategi för att hantera insiderhot. En övergång från en reaktiv till en proaktiv strategi är nödvändig, där insiderhot betraktas som en integrerad del av det nationella säkerhetsarbetet, och där lärdomar dras från internationella exempel. I detta sammanhang bör Säpo ta en ledande roll, med stöd från Militära Underrättelse- och Säkerhetstjänsten (Must) och Försvarets Radioanstalt (FRA), för att skapa en gemensam och enhetlig grund för arbetet. Säpos nuvarande vägledning inom personalsäkerhet är en bra utgångspunkt, men den behöver vara mer genomarbetad, detaljerad och uppdaterad med den senaste forskningen på området.
Det är min uppfattning att personal inom offentlig förvaltning och näringslivet, som söker stöd från Säpo, förväntar sig konkreta och implementerbara handlingsplaner, snarare än generella riktlinjer. Ett proaktivt säkerhetsarbete bör vara enkelt, tydligt och tillämpbart. Om vi inte agerar nu riskerar vi att våra organisationer fortsätter att vara sårbara för insiderhot, vilket kan få allvarliga konsekvenser för vår nationella säkerhet. Detta handlar inte bara om att skydda information, resurser och tillgångar; det handlar också om att upprätthålla förtroendet för våra institutioner och för samhället i stort. Genom att utveckla en nationell strategi kan vi inte bara skydda våra organisationer mer effektivt, utan också stärka Sveriges position som en säker och pålitlig aktör på den internationella scenen.