Lärdomar och insikter från SRI Summit 2024: ”Vetenskapsbaserade insikter för att förstå och hantera insiderrisk”

Den 5 september i år gick SRI Summit 2024 av stapeln i Stockholm. Över 200 deltagare från privat, offentlig och statlig sektor samlades under en heldag för att få en uppdaterad lägesbild kring dagsaktuella frågor som påverkar både vårt samhälle och den enskilda verksamheten, ny kunskap, nya insikter samt för att nätverka och utbyta erfarenheter.

I september 2025 är det dags för nästa upplaga av SRI Summit – och medan vi förbereder programmet inför nästa år kommer vi att dela med oss av en serie lärdomar och reflektioner från våra olika föreläsningar från årets Summit.

I den här artikeln delar vi med oss av reflektioner från Dr. Eric Langs (PERSEREC, US Department of Defense) föreläsning om forskning och studier kopplat till insiders, insiderrisk och insiderprevention.

Insiderrisk och insiderprevention - Eric Lang PERSEREC - SRI Summit

”Vetenskapsbaserade insikter för att förstå och hantera insiderrisk”

Dr. Eric Lang från PERSEREC lyfte sju ”budord” för att förstå och motarbeta insiderhot. Det finns fyra typer av insiderhot: spionage, extremism/terrorism, sabotage, och lojalitetsproblem/vårdslöshet.

En insider i sig kan antingen vara en slarvig eller oinformerad insider som oavsiktligt bryter mot säkerhetsåtgärder; en vårdslös insider som avsiktligt undviker eller ignorerar säkerhetsåtgärder; eller en illvillig insider som avsiktligt undviker eller ignorerar säkerhetsåtgärder.

Nedan följer en kort sammanfattning av de sju budorden:

1. Den mänskliga faktorn är den viktigaste faktorn, och man bör inte prioritera teknologi över personliga och sociala lösningar.

En person kan bli en insider genom ett samspel mellan behov, narrativ och nätverk. Det vill säga genom att personen kan uppleva sig orättvist behandlad på arbetsplatser, personens syfte eller identitet ger upphov till ett dåligt beteende, och/eller personens nätverk har ett dåligt inflytande.

Ett exempel är att en persons identitet är knuten till arbetsplatsen och att denna person sedan får sparken, vilket skapar en identitetskris. I dessa fall försöker personen, ofta online, att leta efter en ny identitet eller samhörighet, vilket ger grupper och organisationer möjligheten att fånga upp dessa personer och ge dem stöd och en saknade samhörigheten.

2. De anställda är verksamhetens viktigaste styrka, speciellt för att identifiera insiderhot. Man bör förbättra rapporteringen för chefer och anställda.

Forskning inom beteendevetenskap visar på vissa hinder som försvårar rapporteringen av möjliga insiderhot. Däribland att sociala och kulturella normer om att inte skvallra, lojalitet mellan medarbetare, oro över konsekvenserna, oro över repressalier, och förvirring kring vem som har ansvaret att rapportera.

Dessa barriärer kan övervinnas genom att etablera tydliga processer för rapportering, etablera en ansvarskultur, göra rapporteringen och utfallet transparent, göra rapporteringsprocessen icke-bestraffande, träna och utbilda anställda, samt fokusera på de positiva aspekterna av att rapportera.

3. Initiala bakgrundskontroller är nödvändiga, men inte tillräckliga. Man bör utveckla omfattande, rättvisa och effektiva uppföljande kontroller.

Fokusen ligger främst på när den anställda ska in i verksamheten, men statistiken i PERSEREC’s databas visar att alla utom en insider har påbörjat deras anställningar hos regeringen utan avsiktliga insider-intentioner. Det uppföljande arbetet är väsentligt helt enkelt för att människor, och deras omständigheter, förändras.

4. Indikatorlistor, algoritmiska flaggor och prediktiva modeller är viktiga, men begränsade. Man bör säkerställa effektiviteten för det uppföljande arbetet på sätt som är snabbt, integrerat, transparent och humant.

Ett exempel på något som bör dyka upp som väcker varningsflagg är om en anställd försöker få tillgång till dokument eller faciliteter som inte ingår i deras arbetsuppgifter. Detta bör då kunna flaggas för HR och/eller säkerhetsavdelningen. Majoriteten av de incidenter som uppkommer kan och bör hanteras av HR, snarare än säkerhetsavdelningen.

En av de främsta indikatorerna på potentiell risk är en oförmåga eller ovilja att korrigera ens egna dåliga beteende.

5. Personer med psykisk ohälsa är varken farliga eller en insiderrisk. Man bör utbilda hela verksamheten om psykisk hälsa, förespråka att söka hjälp, och minimera stigmat kring psykisk ohälsa.

Anställda oroar sig för det värsta, såsom att bli uppsagda eller bli av med deras lämplighet för att arbeta med säkerhetsklassade uppgifter. Denna oro kan resultera i att anställda med psykisk ohälsa inte söker hjälp eller är ärliga om sin hälsa.

6. Bra ledarskap och arbetskultur på alla nivåer är avgörande. Man bör hjälpa seniora chefer, managers och arbetsledare att utveckla hälsosamma, psykologiskt säkra, och inspirerande arbetskulturer.

Anställda lär sig mer om lämpligt arbetsbeteende från sina arbetskamrater än från företagets officiella policys. Research visar att anställda väger den upplevda nödvändigheten för en säkerhetspolicy mot ansträngningen för att följa policyn. Säkerhetsrelaterade behov som inte upplevs som krav kan hindra efterlevnad, även hos välvilliga anställda.

En arbetskultur som anställda, enligt forskning, värderar mest inkluderar att man känner att ens arbete har betydelse, autonomi, rättvis och etisk behandling, samt autentiska och tillfredsställande sociala kontakter.

En toxisk kultur ökat risken för utbrändhet, vilket i sig ökar risken för att den anställde inte följer säkerhetspolicys lika strikt och dessutom är mer benägen att ladda ner och använda programvara utan företagets tillstånd.

Dr Eric Lang delar med sig av tre praktiska verktyg för att börja arbetet med att förbättra säkerhetskulturen inom verksamheten:

  1. En snabb metod för att bedöma säkerhetskulturen.
  2. Tydliga verktyg för att hjälpa chefer att förbättra den psykologiska säkerheten.(den psykologiska säkerheten handlar om att bli inkluderad, få bidra, och bli utmanad.)
    1. En diskussionsguide om arbetskultur och säkerhetskultur för små grupper.

    7. Meningsfulla mätvärden och beteendebaserad utbildning är avgörande. Man bör överge snabba och otillräckliga utbildnings- och utvärderingsmetoder (även om det är allt som krävs för att visa efterlevnad).

    Det här budordet kan uppnås genom att mäta processer och resultat som är viktiga för verksamheten, till exempel genom att:

    • Upprätthålla ledarskapsstöd.
    • Mäta viktiga kontextuella influenser, till exempel arbetskultur, säkerhetskultur och oavsiktliga konsekvenser.
    • Förbättra mätningarnas validitet, till exempel klick på simulerade phishing-mejl.
    • Förbättra relevansen och effektiviteten i utbildningar, till exempel genom beteendeövningar och övningar med feedback.

    Sammanfattningsvis:
    Inrätta ledarskapsstöd med tydliga mål, policys, utbildning och mätvärden. Etablera samverkan mellan teamen, specifikt HR, säkerhetsskyddschefen, samt en insiderspecialist. Och tillhandahåll effektiv utbildning till alla arbetsledare och chefer, oavsett nivå i verksamheten.

    Vidare läsning:

    PERSEREC:s Threat Lab Toolkit – resurser för insiderprevention och motverkande av insiderrisk:
    https://www.dhra.mil/perserec/threat-lab-toolkit

    ® Scandinavian Recruitment Intelligence | Skapad av Lightweb