Det var ett bistert budskap som statsminister Ulf Kristersson levererade efter mötet med det nationella säkerhetsrådet den 24 januari i år. ”Sverige är i ett utsatt läge och de säkerhetspolitiska förutsättningarna är de svåraste sedan andra världskriget”.

Vad ligger då bakom denna bedömning? Och vad innebär den för oss?

Vi bad Stefan Kristiansson, tidigare chef vid MUST (Militära underrättelse- och säkerhetstjänsten) och numera rådgivare till SRI bidra med sina åsikter kring det rådande säkerhetspolitiska läget i vår kunskaps- och omvärldsbevakningstjänst Kompass.

Här nedan bjuder vi på ett utdrag. Hela vår omvärldsbevakningsrapport för årets första kvartal publiceras i Kompass i mars.

Stefan Kristiansson, rådgivare inom säkerhet till SRI

Om Rysslands militära operationer i Georgien, på Krim och i Ukraina

”Först och främst handlar det om relationerna mellan Ryssland och västvärlden. Ryssland visade redan vid det korta kriget med Georgien 2008 att den ryska ledningen var beredd att ta till militära medel för att driva igenom sin politiska vilja.

Strax efter kriget i Georgien påbörjades också en mycket omfattande militärreform i Ryssland med målet att markant öka den ryska operativa militära förmågan.

Det ska också i detta sammanhang nämnas att Ryssland använder både militära metoder och icke-militära metoder (exempelvis cyberkrigföring, politiska och ekonomiska påtryckningar och desinformation) för att påtvinga en motståndare sin politiska vilja.

Annekteringen av Krim 2014 och invasionen av Ukraina i februari 2022 visade återigen att Ryssland inte respekterade internationella avtal och den säkerhetsordning som under många år reglerat relationerna mellan de europeiska länderna.

Nu, ett knappt år efter det att invasionen inleddes, visar det sig att Ryssland inte förmått att bryta den ukrainska motståndskraften och att president Putin ännu inte lyckats nå sina politiska mål. Den ryska ledningen har således missbedömt både den ukrainska försvarsförmågan och västvärldens stöd till Ukraina.

Vi måste dock räkna med att president Putins mål med kriget är oförändrade, helt enkelt av den anledningen att det inte finns något annat realistiskt alternativ.

Beslutet som nyligen togs om stridsvagnsleveranser till Ukraina har naturligtvis stor betydelse rent militärt men det är samtidigt ett mycket tydligt budskap till Moskva om att västvärlden står enad på Ukrainas sida.

Kriget i Ukraina handlar egentligen om värden. På ena sidan står Ryssland som hävdar den starkes rätt att värna sin egen säkerhet på andras bekostnad. På den andra sidan står den europeiska säkerhetsordningen som garanterar gränsers okränkbarhet och alla länders rätt att bygga sin säkerhet och att göra sina säkerhetspolitiska val.

Idag är relationerna mellan Ryssland och västvärlden havererade på strängt taget alla plan och det är mycket svårt att se att en stabil och fredlig samexistens kan återupprättas i överskådlig tid.”

Om västvärldens sanktioner och påtryckningar

”Det internationella trycket på Ryssland är massivt och många menar att de nio sanktionspaket som hittills beslutats kommer att få full effekt och drabba landet hårt under 2023. Ytterligare sanktioner kommer att införas i närtid.

Vad detta kommer att innebära återstår att se, men det går inte att utesluta risken för radikala inrikespolitiska förändringar. Det vore oklokt att inte redan nu förbereda oss för ett sådant scenario med allt vad det kan innebära.

Förutom konsekvenserna och riskerna som är relaterade till kriget i Ukraina så måste vi också vara beredda att hantera den uppkomna problematiken som är kopplad till vår ansökan om Nato-medlemskap.

Reaktionerna i Turkiet och i delar av den muslimska världen efter koranbränningen mm kan komma att drabba oss både i Sverige och mot svenska intressen i utlandet. Risken för desinformation och propaganda riktat mot oss ökar.”

Om hoten mot Sverige

”Vi får inte heller glömma det ökade underrättelsehotet som fortfarande är riktat mot landet. Säpo har under de senaste åren varnat för att ett 15-tal länder spionerar, med olika syften, mot Sverige och mot svenska intressen i utlandet. Ryssland, Kina och Iran har pekats ut.

Det finns skäl att påminna om att det, förutom de ovan utpekade länderna, finns ytterligare tolv länder. Turkiet ingår med all sannolikhet i denna grupp eftersom man både är intresserade av frågor som har att göra med vår Nato-ansökan och har dessutom behov av att kartlägga turkiska dissidenter i vårt land.

Till följd av kriget och sanktionerna lider Ryssland brist på bland annat tekniska komponenter och kompetens vilket kan leda till att underrättelsehotet ökar.

När det gäller Kina så finns det skäl att påminna om att landet, bland annat genom intrång i IT-system, stjäl tekniska innovationer och lösningar. Man har inom ramen för projekt som till exempel Made in China 2025 ambitionen att den kinesiska industrin ska bli världsledande inom ett flertal områden.

För att tillskansa sig teknisk kompetens köps också teknikföretag i utlandet upp. Ett annat sätt att öka den tekniska kompetensen är att placera partilojala studenter och forskare vid olika lärosäten, inte minst i vårt land.

Chefen för Säkerhetspolisen lyfte, vid Folk och Försvars Rikskonferens, upp tre områden som nu bör ägnas särskild uppmärksamhet i säkerhetsarbetet nämligen energi, telekom och kritiska leveranser.

Förutom detta bedömer Säkerhetspolisen att vi har ett högt terroristhot i Sverige där högerextremistiskt och islamistiskt motiverad terrorism bedöms utgöra det främsta attentatshotet mot landet.

I vårt land har vi ett jämförelsevis lågt säkerhetsmedvetande. Vi är ofta aningslösa, godtrogna eller rent av naiva. I den situation som vi nu befinner oss i har vi inte råd med detta.

Att inte ägna säkerhetsskyddsfrågona tillräcklig uppmärksamhet är riskfyllt. Att inte uppfatta de hot och risker som finns innebär att man kommer i efterhand och det kan leda till allvarliga konsekvenser.

Vi måste vidta åtgärder för att möta den situation som statsministern varnade för.”

SRI:s rekommendationer till ansvariga inom verksamheten

SRI rekommenderar både myndigheter, offentliga verksamheter och privata företag att se över och vid behov reviderar sin säkerhetsskyddsanalys, verksamhetens hotbeskrivning och dess säkerhetsplan – detta för att möta det ökade och ökande hotet från antagonister och statsaktörer.

Dessa dokument kan ha några år på nacken och av den anledningen behöva ses över. Dokumenterade aktiviteter, förbättringsområden och sårbarhetsreducerande åtgärder kan behöva omprioriteras.

Chefer, ledningar och styrelser bör även prioritera att initiera översyn av personal-, informations- och fysisk säkerheten. Först när det är balans mellan dessa tre områden kan säkerhetsskyddet anses vara gott.

Kritiska befattningsinnehavare, som exempelvis säkerhetsskyddsansvarig och informationssäkerhetsansvarig, kan även behöva mer tillgång till ledningsfunktionen och/eller kraftigt utökade resurser för att kunna lösa sin uppgift på ett optimalt och behovsanpassat sätt.

Dessa kritiska kompetenser och befattningsinnehavare behöver också, i ökad utsträckning, utbilda den övriga organisationen, orientera och löpande uppdatera ledningsfunktionen och ledningsgrupp om lägesbild, hotbild samt instruktioner och rutiner. Man bör även tänka igenom var de svagaste länkarna i säkerhetsskyddet finns och vilka åtgärder som ska vidtas.

Fördjupad läsning om personalsäkerhet och säkerhetsskydd:

När vi på SRI genomför team-aktiviteter har vi alltid som målsättning att inkludera fysisk aktivitet och rörelse. Vi gillar helt enkelt att röra på oss tillsammans och tycker att det är självklart att sätta medarbetarnas hälsa i första rummet.

Genom åren har hälsa blivit en viktig del av kulturen på SRI – och sjukfrånvaron är idag låg.

För att uppmuntra till fysisk aktivitet och motverka de negativa effekter som stillasittande kontorsarbete kan medföra – inte minst vid arbete i hemmakontor som inte alltid har samma ergonomiska förutsättningar som ett kontor – har vi som arbetsgivare valt att investera i ett flertal hälsofrämjande insatser.

Friskvård på SRI kan vara en utflykt på e-mountainbike
Rätt rustade för team-utflykt på e-mountainbike.

Med den här artikeln hoppas vi både kunna väcka tankar och inspiration hos dig som är arbetsgivare och berätta om våra hälsoinitiativ för dig som kanske är nyfiken på en karriär hos oss.

Ett exempel på hälsofrämjande initiativ i närtid är vår sommar-konferens då vi valde att lära oss att segla tillsammans och även tävla mot varandra i två lag som team building-aktivitet. Vi hyrde två imponerande 50-fots segelbåtar med erfarna skeppare och gav oss ut. Dagen började med ett teori-pass och övning. Efter en lunch till sjöss var det dags att tävla. Först till mållinjen vann den åtråvärda SRI-bucklan.

Rätt rustade för segling i skärgården.
Friskvård i form av tävling med segelbåtar
Fysisk aktivitet blir roligare med ett tävlingsmoment.

För att skapa optimala förutsättningar för detta och för att alla medarbetare skulle vara rustade för omväxlande väder till sjöss och för att skota och kryssa i Stockholms skärgård tog vi kontakt med våra vänner på Henmark som hjälpte oss att fram SRI-friluftskläder. Alla medarbetare fick varsin uppsättning rejäla byxor, varma hoodies, vind-västar och kepsar för att klara av växlande väder ute på sjön. Dessa kläder kom även väl till pass på höstens konferens i Italien när vi cyklade mountainbike och gick på hike i de toskanska bergen.

Friskvård skapar många positiva värden

Aktiviteter som dessa skapar många positiva värden: Vi får möjlighet att bryta av från vardagen och komma bort från skrivbordet, lära känna varandra bättre, prata, diskutera idéer och produktutveckla – samtidigt som alla gör varsin ordentlig insättning på hälso-kontot.

SRI:s recept för friskvård och välmående medarbetare:

  • Alla medarbetare uppmuntras att träna på arbetstid.
  • Vi bjuder regelbundet in till gruppträning med PT och träningsutmaningar med fokus på inkludering så att alla, oavsett kondition och tidigare erfarenhet av träning, kan delta.
  • Vi investerar i träningskläder och annan utrustning för ett aktivt liv som våra medarbetare får i syfte att skapa förutsättningar för träning och välmående.
  • Hälso-kulturen drivs organiskt av medarbetarna själva som bland annat startar Teams-grupper och annat för att peppa varandra och uppmuntra till promenader, löpning med mera.
  • Alla medarbetare får möjlighet att utnyttja det största möjliga beloppet för friskvårdsbidrag.
Friskvård och aktiva medarbetare på SRI
Team SRI på vandring som aktivitet i samband med en konferens.

De geopolitiska förändringarna och det säkerhetspolitiska omvärldsläget som försämrats kraftigt det senaste året har en direkt och konkret negativ påverkan på Sverige, svenska verksamheter och deras leverantörsled.

Den negativa säkerhetspolitiska utvecklingen har resulterat i en ökad hotbild mot försvarssektorn såväl som myndigheter, leverantörer samt underleverantörer inom denna sektor.

Samtidigt pågår en utdragen och inte helt friktionsfri Nato-ansökningsprocess och Försvarsmakten, Försvarets Materielverk och flera andra myndigheter förväntas växa kraftigt under de kommande åren, vilket bland annat har en direkt påverkan på tillverkning, utveckling och innovation.

Ökad hotbild mot verksamheter i försvarssektorn

De ryska underrättelsetjänsterna GRU och SVR har i närtid (under 2022) förekommit i misstänkta spionutredningar där olika individer nu sitter anhållna, häktade eller har blivit dömda. De utvisningar som skedde ifrån flertalet Europeiskaländer, unisont – av ryska diplomater som skedde under våren 2022 – där dessa var misstänkta underrättelseofficerare – har fått dessa organ att justera hur de arbetar och hur fort de behöver gå fram, vilket har resulterat i att deras benägenhet att ta risker därmed har förskjutits.

Under slutet av januari har de två bröderna som suttit häktade åtalats och dömts till långa fängelsestraff här i Sverige. Dessa ska ha tillhört och värvats av GRU.

Under januari har även ett flertal personer ertappats och gripits vid svenska skyddsobjekt tillhörande svensk försvarsindustri. De som gripits har samtliga varit utländska medborgare.

En hög medvetenhet, en aktiv informationsinhämtning om hur omvärldsläget förändras samt en planering över åtgärder idag och imorgon, beroende på utveckling – bör prioriteras, särskilt om man bedriver säkerhetskänslig verksamhet inom de områden där GRU och SVR nu arbetar febrilt.

Ett starkt säkerhetsskydd är en förutsättning för den fortsatta tillväxten av Sveriges försvar och i förlängningen dess integritet och förmåga. För att möta det ökade hotet behöver verksamheter, leverantörer och underleverantörer fokuserat och kontinuerligt utveckla och stärka sina säkerhetsskyddsrelaterade delar i verksamheten samt utbilda och fortbilda sin personal.

Kom även ihåg:
Rapportera skyndsamt säkerhetshotande händelser eller misstänkta observationer som du eller ni gör, oavsett om detta är inom verksamheten eller privat. Tipsa Säkerhetspolisen här: https://tips.sakerhetspolisen.se/tips/

På SRI ser vi säkerhetskultur som en viktig och naturlig komponent i ett starkt arbetsgivarvarumärke, inte minst i tider då omvärlden är både osäker och volatil.

För att slå ett slag för att fler borde tänka säkerhet centrerad runt människan som en del av arbetsgivarvarumärket går SRI in som huvudsponsor av kategorin People TechMagnet Awards – SM i Employer branding. I den här artikeln berättar vi mer om varför.

SRI sponsrar Magnet Awards 2023

Att bygga och vässa sitt utåtriktade employer brand, sitt arbetsgivarvarumärke, är viktigt från ett rekryteringsperspektiv – både när konjunkturen är sådan att man pratar om att det är ”kandidatens marknad”, men även i tuffa tider då tusentals högutbildade kompetenser får lämna stora varumärken och blir tillgängliga på arbetsmarknaden.

Men employer branding är mycket viktigare än så. Employer branding handlar även om det interna byggandet av positiv och hälsosam kultur baserat på viktiga värderingar och hörnstenar som tillsammans skapar sunda arbetsplatser.

Vi på SRI imponeras av alla små och stora svenska arbetsgivare som arbetar dedikerat med att bygga och utveckla en stark kultur baserat på sin värdegrund där både ledning och medarbetare lever och andas dessa värderingar och tillsammans främjar positiv företagskultur varje dag.

Ny forskning från Försvarshögskolan, Universitetet i Bergen och andra lärosäten har dessutom visat att anställda som delar sin organisations värdegrund är en framgångsfaktor – och värdegrund kopplat till säkerhet är inget undantag.

SRI huvudsponsor för kategorin People Tech på Magnet Awards

Magnet Awards, SM i Employer Branding, uppmärksammar och premierar Sveriges bästa insatser inom employer branding och i år har vi på SRI valt att delta som huvudsponsor för kategorin People Tech.


”Det känns jätteroligt att SRI valt att sponsra årets upplaga av Magnet Employer Branding Awards.  En del i framgångsrik employer branding är att ta hand om befintliga medarbetare och där spelar säkra anställningar och trygghet på arbetsplatsen en stor roll – SRI:s verksamhet bidrar till att skapa attraktiva arbetsgivare och arbetsgivarvarumärken,” säger Claes Peyron, Managing Director på Universum (en av fem byråer som anordnar tävlingen).

För oss ligger en särskild typ av kultur lite extra nära hjärtat, nämligen säkerhetskultur.

”Säkerhetskultur är något som vi pratar mycket om med våra kunder – och frågan om att bygga och utveckla en stark säkerhetskultur har fått förnyat fokus i och med det rådande omvärldsläget. Det är även glädjande att fler och fler arbetsgivare fokuserar på och investerar i att bygga gedigen säkerhetskultur som en naturlig del av sitt arbetsgivarvarumärke.

People Tech-kategorin ligger oss och vårt arbete med att utveckla effektiva digitala tjänster inom säkerhet centrerade kring människan nära och vi ser fram emot att få presentera vinnarna i denna kategori på Magnet Awards i Stockholm den 15 mars,” säger Peter Helin, projektledare på SRI. 

Säkerhetskultur som en del av ett starkt arbetsgivarvarumärke

Med tanke på vår verksamhet arbetar vi själva med att ständigt lyfta fram säkerhetskultur som en del av vårt eget arbetsgivarvarumärke – men det är även något som vi otröttligt pratar med våra kunder om, och även utbildar i.

Att få hela verksamheten att tänka ”säkerhet” i det dagliga arbetet är en utmaning – men om man börjar tidigt, redan i rekryteringsfasen, så blir det ofta ett naturligt inslag på arbetsplatsen och något som den enskilde medarbetaren kan känna sig stolt över.

”En och samma individ kan vara olika benägen att rapportera fel på olika arbetsplatser eftersom det ”kostar” olika mycket för den enskilde. Individen är viktig, men miljön är väsentlig. Det är där säkerhetskultur och värdegrund uppstår,” säger Erica Eriksson, expert inom personalsäkerhet på SRI.

Säkerhetskultur handlar inte heller bara om att låsa och larma när man går för dagen. Idag gäller det att tänka större än så. Det handlar även om att vara mer sensorisk och tidigt fånga upp medarbetare vars normalbild förändras, där exempelvis beteendet eller kontakten med kollegor försämras övertid.

Säkerhetskultur på arbetsplatsen

Det handlar även om att uppmuntra till vaksamhet kring avvikelser – och på så sätt undvika potentiellt allvarliga situationer, exempelvis att en insider etablerar sig i verksamheten.

“Om vi litar på varandra så märker vi när något händer i den andres liv. Om vi har förtroende så vågar vi även ställa frågor som ”Vad händer i ditt liv? Hur mår du egentligen?” De samtalen behöver vi på arbetsplatsen, speciellt nu, och även tidigare under pandemin. Men det måste komma från ett genuint intresse. Det kan inte vara så stolpigt och formellt. Det bygger ingen säkerhetskultur,” avslutar Erica.

Här kan du läsa fler av Ericas tips på hur man bygger säkerhetskultur i verksamheten.

Vi hoppas att vi ses på Magnet Awards den 15 mars!

Nu i januari skärptes kontrollerna i verksamheter som bedriver säkerhetskänslig verksamhet och brister i säkerhetsskydd och personalsäkerhet kan då bli en kostsam historia. Regeringen gav tidigare i år Försvarsmakten och Säkerhetspolisen i uppdrag att etablera ett nytt tillsynssystem inom säkerhetsskyddsområdet och det är nu något som träder i kraft.

Tillsynssystemet innebär i praktiken att verksamhetsutövare som innehar SUA-avtal får ett betydligt större ansvar för att utöva tillsyn och rapportera brister i det egna leverantörsledet.

bristande säkerhetsskyddsarbete kostsam historia

”Det saknas ofta flera viktiga pusselbitar inom området Personalsäkerhet, många arbetsgivare kommer snabbt behöver göra insatser för att både följa lagen och samtidigt undvika viten,” berättar Erica Eriksson, Affärsområdeschef för Säkerhetsskydd på SRI.

Ericas erfarenhet är att många organisationer upplever utmaningar kopplat till att implementera dessa nya processer och få ihop helheten.

”Om man stannar upp, reflekterar och sätter tydliga processer som kommuniceras innan man börjar med exempelvis säkerhetsprövningar har man mycket att vinna. Dels vinner man medarbetarnas förtroende och minskar risken att hamna i diskrimineringsärenden. Dels kan man kan tydligt se att alla lagstyrda komponenter är på plats, som exempelvis uppföljande säkerhetsprövning och utbildning.”

Parallellt med den ökade tillsynen kan verksamheter som brister i säkerhetsskyddet åläggas viten på upp till 50 miljoner kronor.

”Det positiva är att det finns lågt hängande frukt gällande de insatser som krävs för att linjera med lagkrav och därmed även undvika dessa hissnande vitesbelopp. När vi tar oss an ett nytt uppdrag brukar det börja med en ordentlig inventering av vad som finns på plats, vad som saknas och var bristerna är mest akuta.”

SRI har tagit fram en heltäckande verktygslåda inom säkerhetsskydd. Den täcker in allt ifrån policy-dokument och verktyg för chefer som ska arbeta med säkerhetsprövning till digitala utbildningar inom säkerhetsskydd, som underlättar vid kontroll från tillsynsmyndigheter och minimerar tidsåtgång för alla inblandade.

”Just kombinationen av strategiska och operativa insatser som kan sjösättas parallellt har visat sig vara mycket effektivt. På ledningsnivå är man mån om både tids- och kostnadsaspekten och vi kan på detta sätt värna om båda,” avslutar Erica.

Efterfrågan på bakgrundskontroller bland arbetsgivare har ökat kraftigt under de senaste fem åren. Samtidigt har kraven på andra typer av prövningar såsom säkerhetsprövningar och andra regulatoriska prövningar skärpts avsevärt. Därmed har även ett större behov av stöd och säkerhetsutbildning utkristalliserat sig inom många verksamheter.  

De ökande behoven och de skärpta kraven var något som som Anders Selvehed, Dennis Unefäldt, Johan Hasslert och Pierre Gudmundson, partners på SRI, tagit fasta på när de utvecklat företaget från starten 2016 i en skrubb på Gärdet i Stockholm till att 2022 bli utsett till Gasell-företag och placera in på plats sju i Stockholmsregionen.

Gasellföretag 2022 - SRI

Pierre Gudmundson, SRI:s grundare, berättar att han valde att starta SRI mycket på grund av att han såg ett behov av bakgrundskontroller med både bättre kvalitet och snabbare leveranstid:

”Under mina år inom Polisen och Försvarsmakten beställde jag ofta bakgrundskontroller av privata aktörer. Jag upplevde många gånger att det saknades viktiga delar i de leveranser jag fick och dessutom tog det ofta lång tid, vilket kunde sinka mig i mitt arbete. Det var tydligt att det fanns en öppning på marknaden. 2016 föddes SRI och året därpå träffade jag Anders, Dennis och Johan. Vi insåg snabbt att kombinationen av våra kompetenser och erfarenheter var som hand i handske.”  

”Vi bestämde oss tidigt för att bygga ett bolag där spetskompetens, kvalitet och förtroende stod högst upp på dagordningen, i kombination med digitala, smarta och säkra lösningar,” säger Johan Hasslert.  

Visionen står fast även idag och våra kunder bekräftar år efter år att vi ger dem det de behöver, när de behöver det,” säger Dennis Unefäldt och fortsätter: ”Skillnaden nu jämfört med 2016 är att vi är betydligt fler, vi har knutit till oss ett fantastiskt team med en bred flora av spetskompetenser och vårt erbjudande både har utvecklats och breddats.” 

På den vägen är det, och sedan dess har SRI växt snabbt under senaste åren och lanserat både en populär e-learningtjänst för säkerhetsutbildningar och flera digitala tjänster som radikalt har förändrat hur organisationer arbetar med säkerhet vid rekrytering, säkerhetsskydd och regulatoriska prövningar.  

Inom kort lanserar vi vår senaste tjänst Uppföljande säkerhetsprövning – en efterlängtad tjänst som förutspås lösa en av de största utmaningarna för verksamheter som lyder under säkerhetsskyddslagen: Årlig cyklisk uppföljning av personal i säkerhetsklassade befattningar. 

”Vår vision från början med SRI var att göra det viktiga och stundtals komplexa säkerhetsarbetet enkelt och automatiserat. Dels för den som ska rekrytera eller utveckla personal, men framför allt för den som ska granskas eller inplaceras. Vi har mycket kvar att göra men så här långt tycker jag att vi verkligen har lyckats. Vi ska fortsätta att växa utifrån begreppet ”Security-as-a-Service”. Regulatoriska krav ska inte vara tunga och svåra att efterleva för våra kunder,” säger Anders Selvehed. 

”Att vi nu uppnått de kriterierna som krävs för att bli en Gasell känns helt fantastiskt. Samtidigt måste jag sticka ut hakan och säga att jag inte är förvånad!” avslutar Pierre. 

När vi utvecklar våra digitala kurser är feedback från våra tilltänkta målgrupper a och o för säkerställa att kunskapsnivån är rätt, att våra utbildares pedagogik når fram hela vägen och att vi lyckas förmedla all den kunskap som vi vill att kursdeltagaren ska få med sig.

En kursdeltagare som fått möjlighet att testa både vår senaste kurs ”Introduktionskurs till OSINT med fokus på Google för offentlig sektor” och vår kurs ”Intervjuledare säkerhetsprövning” är Tommy som arbetar med säkerhetsfrågor inom en myndighet med inriktning mot säkerhet.

Vi fick några ord med Tommy om hans upplevelser av båda kurserna.

Säkerhetsutbildning - intervjuledare

Hej Tommy!

Du arbetar till vardags med säkerhetsfrågor på en stor myndighet där säkerhet står mycket högt på agendan. För inte så länge sedan gick du våra kurser Introduktionskurs till OSINT med fokus på Google för offentlig sektor och Intervjuledare säkerhetsprövning. Tack för att vi får ställa några frågor till dig!

Vad hade du för förkunskaper inom dessa områden innan du gick kurserna?

”Innan jag gick OSINT-kursen har jag försökt att lära mig OSINT på egen hand. Problemet med detta är att man lätt missar den grundläggande strukturen, vilket jag tycker man får i denna kurs.”

Grundkursen till OSINT fokuserar på Google som sökverktyg. Därför har vi valt att centrera mycket av kunskapen kring grundläggande söktekniker, såsom booleska sökoperatörer, och kombinera dessa tekniker med grundläggande kunskap inom underrättelsemetodik och OSINT-arbete i digitala öppna källor.

”Kursen Intervjuledare säkerhetsprövning gav mig en helt ny syn på säkerhetsprövning. Jag har under många år varit behjälplig samt hållit i intervjuer inom mitt verksamhetsområde, dock ej säkerhetsprövningsintervjuer. Denna kurs gav mig rätt grundläggande verktyg för att kunna vidareutvecklas inom området.”

Kursen Intervjuledare säkerhetsprövning riktar sig till alla som i sin yrkesroll fått ansvar för att genomföra säkerhetsprövningsintervjuer. Kursen är specifikt utformad för att snabbt ”klä på” deltagaren med grundläggande kunskaper och verktyg för att ge deltagaren bra förutsättningar för att genomföra sina första egna säkerhetsprövningsintervjuer efter avklarad kurs, något som Tommy upplever att han uppnått efter avklarad kurs:

”Jag är som sagt relativt ny när det gäller genomförande av just säkerhetsprövningsintervjuer, men känner att jag fick goda kunskaper samtidigt som jag kan se att redan erfarna kan ha nytta av denna kurs. Efter en sådan här kurs är man absolut inte klar som samtalsledare men man har fått bra förutsättning att arbeta vidare på. I kursen nämndes det många gånger att man ska vara ödmjuk och ha respekt för individen som intervjuas. Jag tycker att det är väldigt bra att man lyfter upp det.”

Hur har din syn på rollen som intervjuledare/samtalsledare förändrats?

”Jag har själv suttit i säkerhetsprövningsintervjuer (som sökande) och har fått en helt ny förståelse för hantverket. Det är ett hantverk som kräver övning.”

OSINT, Open Source Intelligence, är en underrättelsedisciplin som har fått mycket luft under vingarna under de senaste åren. Är detta något som du tror kommer att bli viktigare även inom den myndighet som du arbetar på?

Allt går att hitta på internet, bara man vet hur och vart man ska leta. OSINT kan vara ett väldigt bra komplement till annan underrättelseinformation, då underrättelseinformation oftast är information som inte går att använda i tex beslutsunderlag eller vice versa.”

”OSINT upplever jag, inom min myndighet, vara en oslipad diamant. Detta är en disciplin som blir viktigare och viktigare för många verksamheter. Jag kommer att rekommendera denna kurs till min myndighet.”

När vi frågar Tommy vilka de främsta nya kunskaperna och insikterna från respektive kurs menar han att OSINT-kursen har gett honom nya verktyg för att kunna arbeta mer strukturerat och metodiskt med informationsinhämtning för att snabbare nå fram till ett träffsäkert resultat. Intervjuledar-kursen gav i stället Tommy blodad tand och inspiration till fortsatt lärande:

”Kursen intervjuledare gav mig helt enkelt mersmak och en vilja att fördjupa mig mer i ämnet.”

Vilka kunskaper från de båda kurserna tror du själv att du kan applicera direkt i ditt dagliga arbete?

”Det finns information i intervjuledar-kursen som kan användas i många andra sammanhang än säkerhetsprövningsintervjuer, till exempel vid så kallade svåra samtal.”

”OSINT-kursen är en bra grundläggande kurs och jag tror att många kommer att få aha-upplevelser och finna nytta av den, speciellt avsnittet som hanterar de booleska operatörerna.”

Båda kurserna är utformade på ett sätt som syftar till att ge deltagaren maximal kunskap och förståelse inom en relativt komprimerad tidsrymd, exempelvis 1–2 timmar. Tycker du att vi lyckades med detta?

”Jag tycker båda kurserna uppfyller sitt mål/syfte och är pedagogiskt upplagda. Det finns en tydlig röd tråd i båda kurserna med bra kombination av information i video, ljud och text. Följer man instruktionerna i kursen klarar man slutproven.”

”Fördelen med en sådan här kurs är att man kan pausa och fortsätta vid ett senare tillfälle eller titta igen om det var något man missade. OSINT-kursen uppskattades ta 1–2 timmar att slutföra. Det tycker jag är en lämplig uppskattning.”

”När det gäller intervjuledar-kursen så kan man nog klara av den på 1–2 timmar också, men jag ville få ut så mycket som möjligt av den, så det tog lite länge tid för mig.”

Fanns det delar i kurserna som du gärna sett mer av?

”Ett OSINT-arbete kan bli hur stor som helst. Jag hade gärna tagit del av tips och verktyg för hur man kan hålla ordning på all information och alla källor som man arbetar med, exempelvis förslag på webbsidor eller program som finns tillgängligt. I övrigt uppfyllde kurserna mina förväntningar och jag kan varmt rekommendera båda!”

Tack Tommy och lycka till med både OSINT-arbetet och framtida säkerhetsprövningsintervjuer!

I den stunden som Sverige valde att gå med i NATO klev både offentliga verksamheter, näringslivet och vi som arbetar med säkerhet, säkerhetsskydd och personalsäkerhet in i en ny kontext. Ett inträde i NATO kommer att innebära många stora och små förändringar för vårt svenska samhälle och en av dem är det som i folkmun kallas för ”NATO-standard”, men som egentligen går under förkortningen STANAG.

STANAG, NATO och Personalsäkerhet - SRI

Vad är STANAG?

STANAG (som står för Standardization Agreement) är ett regelverk som skapar förutsättningar för allierade och medlemsländer att i så hög utsträckning som möjligt ha likformade, integrerbara eller identiska koncept, system och liknande. Detta för att i en skarp situation ha så goda förutsättningar som möjligt att verka och samverka utan olika typer av hinder i vägen. STANAG är stommen som skapar dessa förutsättningar, lika för alla, till fördel för alla.

När det gäller hårdvara kan STANAG exempelvis handla om att NATO:s medlemsländer har kommit överens om att olika typer av vapensystem ska kunna användas sömlöst mellan olika flygplanstyper, men standarden täcker även in data och information.

Inom NATO finns det nämligen även en egen struktur för informationsklassning, precis som i Säkerhetsskyddslagen men där det inte längre är Sveriges säkerhet i fokus utan NATO:s.

Personalsäkerhet med NATO-standard

Inom NATO finns även området som kallas ”personalsäkerhet”. Även här gäller samma koncept och grund. Det innebär att säkerhetsprövning enligt STANAG följer en NATO-gemensam-process och att denna ska se likadan ut och bygga på samma beslutsunderlag, oavsett i vilket land en individ ska prövas mot denna kontext.

Precis som inom Säkerhetsskyddslagen kan nivån och informationsklassningen man ska få tillgång till i sin befattning, styra exakt hur processen ser ut och vad den innehåller för olika moment. Logiken är dock densamma, den bygger på en grundutredning och en säkerhetsprövningsintervju.

Att kunna hantera, känna till och efterleva STANAG inom de områden som är relevanta för en verksamhet i det svenska privata näringslivet kan vara en stor konkurrensfördel men också en del som annars kan vara direkt diskvalificerande i en framtida situation kring avtal eller samarbete. Det finns därför flera tydliga anledningar till att sätta sig in i, inhämta kunskap och analysera det som rör sin egna verksamhets relation till STANAG.

Det är ännu inte helt tydligt vad man som säkerhetsskyddsfunktion eller som verksamhet behöver tänka på eller vilka anpassningar som kommer att föreslås eller krävas. Men, om man verkar inom exempelvis försvarssektorn gör man klokt i att börja omvärldsbevaka, sondera och analysera om man kommer att behöva ta hänsyn till STANAG i sitt personalsäkerhetsarbete.

Den senaste tidens utveckling i Europa har onekligen väckt många tankar kring de hot och risker som vårt samhälle står inför. Den oroväckande takt som hotbilden har utvecklats kan även sätta press på verksamheter att implementera säkerhetsåtgärder och rutiner här och nu (kanske helst igår).

I den här artikeln pratar vi med SRI:s säkerhetsexpert Erica Eriksson om hur en löpande öppen dialog och ett långsiktigt och strategiskt arbete kring säkerhetskultur är väsentligt för att stärka organisationer.

Säkerhetskultur i verksamheten

Delad värdegrund en framgångsfaktor – och värdegrund kopplat till säkerhet är inget undantag

Ny forskning från Försvarshögskolan, Universitetet i Bergen och andra lärosäten har visat att anställda som delar sin organisations värdegrund är en framgångsfaktor. Medarbetaren blir både bättre på sina tilldelade uppgifter och på att fånga upp problem på arbetsplatsen. Med andra ord ökar produktiviteten och anställda kan lättare identifiera potentiella brister i säkerheten.

Men, när organisation och medarbetare inte delar värdegrund bäddar det för problem som inte bara påverkar säkerheten i den egna verksamheten, utan ibland även säkerheten för samhällsviktig verksamhet i Sverige. Närtida exempel på detta är bland annat: 

  • En läkare vid Danderyds sjukhus ertappades med att ge ovetenskapliga råd till patienter. Under gruppövningar ska patienter bland annat ha uppmanats “detoxa med hjärtat och att suga näring ur jorden”. Kliniken tar avstånd från den numera före detta anställdas handlingar och förespråkar beprövad behandling med tydlig vetenskaplig förankring.
  • En banktjänsteman utnyttjade sin position vid en av Sveriges största banker för att tillsammans med en mäklare tvätta hundratals miljoner kronor åt det så kallade ”Södertälje-nätverket”. Polisen misstänker att banktjänstemannen tagit emot en summa pengar från det kriminella nätverket som ersättning för att bevilja lån som banken annars hade avslagit.
  • Personer med kriminella kopplingar misstänks ha fått anställning inom Kriminalvården. Myndigheten misstänker att personerna i fråga sökt sig till kriminalvården med syfte att infiltrera organisationen och att deras lojalitet från början legat hos de kriminella kontakterna.

Vad innebär säkerhetskultur och hur bygger man en bra kultur?

Erica Eriksson - Affärsområdeschef SäkerhetsskyddErica Eriksson, Affärsområdeschef för Säkerhetsskydd på SRI, menar att det är direkt avgörande för en välfungerande säkerhetskultur att medarbetarna vågar räcka upp handen om något gått fel.

”Det är viktigt att få medarbetare att förstå att de, genom att vara vaksamma och genom att de vågar räcka upp handen och rapportera, hjälper till att täppa till säkerhetsbristerna. Att uppmärksamma hot är en viktig förutsättning för att stärka verksamheten.”

“Säkerhetskultur handlar om att förstå vad som är viktigt, om att sätta laget före jaget. Att ha ett metaperspektiv på sitt agerande och höja blicken, till exempel att se Sveriges perspektiv och därtill verksamhetens del i Sveriges säkerhet,” säger Erica och fortsätter:

“En och samma individ kan vara olika benägen att rapportera fel på olika arbetsplatser eftersom det ”kostar” olika mycket för den enskilde. Individen är viktig, men miljön är väsentlig. Det är där säkerhetskultur och värdegrund uppstår.”

Hur bör man arbeta för att främja och utveckla en stark säkerhetskultur i verksamheten?

Ericas erfarenhet är att kommunikation mellan ledning och medarbetare är en grundpelare. Erica berättar även att utbildning är en nyckelfaktor i säkerhetsarbetet eftersom medarbetaren måste förstå vad den ska göra, när den ska göra det och inte minst, varför den ska göra det.

“Det är en vanlig missuppfattning att säkerhetsskyddschefen är den enda som måste ha kunskap om säkerhet, men det är inte bara chefen som bedriver säkerhetsarbetet, utan allas arbete är en del av säkerhetskulturen.”

“Oavsett vad för verksamhet man bedriver måste man tänka på vad som är skyddsvärt för den egna verksamheten. Allt kan handla om företagets överlevnad, därför borde man kartlägga vad som är företagets kärnvärden. Det kan handla om att öka försäljning eller att vara restriktiv med att prata med utomstående. Då visar man skyddsvärda områden för organisationens inre liv och man bör öka förståelsen för hur viktigt det är att skydda sin egen information. I grunden handlar det om att bygga förståelse för varför man bör skydda saker.”

“De verksamheter som har en bra säkerhetskultur är transparenta med sina medarbetare, informerar om åtgärder och är noga med att få medarbetarna att känna sig inkluderande. Värdegrund är stort, vitt begrepp, men man kan säga att “öppenhet” är en värdegrund i organisationen.”

Hur relaterar arbetet med säkerhetsprövningsintervjuer till värdegrund och kultur?

Erica berättar att för de verksamheter som omfattas av säkerhetsskyddslagen är säkerhetsprövningsintervjuer en viktig del i säkerhetskulturen eftersom medarbetarens potentiella sårbarheter kartläggs.

”Sårbarheter är kontextuella och det är först när man undersökt kombinationen av en person och en viss verksamhet som risker blir tydliga.”

“Vid intervjuer är det viktigt med en mänsklig dialog där individen respekteras. Det är ett samtal, inte ett förhör. Medarbetaren ska förstå innebörden av sin roll samt riskerna som tjänsten innebär och hur dessa kan minskas. Målet är att personen ska motiveras att själv vara delaktig i intervjun och säkerhetsarbetet. På så sätt byggs en säkerhetskultur hos individen.”

Vad är utmärkande för en bristande säkerhetskultur?

Erica menar att det finns flera saker som utmärker en bristande säkerhetskultur.

“Det är svårt att få bra säkerhetskultur i verksamheter som har en “blame-kultur”, där medarbetare skyller på och bryter ner varandra, då vågar man inte ta ansvar. Därför är det oerhört viktigt att lyfta och hjälpa varandra.”

“Om vi litar på varandra så märker vi när något händer i den andres liv. Om vi har förtroende så vågar vi även ställa frågor som ”Vad händer i ditt liv? Hur mår du egentligen?” De samtalen behöver vi på arbetsplatsen, speciellt nu, och även tidigare under pandemin. Men det måste komma från ett genuint intresse. Det kan inte vara så stolpigt och formellt. Det bygger ingen säkerhetskultur.”

Så kan du stärka säkerhetskulturen i din verksamhet

    • Påminn verksamheten om vad som händer säkerhetsmässigt. Håll intresset uppe i form av cykliska påminnelser. Lägg exempelvis in en punkt på månadsmötet som heter “säkerhet”. Det gör att säkerhetsfrågor hela tiden är “top of mind”.
    • Reflektera över verksamhetens kärnvärden. Vad vilar organisationens existens på? Låt det vägleda resten av säkerhetsarbetet.
    • Upplys medarbetarna, bygg förståelse kring varför. Medarbetare har större förutsättningar att lyckas med sitt eget arbete när de förstår hur rutiner, utbildning, kommande ändringar härleds till säkerhetsarbetet.
    • Fostra ett öppet diskussionsklimat och våga fråga. Motverka “blame”- och tystnadskultur eftersom ingen tjänar på att brister går orapporterade.

För ungefär ett år sedan såg vi ett behov av en medvetande- och kunskapshöjande föreläsningsserie med anledning av att säkerhetsläget i Sverige, Europa och världen försämrats under senare år. Vi påbörjade då planering och produktion av vår serie ”Från gråzon till safe zone”.  

För ungefär en månad sedan valde vi att öppna upp vår föreläsning om gråzonsproblematik med Kommendörkapten Björn Marcusson, lärare på Försvarshögskolan, helt kostnadsfritt för alla. Syftet med initiativet var, och är fortsatt, att bidra med kunskap kring Rysslands agerande i den redan då allvarliga situationen i Ukraina. Se föreläsningen i sin helhet här. 

För ungefär en vecka sedan inledde Ryssland en fullskalig invasion av Ukraina. Läget är nu mycket allvarligt och har därmed även förflyttats från den så kallade gråzonen och till fullskaligt krig. Invasionen innebär även ett kraftigt försämrat säkerhetsläge i Sverige, något som även påverkar svenska verksamheter.   

Vi vill bidra med kunskap än en gång i syfte att skapa medvetenhet kring begreppen ”hybrida hot” och ”hybridkrigföring” – en taktik som Ryssland har bemästrat under många år. Vi öppnar därför även upp vår föreläsning ”Hybrida hot: Hur tar de sig uttryck, hur drabbar de organisationer och hur kan man skydda sig?”, även denna med Björn Marcusson från Försvarshögskolan, helt kostnadsfritt och utan motprestation.  

Initiativet riktar sig till alla organisationer i Sverige, stora som små, och föreläsningen (som du hittar här nedanför) är öppen för alla och vi hoppas kunna bidra till ökad medvetenhet och kunskap kring ämnet och kring vad som händer i vår omvärld.

Ryssland har en bred verktygslåda till sitt förfogande 

ÖB konstaterar i en intervju med SVT att Ryssland har en bred verktygslåda som bland annat inkluderar misskreditering av befattningshavare, sabotage, påverkansoperationer och cyberattacker. 

Vi måste prata om saker för vad de är och inse att världen har förändrats på mindre än en vecka. De har en mängd saker de kan ta till och som man tar till nu. Nu gäller det att vara på sin vakt, säger ÖB Micael Bydén. 

”Vi hoppades i det längsta på att situationen i Ukraina skulle stanna vid en provokation från Rysslands sida och att det skulle handla om klassisk militärstrategi i gråzonen. Tyvärr så gjorde det inte det och läget har eskalerat snabbt till invasion, brott mot folkrätten och hybridkrigföring där både reguljära militära förband, specialförband, milis, cyberattacker, informationsoperationer och propaganda används som vapen.

Vår förhoppning är att vi med detta initiativ kan hjälpa många svenska verksamheter att härda sin egen sköld i en mycket osäker och volatil tid där insiderverksamhet och cyberattacker tyvärr är alltmer sannolika och en del av verktygslådan som används vid hybridkrigföring,” säger SRI:s Pierre Gudmundson. 

Finns det några hållhakar? 

Nej. Ingen registrering krävs för att ta del av innehållet och vi ber inte om någon motprestation. Allt du behöver göra är att trycka på play. Du som vill får även fritt dela länken till den här sidan till kollegor och bekanta som kan vara intresserade eller kanske till och med lägga in en länk på din organisations intranät.

Vi hoppas att även denna föreläsning kan bidra till många nya insikter och tankar.

Ytterligare kunskapsresurser om säkerhetsläget och hybrida hot: 

Det har säkert inte undgått någon att Ryssland nu har inlett en fullskalig invasion av Ukraina. Vi har alla läst och följt utvecklingen sedan december 2021 och många har kanske även följt utvecklingen i Ukraina sedan annekteringen av Krim 2014.

Historien och det som händer nu går dock längre tillbaka än så men det är inte det vi ska fokusera på i den här guiden. Vi ska fokusera på vad det innebär för verksamheter i Sverige, för er verksamhet och inte minst – hur verksamheten kan skyddas.

I den här snabbguiden och våra checklistor för chefer och medarbetare nedan delar vi med oss av insatser som kan hjälpa er att snabbt öka säkerheten i er verksamhet.

Ukraina - Ökad säkerhet i verksamheten

Där situationen nu befinner sig, med invasionen som ett faktum och som i sin tur utlöser utlovade sanktioner från väst, så finns det saker för Sverige och svenska organisationer att beakta och ta på största allvar. Omvärldsbevakningen som vi redogör för nedan är en sammanslagning av många källor som vi följer och granskar.

  • I och med att en fullskalig invasion nu skett är det mycket sannolikt att USA, EU och därmed även Sverige svarar med långtgående och betydande sanktioner. Syftet med dessa sanktioner – som kommer slå mycket hårt mot den ryska ekonomin, ryska företag och även enskilda individer – är att reducera den militära linjen och begränsa konsekvenserna som den skulle innebära för Ukraina. Sanktionerna syftar ytterst till att förmå Ryssland att fokusera mer eller enbart på de diplomatiska samtalen igen.
  • I ett sådant scenario, är det hög risk att Ryssland väljer att svara på sanktionerna. Detta genomförs sannolikt genom asymmetriska attacker.
  • Ett 15-tal länders underrättelsetjänster och andra statliga myndigheter med ansvar för omvärldsbevakning varnar nu för att hotbilden är kritisk mot den samhällskritiska infrastrukturen i dessa länder. Syftet med dessa är att få reducerade sanktioner.
  • Skulle dessa asymmetriska attacker återigen mötas av ökade sanktioner eller andra typer av motåtgärder så är det möjligt att situationen eskalerar till andra betydligt mer allvarliga scenarier. Dessa är ännu inte redogjorda för i detalj så därför redovisar inte heller vi något på den linjen ytterligare.

I Sverige handlar det nu om att tempoväxla, prioritera och se över sitt hus

En del verksamheter har arbetat i många år på ett proaktivt sätt och kanske behöver vidta begränsade riskreducerande åtgärder. Andra kanske inser först nu att det finns saker som borde ha gjorts, men som ännu inte hunnits med. De goda nyheterna är att det finns en del ”lättplockad frukt” för att snabbt öka säkerheten och säkerhetsmedveten i verksamheten.

Det samlade rådet från flera olika säkerhets- och underrättelsetjänster samstämmigt: Om din verksamhet är en del av den samhällskritiska infrastrukturen är ni ett sannolikt mål från nu och framåt. Detta på ett sätt ni inte var igår. Denna rekommendation gäller även hela leverantörskedjan och hotet är mest sannolikt i form av cyberattacker och kommer då som digitala attacker mot IT-system.

Hotet varierar beroende på vad inom den samhällskritiska infrastrukturen man är en del av och det är sannolikt nu hög risk att det största hotet finns inom energi-sektorn. Detta på grund av att det nu blivit känt att Tyskland avbryter den fortsatta utbyggnaden av
Nord Stream 2. Det är fortfarande vinter och kallt, elpriserna runtom i Europa är redan höga – därför skulle det ge maximal effekt och god utdelning för en angripare att rikta in sig mot just energi-sektorn.

I och med den rådande situationen och den utveckling som sker kan det även hända att personal som tidigare inte utgjort ett hot plötsligt börjar agera illojalt.

Checklista för chefer:

    • Repetera säkerhetsrutiner med din organisation och påminn om vilka rutiner som gäller kopplat till access till fysiska utrymmen, hantering av information och i synnerhet känslig information, vad som gäller vid arbete i system och med exempelvis mailkommunikation.
    • Fundera på om någon medarbetare senaste veckorna eller dagarna börjat avvika från sina tidigare sätt att vara och uppträda.
    • Var extra vaksam på avvikande beteenden, både personellt, digitalt och i exempelvis systemloggar. Säkerställ att systemloggar kan övervakas och att avvikelser kan upptäckas och hanteras på ett effektivt sätt så att leder till snabb åtgärd.
    • Var extra uppmärksamma kring avvikande funktionalitet och händelser i IT-system – och uppmana personalen att rapportera in dessa händelser.
    • Ha låga trösklar för att eskalera och vidta åtgärd, kalla till samtal etc.

Checklista för medarbetare:

Generellt:

    • Om du har hamnat i en situation eller har agerat på ett sätt som kan innebära en risk, prata med din säkerhetsansvariga eller din närmaste chef.
    • Om du misstänker att någon av dina kollegor har hamnat i en situation eller agerar på ett sätt som kan innebära en risk, prata med din säkerhetsansvariga eller din närmaste chef.
    • Om du är osäker på din verksamhets interna säkerhetsrutiner ser ut, ta reda på vad som gäller.
    • Säkerhetsrapportera hellre en gång för mycket än en gång för lite. Säkerhetsrapportering görs vanligtvis till säkerhetsavdelningen eller till närmaste chef.

Lokaler och fysisk säkerhet:

    • Var en gatekeeper! Släpp inte in obehöriga i byggnaden, särskilt inte i säkerhetskänsliga delar av byggnaden.
    • Om du är osäker på om en person är behörig att vara i aktuell lokal eller ej, fråga personen. Vid misstanke om att något inte står rätt till, konfrontera personer som beter sig misstänkt och säkerhetsrapportera.
    • Om du ser något avvikande eller reagerar på något som avviker tveka inte att rapportera det enligt era interna rutiner.
    • Om du tror att någon obehörig varit i lokalen meddela din chef eller säkerhetsansvarige.
    • Lämna aldrig dörrar eller portar uppställda utan uppsikt.
    • Håll koll på ditt passerkort och dina koder och låna inte ut dem. Anmäl om du tappat bort ditt passerkort.
    • Byt inpasseringskod omedelbart om du tror att någon annan hört eller sett den.

IT och informationssäkerhet:

    • Om du blir uppmanad av exempelvis IT-avdelningen att installera säkerhetsuppdateringar på din telefon, dator eller annan enhet – gör det så snart som möjligt.
    • Använd inte privat utrustning och privata molntjänster för arbetsrelaterade uppgifter – om det inte är avtalat och godkänt av arbetsgivaren.
    • Var extra uppmärksamma kring avvikande funktionalitet och händelser i IT-system – och rapportera in misstänkta händelser.

Lästips om säkerhet i verksamheten från SRI:s blogg:

Mer läsning från svenska och internationella källor:

Alla kan bli en insider, medvetet eller omedvetet. Den första delen i vår serie om insiders handlade om så kallade ”omedvetna insiders”, personer i verksamheten som bidrar till ökad risk för intrång och annat utan egentligt motiv eller uppsåt i sitt handlande. I den här artikeln går vi vidare och kastar ljus på ”medvetna insiders” som tvärtom har både motiv, medvetenhet och uppsåt – antingen för egen vinning eller för att hjälpa någon annan, exempelvis en definierad hotaktör. 

Som vi även nämnde i Del 1 så hänger hotet utifrån och hotet inifrån ofta ihop. För att en aktör på utsidan ska kunna möjliggöra sin handling behöver personen eller gruppen ofta hitta en svaghet och sårbarhet, alltså en säkerhetsbrist. Den svagheten kan vara människan i organisationen.   

Insiders - Den medvetna insidern

Motiven till att bli en insider varierar 

Motiven till att bli en insider är givetvis varierande. Exempel på motiv kan vara bekräftelse, hämnd, pengar, önskan om en bättre värld och etisk eller filosofisk övertygelse eller ren utpressning. 

Det skulle kunna handla om att en medarbetare stjäl från sin arbetsgivare, antingen för ekonomisk vinning eller för att hämnas på arbetsgivaren som man anser har sårat en på något sätt, exempelvis genom brist på uppskattning eller utebliven löneförhöjning. Det kan även handla om sabotage av utrustning eller att man medvetet läcker känslig information eller hotar och trakasserar andra anställda.  

Insidern kan alltså vara driven av politiska motiv eller motiverad och stimulerad genom antingen betalning, hot eller andra påtryckningsmedel från en hotaktör såsom organiserad brottslighet eller en statsaktör.  

Målsökning för att identifiera insiders 

Det är viktigt att känna till att det finns ett skarpt yttre hot och aktörer som aktivt letar efter ingångar till din verksamhet. Genom målsökning, eller genom vänner och kontakter, kan en antagonist hitta personer som kan hjälpa till från insidan.

Detta kan uppnås genom att först ta reda på vad som motiverar en person och vad som är viktigt i den personens liv. Ju fler kontaktytor till personen som finns eller kan skapas, ju fler gemensamma nämnare som finns med personen eller kan skapas samt ju fler sårbarheter det går att hitta eller skapa hos personen desto större är chansen att lyckas få personen att hjälpa till.   

Skillnad på Insider och Agent 

Ibland dras det lite slarvigt likhetstecken mellan insiders och så kallade agenter, därför är det viktigt att känna till vad som är vad:  

En insider är en person som exempelvis avser att använda ett företags information gällande exempelvis innovation eller ekonomiska förehavanden på ett olovligt sätt för egen eller annans vinning. 

En agent är i stället en person som har fått i uppdrag att samla information om Sverige och svenska förhållanden – säkerhetskänslig information – och delge informationen till en utländsk säkerhets- & underrättelsetjänst som verkar för främmande makt. 

Insiderprevention: Vad kan man göra för att motverka insiders? 

Oavsett om det handlar om en insider som verkar i eget intresse eller en agent som agerar på uppdrag av främmande makt är det viktigt att komma ihåg att en fungerande verksamhet bygger på en organisation bestående av lojala och pålitliga medarbetare.  

När verksamheten även bedriver säkerhetskänslig verksamhet är det ständigt pågående uppföljande säkerhetsprövningsarbetet samt kompetenta och orädda chefer som har en tät dialog med personalen av största vikt. De individer som aktivt valt att agera illojalt upptäcker man dock sannolikt inte enbart genom detta arbetssätt.  

Därför är personalsäkerheten också väldigt beroende av andra mekanismer och säkerhetslösningar såsom informationssäkerhet och fysisk säkerhet men utöver det även passiv och aktiv övervakning, exempelvis loggar och förmåga att upptäcka, sektionera, behörighetsstyra, begränsa samt larma och agera på avvikelser. 

Det är också viktigt att den interna säkerhetsfunktionen är prestigelös. Tröskeln för denna till att samverka med Säkerhetspolisen eller annan myndighet måste vara låg vid misstanke. Ensam är inte stark. 

Förutom detta är en stark och väletablerad säkerhetskultur som underhålls kontinuerligt i verksamheten av största vikt. Personal måste ha en grundläggande utbildning i säkerhetsskydd och en medvetenhet om de hot och risker som finns. Men det räcker inte långt i kulturbyggandet.  

En stark säkerhetskultur – med vakna medarbetare, som har integritet, är modiga och ifrågasätter och som alltid larmar när de ser eller misstänker något eller någon – stärker skölden och skapar bra förutsättningar för att minska risken för att en insider får tillfälle att ställa till med skada i organisationen. En sådan organisation har också bättre möjligheter att upptäcka avvikande beteenden, och därmed upptäcka en potentiell insider, på ett tidigare stadie. 

Du kanske även är intresserad av: Bristande personalsäkerhetsarbete kan bli en kostsam historia

I nästa del i den här serien fokuserar vi på typiska insider-karaktärer och vad de motiveras av samt delar med oss av ett case från verkligheten.  

 

® Scandinavian Recruitment Intelligence 2022 | Skapad av Lightweb