Pierre Gudmundson, författare på Bakgrundskontroller - Personalsäkerhet - Säkerhetsutbildning

Att utbilda är bland det bästa vi vet och något som vi lägger mycket tid och energi på. Vi vet att kunskap inom säkerhet bidrar till en förstärkt säkerhetskultur i en verksamhet, vilket skapar en säkrare och tryggare arbetsplats – och i förlängningen ett säkrare och tryggare Sverige.

I den här artikeln berättar jag mer om hur vi på SRI arbetar med intern och extern kunskapsspridning. Jag hoppas att jag, genom att dela med mig av vårt ”tänk” och vår approach, kan inspirera dig som läser detta till att öka fokuset på kunskapspåfyllnad, utbildning och omvärldsbevakning i din organisation.

Behovet av kunskapspåfyllnad kanske viktigare än på många år

Med tanke på det rådande osäkra, komplexa och föränderliga omvärldsläget är behovet av kunskap och insikter kring vad som händer i vår omvärld och hur det påverkar oss i Sverige, både direkt och indirekt, kanske viktigare än på många år.

Utbildning och kunskap inom våra expertområden förmedlar vi på en rad olika sätt, både genom öppna och verksamhetsanpassade föreläsningar, genom traditionella klassrumsbaserade utbildningar, genom digitala kurser och inte minst, genom den här bloggen.

Samtidigt är det minst lika viktigt att vi själva alltid är uppdaterade så att vi hela tiden kan förmedla den mest relevanta kunskapen och de mest aktuella omvärldsspaningarna. Därför är det viktigt att hela tiden se över vilka källkataloger som vi utgår ifrån, men också hur olika typer av information och omvärldsspaningar bedöms och bearbetas.

Löpande omvärldsbevakning och kunskapshöjande insatser

Internt i vår organisation så anordnar vi därför löpande och systematiskt föreläsningar inom de ämnen som är mest aktuella. Hur vi prioriterar våra utbildningsinsatser för våra medarbetare kan triggas av exempelvis förändringar eller praxis inom svensk eller utländsk lagstiftning, utveckling i konflikter och krig, ny information som rör definierade hotaktörer inom säkerhets- och luftfartsskydd etc.

Vi överväger hela tiden hur vi behöver agera, så proaktivt vi bara kan, för att hela tiden ha kunskapen som behövs. Denna approach till interna kunskapshöjande insatser är även något som vi förespråkar och rekommenderar våra kunder att anamma för att klara av att hänga med i omvärldens svängningar och vara à jour.

Under 2020, 2021 men även nu 2022 har vi genomfört ett antal kunskapshöjande insatser. I år har vi exempelvis anordnat utbildningstillfällen och samtalsforum med olika sakkunniga experter både avseende Ryssland, Ukraina, Turkiet, Iran och nu senast även angående Kina och Taiwan.

Dessa föreläsare har alla många års erfarenhet från relevanta organisationer och myndigheter, en del är forskare och några är Sveriges främsta experter inom sina respektive områden. När vi bedömer att detta ändå inte räcker, så söker vi såklart även efter dessa föreläsare utomlands.

Vår approach till intern kunskapsspridning och lärande

Hela vår organisation tar del av dessa experters erfarenheter, kunskap, förslag på arbetssätt och spaningar. Det kan handla om modus operandi eller annat som vi behöver förstå mer av eller fortbilda oss inom.

Vår approach till den här typen av kunskap bygger även på att så många som möjligt i organisationen har samma kunskap och en samsyn kring de hotaktörer och risker som är aktuella vid varje given tidpunkt. Det stärker vår säkerhetskultur och bygger en bra grundplattform för samtal, diskussion och gemensam riskmedvetenhet.

Genom att ge alla våra medarbetare tillgång till löpande kunskapspåfyllnad höjer vi hela organisations lägstanivå. Genom åren har vi märkt att våra interna diskussioner blir spetsigare, att vetgiriga medarbetare och specialister stimuleras på ett intellektuellt plan och att vår samlade förmåga att vrida och vända på olika perspektiv blir bättre.

Insamlad kunskap tillgängliggörs för SRI:s kunder

Detta löpande arbete med att höja vår egen kunskap leder även i förlängningen till att vi kan erbjuda våra kunder fler seminarier och föreläsningar om ämnen, brett och på djupet, som bidrar till att deras reflektioner och perspektiv förflyttas framåt i positiv riktning. Likaså i all vår utåtriktade rådgivning.

För inte så länge sedan lanserade vi vår digitala föreläsningsserie ”Från gråzon till safe zone: Resan mot ett säkrare Sverige AB” i 10 delar. I den serien lyfte vi bland annat aktuella ämnen som gråzonsproblematik, hybrida hot, organiserad brottslighet, terrorism och parallella samhällen.

Nu i höst lanserar vi föreläsningsserien ”Lägesbild” som syftar till att ge organisationer och funktionsföreträdare ökad förståelse för dagens samhällshot och nya utmaningar för både Sveriges- och den egna organisationens säkerhet.

Med föreläsningsserien hoppas vi kunna bidra till att möta det stora kunskapsbehovet som finns när det gäller att förstå nya samhällsutmaningar. I förlängningen vill vi hjälpa organisationer att höja sitt säkerhetsmedvetande och kompetensnivå för att på ett effektivt sätt kunna möta både nya och mer komplexa utmaningar men även förändrade krav.

Jag hoppas att du fått nya insikter och inspiration till att ta tag i utbildningsfrågan kring säkerhet i din verksamhet – och hoppas även att vi får tillfälle att ses på någon av våra kommande föreläsningar eller utbildningar!

Under cirka två års tid har vi tvingats leva i en pandemi och med restriktioner som har påverkat oss alla på olika sätt. För många av oss har pandemin inneburit att vi har tvingats sitta hemma och arbeta, ensamma. Pandemin har också gjort det svårare för många att byta arbetsgivare i den takt vi kanske annars skulle ha gjort.

Detta skulle kunna leda till en slags uppdämd effekt nu när pandemin inte har lika stor inverkan på våra liv, när restriktionerna är borta från vårt samhälle och livet sakta återgår till det normala.

Man kan också anta att det finns ett stort och utbrett uppdämt behov samt en vilja och en nyfikenhet hos många att söka sig vidare till en ny tjänst hos en ny arbetsgivare. Viljan att prova något nytt kan vara stor samtidigt som trösklarna för att fatta dessa typer av beslut redan är låga.

Inom vissa branscher kommer detta uppdämda behov att kunna visa sig större och starkare än inom andra. Sommaren som nu ligger framför oss blir sannolikt därför en period då många söker nya jobb och lämnar sin nuvarande arbetsgivare – något som även kan resultera i betydande säkerhetsutmaningar.

Personal som lämnar kan leda till allvarliga konsekvenser för personalsäkerheten

Som ett resultat av denna ”ketchup-effekt” kommer många organisationer att utarmas på viktig kompetens och förlusten av människor kommer sannolikt även ha en negativ påverkan på organisationers så kallade institutionella minne – något som kan ta mycket lång tid att bygga upp och etablera igen.

Förlust av personal kan ta mycket hårt på verksamheten och även ha en betydande påverkan på personalsäkerheten.

Ett exempel på den typ av situation som skulle kunna uppstå som en direkt effekt av underbemanning är att personalen som blir kvar får en ökad arbetsbelastning som leder till stress. Ökad arbetsbelastning och stress kan i sin tur leda till att viktiga säkerhetsrutiner kringgås, säkerhetsrapportering av incidenter uteblir, eller att grundläggande säkerhets- eller säkerhetsskyddsutbildningar blir bortprioriterade till förmån för produktion.

Tillfällig personal kan innebära säkerhetsutmaningar

Förlust av personal kan även innebära att verksamheten måste täcka upp personalbehovet tillfälligt med inhyrd personal, något som i sig också kan påverka säkerheten i verksamheten.

Tillfällig personal har helt enkelt inte det institutionella ”säkerhetsminnet” som permanenta anställda ofta har och är av naturliga skäl inte heller en del av den säkerhetskultur som vanligtvis finns i en verksamhet.

En annan aspekt kopplad till tillfällig personal är lojalitetsaspekten. För tillfällig personal, konsulter, som kanske har ett bemanningsföretag som arbetsgivare har inte heller sin lojalitet hos ”kundföretaget”, ert företag.

Det finns självklart även många andra följdeffekter av ett sådant tapp, exempelvis på dynamiken bland medarbetarna och i olika team, enheter och funktioner.

Risk- och sårbarhetsanalys

Detta kan i sin tur leda till att en andra våg av andra medarbetare som börjar fundera på sin situation tidigare än vad de annars skulle gjort. Allt detta kan också skapa mycket känslor – något som kan resultera i stress och oro för de som är kvar när dynamiken förändras och störs, när många lämnar och många nya medarbetare tillkommer under en kort tidsperiod.

Alla dessa faktorer är därför även något som organisationen bör inkludera i sin risk- och sårbarhetsanalys. En uppkommen situation och en störning i verksamheten som den som beskrivs ovan bör kanske till och med betraktas som en allvarlig eller kanske till och med kritisk risk.

Självklart är detta något som skiljer sig åt mellan olika verksamheter och risken är inte lika relevant, påtaglig eller allvarlig som inom andra verksamheter.

Fundera på hur din organisation påverkas om förlusten i procent kan mötas i ensiffriga tal – alltså förlust av exempelvis 5% av personalstyrkan – vad gör ni då, hur agerar ni och hur prioriterar ni?
Om förlusten i stället kan mätas i tvåsiffriga tal – alltså förlust av exempelvis 15% av personalstyrkan – hur påverkas ni då, när har ni nått en kritisk massa och hur reducerar ni en sådan risk?

Det kan även vara utmanande att rekrytera ett stort antal specialister under sommarperioden (eller generellt). Det kan ta lång tid, det kan krävas andra typer av personallösningar, det kan bli mer kostsamt och det kan krävas att lönenivåer justeras upp för att vara mer konkurrenskraftig i jämförelse med andra verksamheter i samma bransch som tävlar om samma kompetenser.

Business Impact Analysis

Scenariot ovan kan även vara en händelse som man behöver ta med sig och inkludera i en Business Impact Analysis (BIA). Det finns också tecken på, och exempel på, hur olika organisationer gör strategiska val och satsningar just nu där man förvärvar och växer för att bättre kunna konkurrera inom en viss bransch eller sektor.

Alla verksamheter som påverkas kommer att påverkas på olika sätt. Frågeställningarna ovan är komplexa och det finns inget enkelt svar eller lösning som passar alla. Den stundande sommaren kommer troligtvis att bli lite av en fingervisning för hur resten av året kommer att utvecklas när det gäller tapp och behov av ersättningsrekrytering.

De frågeställningar som varje ledningsgrupp däremot skulle kunna, och borde, ställa sig redan nu är:

Vad gör vi nu?
Hur bemöter vi problematiken?
Hur kommunicerar vi kring detta?
Hur förbereder vi oss? OCH
Hur påverkar uppkomna personalutmaningar vår säkerhet?
Hur bemöter vi och reducerar dessa risker?

2021 har, likt 2020, varit ett annorlunda år av förklarliga anledningar. Läget i världen är som det är i och med pågående pandemi och ett omvärldsläge som ibland benämns som en ”VUCA-värld” – men allt är så klart inte negativt.

Det händer även väldigt mycket positivt inom vårt område. Vi på SRI har exempelvis under året upplevt ett ökat fokus på säkerhetsmedvetenhet och byggande av säkerhetskultur i svenska organisationer.

På SRI sammanfattar vi året som ”helt fantastiskt” av många anledningar som jag – och hela vårt numera ganska stora team – vill tacka våra kunder, kandidater och samarbetspartners för!

Ibland får vi nypa oss själva i armen när vi tänker på vilka bolag och samhällskritiska organisationer som idag anförtror sig till oss med sina, ofta allra känsligaste, utmaningar och projekt inom bland annat personalsäkerhet. Det är ett förtroende som vi varken tar lätt på eller någonsin kommer att ta för givet.

Jag fortsätter även att imponeras över det team och den kultur som vi har byggt upp under de senaste åren. När jag startade SRI för fem år sedan kunde jag knappt drömma om att vi som bolag skulle kunna attrahera ett sådant härligt, vetgirigt team som tillsammans bildar en bred flora av spetskompetens och som våra kunder får ta del av.

Jag blir stolt över våra medarbetares förmågor och kompetens och det värde som de levererar varje dag – värde som på riktigt gör skillnad för Sveriges trygghet och säkerhet.

Så än en gång: TACK till alla er kunder och så klart även till alla medarbetare och kandidater som vi kommer i kontakt med i våra säkerhetsprövningsintervjuer, bakgrundskontroller, referenstagningar, utbildningar och analysarbete. Även ert förtroende är något som vi förvaltar med silkesvantar.

Jag vill även passa på att rikta ett stort tack till alla er som rekommenderar oss, det är oerhört uppskattat och betyder mycket för oss.

Nu är det snart dags att stänga boken för året och ladda batterierna under julhelgen – för vi vet att 2022 kommer att bli ett minst lika fartfyllt och utvecklande år.

Tack för förtroendet, God Jul och Gott Nytt År!

– Pierre

Ofta hör man om insiderrelaterade incidenter, mer sällan men ändå återkommande om spioner och värvningar. Hur går det till och hur hänger allt ihop?

I den här artikeln vill jag dela med mig av några exempel, lite högt och lågt, kopplade till hur en säkerhetsprövning och en genomförd grundutredning hänger samman med hur information om oss som individer gör oss sårbara och relevanta för andra länder i deras underrättelsearbete. Eftersom vi ofta tidigare nämnt Kina i våra exempel så tänkte vi även fortsätta med det.

Jag kommer förenkla i exemplen, men ändå försöka ha såpass mycket detaljer att det blir logiska förflyttningar att hänga upp historien kring och som förhoppningsvis gör det enklare för dig som läsare att sedan själv reflektera över.

Sätt dig själv i de fiktiva situationerna nedan och försök att knyta an till din egen situation och din egen (framför allt) digitala exponering.

Vad är ”Made in China 2025”?

I ett memo från svenska FOI har myndigheten sammanfattande beskrivet Kinas inriktning avseende cyberspionage och hur denna är sammankopplad med landets långsiktiga strategi ”Made in China 2025”. Där kan man bland annat läsa:

”Kinas cyberspionage syftar till att främja politiska, strategiska och ekonomiska intressen. Enligt sina nationella strategier eftersträvar den kinesiska staten att avancera i de globala värdekedjorna och bli en stormakt inom avancerad tillverkning. Kina avser att i högre grad bli teknologiskt självförsörjande och uppnå en världsledande position inom avancerade teknologier.

Militärt siktar Folkets befrielsearmé (PLA) på att bli en av världens främsta försvarsmakter som är modern och högteknologisk. En stor del av det kinesiska cyberspionaget är inriktat på industrier och sektorer som den kinesiska regeringen identifierat som strategiska genom att de är kopplade till statens utvecklingsmål. Detta gäller bl. a nästa generations informationsteknologi, robotteknik samt rymd- och flygteknik.”

Ok, så om Kina om 5-20 år siktar på att vara självförsörjande och världsledande inom ett sådant fastställt område, behöver ett stort antal delar uppfyllas som möjliggör detta. Förenklat talar vi här om, idéer och kunskap, kompetens samt pengar till utveckling och förverkligande.

Made in China och kinesiska studenter

Så om de behöver kompetens och idéer kopplade till exempelvis AI och vi tar Sverige som kontext. Då kan man tänka sig att Kina prioriterar att skicka hit studenter som läser dessa program på våra universitet och högskolor. Studenterna kanske sen också kan få gästforska och delta i forskningsprojekt etc. där de ytterligare fördjupar sina kompetenser samt bygger sina relationer med andra individer inom samma område. Vänskap är alltid bra!

Dessa studenter, doktorander och forskare kommer alla dock lyda under den kinesiska underrättelselagen från 2017. Denna lag och främst dess artikel 7, ställer tydliga krav på kinesiska företag, organisationer och medborgare att ge tillträde till samt samarbeta med kinesisk underrättelseinhämtning.

På så sätt kan privata och statliga intressen i vissa fall vara sammanlänkade och svåra att särskilja. Att lagen dessutom omfattar medborgare innebär att främjande av dessa intressen även kan involvera enskilda individer. Detta medför en problematik som förvisso inte nödvändigtvis berör cyberområdet, men som reflekterar den kinesiska regeringens möjligheter att ställa krav på enskilda medborgare att bidra till underrättelseinhämtning – inklusive anställda på utländska företag.

Alltså, studenterna som får sina exjobb här i Sverige, som kanske efter examen söker sig till specifika bolag med låga lönekrav etc. blir helt enkelt attraktiva för våra start-ups eller tekniktunga bolag. Där kan de sen både få ytterligare och utdragen access till personer och information.

Made in China och bolagsförvärv

I de fall detta inte räcker kan Kina uppfylla sina behov, i sin strävan efter sin strategi Made in China 2025, i stället se sig om efter svenska bolag att förvärva. Ett enkelt och tidseffektivt sätt att snabbt få kontroll över patent, idéer, kompetens etc. Här skulle eventuellt den nya uppdaterade svenska säkerhetsskyddslagen (2018:585) inom en snar framtid kunna utgöra ett hinder på vägen för detta metodval. Vi får se.

Kina kan såklart som vi inledde med också välja att genom cyberspionage och illegala intrång och stölder av information, komma över det man behöver för dessa långsiktiga syften och mål. Men på detta sätt kan man även tillskansa sig komprometterande material, som senare kan användas mot exempelvis de som ska sälja sitt bolag, eller för att skapa dåligt anseende runt individer och varumärken, som passar lägligt innan man går in i en affärsdialog och värdering.

Made in China kopplat till personalsäkerhet

Men nu arbetar ju vi på SRI med personalsäkerhet, så det är där vi nu ska hamna och vika ut lite extra. Vi utgår fortfarande i exemplet från att Kina om 5-20 år vill vara ledande inom AI.

Kina kartlägger då vilka länder som idag är duktiga på AI, vilka bolag som har denna kompetens och förmåga och inom vilket område.

Man kan även kartlägga vilka läroverk som är intressanta att studera och forska vid. Men sen finns där ju en del individer i Sverige som skulle kunna vara intressanta att bygga relation med. Antingen för att få dem att arbeta i av Kina kontrollerade bolag, eller som man på sikt kan lyckas värva till agenter. Det är här det börjar bli intressant.

Denna kartläggning genererar en lista över framtida potentiella relevanta informationsbärare och kompetenser, vi kan kalla dem Futures – framtida möjliggörare.

Detaljerad kartläggning av intressanta individer

Med hjälp av den svenska offentlighetsprincipen kan man med enkelhet få ut listor över från våra svenska läroverk och detaljerad information om vem som har läst vad, var och när. Nu har man rådata över namn inom ett visst intressant område. Så i nästa steg – var jobbar dessa individer idag?

Med hjälp av vanliga LinkedIn-konton kan man sedan tanka av LinkedIn på denna data och börjar plottra organisationsskisser:

Vem gör vad?
Vem är chef över vem?
Vem rekryterar?
Vilka tjänster utannonseras?
Vilka upphandlingar har man vunnit, och så vidare.

Snart har man en bild över personal och potentiella bolag med mera där man kan nå framgång.

En del av dessa bolag kommer, i framtiden i allt högre utsträckning omfattas av Säkerhetsskyddslagen. Det innebär att många befattningar också kommer vara inplacerade i säkerhetsklass. Att vara inplacerad i säkerhetsklass innebär att man också genomgår både en initial säkerhetsprövning men, över tid, även en löpande uppföljande säkerhetsprövning.

Så i de fall någon intressant profil med rätt kompetens behövs så kommer detta leda till att Kina överväger att försöka göra denne till en agent.

Vem kan utnyttjas imorgon?

Säkerhetsprövningen och dess moment kallad grundutredning har ett tydligt syfte: Man letar inte efter övertygade och frälsta agenter, man letar efter sårbarheter hos ännu icke exploaterade individer, som i det här exemplet Kina, skulle kunna exploatera ”imorgon” i sin jakt efter en agent och insider.

När man vill kartlägga en människas liv för att förstå och utvärdera om någon kan vara värd att kontakta, och kanske även senare värva för sina egna ändamål, är sociala medier ett ypperligt sätt att snabbt få en djup inblick i vem du är. Det är en del i målsökningen och något man gör då man letar efter nästa agent och insider, någon ny att ”slå klorna i”.

Syftet med grundutredningen i säkerhetsprövningen

En del av syftet med en grundutredning, är därmed att försöka förstå vad en hotaktör generellt, i detta fall Kina, skulle kunna uppskatta och vilja exploatera hos den enskilda individen.

Alltså, vilka sårbarheter finns det hos individen som kan vara självmarkerande måltavlor och därmed framgångsfaktorer vid målsökning och ett senare värvningsförsök? Man bygger förenklat upp en bild av hur man med störst framgång bör gå till väga för en lyckad värvning.

Återigen, grundutredningens syfte blir då att proaktivt försöka höja medvetenheten, kunskapen och i förväg skapa bättre dialog och motståndskraft hos den enskilde men också hos den organisation denne tillhör.

Det är därför sårbarheterna är så viktiga att förstå. Det är även därför det är så viktigt att individen, den prövade, samverkar och förstår att säkerhetsskyddet och säkerhetsspecialisterna som utför säkerhetsprövningen är där med denna uppgift – att värna och skydda den enskilde, proaktivt från dessa kontakttagningar och värvningsförsök.

Att individen, oavsett vad som händer i framtiden och oavsett hur det formuleras, då ska känna förtroende att anmäla och rapportera in en händelse eller misstänkt händelse till sin organisation.

Det är också därför som det är förenat med ett lagkrav att ha adekvat kompetens, när du ska arbeta och vara inplacerad i en säkerhetsklassad befattning.

Att fundera på kopplat till Made in China, kontakttagning och värvningsförsök:

Fundera på vilken information kopplat till dig själv som du inte måste eller borde kommunicera online.
Fundera på vilka relationer du inleder och accepterar online.
Fundera på varför just du får uppmuntrande kommentarer eller annan positiv uppmärksamhet från perifera kontakter eller sådana du inte har kontakt med.
Söker perifera kontakter upp dig efter sådana interaktioner, fundera på varför du tackar ja.
Är du arbetsgivare, fundera på hur mycket ”skryt” ni lägger ut om vissa kunder, upphandlingar, projekt eller anställningar ni gjort inom vissa affärsområden. Måste alla anställda bygga ert varumärke? Får de i så fall risktillägg och extra utbildning där de vaccineras mot ovan problematik?
Är ni osäkra, sök stöd och hjälp från specialister inom personalsäkerhet!

Man brukar lite klyschigt säga något i stil med att ingen kan vara bäst på allt men alla kan vara bäst på något. Detta är sant även när det gäller bakgrundskontroller och analysarbete. För det är skillnad på att vara bra på något och bäst på något. I den här artikeln tittar vi närmare på hur vi på SRI har tänkt när det gäller just spetskompetens kopplat till bakgrundskontroller.

Four-eyes principle värdefullt vid framtagning av bakgrundskontroller.

Varför är detta intressant för dig?

Vårt angreppssätt och vårt sätt att se på kompetens och kompetensanskaffning har genom åren visat sig vara framgångsrikt. Vi producerar tusentals bakgrundskontroller varje år och tack vare vår metodik hittar vi regelbundet värdefulla kopplingar mellan olika informationsdomäner som ackumulerat i en sammantagen bild ger våra kunder betydligt fler nyanser av en individs ”ryggsäck” och hjälper dem att se bortom det uppenbara – och i förlängningen rekrytera med större (träff)säkerhet.

Med andra ord så skulle ett liknande angreppssätt kunna bidra till att din egen organisations analysfunktion (eller HR-funktion) får bättre förutsättningar att producera mer kvalitativa underlag och analyser.

Tre nyckelfaktorer:

Anställ mot en gemensam grundplatta
På SRI har vi valt att alltid rekrytera analytiker som har en akademisk bakgrund då vi tror att arbetssätt kring bland annat research och metodik är värdefulla egenskaper hos våra medarbetare. Vad den akademiska bakgrunden är kan variera – det kan handla om kriminologi, journalism, statsvetenskap, ekonomi, beteendevetenskap, etnologi eller annat. Med utgångspunkt i det akademiska så har vi dock en gemensam grund att utgå ifrån.

Hitta kompletterande spetskompetenser
Om alla våra analytiker var tidigare researchers från exempelvis rekryteringsbranschen eller om alla hade en kandidatexamen inom ekonomi skulle det dels vara mer utmanande att utöka vår gemensamma kunskapsbank, dels även svårt att ta hjälp av en kollega som besitter spetskompetens inom ett annat område än en själv. Därför är det viktigt att hela tiden hitta kompletterande spetskompetenser inom relevanta områden. Över tid höjs hela teamets kompetens och den gemensamma grundplattan av kunskap blir än mer solid.
Four-eyes principle och Six-eyes principle
Kvalitetskontroll i allt vi gör är A och O. Därför har vi valt att anamma så kallad Four-eyes principle och Six-eyes principle. Det innebär att alla våra bakgrundskontroller passerar minst fyra ögon innan de levereras till kund. Alltså, analytikerns ögon och en obligatorisk kontroll av en kollega. Alltid. Vid mer komplexa ärenden eller oklarheter hos den som kvalitetskontrollerar eskaleras även ärendet till en tredje person som då även besitter expertkompetens inom det område som upplevts som komplext. Detta gör vi för att kunna garantera korrekthet och tydlighet i informationen som återges.

Bakgrundskontroller i praktiken

När våra analytiker gör en bakgrundskontroll kommer dessa tre nyckelfaktorer till sin fulla rätt, oftare än man kanske kan tro dessutom. Det kan handla om exempelvis:

Svårtolkade ekonomiska förekomster och invecklade bolagsengagemang: Här blir vår medarbetare som har en magisterexamen i ekonomi och 20 års erfarenhet av att bygga och driva bolag en viktig resurs när det gäller att analysera ägarstrukturer, styrelser, företagsekonomiska förekomster med mera.
Tveksamheter i sociala medier: Här kan våra OSINT-experter (Open Source Intelligence: Informationsbearbetning och inhämtning i öppna källor) hjälpa oss att lägga pusslet och bekräfta, stödja eller avfärda annan insamlad och bearbetad information i bakgrundskontrollen och än en gång, se kopplingar bortom det uppenbara.

Allt är inte alltid som det verkar på ytan och för att kunna producera en objektiv, korrekt och för den aktuella tjänsten relevant bakgrundskontroll (eller någon annan typ av förädlad analys, för den delen) krävs det spetskompetens inom ett flertal domäner.

När det gäller bakgrundskontroller specifikt så krävs även professionalism och personlig integritet i syfte att värna om den kontrollerade individens integritet.

Därför letar vi alltid efter kompletterande kompetenser när vi bygger våra team och utökar vår organisation. Det ger oss en kunskapsspridning som alltid bygger alla och det gör att vi alltid blir starkare och mer kompetenta – vilket i förlängningen gör att våra kunder blir starkare och mer kompetenta.

För några år sedan kom en uppdaterad version av Säkerhetsskyddslagen (2018:585). Som tidigare beskriver även denna lag hur en organisation som arbetar med säkerhetskänslig verksamhet, som är av betydelse för Sveriges säkerhet därmed har olika skyldigheter. Dessa går i stora drag ut på att man ska upprätta ett systematiskt och proaktivt säkerhetsskyddsarbete. Detta arbete ska stå på tre ben som tillsammans överlappar relevanta delar i verksamheten och samverkar för ett optimalt och anpassat skydd. I den här artikeln zoomar jag in lte extra på ett av de tre benen: Personalsäkerhet.

Det som är nytt med den uppdaterade lagen är att den mycket tydligare nu beskriver ansvaret även ut i den privata sektorn. Det har sedan dess och utgör fortfarande idag stora utmaningar i dessa organisationer.

Säkerhetsskyddets tre ben:

Informationssäkerhet
Fysisk säkerhet samt
Personalsäkerhet

Stora utmaningar och kostsamma konsekvenser för enskilda organisationer

Utmaningarna består i att identifiera om man omfattas av lagstiftningen, förstå vad man bör göra och hur man bör göra det, både initialt och långsiktigt. Många organisationer kanske inte tidigare hade en mogen och senior säkerhetsfunktion, funktionen kanske dessutom var uppbyggd runt en individ som ofta också hade ansvaret genom en tillika befattning.

När nu detta omfattande pålägg landade på många av dessa organisationer har detta inneburit stora svårigheter för organisationen att ta sig vidare, påbörja arbetet, göra rätt och göra det långsiktigt – samtidigt som man såklart vill arbeta effektivt, kvalitativt och ekonomiskt genomtänkt.

Många organisationer är idag inte ens i närheten linjerade med vad lagen säger och kräver. Från och med 2022 så riskerar detta dessutom att innebära viten på upp till 50 miljoner kronor.

Vilka organisationer omfattas av den nya säkerhetsskyddslagen?

Svaret på frågan är inte helt solklart och lagstiftaren har valt att lägga ansvaret för bedömningen huruvida man omfattas av lagen på den enskilda organisationen.

Om man exempelvis är underleverantör till ett annat företag som verkar inom vad som klassas som säkerhetskänslig verksamhet och man har ett antal olika SUA-avtal är sannolikheten kraftigt förhöjd.

Eller, om man exempelvis själv bedriver ett arbete som kan antas vara viktigt för Sverige och det svenska samhället, exempelvis tillverkning inom känsliga områden.

Fokus Personalsäkerhet

På SRI har vi vår expertkompetens inom det sistnämnda benet inom säkerhetsskydd: Personalsäkerhet. Därför zoomar jag nu in lite extra på detta område och koncept.

Personalsäkerhet blandas ibland ihop med personsäkerhet eller personskydd vilket är fel. Personalsäkerhet handlar om att bygga en organisation som består av pålitliga och lojala medarbetare som kan anses vara lämpliga att arbeta med verksamhet som omfattas av och berörs av säkerhetsskyddslagen. Personsäkerhet eller personskydd handlar i stället om att skydda mänskliga skyddsobjekt, ministrar, företagsledare etc. med hjälp av bland annat livvakter.

Personalsäkerhet berör hela organisationen och det är viktigt med kompetens – man måste helt enkelt förstå vad det handlar om, vilket ansvar man har och vad som förväntas av en. Annars är det svårt att avkräva ett ansvar från en medarbetare. Därför finns det ett uttryckt lagkrav på att Personalsäkerhet bland annat innebär krav på kompetens, alltså utbildning inom säkerhetsskydd.

Den andra delen som personalsäkerhet handlar om är utvärdering av personalens lämplighet att arbeta med säkerhetskänslig verksamhet som omfattas av denna lagstiftning.

Denna lämplighet utvärderas i tre faser:

Initial säkerhetsprövning (Rekommenderad utbildning: Grundkurs i säkerhetsskydd samt Intervjuledare säkerhetsprövning)
Uppföljande säkerhetsprövning (Rekommenderad utbildning: Uppföljande säkerhetsprövning)
Avslutningssamtal

De olika delarna är tänkta att täcka in en anställnings hela livscykel, från det att en rekryteringsprocess inleds, vidare tills man löpande under sin anställning utvärderas genom detta regelverk och hela vägen tills dess att man som arbetsgivare och arbetstagare slutligen skiljs åt, oavsett på vilket sätt detta sker.

Personalsäkerhet berör styrelse och ägare, ledningsgrupp, säkerhetsfunktion, HR och rekrytering, ekonomi och lön, kommunikation, IT med flera. Sen såklart alla berörda enskilda medarbetare. Alltså kan man kortfattat och utan överdrift säga att det berör hela eller mycket stora delar av en organisation.

Det som krävs för att kunna arbeta effektivt med Personalsäkerhet är:

Befattningsanalys
Policy
Instruktioner
Rutiner
Utbildning
Kultur och medvetenhet

På SRI arbetar vi dagligen med personalsäkerhetsfrågor och bistår både stora och små organisationer i hela kedjan, oavsett var i utvecklings-, implementerings- eller förvaltande fasen man än befinner sig.

Du som känner att lagstiftningen berör din organisation och behöver hjälp med exempelvis utbildning inom området Personalsäkerhet, hör gärna av dig till oss.

I CVE:s (Center för Våldsbejakande Extremism) omvärldsbevakning Utblick den 16 september kan man läsa man läsa att Säkerhetspolisen bedömer att cirka 300 individer från Sverige har rest ner till IS så kallade kalifat. När IS/Daesh-kalifatets sönderfall tog fart på riktigt 2019 har otaliga så kallade hemvändare och före detta IS-krigare sökt sig tillbaka till sina hemländer och till andra delar av världen. I Sverige vet man med säkerhet att cirka hälften av de 300 individer som rest ner har kommit tillbaka, något som skapat nya utmaningar för både vårt samhälle och enskilda organisationer.

Många av de resterande tros har dött under sin utlandsvistelse men det exakta antalet är svårt att bekräfta eftersom en del också kan ha följt med flyktingströmmar där de inte identifierats korrekt av svenska myndigheter.

Detta innebär att minst 150 hemvändande – och i vissa fall fortfarande radikaliserade – personer lever i vårt samhälle idag. Dessa individer behöver en bostad och de behöver ett arbete.

För att få ett arbete krävs ofta bland annat både ett sammanhängande CV, färska referenser och en historia som styrker vad man har sysselsatt sig med under de senaste åren – något som kan vara utmanande för den hemvändande individen med tanke på förutsättningarna. Detta leder då ofta till att man helt enkelt måste skapa en uppdiktad fasad eller bakgrundshistoria.

Återetablering i samhället kräver ofta skapande av legender

I underrättelse-språkliga termer kallas detta för att man behöver skapa och bygga sina legender. Legenden är den uppdiktade historiska bakgrundsinformationen om vem man är, vad man gjort, vilka intressen man har, vilka man umgås med och så vidare. En helt eller delvis falsk identitet.

Legenden innehåller allt det som man kan tänkas behöva för att kunna klara av livet och att interagera med andra, exempelvis ett snack vid kaffeautomaten, en rekryteringsintervju, hyra en bostad i andra hand och så vidare. Alltså, allt som en hemvändare behöver för att kunna återetablera sig och fortsätta leva sitt liv här i Sverige.

Det är viktigt att understryka att skapande av legender inte på något sätt är exklusivt för just hemvändande extremister utan återfinns i alla delar av samhället. Ett annat exempel där en individ kan behöva skapa en legend skulle kunna vara vid återetablering i samhället efter ett avtjänat fängelsestraff.

Ett utmanande arbete för rekryterande organisationer

Dessa legender skapar således även nya utmaningar för rekryterande organisationer som måste vara än mer vaksamma i sitt arbete med att identifiera och blottlägga förfalskade CV:n, förfalskade referenser och annan bakgrundshistorik.

Konsekvenserna av att inte göra ett gediget förarbete inför anställning kan annars bli allvarliga. Kopplat till just hemvändare är det viktigt att än en gång påminna om att många av dessa individer är eller har varit radikaliserade, vilket om man har otur kan leda till allt från en otrygg arbetsmiljö och i värsta fall allvarliga säkerhetsincidenter.

Lika viktigt som det är att inte ropa varg och misstänkliggöra personer i onödan, lika viktigt är det att med dessa nya förutsättningar se över sina säkerhetsrutiner och rutiner för bakgrundskontroll och referenstagning så att dessa processer genomförs på ett kvalitativt sätt.

Bakgrundskontroller och referenstagning kan identifiera legender

En kvalitativ bakgrundskontroll komplett med verifiering av påstådda genomförda utbildningar och tidigare arbetsgivare i kombination med ett gediget OSINT-arbete (Open Source Intelligence) genom avancerade sökningar i öppna källor på internet och i sociala medier skapar bra förutsättningar för att identifiera potentiella legender – förfalskad information.

Genom att även häkta på digital referenstagning som arbetssätt där digital verifiering av identitet genom exempelvis BankID för både kandidaten och angivna referenser får den rekryterande organisationen ett bra underlag att utgå ifrån och risken att referenser är förfalskade minskas avsevärt.

Även här är det viktigt att understryka att just vikten av bakgrundskontroller, referenstagning och verifiering av information inte är exklusivt för just hemvändare utan något som är universellt viktig för att minimeras risk och för att skapa trygga arbetsplatser.

Fyra kom-ihåg för dig som är arbetsgivare:

Kom ihåg att HR- och rekryteringsfunktionen är first line defence. Här är det viktigt att ha upparbetade kontrollmekanismer på plats.
Kom ihåg att alltid säkerställa äkthet och verifiera information gällande exempelvis intyg, genomförda utbildningar och tidigare anställningar.
Kom ihåg att säkerställa att din organisation har kompetens inom genomförande av bakgrundskontroller, alternativt en extern samarbetspartner som besitter denna kompetens
Kom ihåg att låta rekryteringsprocesserna få ta tid. Stressa inte igenom delmoment för att få en kandidat på plats så snabbt som möjligt och ge inte upp om en referens inte svarar eller liknande.

Torsdag den 26 augusti 2021 inleddes rättegången mot en svensk man som misstänks för spioneri. Han ska enligt brottsmisstankarna under flera års tid ha arbetat för rysk underrättelsetjänst samtidigt som han arbetat för stora svenska industriföretag.

Vi ska inte bli förvånade över att detta inträffat eller över att den ryska underrättelsetjänsten värvat en svensk medborgare för att få till detta spionage. Det vi borde förvånas över och som är anmärkningsvärt är att det är det första åtalet på 18 år. Det är alltså inte sedan 2003 vi som samhälle och vår egen säkerhetstjänst lyckats driva en utredning hela vägen fram till ett väckt åtal.

Vad säger det generellt om vår kunskapsnivå som enskilda, om oss som arbetsgivare, om våra styrelser och bolag i den privata sektorn, om våra samhällskritiska delar och organisationer? Ger vi oss själva godkänt?

Det är inte Säkerhetspolisen uppgift att dra hela lasset, det kan de inte och det kommer de inte att göra. Det är allas uppgift. Fler i Sverige måste helt enkelt göra mer. Då menar jag, och Säkerhetspolisen, alltså både gemene man, arbetsgivare och andra företrädare som har en möjlighet att påverka.

Säkerhetspolisen säger att vi är naiva i Sverige och att detta i kombination med vår privatisering, vårt samhälles digitalisering och att vi som land har väldigt många bolag i teknisk framkant gör oss till ett värdefullt och attraktivt land att bedriva sin underrättelsetjänst i.

Nu har Sveriges Radio tillsammans med några företrädare tagit fram den säkerhetsinriktade podden ”Gräns”. Podden syftar till att sprida kunskap om riskerna i vårt samhälle, hoten vi behöver hantera och säkerhetspolitiken som påverkar allt detta. I avsnittet ”Spioner i Sverige” diskuterar Daniel Stenling (chef för kontraspionage vid Säkerhetspolisen), Jan Thörnqvist, (f.d. insatschef vid Försvarsmakten) och Bengt Nylander (f.d chef för kontraspionaget vid Säkerhetspolisen och författare till boken ”Säpo inifrån”) spioneri-åtalet.

På SRI brinner vi för att sprida kunskap och dra vårt strå till stacken. Det är glädjande att fler gör det också!

Du kanske även är intresserad av:
Tidigare MUST-chefen Stefan Kristiansson föreläser om underrättelsehotet mot Sverige i föreläsningsserien ”Från gråzon till safe zone”.

När SRI grundades 2016 var en del av underlaget och omvärldsanalysen som låg till grund för beslutet att starta företag att marknaden och efterfrågan i Sverige för just bakgrundskontroller skulle öka kraftigt fram till 2025. En annan del vara att marknaden skulle växa med cirka 10 procent per år. En tredje var att vi bedömde att vi skulle kunna göra bakgrundskontroller på ett sätt som skapade mervärden vi ansåg saknades på marknaden och som ledde till falsk trygghet hos kunderna och beställarna.

När pandemin slog till under våren 2020 hade vi hunnit etablera ett bolag som gått från klarhet till klarhet och växte snabbt. Ändå hade vi en hel del oro kring hur detta skulle påverka våra kunders marknader och därmed SRI och våra anställda.

Varför har behovet och viljan att bakgrundskontrollera ökat?

Pandemin och bakgrundskontroller

I efterhand har det visat sig att pandemin istället lett till en kraftig tillväxt och en explosivt ökande efterfrågan på våra bakgrundskontroller (såväl som samtalsledare för säkerhetsprövningsintervjuer) och vi fick snabbt växla upp och anställa fler. Vår analys är att förändrade rekryteringsprocesser under pandemin lett till att man inte alls i samma utsträckning träffar sina kandidater och får ”känna och klämma” så som man kanske är van vid när man rekryterar och ses i ett fysiskt möte.

Vi tror att detta är en stor anledning i att skapa en större trygghet inför beslutsfattande som man kanske inte tidigare ansåg att man hade behov av. Många av de som det gångna året annars kanske hade väntat ett tag till innan man övervägde dessa add-ons i sina rekryteringsprocesser har nu påskyndat sina utvecklings- och förändringsprocesser kring personalförsörjning. Det gäller såklart även hur man arbetar med och ser på tjänster som digital referenstagning. Även detta är en tjänst där efterfrågan har ökat kraftigt de senaste 18 månaderna.

Men det inte bara vi på SRI som sett en ökning på antalet beställda bakgrundskontroller. Hela bakgrundskontroll-branschen har rört sig i en positiv riktning och det finns en tydlig fortsatt tillväxt där dessa produkter får en mer självklar plats i fler organisationer.

HR- och säkerhetsfunktioner närmare varandra än tidigare

Förutom utvecklingen under de senaste 18 månaderna med koppling till pandemin så är även en spaning att HR- och säkerhetsfunktioner på både stora och mindre organisationer verkar närma sig varandra mer idag än tidigare och att informations- och kunskapsöverföringen sker mer effektivt och med lägre trösklar än historiskt – vilket så klart är väldigt positivt.

Här tror vi att omvärlds- och säkerhetsläget påskyndar detta. Digitalisering och en mer rörlig personal där lojalitet inte finns på samma sätt eller är lika varaktig som tidigare är sannolikt också en påverkande faktor då man tar beslut. Sist men inte minst så tror vi att detta är starkt kunddrivet, kunder förstår och har gjort sin hemläxa i större utsträckning idag än tidigare.

Man har idag en bättre insikt om vad man har i sin verksamhet, som kan behöva skyddas. Man är mer selektiv kring vem man släpper in i en sådan verksamhet.

Ett oroande omvärldsläge påverkar

Säkerhetsläget oroar, Ryssland och Kina visar på ett beteende som påverkar oro både på kort och lång sikt. Exempel i media där man lyfter upp hur insiderproblematiken eskalerar och blir mer allvarligt påverkar säkert också. Eftersom många organisationer idag arbetar med konsulter som man tillfälligt släpper in i sin verksamhet är man också mer noga med att dessa ska vara lämpliga ur ett säkerhetsperspektiv.

Därutöver finns ett antal nya lagar som exempelvis lagen om försäkringsdistribution (2018:1219) och Säkerhetsskyddslagen (2018:585) och även nu den nya Fastighetsmäklarlagen som började gälla den 1:a juli.

Men det är inte helt oproblematiskt att arbeta i eller vara kund i denna sektor och kring dessa typer av tjänster. Det har hänt mycket under de här åren. Det började med att Personuppgiftslagen kompletterades i samband med att GDPR infördes.

Sen kom de mörka molnen som påverkade molnlösningar och digitalisering, den personliga integriteten kom i fokus. Cloud Act, Schrems II, tredjelandsöverföringar och olika länders lagstiftning ställer till en del för företag i Europa, framför allt här i Sverige för de som också befinner sig i ett sammanhang där Säkerhetsskyddslagen gäller.

Detta har skapat svårigheter och gjort valet av leverantör komplext, detta gäller leverantörer som är digitaliserade och som hanterar personuppgifter, oavsett om det är bakgrundskontroller eller inte.

Frågor att ställa i valet av leverantör inom området bakgrundskontroller och personalsäkerhet:

Vi på SRI anser att det finns ett antal viktiga faktorer man bör ta i beaktande när man väljer leverantör inom personalsäkerhet och bakgrundskontroller. Dessa frågor nedan kan förhoppningsvis vara till hjälp för dig som läser detta när det är dags att välja en partner som ska få förtroendet och agera rådgivande och förvalta delar av era verksamhetskritiska beståndsdelar – personalen:

Förstår och kan leverantören sina egna produkter ur ett större sammanhang?
Hur förhåller leverantören sig till etik, inte bara lagar?
Har leverantören djupgående kompetens så de kan agera rådgivande?
Har leverantören förmåga att stötta före, under och efter anställning?
Har leverantören ett koncept som på riktigt skapar det värdet ni vill åt?
Hjälper leverantören er att göra rätt och samtidigt uppnå det ni vill med er investering?

Är du nyexaminerad inom ett framtidsområde som konstruktion, IT, telekom, hälsovård eller någon annan högteknologisk sektor? Gratulerar och bra jobbat! Nu är det dags att börja bygga din yrkeskarriär – något som brukar innebära en hel del nätverkande och relationsbyggande för att få draghjälp. Inget fel med det.

Tvärt om så förmedlas många karriärmöjligheter inom dessa sektorer genom nätverk och kontakter – och har du tur så kanske du till och med blir kontaktad med spännande jobberbjudanden. Det finns bara en hake: Förr eller senare är det troligt att du blir kontaktad av personer eller aktörer som inte vill Sverige väl och som vill skada svenska intressen.

Det är smickrande att bli kontaktad – men var inte naiv

När du nätverkar på exempelvis LinkedIn är det bra att vara vaksam. Här nedan har vi listat några nutida exempel som belyser hur statsaktörer systematiskt kontaktar individer inom sektorer med stora intellektuella tillgångar:

I augusti 2020 varnade USA för att kinesiska myndigheter använder sig av LinkedIn för att värva spioner bland amerikanska användare i en kampanj som USA beskriver som “superaggressiv”.
Tyska myndigheter slog vintern 2018/2019 larm om att kinesiska underrättelsetjänsten, med hjälp av falska och vilseledande konton på LinkedIn, hade kartlagt och aktivt sedan också närmat sig så många som 10 000 tyska medborgare, främst i tjänstesektorn.
Franska tidningen Le Figaro publicerade för en tid sedan en läckt rapport från franska underrättelsetjänsten som hävdade att Kinas säkerhetsministerium som då, under de senaste månaderna, hade närmat sig 4 000 franska tjänstemän och företagsledare via LinkedIn.
Enligt den franska underrättelsetjänsten har “hundratals” av dessa företagare, medarbetare, kollegor och konsulter låtit sig lurats. Enligt rapporten ska 48 procent av måltavlorna vara statliga tjänstemän, medan 52 procent kommer från näringslivet. Datavetenskap, kärnkraft, nanoteknologi, telekommunikation och hälsovård hör till de värst drabbade sektorerna.

Värt att nämna i denna kontext är också att LinkedIn är det enda stora amerikanska sociala nätverket som i dag inte är blockerat i Kina, vilket kan förklara användningen och aggressiviteten av och i just denna plattform.

Tänk på vad du delar i sociala nätverk och håll hårt i din pusselbit

Det kan så klart kännas lockande att skriva om första jobbet på ett högteknologiskt företag i framkant eller kanske fylla på ditt CV på LinkedIn lite extra inför jobbsökandet – men tänk på vilken typ av information du delar med dig av.

På en gammal kalla kriget-affisch kunde man läsa: ”Spionen lägger pussel! Behåll din bit. Håll tyst med vad du vet.” – något som är sant och viktigt även idag.

Kombinationen av otaliga pusselbitar i form av statusuppdateringar, delade bilder, CV-uppdateringar och annat är ett attraktivt mål för en annat lands kartläggning av Sverige, organisationer och enskilda individer, förmågor och sårbarheter – alltså underrättelsearbete. Med många insamlade pusselbitar som passar deras intressen och behov så blir pusslet tillräckligt komplett kring en svensk organisation eller person så att dessa kan bearbetas och utnyttjas för aktörens ändamål.

Därför är det viktigt att inte dela detaljerad information om exempelvis dina arbetsuppgifter på kärnkraftverket eller i 5G-nätet, de häftiga och unika underjordiska lokaler som du besöker i tjänsten, den där spännande kunden som utvecklar komponenter till satelliter och så vidare.

Varför är du intressant?

I din (framtida) roll som exempelvis konsult på ett teknikkonsultbolag kan du bli intressant för ett annat lands underrättelsetjänst som är intresserad av så kallad skyddsvärd information, exempelvis svensk forskning generellt, medicinsk forskning, biotech, spetsteknologi inom alla områden där Sverige ligger i framkant (alltså även spetskompetens inom exempelvis jordbruk). Självklart även alla områden där det bedrivs samhällskritisk verksamhet.

Orsaken till att underrättelsetjänster siktar in sig på bland annat konsulter i privata bolag genom kartläggning och bearbetning är att det ibland är lättare att komma åt skyddsvärd information via medarbetare hos en civil leverantör än att få direktaccess till den skyddsvärda informationen. Dessa ofta noggrant planerade aktiviteter kan innebära att medarbetaren, alltså du, blir kontaktad i syfte att utnyttja dig, få dig att bli samarbetsvillig genom olika typer av stimuli/påtryckningsmetoder. Det kan handla om pengar, bekräftelse eller vänskap men också genom sex och droger.

Hur kan du skydda dig?

Du, ditt beteende och omdöme är ”First line defense”, var eftertänksam och vaksam.
Se över dina konton och inställningar i sociala medier, vad delar du publikt?
Dela inte erfarenheter eller detaljer kring säkerhetsklassade projekt.
Acceptera endast kontaktförfrågningar från kontakter du kan verifiera.
Om du redan har ett jobb idag, säkerhetsrapportera internt vid misstanke om att du utsätts eller utsatts – det är aldrig för sent!
Du kan även tipsa Säkerhetspolisen om exempelvis misstänkta kontakttagningar eller förfrågningar om information
Är du inplacerad i en säkerhetsklassad befattning redan idag, så måste du säkerhetsrapportera misstänkt beteende och kontakttagning som sker i sociala medier. Anteckna då vem som har kontaktat dig och vilken anledning till kontakten personen uppgav. Notera även när och hur den första kontakten togs.

Sammanfattningsvis behöver du i din nya karriär ta hand om dig själv! Var vaksam, ha ett omdöme och våga sätt gränser – och var inte naiv. Förstå att du är en nyckel, en möjliggörare och en pusselbit för någon annan i deras pussel.

Lycka till i karriären!

Några gånger då och då så dyker de upp och får medialt utrymme. Ärenden som handlar om spioner, agenter och främmande makt. De handlar om någon enskild som av olika anledningar gjort vägval i livet som lett fram till att man nu sitter misstänkt för väldigt allvarlig brottslighet. Man har oerhört mycket att förlora både privat och professionellt. Ofta händer det att även den närmaste omgivningen får en släng av sleven och av de negativa konsekvenserna.

Det jag tycker är intressant och som borde vara en vanligare reflektion i en organisation om någon enskild är beredd att offra så mycket och dömas för så allvarlig brottslighet då man konspirerat med främmande makt. Hur vanligt är dessa ärenden då i övriga organisationer där det finns andra men likväl mycket stora skyddsvärden, samtidigt som risken och konsekvenserna är så oerhört mycket mindre påtagliga?

Intellektuella tillgångar brukar man tala om (eller Intellectual Property som det heter på engelska). I en organisation där det exempelvis, men inte nödvändigtvis, bara finns denna typ av åtråvärda delar – hur tänker man där då man bygger sina murar? Hur mycket hänsyn till denna överhängande risk tar man in i beaktande i sina proaktiva koncept och processer?

Jag läser årsböcker från säkerhetstjänsten år efter år och tar del av artiklar från Sverige och andra länder med liknande hotlandskap och undrar om man i privat sektor inte vid det här laget borde insett vilken åtråvärd måltavla man egentligen är.

Insiders – inte bara en operativ fråga

Många organisationer har fortsatt så pass låg förmåga att förhindra men också detektera att det överhuvudtaget skett en stöld att man sannolikt inte ens kommer upptäcka att det inträffat en säkerhetsincident. Många vet fortsatt idag trots att de har ”guldägg” i boet inte när risken är förhöjd och vilka indikatorer som faktiskt finns och som man aktivt kan leta efter.

Det finns så mycket att berätta om hotlandskapet och så mycket mer att göra på så många platser i vårt samhälle för att helheten ska kunna bli mer motståndskraftig. Men alla måste inse problematiken och arbeta både mer omfattande, smart och definitivt långsiktigt med dessa frågor.

Det är inte bara en operativ fråga, det är en högst strategisk fråga i ett affärsdrivande bolag! Hur många styrelser benämner och har fokus på viktiga och långsiktiga säkerhetsfrågor som möter hotbild och ger de operativt ansvariga de rätta och skarpa förutsättande mandat och inriktningar?

Många organisationer funderar fortfarande på om de ska eller inte ska börja arbeta med bakgrundskontroller och både små och stora arbetsgivare hör av sig till oss för att diskutera och lyssna på olika argument för och emot. Att diskussionen pågår är positivt. Det skapar en riskmedvetenhet och insikt i organisationen som de kanske är i behov av för att kunna hantera och arbeta med sina risker på ett sätt som är relevant.

Mycket brukar kretsa kring vilka olika alternativ som finns och hur man ska veta vart ”ribban” bör läggas så att det man vill implementera också är motiverbart.

På SRI rekommenderar vi alltid våra kunder att arbeta riskorienterat med sina förebyggande åtgärder. De riskerar annars att bli för lite eller för mycket tilltagna eller riktade mot fel del i organisationen. Det blir också ekonomiskt svårt att veta om det är en bra eller dålig investering.

Läs mer:
Guide för att komma igång med systematiskt säkerhetsarbete i organisationen

Nedan är en konkret arbetsordning som man bör eftersträva för att få en spårbarhet och röd tråd i sitt säkerhetsarbete. Ska man förändra och implementera exempelvis bakgrundskontroller i sina rekryteringsprocesser behöver man dessförinnan identifierat varför och vilka risker som är aktuella i en viss rekryteringsprocess. Vet man inte detta är det också svårt att svara på frågan varför en bakgrundskontroll genomförs.

Utgå från en Säkerhetsanalys – Identifiera och värdera riskerna.
Prioritera riskerna i en Säkerhetsplan – Vem ska ansvara för vad, ordningsföljden för arbetet och när ska det vara klart?
Genomför en Befattningsanalys – Hur är riskerna fördelade bland de anställda?
Befattningsanalysen styr vad som bör inkluderas i en HR- och Rekryteringspolicy – Hur, Roll och Varför?
Implementera riskreducerande och avvägda förebyggande åtgärder (exempelvis bakgrundskontroller) i era rekryteringsprocesser – dessa har nu förutsättningar att vara och även uppfattas som relevanta, objektiva och motiverbara både ekonomiskt och för den enskilde.

På så sätt kan man motivera när organisationen ska genomföra bakgrundskontroller och hur omfattande de bör eller ska vara i förhållande till befattningskategorin som är aktuell.

Går det att få ROI på investering i förebyggande säkerhetsarbete?

Frågan som många nu ställer sig, är det verkligen värt allt detta besvär? Går det att få ROI på en sådan investering? Vad är för- och nackdelar? Här nedan har jag återgett data från ESG Economic Validation som undersökt dessa viktiga frågor:

Initiala investeringen betalar tillbaka efter endast fem månader.
Reducerar insider-relaterade kostnader med upp till 4 000 000 SEK per månad i en organisation på 10 000 medarbetare.
Investeringen leder enligt räknemodellen till nära 700% återbäring på tre år.

En säkerhetsfunktions största utmaning är alltid att motivera sin egen existens och att få de medel som möjliggör ett systematiskt och proaktivt fokus i säkerhetsarbetet.

När det gäller personal så utgör personalen oftast en riskfaktor som bedömts för lågt i förhållande till sannolikhet och konsekvens för oönskade incidenter med olika stor skada som följd. Men det finns alltså starka skäl och motivatorer till varför man bör prioritera det proaktiva arbetet runt människan i en organisation.