Pierre Gudmundson

Pierre är grundare till och verksam som senior rådgivare inom SRI. Han har en djup kunskap inom området personalsäkerhet. Han arbetar idag med detta och insiderprevention inom verksamhetsskydd, luftfartsskydd samt säkerhetsskydd. Pierre är en van projektledare, utbildare och uppskattad föreläsare.

Under det gångna året har vårt affärsområde Bakgrundskontroll växt ordentligt. Efterfrågan på bakgrundskontroller från både rekryteringsföretag och direkta arbetsgivare har ökat kraftigt, något som har resulterat att vi på SRI har blivit fler i vårt analytikerteam. Samtidigt fortsätter vi att omvärldsbevaka, rusta våra analytiker med ny kunskap och utveckla vårt sätt att arbeta.

OSINT och cyber-vetting på SRI

Kunskap är något som vi värdesätter otroligt högt. Våra analytiker har redan när de börjar hos oss en hög utbildningsnivå, bland annat inom statsvetenskap, journalistik och kriminologi. Ovanpå det får de en gedigen internutbildning i både säkerhetsarbete och våra metoder för bakgrundskontroller.

Men vi nöjer oss inte där – vi vill vara bäst och kunna mest för att kunna skapa maximalt värde för våra kunder. Därför är löpande vidareutbildning en naturlig del av karriärutvecklingen som analytiker på SRI.

För att kunna fortsätta vara bäst i klassen har våra analytiker nyligen vidareutbildat sig hos ett av Europas främsta utbildningsinstitut inom det som i underrättelsevärlden kallas för OSINT (Open Source Intelligence), eller underrättelse i öppna källor, och cyber-vetting.

Så här sa en av våra analytiker efter utbildningen:

Under utbildningen har vi både fått möjlighet att bekräfta våra befintliga kunskaper inom OSINT och cyber-vetting samtidigt som har vi fördjupat våra kunskaper kring hur internet är uppbyggt på en strukturell nivå och fått verktyg som hjälper oss att både gräva djupare och söka mer effektivt.
Låter jobbet som säkerhetsanalytiker spännande? Se våra lediga jobb här

Vad är OSINT?

OSINT innebär förenklat informations- och underrättelsearbete i öppna källor och baseras på all typ av information som finns öppet tillgänglig antingen publikt eller genom offentlighetsprincipen. På SRI analyserar vi dessutom öppen information i digitala källor så som sökmotorer och sociala medier.

De digitala sökverktyg som finns bygger på koncept och logik som kräver djup kunskap för att man ska kunna hitta relevant information både effektivt och objektivt. De olika sökmotorernas logik (så kallade algoritmer) skiljer sig dessutom avsevärt från varandra. Det innebär att man som användare inte nödvändigtvis kan tillämpa samma sökbeteende i två olika sökmotorer.

Många vet att Google-sökningar och sökresultat fungerar på ett visst sätt, men de flesta vet inte att man även behöver anpassa sina sökningar för till exempel Bing och Yahoo för att kunna söka effektivt.

Dessutom förändras och utvecklas sökmotorernas algoritmer hela tiden, vilket därmed påverkar sökresultaten. Lägg därtill cookies som sparas på din dator och du har en rejäl utmaning framför dig då du börja leta efter något specifikt.

Detta kan, om man har otur, leda till att man missar vital information som kan vara av vikt i exempelvis en bakgrundskontroll.

Vad är cyber-vetting?

Vi lever i en digital värld och vi producerar digital information varje dag. Inte bara som privatpersoner utan även professionellt. Det kan handla om bloggartiklar, statusuppdateringar på Facebook eller kanske Stories på Instagram.

I kontexten bakgrundskontroll handlar begreppet cyber-vetting om att bekräfta, förstärka eller förkasta den information som redan samlats inom ramen för den kontroll som genomförs.

Det handlar om att bilda sig en uppfattning om vilken nivå av synlighet en person har i till exempel sociala medier, på bloggar och i andra digitala kanaler samt även titta närmare på hur man agerar i dessa kanaler.

Tillämpningsområden

Cyber-vetting kan exempelvis användas för att kontrollera om ett varumärke eller person smutskastats, varför och hur. Arbetssättet används även ofta för att skapa trygghet genom att säkerställa att slutkandidater exempelvis inte beter sig tveksamt mot andra människor i publika forum eller sprider budskap som strider mot principen om alla människors lika värde.

Ett annat tillämpningsområde kan vara att utreda hur en kandidat förhåller sig till sekretess, etik och annat i tidigare anställningar. Hur är man omskriven, varför är man omskriven, var är man omskriven och känner man ens till detta själv?

Det kan även vara så att man vill undersöka språkkunskaper, grammatik och andra delar som är relevant för en person som ska arbeta med att producera innehåll i skrift.

Alla tillämpningsområden ovan kan underlätta en fördjupad dialog om relevanta områden, då man befinner sig i en process.

Genom att bekräfta vår kunskapsnivå och fylla på med ny kunskap och nya trender känner vi oss väl rustade inför nästa år.

Sedan Säkerhetsskyddslagen (2018:585) utkom i ny uppdaterad tappning under våren 2019 så har det lett till en del ganska allvarliga utmaningar för medarbetare som därefter omfattas av säkerhetsprövningsprocessen.

Men vad är själva syftet med Säkerhetsskyddslagen?

Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.
(Säkerhetsskyddslagen 2018:545, 1kap 2§)

Säkerhetsskydd handlar alltså om att genom förebyggande arbete skydda säkerhetskänslig verksamhet hos myndigheter och företag mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten.

Säkerhetskänslig verksamhet är verksamhet som är av betydelse för Sveriges säkerhet eller verksamhet som Sverige förbundit sig att skydda genom internationella åtaganden.
(Säkerhetspolisen)

säkerhetsskyddslagen, arbetsrätt och personalsäkerhet

Vad innebär detta för en enskild medarbetare och individ?

En säkerhetsklassad befattning definieras och föds indirekt ur en säkerhetsanalys där en organisation definierat sina hot och risker mot den säkerhetskänsliga verksamheten. Det är i samma stund detta dokument pekar på ett behov av säkerhetsskydd som organisationen också måste definiera vilka befattningar som ska vara inplacerade i säkerhetsklass (nivå 1-3).

Detta defineras i ett efterföljande arbete som kallas befattningsanalys, där man konstaterar vilka befattningar som är i kontakt med vilken del och i vilken utsträckning hanterar det säkerhetskänsliga i verksamheten. Det är sedan befattningarna som säkerhetsklassas i de tre nivåerna där nivå ett är högsta nivån.

När en individ ska inplaceras i en sådan befattning aktualiseras ett lagkrav från säkerhetsskyddslagen om att denna individ, samt även i nivå ett och två närstående, ska säkerhetsprövas och därefter bedömas som lämpliga att vara inplacerade i en sådan befattning.

En säkerhetsprövning består av flera delar: grundutredning, säkerhetsprövningsintervju och en registerkontroll. Den senare utförs genom Säkerhetspolisen. I slutändan så ska lojalitet, pålitlighet och eventuella sårbarheter klarläggas och utredas.

Det ska tas ett beslut i arbetsgivarens organisation om att den prövade är lämplig att inplaceras i en sådan klassad befattning. Prövningen syftar till att proaktivt bli varse risker som är eller kan kopplas till den enskilde, i kombination med en säkerhetsklassad befattning.

Metoden och hur allt hänger ihop på djupet är delvis känsligt och omfattas av sekretess. Det innebär att beslut där den prövade inte ansetts vara lämplig inte delges i detalj till den som det berör. Detta är såklart inte önskvärt för individen och kan uppfattas som väldigt ångestskapande.

Man vet och förstår inte riktigt vad ett sådant beslut grundat sig på och man ges inte alltid möjlighet att ifrågasätta eller bemöta dessa beslut. Här blir verktyget och sekretessen väldigt skarpt, på den enskildes bekostnad. Detta har tidigare inte så ofta varit ifrågasatt. I den statliga sektorn har det sett ut såhär sedan mitten av 90-talet.

När nu lagen kom i ny tappning och började gälla 2019, så var den stora skillnaden att den över en natt började gälla för väldigt många fler arbetsgivare. Denna gång i privat sektor. Nu fick plötsligt dessa organisationer lagkrav om att utföra säkerhetsanalys, befattningsanalys med mera och att även säkerhetspröva sin personal.

Att säkerhetspröva på ett kvalitativt och objektivt sätt kräver adekvat utbildning, erfarenhet och en aktiv pågående omvärldsbevakning för att kunna utföras på ett bra sätt. Många av de organisationer som fått det nya lagkravet, de saknar både denna kunskap och förmåga. Detta leder i sin tur till, anser vi på SRI, en förhöjd otrygghet för den enskilde.

Säkerhetsskyddslagen innebär utmaningar för både organisation och medarbetare

Man riskerar som enskild att hamna i säkerhetsprövningar som kanske genomförs utan att de egentligen är motiverbara utifrån ovan beskrivna arbetssätt och definition av behovet.

Man riskerar dessutom att genomgå en sådan prövning där den som ansvarar saknar kunskap och erfarenhet eller inte klarar av att förhålla sig objektivt av olika anledningar till det som prövningen sammanställer. Organisationen kanske dessutom saknar förmåga att skydda den känsliga informationen på ett genomtänkt, klokt och tryggt sätt.

Men slutligen, och kanske mest allvarligt, är att bristande insyn i besluten som tas riskerar att leda till att arbetsgivare även missbrukar detta skarpa verktyg för att omorganisera, avveckla och avpolletera personal utan möjlighet till dialog eller insyn för den enskilde.

Säkerhetsskyddslagen i förhållande till arbetsrätt behöver diskuteras

Vi anser att detta är en diskussion som behöver lyftas och föras mer idag än vad den gör. Säkerhetsskyddslagen och det arbetsrättsliga behöver diskuteras och det behöver tydliggöras för alla de tusentals arbetsgivare som nu försöker uppfinna sina egna hjul, vad det är som gäller och vad man får och inte får göra inom ramen för denna kontext.

Man skulle kanske även kunna diskutera viten där detta missbrukas. Det borde ju kunna antas betyda att man inte gjort sina analyser korrekt, eller brustit i kravet på kompetens, eller missbrukat verktyget på ett medvetet plan för att det där och då fyllde ett syfte på kort sikt.

Vi på SRI får ofta frågor från arbetsgivare men även från enskilda om vad som är korrekt eller inte och vad man har rätt till eller inte avseende insyn. Vi uppfattar detta som ett behov och att Säkerhetspolisen samt andra organ i samhället borde ta fram tydliga och mer kommunicerade delar om detta område, då det sannolikt påverkar tiotusentals anställda.

Ur ett verksamhetsskydds- och säkerhetsskyddsperspektiv, visste du att ju mer tekniskt motstånd och ju fler skyddsbarriärer som skapas i en organisation – insatser som ju självklart syftar till att göra data och skyddsvärd information svårare att stjäla, förvanska eller förstöra genom cyberattacker – desto mer utsätter vi våra medarbetare för andra risker. Inte minst nu under den pågående pandemin där många arbetar hemifrån.

Medarbetarna riskerar nämligen att bli den primära måltavlan och kanalen som en aktör utnyttjar för att komma åt önskvärd information, exempelvis genom ekonomiska lockelser, känslomässig manipulation, utpressning och på annat sätt genom så kallad social engineering.

säkerhet arbeta hemifrån

För att reducera den typ av risker behöver organisationen och säkerhetsfunktionen därför vara ökat dynamisk i sitt proaktiva arbete, öka fokus och genomlysa sina koncept och säkerhetslösningar runt sin organisation, medarbetarna och människorna i den.

Det är då också viktigt att kunna ge ökat stöd till de som av olika anledningar kanske behöver det mest.

Det är därför mycket viktigt att förstå vilka begräsningar och sårbarheter som finns, vilka ökade mandat, tillfälliga mandat och andra behörigheter som delats ut i samband med pandemin och följdeffekterna av att många funktioner som vanligtvis sköter sina uppgifter på kontor, nu verkar helt eller delvis hemifrån.

Någon kanske behöver ett säkerhetsskåp i hemmet, någon kanske behöver ett utbildande samtal, någon annan kanske behöver sträckas upp en aning.

Vilka medarbetare sitter hemma med en partner i samma bostadsutrymmen och kanske genomför möten via Zoom eller Teams? Känner man ens till detta, har man ställt frågorna till organisationen eller har man gått ut med riktlinjer?

Arbetsgivaren behöver höja kunskapen och förståelsen för dessa risker i organisationen så att varje enskild medarbetare får en större förståelse för att de kan vara målet och den primära kanalen för en aktör med tveksamt uppsåt. Men också för att få en ökad acceptans för åtgärder som vidtas, så man slipper onödiga missförstånd som då kanske även riskerar leda till missnöjda medarbetare

SRI är vår uppfattning är att alldeles för få organisationer just nu har tempoväxlat kring dessa risker och behovet av kommunikation på ett tillräckligt effektivt och kvalitativt sätt.

Under det gångna året har jag själv, vid upprepade tillfällen, suttit med i Teams-möten där motparten haft anhöriga kring sig som suttit i egna videomöten och där jag råkat överhöra information som inte alls varit avsedd för mina öron.

Ibland har en telefon ringt och interna känsliga samtal har avhandlats utan att man stängt av sin mikrofon. Självklart har detta då påtalats. Ibland har jag till och med valt att lägga på och istället skrivit i chatten att de får återkomma efter avslutat samtal.

Men, detta ska ju helst inte ske.

Här bjuder jag på tre tips för att öka säkerhetsmedvetenheten bland medarbetare som arbetar hemifrån:

  1. Repetera och stödutbilda er personal kring gällande policy, riktlinjer, informationssäkerhet och liknande så att alla medarbetare är uppdaterade och har fått reda ut sina frågetecken. Ska medarbetare våga säga ifrån när något är galet behöver de tydligt förstå vilka regler som gäller.
  2. Överväg andra alternativ än Teams och Zoom. Det finns exempelvis en leverantör som heter Tutus (tutus.se) som kan erbjuda säkra videsamtal och konferenser. Leta alternativ och gör medvetna val när ni sätter upp er tekniska lösning för hemmakontoren i organisationen.
  3. Var inte passiv. Hjälp varandra i digitala möten, märker ni att samtal och diskussioner plötsligt handlar om saker som inte känns bekvämt ur ett säkerhetsperspektiv, våga då ta ordet och påpeka detta på ett tydligt sätt!

När Coronapandemin var ett faktum i Sverige i våras tog vi på SRI ett beslut om att öppna upp vår tjänst för digital referenstagning och erbjuda den helt kostnadsfritt till verksamheter som verkar inom- eller rekryterar till samhällsviktig verksamhet.

Under månaderna som gått sedan dess har vi kunnat hjälpa både regioner, sjukhus och privata vårdföretag att snabbt komma igång med digital referenstagning och därmed avlasta hårt ansatta rekryteringsfunktioner runt om i landet och hjälpa dem spara och omfördela värdefull tid.

Nu är det viktigt att vi alla hjälps åt och vi på SRI vill så klart bidra så mycket vi kan än en gång.

Digital referenstagning - Samhällsviktig verksamhet

Nu är den kalla årstiden är här med allt vad det innebär. Tyvärr så tyder det mesta på att den vida omtalade ”andra vågen” av Covid-19 är här.

Vi vet att det är många som just nu sliter hårt för att säkerställa att de har tillräcklig bemanning för samhällskritiska positioner inför vad man befarar komma skall. Många av de hjältar inom vården som slitit hårt under de första månaderna av pandemin har inte heller har kunnat återhämta sig helt.

Antalet bekräftade coronasmittade har ökat stadigt varje vecka sedan början av september, exempelvis har Norrtälje sjukhus men även andra sjukhus redan gått upp i stabsläge. Vecka 40 såg sjukvården generellt ungefär tre gånger så många fall som vecka 35.

Coronapandemin är inte heller längre koncentrerat till större orter. Spridningen och antalet fall har ökat kraftigt i Blekinge, Gotland, Gävleborg, Halland, Jämtland Härjedalen, Norrbotten, Skåne, Stockholm, Uppsala, Värmland, Örebro och Östergötland.

Gratis digital referenstagning i kampen mot Corona

Som företag, med vår bakgrund från samhällsnytta inom Försvarsmakten och Polisen, har vi som yttersta syfte att bidra till ett säkrare Sverige. Därför är det självklart för oss att bidra så mycket vi för att bidra till att ”mota Olle i grind” – så nu gör vi det igen.

Vi erbjuder än en gång alla verksamheter som bidrar till rekrytering och bemanning av personer inom samhällsviktig verksamhet att använda Referenstagning.se under de kommande kritiska månaderna.

Läs mer:
Digital referenstagning underlättar rekrytering i krisläge på Karolinska

Så funkar det:
Så går digital referenstagning till

Kom igång:
Om du vill veta mer om initiativet eller komma igång, kontakta oss.

Hur digital referenstagning hjälpte samhällsviktig verksamhet under våren

Under våren fick vi förtroendet att hjälpa Karolinska Universitetssjukhuset och andra samhällsviktiga verksamheter med referenstagning i stor skala. Allt som allt passerade cirka 2500 referenser för Covid-relaterade rekryteringar via vårt verktyg.

I och med att en digital referenstagning kan aktiveras på ca en minut (jämfört med den timme som en traditionell referenstagning ofta tar) och färdigskrivna referenstagningsrapporter sammanställs automatiskt så kunde ett närmast oräkneligt antal viktiga arbetstimmar både sparas och omfördelas till andra viktiga delar av rekryteringsprocessen.

Initiativet innebar även att redan hårt belastade rekryteringsfunktioner kunde samverka mer effektivt med hjälp av digitala funktioner samtidigt som de kunde bibehålla en högre nivå av säkerhet i sina rekryteringsprocesser.

Jag hoppas att vi med detta kan dra vårt strå till stacken och bidra till att Sverige är tillbaka på fötter så snart som möjligt.

Välkommen att höra av dig till mig (pierre@sri.se) eller min kollega Peter Helin (peter@sri.se) som ansvarar för digital referenstagning hos oss om du vill veta mer.

 

Jag vill gärna dela med mig av en reflektion angående personalsäkerhet, säkerhetsprövning och den uppföljande kontrolldelen Jag tror arbetsgivare i ett sammanhang där man lyder under säkerhetsskyddslagen har en del arbete att göra i detta spår, åtminstone under de kommande åren.

SRI genomför många bakgrundskontroller och grundutredningar. I dessa kan man ibland se förflyttningar hos en medarbetare, från en tidigare känd normalbild.

Nu under pandemin så är detta särskilt intressant för en arbetsgivare med krav på hur uppföljande säkerhetsprövning och löpande lämplighetsbedömningar sker och med vilken kvalitet. För att illustrera det jag precis beskrivit delar jag nedan anonymiserade exempel från verkligheten:

Risker vid hemarbete under pandemi

Innan pandemin

En medarbetare som tidigare inte alls utmärkt sig, där det finns en grundutredning och där det genomförts uppföljande löpande samtal, som allt varit utan anmärkning. Medarbetaren kan kanske ha haft en viss lutning åt det som skulle kunna anses tveksamt men som ändå varit väldigt långt ifrån no-go. Angående det sociala så har det inte heller funnits något att anmärka på. 

Men det var innan pandemin!

Under isoleringen och den följande rekommendationen från Folkhälsomyndigheten, om att arbeta hemifrån, så har just denna medarbetares normala sociala sammanhang mer eller mindre kollapsat. Medarbetaren var tidigare väldigt socialt knuten till sitt arbete och kollegor.

Den normala sociala bubblan har under rådande situation därmed kraftigt krympt, vilket gett utrymme för en ny och alternativ social bubbla, den online. 

Nuläge

Detta har i sin tur lett till ökat fokus och intresse för vissa normativt avvikande ämnen, trådar och samtal. Medarbetaren har nu förflyttat sig till en alternativ social kontext där det plötsligt är väldigt normaliserat med extremistiska åsikter som förespråkar handlingar som inte alls är förenat med arbetsgivarens policy och som definitivt även kolliderar med säkerhetsskyddsaspekterna. 

Medarbetaren spenderar mer tid framför datorn, sitter isolerad och glider längre och längre bort ifrån det som anses acceptabelt och lämpligt för att hen ska kunna vara fortsatt placerad i en säkerhetsklassad befattning.

Ett antal tänkvärda frågeställningar:

  • Hur gör man som närmaste chef, HR- eller SÄK-företrädare för att flytta fram positionerna så att detta lättare kan upptäckas, följas upp och motarbetas? 
  • Hur tror du att denna eller liknande typ av förflyttning kommer inverka på individens psykiska ohälsa, incidenter på arbetsplatsen eller för den delen belastning på företagshälsa, HR-ärenden och slutligen organisationens Risk Management arbete i stort?
  • Hur förebygger och bedriver man sitt förändringsarbete för att stärka kulturbyggandet, chefers förmåga att följa upp och ”se” sina medarbetare för att ha en fortsatt god förståelse för vad som är ”normalbilden” och när medarbetare plötsligt avviker?

Detta är en stor utmaning och i takt med att fler organisationer nu tvingats till olika tekniska avsteg och pragmatiska lösningar, för att hemarbete ska kunna ske, så blir detta i kombination med ett sådant här exempel en snabbt skenande risk, på många olika plan. Särskilt då man arbetar med säkerhetsskydd och den typen av känslig information.

När man vill kartlägga en människas liv, för att förstå och utvärdera om någon kan vara värd att kontakta och kanske även senare värva för sina egna ändamål, så är sociala medier ett ypperligt sätt att snabbt få en djup inblick i vem du är. Det är en del i målsökningen och detta är något man gör då man letar efter nästa agent och insider, någon ny att ”slå klorna i”.

Sociala medier är spionens favoritverktyg

Den digitala exponeringen som individer självmant bidrar till och skapar om sig själva, i kombination med det öppna samhället och den svenska offentlighetsprincipen, gör detta arbete effektivt och med en hög upplösning för den aktör som är ute efter att bedriva ett industrispionage mot enskilda svenska bolag, eller spionage riktat mot Sverige som nation.

Syftet och den agenda som styr och vad det bakomliggande intresset är, det styr också vem man målsöker. Arbetet bedrivs långsiktigt, outtröttligt och med hög kapacitet och intention.

När man genomför en grundutredning inom ramen för säkerhetsskyddslagen och en säkerhetsprövningsprocess, då genomförs det man kallar för en grundutredning.

En del i syftet med denna grundutredning, är att försöka förstå vad en hotaktör kan uppskatta och vilja använda hos den enskilda individen, vilka sårbarheter som finns som kan vara framgångsfaktorer vid målsökning och ett senare värvningsförsök.

Syftet då är att proaktivt försöka höja medvetenheten, kunskapen och i förväg skapa bättre motståndskraft hos den enskilde men också hos den organisation denne tillhör.

Tre tips som hjälper dig att försvåra för spionen i sociala medier:

  • Tänk på vad och hur mycket du beskriver dig själv privat.
  • Fundera på vad du anger digitalt om dina yrkeserfarenheter, behöver det vara så mycket detaljer?
  • Var medveten om att det sker målsökningar varje dag, på LinkedIn men också andra sociala plattformar.

Exempelvis så slog tyska myndigheter vintern 2018/2019 larm om att kinesiska underrättelsetjänsten med hjälp av falska och vilseledande konton, på LinkedIn hade kartlagt och aktivt sedan också närmat sig så många som 10 000 tyska medborgare. Norska säkerhetstjänsten PST har gått ut med liknande information och från svensk sida har man varit tydlig med att vi måste sluta vara naiva.

För två månader sedan skrev vi så här på LinkedIn när vi skulle rekrytera en analytiker till vårt team som gör bakgrundskontroller:

”Är det här ditt nya skrivbord? Vi på SRI börjar nu leta efter vår nästa stjärna och medarbetare! Till hösten vill vi gärna hitta dig som vill vara en del av vår resa, som vill skratta, träna och må bra, dela goda recept, kämpa i med- och motvind och som vill utvecklas tillsammans med oss! Vi söker dig som vill ansluta till vårt analytiker-team och arbeta med våra bakgrundskontroller.”

Responsen blev över all förväntan och vi fick kontakt med så många högkvalificerade kandidater som ville ansluta till vårt team. Stort tack till alla er som ansökte!

En analytiker blev två - SRI

Det har varit en minst sagt turbulent tid för svenska arbetsgivare på alla tänkbara sätt och många företag har fått dra i nödbromsen, inte minst när det gäller rekrytering. Därför är det lite extra roligt för oss att våra analytiker som hjälper våra kunder med bakgrundskontroller har haft fullt upp under hela sommaren.

En stabil orderingång, även i dessa osäkra tider, kombinerat med många nya kunder och positiva signaler kring rekryteringsläget från våra kunder bådar gott inför höstterminen.

Därför blir en analytiker-rekrytering nu två. Inom kort välkomnar vi två nya knivskarpa kollegor som ansluter till vårt analytikerteam och som kommer att komplettera SRI-teamet perfekt. Det innebär också att vi har mer än dubblerat personalstyrkan sedan förra sommaren.

Vill du jobba på SRI i framtiden?

Vi är alltid intresserade av att knyta kontakt med personer som kan komplettera vårt team, både kunskapsmässigt och personlighetsmässigt. Läs gärna mer om hur det är att jobba på SRI här och ta kontakt med oss för framtida karriärmöjligheter.

Tips: Följ oss på LinkedIn för att se när vi rekryterar nästa gång!

Prioriterar ni säkerhetsarbete i er organisation? Arbetar ni med bakgrundskontroller idag eller funderar ni på att börja använda detta verktyg i ert säkerhetsarbete? Lyder ni under regulatoriska krav som skapar ett ramverk och inriktning för ert säkerhetsarbete, eller skapar ni ramarna själva

Guide till systematiskt säkerhetsarbete

Oavsett vilket svaret eller svaren är för er så är det viktigt att analysera och förstå varför ni som organisation anser att ett löpande systematiskt säkerhetsarbete behövs hos just er. Har ni delar ni behöver skydda, ja då är det samtidigt relevant att genomlysa vilka roller ni i så fall anser berörs och som kan påverka det ni vill skydda – varför de berörs?  

Svaret är både enkelt och väldigt komplext. Om ni inte tydligt klarlagt VARFÖR ni faktiskt behöver skydda er på ett visst sätt, VAD ni vill skydda och VAR ni anser riskerna är förhöjda och på vilket sätt ni motiverar för er själva, att ett verktyg som en bakgrundskontroll riktad mot en ROLL skulle reducera dessa risker – ja då är själva investeringen egentligen något annat än ett verktyg i ert proaktiva och systematiska säkerhetsarbete. 

I den här guiden delar vår säkerhetsexpert Pierre Gudmundson med sig av insikter, kunskap och frågeställningar som hjälper er att komma igång med säkerhetsarbetet i organisationen.  

Viktigt med en stabil grund för säkerhetsarbetet

Det är också mer riskfyllt att inte klarlägga behovet av skydd – detta eftersom ni eventuellt saknar laglig rätt att göra till exempel en bakgrundskontroll. Precis som syftet med bakgrundskontrollen är att underlätta de medvetna risktagningarna, innan man blivit riskägare, är det också viktigt att lägga grunden för sitt säkerhetsarbete rätt, så man inte begår medvetna eller omedvetna lagöverträdelser. Det blir också mer ekonomiskt försvarbart och de investeringar som görs genererar effekt där de gör mest nytta. 

Frågorna nedan hjälper er att komma igång med att strukturera och tänka i dessa frågor. Genom att besvara frågorna får ni förhoppningsvis en ökad förståelse för argumenten kring ett kommande säkerhetsarbete, hjälp med att motivera och underlätta beslut samt en mer konkret kunskap kring eventuella risker och vart de finns, i er organisation. Detta är inte ett stöd till en ordentlig befattningsanalys och är inte tänkt att uppfattas så. Men det är en väg till ökad förståelse, in i det konceptet. 

Samtliga frågor kan besvaras JA/NEJ och ett JA-svar innebär då generellt sett att befattningen innebär en förhöjd risk för en organisation. I en rekryteringsprocess eller vid en befordran bör man då överväga att förstärka en befintlig rekryteringsprocess med en bakgrundskontroller. Det är också ett sätt att indikera vilka delar en bakgrundskontroll bör belysa. 

Det kan då även vara läge att genomföra en så kallad befattningsanalys, där detta mer systematiskt gås igenom och ni lättare får ett konkret underlag att ta vidare in i ert policy-arbete. 

Känner ni er osäkra på er status kring dessa viktiga frågor så är det viktigt att ni hittar en lämplig och kunnig partner som kan hjälpa er att navigera rätt.   

Inledande frågor:

  1. Har ni gjort en befattningsanalys över behörigheter, tillgång till information och annat som den aktuella befattningen kommer ha?  
  2. Har analysen kopplats till hot och risk så ni tydligt kunnat ta ställning till hur ni betraktar befattningen utifrån säkerhet, sårbarhet och risk?  
  3. Är det av vikt att individen i en viss roll har ett visst uppträdande och en viss historik som linjerar med organisationens värdegrund eller liknande? Hur säkerställer ni detta idag?  

 Fördjupande frågor:

  1. Kommer befattningen ha tillgång till känslig information om företaget eller dess personal och/eller kunder?  
  2. Innebär befattningen att innehavaren blir en singelkompetens?  
  3. Innebär befattningen att man är chef och har ansvar för medarbetare?   
  4. Kommer befattningen hantera ekonomi, kanske attestera eller kontera?  
  5. Kommer befattningen ta beslut kring inköp, val av leverantörer eller ensam hantera upphandlingar?   
  6. Kommer befattningen ha tillgång till strategisk information?  
  7. Kommer befattningen ha tillgång till fysiska utrymmen som är av känslig karaktär, exempelvis säkerhetsskåp där samförvaring sker, serverrum eller annat liknande? 
  8. Kommer befattningen delta i möten högre upp i organisationen, exempelvis LG-möten eller motsvarande?  
  9. Kommer befattningen vara föredragande inför högre delar i organisationen och därmed kunna påverka beslutsprocesser?  
  10. Kommer befattningen kunna dela ut behörigheter till andra avseende fysiskt tillträde eller i IT-system?  
  11. Kommer befattningen ingå i IT-projekt eller andra projekt som är av känslig karaktär? 
  12. Kommer befattningen hantera ledningsgruppens eller VD:s information som ett stöd i stab eller som assistent eller liknande?  

Om någon av frågorna ovan besvaras jakande bör ni lyfta frågan om bakgrundskontroller och att specifika roller i organisationen med stor sannolikhet kommer hantera information som är skyddsvärd för organisationen och som kan skada och orsaka oönskade konsekvenser för denne. Detta om informationen hanteras ovarsamt eller kommer i orätta händer.  

Rollerna öppnar upp för möjligheter som helt enkelt kan missbrukas av en anställd, eller av en tredje part som utnyttjar en anställds sårbarheter. Ni vill i rekryteringsprocessen skapa en transparent dialog och förståelse kring sårbarhet och risk, innan ni fattar beslut om anställning. Det är proaktivitet! 

Om någon fråga besvarats JA och ni väljer att inte förstärka er rekryteringsprocess innebär det de facto att ni gör en medveten risktagning och det kan ni då dokumentera, det är ett ställningstagande utifrån er riskaptit i organisationen. Det finns inget klandervärt i det! 

Detta bör dock förankras och den med rätt mandat ska ta beslutet. En HR chef och/eller säkerhetschef bör involveras i en sådan dialog och inför ett sådant beslut. Konsekvenserna kan bli stora och kännbara för en organisation och då bör inte en enskild medarbetare eller projektledare ensam ha tagit ett sådant beslut i ett enskilt spår.  

Organisationen bör istället ha tagit central ställning eller regionalt om hur frågor av ovan karaktär ska ingå och besvaras vid rekryteringsförfaranden. Vidare vilken innebörd ett eller flera jakande svar i så fall ska få och vilka åtgärder som ska vidtas för att förstärka processen och bistå i att reducera risker.  

En dialog kring ovan frågor leder er till rätt beslut och skapar både upplevd och faktisk trygghet. Ekonomi kan ofta i ljuset av dessa frågor bli uppenbart sekundär. Ert långsiktiga säkerhetsarbete underbyggs vilket även innebär att ni får andra synergier. Exempelvis högre trygghet bland medarbetarna och färre personalärenden/ incidenter. Det finns en klar ekonomisk fördel i detta sätt att arbete, det är proaktivt. 

SRI – en kunnig partner i organisationers säkerhetsarbete 

Vi på SRI har lång erfarenhet av att hjälpa organisationer i deras befattningsanalys-arbete, så att de kommer vidare och kan utveckla och justera sina policys. På så sätt linjerar de bättre med sina säkerhetsanalyser och den sammantagna bilden av hur logik ser ut och riskarbetet byggts upp, helheten skapas och processer blir mer rationella.  

Vi erbjuder workshops för er som vill få hjälp i detta arbete. Då kan ni sedan också tydligt argumentera för att ni behöver vidta vissa riskreducerande åtgärder och varför ni valt att göra det. 

Sedan den nya Säkerhetsskyddslagen (2018:585) trädde i kraft den första april 2019 märker vi ofta, i våra möten med kunder, att det fortfarande råder stor förvirring runt lagens olika krav.

Det är tydligt att organisationer i alla branscher och i alla tänkbara storlekar saknar insikt i om lagen gäller för just dem eller inte och i så fall, varför eller varför inte. Inte ett helt optimalt utgångsläge, såklart.

Den här artikeln är inte tänkt att bringa någon total klarhet runt dessa delar, utan endast att kort belysa några delar som kan vara viktiga att fundera lite extra över.

Säkerhetsskyddslagen - förvirring kring vad som gäller

Bristande vägledning från myndigheter

De olika myndigheterna som ansvarar för olika sektorer har med varierande framgång och proaktivitet lyckats informera sina sektorer om vad som gäller och hur stöd kan ges i dessa frågor.

Här finns en del arbete kvar att göra innan myndigheterna kan ges godkänt i sitt sätt att ta ansvar. Många organisationer känner att deras frågor lämnas utan svar eller att det tar orimligt lång tid att få vägledning.

Säkerhetsskyddsavtal väcker känslor och skapar falsk trygghet

Vi tar säkerhetsskyddsavtalen som exempel, de som ibland kallas för SUA. De väcker mycket känslor. Där är det just nu mer eller mindre kaos på vissa håll.

Beställaren vet ibland själv inte vad som är det skyddsvärda och har inte själv sin analys runt dess egna skyddsvärden på plats. Det blir ju då svårt att argumentera och motivera en leverantör till vissa åtgärder, särskilt om denne har en egen kompetens runt säkerhetsskydd.

I andra fall blir SUA en fasad för falsk trygghet och säkerhet. Skyddsvärden är oidentifierade, vilket innebär att skyddet knappast kan vara av en precis, medveten och avsiktlig karaktär.

Det blir även i förlängningen ännu mer ihåligt när man i nästa steg kräver säkerhetsprövningar av personal. Ibland trots att SUA inte finns.

Men även om SUA finns på plats så bör man ställa sig själv (och beställaren) frågan: Är det rimligt och skäligt (och är det ens legalt?) att tvinga in enskilda i en sådan process utan att skyddsvärden finns konkretiserade och utpekade inom ramen för ett samarbete och utbyte mellan parter i en kontext där denna lag endast antas gälla?

Alla frågetecken skapar just nu stress, irritation och besvikelse runt om i landet. Inget bra utgångsläge för säkerhetsskyddsarbete.

Varför krävs det SUA?

Leverantörer som hamnar i sådana situationer bör ställa motfrågor som:

Varför krävs det SUA? Vilka är skyddsvärdena? Vart finns dessa inom ramen för samarbetet? Varför ska medarbetare prövas om inte SUA finns? Om SUA finns men ovan frågor inte kan besvaras, hur har man då kommit fram till vilken säkerhetsklass som är aktuell för respektive befattning/roll och inplacering?

Behövs en säkerhetsskyddsanalys?

En annan fråga som är vanligt förekommande – behöver organisationen göra en säkerhetsskyddsanalys? Det korta svaret är (enligt Säkerhetspolisens vägledning i säkerhetsskydd) att om du har mer än ett SUA, är leverantör så ska du göra en analys. 

Känner du igen dig i problematiken inom er organisation, hör gärna av er om detta är något ni vill diskutera vidare!

Skrivet av: Pierre Gudmundson, VD och grundare, Scandinavian Recruitment Intelligence

Hur gör man en grundutredning?

Säkerhetsskyddslagen och skyddet av Sveriges säkerhet.

I samband med att en person ska inplaceras i en säkerhetsklassad befattning ställs det enligt lagen särskilda krav på denna process och vad den ska innehålla.

En säkerhetsprövning består av tre delar:

  1. Grundutredning
  2. Säkerhetsprövningsintervju
  3. Registerkontroll

Grundutredning

En grundutredning är precis som namnet antyder, en slags grundläggande kontroll där uppgifter om den aktuella individens personliga förhållanden hämtas in.

I Säkerhetsskyddslagen, i Säkerhetsskyddsförordningen samt i Polismyndighetens Författningssamling går det att läsa att en grundutredning består av exempelvis verifiering av betyg, intyg, referenser samt övriga uppgifter. 

Grundutredningen är den absolut viktigaste delen i en säkerhetsprövning. Grundutredningen syftar till att säkerställa att arbetsgivaren har en tillräckligt god personkännedom om den sökande. Arbetsgivaren har skyldighet att göra en lämplighetsbedömning, innan individen tillåts delta i den säkerhetskänsliga verksamheten.

För att detta ska kunna ske kvalitativt behöver säkerhetsprövningen och främst grundutredningen klarlägga information om den enskilde, som gör denna lämplighetsprövning möjlig.

Säkerhetsprövningsintervju

Säkerhetsprövningsintervjun syftar vidare till att med den enskilde, diskutera förekomster och förhållanden som framkommit under grundutredningen. Intervjuns kvalitet blir därmed högst beroende av hur kvalitativ grundutredningen initialt varit.

Registerkontroll

Registerkontrollen som av många anses vara nästan ett mirakelverktyg är snarare en formalitet, där vissa utvalda register gås igenom kopplade till den enskildes personuppgifter. Det är dock ingen information som i de allra flest fall överhuvudtaget innebär att information adderas som underlag inför en lämplighetsbedömning.

Ställer krav på tid och kunskap

En grundutredning kan utformas och se olika ut. Den som i verksamheten är säkerhetsansvarig ansvarar också för lämplighetsbedömningen. Denne får ta ansvar för vad som bör eller ska ingå för att beslutet ska kännas tryggt och kunna anses vara underbyggt. Grundutredningen är tidskrävande och det är även viktigt att den görs objektivt.

På SRI har vi lång erfarenhet av denna typ av bedömningar. Vi har idag ett stort antal kunder som på olika sätt lyder under ovan regelverk och som med vår hjälp genomför bakgrundskontroller, där dessa sedan anses vara tillika en grundutredning.

Kunderna ersätter på så sätt delar av säkerhetsprövningsarbetet, avlastar sin interna organisation och höjer dessutom kvalitén i grundutredningen.

När denna sedan är klar kan, om kunden så önskar, SRI:s seniora intervjuledare dessutom avlasta med säkerhetsprövningsintervjun, som är den andra komponenten i säkerhetsprövningen.

På så sätt kan man säga att säkerhetsprövningens absolut två viktigaste delar kraftfullt optimeras. Det är bra både för lämplighetsbedömningen, för det skyddsvärda och därmed för Sveriges säkerhet!

Artikeln skriven: Pierre Gudmundson, säkerhetsexpert och grundare av SRI

Under maj månad genomförde vi en unik och mycket uppskattad utbildning hos en av våra kunder. Utbildningen granskades även av relevanta myndigheter som gav en stor ”tummen upp”, vilket såklart var väldigt glädjande! Inom ramen för säkerhetsskyddslagen har arbetsgivarorganisationen en skyldighet och ett ansvar att genomföra säkerhetsprövning av personal som ska inplaceras i en säkerhetsklassad befattning, före men i samband anställning.

Men sen då, löpande under anställningen?

Jo då har faktiskt organisationens chefer ett mycket stort ansvar, att följa upp, monitorera och skapa förutsättningar för att tidigt kunna observera när en medarbetare behöver stöd eller då denne avviker från ”normalbilden” på ett sätt som skulle kunna innebära säkerhetsrisker i förlängningen.

Så hur ska cheferna kunna åstadkomma detta på ett effektivt och hållbart sätt, vilka verktyg behöver de och hur kan man utbilda i detta? Är du och din organisation intresserad av att höja kompetensen och förmågan hos hos dina chefer och i din organisation för det som kallas för uppföljande säkerhetsprövning?

Kontakta oss gärna så berättar vi mer!

Skrivet av: Pierre Gudmundson, grundare av SRI

Underrättelse är i grunden en fundamental del i beslutsprocesser. Det är inte något endast militära organisationer eller andra nationella aktörer ägnar sig åt eller har möjlighet till.

Underrättelser används för att skapa fördelar i sina egna beslutsprocesser och även och kanske framförallt, för att negativt påverka den andra – ”motståndaren” (landet, organisationen, konkurrenten).

Underrättelse är information som tillsammans med andra underrättelser och ”pusselbitar” skapar sådana möjligheter och viktiga alternativ till taktik, övertag, fördelar och hävstång.

Underrättelsearbete och själva inhämtningen av informationen kan göras på olika sätt. De olika formerna kallas för discipliner, signal-, teknisk-, bild-underrättelsediciplin samt flera andra ej här nämnda. Den man talar mest om är den mänskliga underrättelsediciplinen (humint), den är mest intressant att skriva om. Den är också väldigt svår att skydda sig emot. 

Alla människor har svagheter eller lojaliteter som kan luckras upp, försvagas, påverkas och slutligen utnyttjas.

Om man med tiden på sin sida på olika indirekta sätt gör detta, subtilt men medvetet och manipulativt, kan man också med tiden eventuellt övervinna någons lojalitet eller i vart fall påverkat den så starkt att personen i fråga som utsatts för påverkan plötsligt tar ett beslut den annars inte skulle gjort. Kanske väljer den att gå den påverkande tillmötes, att stödja med inhämtning som annars varit svårt.

Man har då ”skapat” en agent. Egentligen är detta ett begrepp som står för att du nu har en aktör du kan fjärrstyra och få att agera åt dig men som inte konkret eller direkt tillhör dig.

Denna använder du sen för att inhämta underrättelser du behöver eller önskar – för att underlätta dina beslutsprocesser,positivt och påverka övrigas, negativt. Initialt lockar och utnyttjar man personlighetsdrag eller andra faktorer, i efterhand utpressar man för att få agenten att fortsätta agera åt en.

Staket, brandväggar, passersystem och larm hjälper dig inte om du inte lyckas med att ha lojala medarbetare. Hur du anskaffar och odlar detta förhållande till medarbetarna är en sak, vilka proaktiva åtgärder du vidtar för att stötta detta långsiktiga arbete, är en annan.

Bakgrundskontroller är ett sätt att skapa möjligheter och fördelar i din organisation då ni anskaffar medarbetare.

Med rätt förutsättningar underlättas möjligheterna att förstå lojalitetsaspekter- och intressekonflikter samt individuella sårbarheter som du vill kunna utvärdera, förstå och inkludera i ditt beslut, innan du tar det.

Det är ganska självklart eller hur?

Skrivet av: Pierre Gudmundson, grundare och VD, Scandinavian Recruitment Intelligence

® Scandinavian Recruitment Intelligence 2022 | Skapad av Lightweb