Informationssäkerhet och personalsäkerhet går hand i hand
Ett effektivt säkerhetsskydd består av tre discipliner: Informationssäkerhet, fysisk säkerhet och personalsäkerhet. På SRI är vi specialiserade inom personalsäkerhet – men kopplingen mellan de olika disciplinerna är, för oss, både tydlig och självklar.
Personalsäkerhet handlar om att säkerställa att personal är pålitlig och lojal från ett säkerhetsperspektiv i syfte att personalen inte utgör en risk, bland annat relaterat till insiderproblematik. Personalsäkerhet handlar om att säkerställa att en individs personliga sårbarheter inte utgör en risk för exempelvis yttre påverkan från främmande makt eller att den identifierbara risken i alla fall ska uppfattas som acceptabel.
Informationssäkerhet handlar om att säkerställa att information inte hamnar i orätta händer, förvanskas, görs otillgänglig eller otillbörligen förstörs.
Insiders, informationssäkerhet och personalsäkerhet
Med insiderperspektivet i åtanke blir kopplingen mellan informationssäkerhet och personalsäkerhet extra tydlig. En insider eller agent är nämligen ofta svårupptäckt och kan därmed verka i lugn och ro för att identifiera information som är värdefull, kritisk eller i övrigt bara optimalt skadegenerande. Insidern har ofta byggt upp ett förtroende och fått betydande access och kan med andra ord ”flyga under radarn” och stjäla, förvanska eller förstöra värdefull och kritisk information.
En insider kan också i lugn och ro kan utvärdera bästa vägen ut, med sitt eventuella informationsbagage. Var finns det tekniska förutsättningar och möjligheter? Var är risken för upptäckt låg/lägst? Var finns kontrollpunkter, säkerhetsrutiner, spårbarhet och liknande – och var finns det inte det? Insidern kan sedan, på sina egna villkor, extrahera sitt paket och/eller sig själv.
Lojala och pålitliga medarbetare är kritiskt, men det är också kritiskt att begränsa och styra vad en illojal medarbetare faktiskt kan komma åt eller generera i form av skada. Här blir därmed sektionering och behörighetsstyrning, som faller in i under disciplinen informationssäkerhet, viktigt. Detta styrs även av fysisk säkerhet där man sektionerar och behörighetsstyr hur en medarbetare får och kan röra sig i fysiska utrymmen.
Edward Snowden
Edward Snowden, världens just nu kanske mest omskrivna insider, är ett tydligt exempel på en individ som återfanns långt ner i organisationsträdet men som hade fått betydande, nästintill total, behörighet till kritiska och hemliga system. Snowden kunde, tack vare sin position och sina behörigheter, verka i det tysta och – när tillfälle gavs – extrahera och läcka ytterst känslig information i stora mängder. I fallet Snowden är det också intressant at fundera på hur han kunde genomföra detta på det sätt han gjorde, utan att en sådan myndighet som NSA upptäckte det eller agerade på vad som gjordes tekniskt inom ramen för den behörighet som var tilldelad. Men det är en annan historia.
Behövde Edward Snowden alla dessa behörigheter eller hade man kunnat undvika viss del av den skada som nu är ett faktum genom bättre sektionering, behörighetsstyrning och genom ett mer omfattande personalsäkerhetsarbete och genom att vara mer rigid i det uppföljande säkerhets- och lämplighetsprövande arbetet?
Vi har även sett exempel på svenska insiders i närtid som försetts med access till känslig information och känsliga system för att sedan, vid upprepade tillfällen, extrahera och läcka ytterst känslig information i stora mängder.
Det är självklart lätt att vara efterklok, men det vi kan vara säkra på är att personalsäkerhet och informationssäkerhet behöver verka i en ständig symbios och det är svårt att vara helt effektiv i den ena disciplinen om den andra inte fungerar.