Insikter om insiderprevention från Insider Threat Social and Behavioral Sciences Summit 2024
Våra kollegor Pierre Gudmundson och Peter Helin är på plats (augusti 2024) i Washington DC, USA, som inbjudna deltagare på en av årets största och viktigaste konferenser inom insiderprevention och beteendeforskning: Insider Threat Social and Behavioral Sciences Summit 2024.
Konferensen anordnas av PERSEREC:s Threat Lab, med stöd av Office of the Under Secretary of Defense for Intelligence & Security, National Counterintelligence & Security Center (NCSC) och U.S. Department of Defense.
I den här artikeln delar de med sig av sina tankar och förväntningar inför, viktiga lärdomar från konferensen, och efterföljande reflektioner och vad anser de att svenska verksamheter kan och borde ta med sig i sitt eget insiderpreventiva arbete.
Artikeln växer fram successivt – titta gärna in igen under de kommande dagarna för att se uppdateringar och ta del av fler insikter.
Inför Insider Threat SBS Summit 2024 – Vad har vi att se fram emot?
Dagen innan konferensen sätter igång har vi anlänt till Washington och har lite tid att acklimatisera oss och förbereda oss så att vi ska få ut så mycket som möjligt av våra dagar.
Ett besök i Washington är självklart inte komplett utan att besöka de många historiska landmärken och monument som man sett på film och TV. Därför började dagen med en lång ”walk and talk” där många ämnen avhandlades, däribland säkerhetsläget i världen och USA:s roll, hotaktörer och aktuella case, samt det stora behovet av den konferens som vi kommer att delta på.
Ett av de monument som vi stannade till vid lite extra var World War II Memorial. Dessa krigsmonument skapar speciella känslor och väcker tankar. Här blir det väldigt tydligt vilka uppoffringar som gjorts på många krigsskådeplatser runtom i världen under andra världskriget – och vi påminns om devisen att ”demokrati har ett pris”.
Sedan andra världskrigets slut har detta kanske aldrig varit så tydligt som idag.
Vi fortsatte vår promenad och vårt samtal och hamnade utanför Pentagon, där aktiviteten var oväntat febril. Blackhawk-helikopter efter Blackhawk-helikopter landade – vilket självklart väcker tankar kring vad som försiggår.
Självklart pratade vi om programmet för Insider Threat SBS Summit och vad vi har att se fram emot – och här nedan delar vi med oss av några föreläsare och föreläsningar vi ser fram emot lite extra:
Pierre:
En föreläsning som jag fastnade lite extra för – även om hela programmet är väldigt intressant – är ”Detection and responding to red flags in the hybrid workplace” med Dr. William Isler från Air Force Counter-Insider Threat Hub.
Detta för att hybridarbetsplatser har, i samband med pandemin, kommit för att stanna – något som ställer nya och andra krav på säkerhetsfunktionens sätt att arbeta och motverka.
Ny kunskap inom detta område är något som jag tror att verksamheter i Sverige letar efter och kommer att kunna ha stor nytta av.
Peter:
Jag ser oerhört mycket fram emot hela programmet då det finns så mycket att lära sig inom området. Även om vi på SRI redan har mycket kunskap på området, och även är väldigt nördiga och vetgiriga, så är vi långt ifrån fullärda.
En föreläsning som jag tror kommer att hjälpa mig i min roll som projektledare när jag bygger produkter och kunskapsresurser med våra team är: ”Recent research in threat assessment and its application to insider threat” där Dr. Mario Scalora och Dr. Denise Bulling från University of Nebraska pratar om just hur den senaste forskningen kan appliceras på olika sätt för att motverka insiderhot.
Här nedan delar vi med oss av några sammandrag från ett par av de föreläsningar vi uppskattade mest från respektive dag.
Dag 1:
Föreläsning: Öppningsanförande
Föreläsare: Jill Baker
Department Director of the Personal Vetting Program – Department of the Under Secretary for Defense and Security – Intelligence & Security. Jill Baker utvecklar och leder sin myndighets ”personal security and vetting mission” och har cirka 20 års erfarenhet inom insiderprevention och personalsäkerhet inom Department of Defense. Jill har arbetat på ett flertal myndigheter, bland annat på Pentagon samt som säkerhetsansvarig för en myndighet i syd- och centralasien.
Vad tar vi med oss:
Jill menar att vetting-processen pre-hire är i stort behov av reformering och den initiala vettingprocessen behöver integrera insider threat-indikatorer som gagnar post-hire processen. Exempelvis behöver man reformera vad man ska leta efter samt med vilka metoder man menar att man ska kunna hitta det man letar efter. Allt detta behöver också finnas tydligt dokumenterat i en policy. Utan rätt innehåll i en policy, så kommer man inte att uppnå den önskade effekten.
Citat:
”Why haven’t you been doing this the right way?”
”Why haven’t you updated our policies?”
En av de saker som Jill särskilt lyfter och understryker är att informationssäkerhet, informationsklassning samt regler för delning av information, är kritiska förutsättningar för insider threat programs. Jill menar också att dataövervakning tillsammans med uppföljning av personal måste integreras i insider threat, tydligt och tillsammans med ledarskapskultur och säkerhetskultur.
Citat:
”You can’t do your job without the right information or without the right tech.”
”Information sharing is a cornerstone of how we evolve our insider prevention program.”
”We can’t elevate security culture without leaders.”
För att man, i USA, ska kunna nå detta mål, som är ett högt mål, så samarbetar säkerhetstjänsten både med akademin och den privata sektorn för att utveckla och reformera på ett smart sätt. USA utvecklas på detta sätt idag datadrivet från slutsatser som kommer ifrån forskning. Detta resultat vävs sedan samman i Pentagon i syfte att skapa ett nytt program för insider threat prevention. Hela detta projekt ses av de inblandade som en rörelse.
Citat:
”How do we help our commanders, they’re the risk owners, manage the risk?”
”How do we understand our risk and how do we leverage our data?”
”We have to have data-driven metrics to improve”
Hela detta synsätt kring samarbete tycker jag är väldigt intressant att lyssna på, som svensk med erfarenhet från både säkerhetstjänst och privat sektor. Detta är ett synsätt som jag hoppas att Sverige kommer att bli inspirerade av – och jag hoppas att det inte tar allt för lång tid innan vi ser något liknande i Sverige.
Föreläsning: ”Should the insider threat/risk community be concerned with online gaming?”
Föreläsare: Dr. Liza Briggs, Social Scientist and applied cultural anthopologist, U.S. Marine Corps Insider Threat Program
Dr. Briggs samverkar brett mellan olika myndigheter för att utveckla evidensbaserad forskning och tillhandahåller utbildning som stödjer insider threat-uppdraget. Hon är även kursledare för National Insider Threat Taskforce.
Vad tar vi med oss:
Dr. Briggs inledde sin fartfyllda och ofta humoristiska föreläsning med att lyfta fallet Jack Texeira, en insider som arresterades för att ha läckt säkerhetskänslig information på Discord. Texeira var en uttalad gamer som brukade spela simulatorspelet War Thunder online.
I sin föreläsning pratade Briggs om hur utbrett gaming är i olika generationer och diskuterade bland annat begreppen Digital natives och Digital immigrants – med andra ord, generationer som är födda med internet jämfört med generationer som inte är det.
Våra två senaste generationer, Generation Z och Generation Alpha spenderar ca 80 timmar i veckan på att spela datorspel. För dessa generationer är datorspel mer än bara ett spel, det är en uppslukande livsstil och forum där de har sina vänner och bekantskapskrets.
I dessa forum kan gamers släppa hämningar som de kanske vanligtvis har i den fysiska världen. Briggs benämner dessa släppta hämningar som ”online behaviour disinhibitions” – en typ av beteende där man i den virtuella världen kan bete sig och prata på ett sätt som man inte skulle göra i den fysiska världen.
Detta kan även handla om en form av det som Liza Briggs refererade till som ”bar room bragging” där man berättar om sådant som man kanske inte heller skulle berätta i den fysiska världen.
Detta var även något som man kunde påvisa i fallet med insidern Texeira, som hade skrutit om sin tillgång till känslig information på Discord – och som sedan släppte information för att visa att han talade sanning om sin access.
Dessa forum och dessa beteenden utnyttjas idag av statsaktörer som vill komma åt känslig information.
Det som också är intressant i sammanhanget var att Liza Briggs hade intervjuat fokusgrupper med amerikanska marinkårssoldater. som också identifierade sig själva som gamers. Dessa individer hade ofta inte tänkt på att en ”vän” i den virtuella världen kanske inte är den de utger sig för att vara – och vilka konsekvenser det skulle kunna få om man delger fel typ av information.
Gaming och gamingplattformar är idag en arena som uppenbart utnyttjas av olika typer av aktörer för rekrytering och för att komma åt känslig information – inte minst när det gäller yngre generationer.
Här kan medvetande- och kunskapshöjande insatser för chefer för att ge dem bättre förutsättningar för att följa upp sina medarbetares förhållande till gaming, hur mycket medarbetare spelar, samt vilka kontakter man har i den virtuella världen spela stor roll i det löpande säkerhetsarbetet.
Här blir en reflektion från min sida att exempelvis onboardingprocesser av dessa generationer och av individer som identifierar sig som ”gamers” bör anpassas och få medvetandehöjande kunskapsmoduler för att utbilda dessa medarbetare i vilka risker som finns kopplat till gaming-communityn.
