Intervju med Dr. Eric Lang – världsledande expert inom beteendevetenskap och insiderprevention, och SRI:s senaste Advisory board-medlem
Insiderprevention är ett viktigt fokus på SRI och behovet av både utbildning och verktyg centrerat kring insiderhotet ökar i snabb takt i Sverige, Europa och runt om i världen.
SRI har under de senaste åren utvecklat en omfattande verktygslåda med både evidensbaserade verktyg för att förebygga insiders, resurser för medvetenhet och utbildningsresurser – varav många har inspirerats av Dr. Eric Lang och hans forskarkollegors arbete.
I samband med att Dr. Lang nu ansluter till SRI tog vi tillfället i akt att prata med honom om det ökande insiderhotet, trender, vad vi i Sverige och Europa kan lära av USA, varför det är viktigt att använda evidensbaserad insiderprevention – och naturligtvis hans tankar om att vara en del av SRI.
Om Dr. Lang
Dr. Lang är socialpsykolog med över 35 års erfarenhet av att förbättra organisatorisk effektivitet, rättvisa, säkerhet och välbefinnande genom vetenskapligt baserade policyrekommendationer och verktyg för bästa praxis.
Dr. Lang har lett flera forskargrupper och är mest känd för sina många år som chef för Personnel and Security Research Center (PERSEREC) – en forskningsgren inom det amerikanska försvarsdepartementet.
2025 valde Dr. Lang att gå i pension från statlig tjänst och återvända till sina rötter i den privata sektorn (exempelvis tillbringade han över 10 år som tillämpad forskare och ledare i små och stora företag och en ”tankesmedja”), och ansluter nu till SRI.
Hej Dr. Lang!
Vi är mycket glada över att välkomna dig till Team SRI och vår Advisory board! Många av våra kunder och läsare känner till dig från ditt framstående arbete inom PERSEREC och Threat Lab.
När du nu blir en del av vår Advisory board kommer din imponerande erfarenhet och breda kunskap bli ännu mer lättillgänglig för den svenska och europeiska marknaden.
Insiderhot och insiderprevention är två högaktuella ämnen i Sverige just nu, så tack för att du tar dig tid att prata med oss och för att du delar med dig av dina insikter.
Vad är dina tankar om det ökande insiderhotet globalt och verksamheters åtgärder för att förebygga insiders?
”Globalt finns det många oroande trender, men två teknikrelaterade ökningar är viktiga att notera, tillsammans med en traditionell trend som fortsätter att vara ett ihållande insiderhot.
Den första trenden är illasinnade utomstående och insiders ökade användning av tekniska verktyg för att dra nytta av dåliga säkerhetsrutiner i verksamheten eller sårbara anställda med bristande säkerhetsmedvetenhet, personliga problem eller som är missnöjda. Till exempel är den ökande användningen av anpassningsbara och mycket trovärdiga text-, röst- och videobaserade Gen-AI-förfrågningar ett växande problem.
En annan teknikrelaterad trend är att oavsiktliga insiderincidenter blir vanligare och skadligare. Eftersom organisationers datafiler, immateriella rättigheter, finansiella system och operativa program i allt högre grad är sammankopplade av komplexa informationssystem (IS), leder anställdas oavsiktliga misstag, oavsiktliga dataläckor och IS-exponeringar till alltmer omfattande och kostsamma skador och förluster.
Den tredje trenden, som har hållit i sig i tusentals år, är mutor. Även om jag inte har sett tillförlitliga internationella uppgifter om detta, tyder de många anmärkningsvärda incidenterna varje år gällande oetiska och olagliga uppmaningar från både konkurrenter och tjuvar på att mutor fortsätter att vara ett produktivt och effektivt sätt att kompromettera insiders, skaffa sig tillgångar och störa organisationer.
En olycklig trend när det gäller att förebygga insiderhot är att organisationer förlitar sig allt för mycket på systembaserad övervakningsteknik. Det finns fortfarande kritiska brister i hanteringen av insiderrisker som grundar sig i beteendemässiga och mänskliga faktorer, såsom lågt engagemang i säkerhetskulturen, delade lojaliteter och mutor.
Även om UEBA, SIEM och annan systembaserad teknik är nödvändig för att identifiera vissa typer av säkerhetshot, är det långt ifrån tillräckligt för att hantera det övergripande insiderproblemet. Bruce Schneier sa det bäst: ”Om du tror att tekniken kan lösa dina säkerhetsproblem, då förstår du inte problemen och du förstår inte tekniken.”
Vetenskapsbaserade bästa praxis-lösningar inom beteendevetenskap och mänskliga faktorer finns tillgängliga för verksamheter som är intresserade. Jag ser fram emot att hjälpa SRI att stötta intresserade grupper.”
Vad tror du att vi i Sverige och Europa kan lära av det arbete och den forskning som du och dina forskarkollegor har gjort i USA?
”När det gäller insiderhot finns det – även om geopolitiska och sociokulturella faktorer skapar unika förutsättningar i Sverige – också många gemensamma problem, särskilt bland demokratier i Europa, Nordamerika och Australien/Nya Zeeland-regionen. Exempelvis från statssponsrade aktörer som stöds av Ryssland, Kina, Iran och Nordkorea. Andra vanliga hot kommer från lokala skadliga aktiviteter som påverkar insiders, exempelvis från vit makt-grupper och regeringsfientliga grupper och extremister.
Eftersom USA och Storbritannien har de största försvarsrelaterade budgetarna inom den offentliga sektorn och den privata sektorn, har vi i årtionden kunnat finansiera betydande projekt inom grundläggande och tillämpad forskning om insiderhot, vilket resulterat i många vetenskapligt baserade insikter, policyrekommendationer och verktyg som har gjorts fritt tillgängliga i syfte att gagna Nato-länder, som Sverige och andra allierade.
Mitt expertområde är psykologiska, beteendemässiga och sociala/organisatoriska system relaterade till insiderrisk, insiderhot och organisatoriskt välbefinnande. Problemet som jag har sett upprepade gånger är inte tillgången till forskningsbaserade policyrekommendationer och verktyg. Utmaningen ligger istället i:
(1) organisatoriskt ledarskap som inte förstår omfattningen av de nuvarande och överhängande insiderriskerna och följaktligen inte utforskar och avsätter resurser för implementeringar av bästa praxis för insiderhantering i tillräcklig utsträckning, och
(2) organisatoriska chefer och leverantörer som inte vet hur de ska arbeta effektivt tillsammans för att bedöma och anpassa vetenskapligt baserade policyer och verktyg för att bäst passa en grupps specifika riskområden, företagsresurser och organisationskultur.”
Varför anser du att det är viktigt att använda sig av evidensbaserad insiderprevention, och varför är det viktigt att fortsätta med beteendevetenskaplig forskning?
”När det gäller insiderhot och andra områden som involverar psykologiska, mänskliga faktorer och sociala influenser fattar alltför många säkerhetsföreträdare och ledare beslut baserat på oprövade antaganden, intuition, minnesvärda erfarenheter och vanliga missuppfattningar som inte är generaliserbara eller effektiva för att förbättra säkerhetsarbetet.
Till exempel är det fortfarande en vanlig uppfattning att om man gör hårda straff ännu hårdare kommer det att avskräcka dem som bryter mot reglerna. Forskning visar att detta inte är sant.
Att använda en beteendevetenskaplig approach för att formulera frågor och testa potentiella tillvägagångssätt är det bästa sättet att identifiera implementeringar som är effektiva, ändamålsenliga och rättvisa. Eftersom insiderrisker/hot, såväl som sociala, geopolitiska och tekniska faktorer förändras och utvecklas, är kontinuerliga investeringar i grundläggande och tillämpad forskning om insiderrisker/hot nödvändiga.”
Du har en framstående karriär som sträcker sig över 20 år från den amerikanska statliga sektorn, samt 10 års tidigare erfarenhet inom den privata sektorn. Nu när du går tillbaka till den privata sektorn, vad ser du mest fram emot? Vad tror du att några av skillnaderna kan vara?
”Varje jobb är ett ”paketerbjudande” som innehåller en blandning av meningsfullhet, begränsningar och möjligheter som, förhoppningsvis, stämmer väl överens med en individs privatliv och värderingar.
I mitt fall har de senaste 20 åren som federalt anställd och chef för ett forskningscenter – förutom att det varit det bästa sättet för mig att hjälpa flest yrkesverksamma och medborgare – också hjälpt mig att ta hand om min familj.
När jag nu går tillbaka till den privata sektorn är jag glad över – och njuter redan av – större frihet att välja och maximera meningsfullheten i yrkesaktiviteter, minimera byråkratisk ”friktion” och umgås med ett bredare spektrum av stimulerande kollegor inom områden som jag tycker är viktiga och fascinerande (hint: jag är lättfascinerad).”
Du blir nu också en del av SRI:s Advisory board, något vi naturligtvis är mycket glada över. Vilka är några av de områden där du tror att du kan göra skillnad för SRI:s kunder?
”Jag redan har samarbetat med SRI-kollegor sedan tidigare så jag vet att vi delar ett djupt engagemang för humanistiska och holistiska tillvägagångssätt inom säkerhetskultur och insiderprevention.
Följaktligen innebär min tillämpade beteendevetenskapliga kompetens och erfarenhet av det tillvägagångssättet för säkerhet, trygghet och organisatoriskt välbefinnande att vi tillsammans kan göra SRI-verktyg som Prisma, SRI-tjänster som bakgrundskontroller och rapporter som den årliga årsboken om insiders ännu starkare och mer användbara.
Att samarbeta med engagerade och kreativa team för att stödja både affärsrelaterade och nationella säkerhetsbehov i allierade demokratier är vad jag är bäst på och det jag tycker mest om! Jag är förväntansfull och tacksam för möjligheten att arbeta tillsammans med SRI!”
Tack, Eric, och än en gång: Välkommen till SRI!