Made in China 2025: Är det dig och dina kunskaper Kina letar efter?
Ofta hör man om insiderrelaterade incidenter, mer sällan men ändå återkommande om spioner och värvningar. Hur går det till och hur hänger allt ihop?
I den här artikeln vill jag dela med mig av några exempel, lite högt och lågt, kopplade till hur en säkerhetsprövning och en genomförd grundutredning hänger samman med hur information om oss som individer gör oss sårbara och relevanta för andra länder i deras underrättelsearbete. Eftersom vi ofta tidigare nämnt Kina i våra exempel så tänkte vi även fortsätta med det.
Jag kommer förenkla i exemplen, men ändå försöka ha såpass mycket detaljer att det blir logiska förflyttningar att hänga upp historien kring och som förhoppningsvis gör det enklare för dig som läsare att sedan själv reflektera över.
Sätt dig själv i de fiktiva situationerna nedan och försök att knyta an till din egen situation och din egen (framför allt) digitala exponering.
Vad är ”Made in China 2025”?
I ett memo från svenska FOI har myndigheten sammanfattande beskrivet Kinas inriktning avseende cyberspionage och hur denna är sammankopplad med landets långsiktiga strategi ”Made in China 2025”. Där kan man bland annat läsa:
”Kinas cyberspionage syftar till att främja politiska, strategiska och ekonomiska intressen. Enligt sina nationella strategier eftersträvar den kinesiska staten att avancera i de globala värdekedjorna och bli en stormakt inom avancerad tillverkning. Kina avser att i högre grad bli teknologiskt självförsörjande och uppnå en världsledande position inom avancerade teknologier.
Militärt siktar Folkets befrielsearmé (PLA) på att bli en av världens främsta försvarsmakter som är modern och högteknologisk. En stor del av det kinesiska cyberspionaget är inriktat på industrier och sektorer som den kinesiska regeringen identifierat som strategiska genom att de är kopplade till statens utvecklingsmål. Detta gäller bl. a nästa generations informationsteknologi, robotteknik samt rymd- och flygteknik.”
Ok, så om Kina om 5-20 år siktar på att vara självförsörjande och världsledande inom ett sådant fastställt område, behöver ett stort antal delar uppfyllas som möjliggör detta. Förenklat talar vi här om, idéer och kunskap, kompetens samt pengar till utveckling och förverkligande.
Made in China och kinesiska studenter
Så om de behöver kompetens och idéer kopplade till exempelvis AI och vi tar Sverige som kontext. Då kan man tänka sig att Kina prioriterar att skicka hit studenter som läser dessa program på våra universitet och högskolor. Studenterna kanske sen också kan få gästforska och delta i forskningsprojekt etc. där de ytterligare fördjupar sina kompetenser samt bygger sina relationer med andra individer inom samma område. Vänskap är alltid bra!
Dessa studenter, doktorander och forskare kommer alla dock lyda under den kinesiska underrättelselagen från 2017. Denna lag och främst dess artikel 7, ställer tydliga krav på kinesiska företag, organisationer och medborgare att ge tillträde till samt samarbeta med kinesisk underrättelseinhämtning.
På så sätt kan privata och statliga intressen i vissa fall vara sammanlänkade och svåra att särskilja. Att lagen dessutom omfattar medborgare innebär att främjande av dessa intressen även kan involvera enskilda individer. Detta medför en problematik som förvisso inte nödvändigtvis berör cyberområdet, men som reflekterar den kinesiska regeringens möjligheter att ställa krav på enskilda medborgare att bidra till underrättelseinhämtning – inklusive anställda på utländska företag.
Alltså, studenterna som får sina exjobb här i Sverige, som kanske efter examen söker sig till specifika bolag med låga lönekrav etc. blir helt enkelt attraktiva för våra start-ups eller tekniktunga bolag. Där kan de sen både få ytterligare och utdragen access till personer och information.
Made in China och bolagsförvärv
I de fall detta inte räcker kan Kina uppfylla sina behov, i sin strävan efter sin strategi Made in China 2025, i stället se sig om efter svenska bolag att förvärva. Ett enkelt och tidseffektivt sätt att snabbt få kontroll över patent, idéer, kompetens etc. Här skulle eventuellt den nya uppdaterade svenska säkerhetsskyddslagen (2018:585) inom en snar framtid kunna utgöra ett hinder på vägen för detta metodval. Vi får se.
Kina kan såklart som vi inledde med också välja att genom cyberspionage och illegala intrång och stölder av information, komma över det man behöver för dessa långsiktiga syften och mål. Men på detta sätt kan man även tillskansa sig komprometterande material, som senare kan användas mot exempelvis de som ska sälja sitt bolag, eller för att skapa dåligt anseende runt individer och varumärken, som passar lägligt innan man går in i en affärsdialog och värdering.
Made in China kopplat till personalsäkerhet
Men nu arbetar ju vi på SRI med personalsäkerhet, så det är där vi nu ska hamna och vika ut lite extra. Vi utgår fortfarande i exemplet från att Kina om 5-20 år vill vara ledande inom AI.
Kina kartlägger då vilka länder som idag är duktiga på AI, vilka bolag som har denna kompetens och förmåga och inom vilket område.
Man kan även kartlägga vilka läroverk som är intressanta att studera och forska vid. Men sen finns där ju en del individer i Sverige som skulle kunna vara intressanta att bygga relation med. Antingen för att få dem att arbeta i av Kina kontrollerade bolag, eller som man på sikt kan lyckas värva till agenter. Det är här det börjar bli intressant.
Denna kartläggning genererar en lista över framtida potentiella relevanta informationsbärare och kompetenser, vi kan kalla dem Futures – framtida möjliggörare.
Detaljerad kartläggning av intressanta individer
Med hjälp av den svenska offentlighetsprincipen kan man med enkelhet få ut listor över från våra svenska läroverk och detaljerad information om vem som har läst vad, var och när. Nu har man rådata över namn inom ett visst intressant område. Så i nästa steg – var jobbar dessa individer idag?
Med hjälp av vanliga LinkedIn-konton kan man sedan tanka av LinkedIn på denna data och börjar plottra organisationsskisser:
- Vem gör vad?
- Vem är chef över vem?
- Vem rekryterar?
- Vilka tjänster utannonseras?
- Vilka upphandlingar har man vunnit, och så vidare.
Snart har man en bild över personal och potentiella bolag med mera där man kan nå framgång.
En del av dessa bolag kommer, i framtiden i allt högre utsträckning omfattas av Säkerhetsskyddslagen. Det innebär att många befattningar också kommer vara inplacerade i säkerhetsklass. Att vara inplacerad i säkerhetsklass innebär att man också genomgår både en initial säkerhetsprövning men, över tid, även en löpande uppföljande säkerhetsprövning.
Så i de fall någon intressant profil med rätt kompetens behövs så kommer detta leda till att Kina överväger att försöka göra denne till en agent.
Vem kan utnyttjas imorgon?
Säkerhetsprövningen och dess moment kallad grundutredning har ett tydligt syfte: Man letar inte efter övertygade och frälsta agenter, man letar efter sårbarheter hos ännu icke exploaterade individer, som i det här exemplet Kina, skulle kunna exploatera ”imorgon” i sin jakt efter en agent och insider.
När man vill kartlägga en människas liv för att förstå och utvärdera om någon kan vara värd att kontakta, och kanske även senare värva för sina egna ändamål, är sociala medier ett ypperligt sätt att snabbt få en djup inblick i vem du är. Det är en del i målsökningen och något man gör då man letar efter nästa agent och insider, någon ny att ”slå klorna i”.
Syftet med grundutredningen i säkerhetsprövningen
En del av syftet med en grundutredning, är därmed att försöka förstå vad en hotaktör generellt, i detta fall Kina, skulle kunna uppskatta och vilja exploatera hos den enskilda individen.
Alltså, vilka sårbarheter finns det hos individen som kan vara självmarkerande måltavlor och därmed framgångsfaktorer vid målsökning och ett senare värvningsförsök? Man bygger förenklat upp en bild av hur man med störst framgång bör gå till väga för en lyckad värvning.
Återigen, grundutredningens syfte blir då att proaktivt försöka höja medvetenheten, kunskapen och i förväg skapa bättre dialog och motståndskraft hos den enskilde men också hos den organisation denne tillhör.
Det är därför sårbarheterna är så viktiga att förstå. Det är även därför det är så viktigt att individen, den prövade, samverkar och förstår att säkerhetsskyddet och säkerhetsspecialisterna som utför säkerhetsprövningen är där med denna uppgift – att värna och skydda den enskilde, proaktivt från dessa kontakttagningar och värvningsförsök.
Att individen, oavsett vad som händer i framtiden och oavsett hur det formuleras, då ska känna förtroende att anmäla och rapportera in en händelse eller misstänkt händelse till sin organisation.
Det är också därför som det är förenat med ett lagkrav att ha adekvat kompetens, när du ska arbeta och vara inplacerad i en säkerhetsklassad befattning.
Att fundera på kopplat till Made in China, kontakttagning och värvningsförsök:
- Fundera på vilken information kopplat till dig själv som du inte måste eller borde kommunicera online.
- Fundera på vilka relationer du inleder och accepterar online.
- Fundera på varför just du får uppmuntrande kommentarer eller annan positiv uppmärksamhet från perifera kontakter eller sådana du inte har kontakt med.
- Söker perifera kontakter upp dig efter sådana interaktioner, fundera på varför du tackar ja.
- Är du arbetsgivare, fundera på hur mycket ”skryt” ni lägger ut om vissa kunder, upphandlingar, projekt eller anställningar ni gjort inom vissa affärsområden. Måste alla anställda bygga ert varumärke? Får de i så fall risktillägg och extra utbildning där de vaccineras mot ovan problematik?
- Är ni osäkra, sök stöd och hjälp från specialister inom personalsäkerhet!