SRI:s personalsäkerhetsrådgivare Pierre Gudmundson inför 2025: ”Dessa komponenter blir personalsäkerhetsarbetets hörnstenar för många verksamheter”
”Många verksamheter är just nu i full färd med att avsluta säkerhetsprocesser kopplat till både rekrytering och säkerhetsprövning inför årsslutet – och samtidigt är planeringen i full gång inför 2025.
Med tanke på det fortsatt osäkra omvärldsläget och de utmaningar som, förr eller senare och på olika sätt, påverkar oss i Sverige och våra svenska verksamheter är det viktigt att vara förberedda och se över de insatser som gjorts och utvärdera dessa.
Det är även minst lika viktigt att lyfta blicken och blicka framåt för att analysera vilka insatser och verktyg som kommer att behövas under nästa år eller kommande 2–3 år.
Vi ställde några frågor till Pierre Gudmundson, en av SRI:s personalsäkerhetsrådgivare, som under året som gått har föreläst och utbildat både stora och små grupper inom högaktuella ämnen som insiderprevention och säkerhetskultur, personalförsörjning vid förhöjd beredskap samt systematisk och proaktiv personalsäkerhet.
Hur ser du på personalsäkerhetsarbetet i svenska verksamheter generellt, och vad ser du att verksamheterna behöver fundera på, förändra eller förstärka?
”I Sverige finns det generellt sett, inom personalsäkerheten, en högre mognadsgrad än för bara några år sedan. Förståelsen för området har även ökat avsevärt. Tyvärr måste jag dock säga att den här mognadsgraden endast gäller de riskreducerande åtgärderna som verksamheterna vidtar inför anställning eller inför lämplighetsbeslut i samband med säkerhetsprövning.
Tyvärr har merparten av de svenska verksamheterna inte anammat eller inkorporerat det systematiska arbetet som behöver adderas i samband med att de initiala besluten har fattats och som ska fungera riskreducerande under anställningsperioden. Detta är ett stort problem av flera anledningar.
Till att börja med så ökar insiderhotet kraftigt. Det kan vi se både genom att observera och studera de aktuella hotaktörerna, men även genom att omvärldsbevaka de insiderrelaterade incidenter som sker och hur dessa går att koppla till de aktuella hotaktörerna. Så hotet ökar både i teorin och i praktiken.
Det andra är att Sverige under lång tid varit eftersläpande när det gäller det systematiska personalsäkerhetsarbetet utanför de regulatoriska kraven, som exempelvis säkerhetsskyddslagen.
Det innebär att merparten av de svenska verksamheterna som inte omfattas av lagstiftning och krav inte överhuvudtaget har ett systematiskt koncept för hur personalrelaterade risker och hot ska förebyggas. Det är framför allt ett problem eftersom all statistik som finns tillgänglig stödjer slutsatsen att insiderhotet primärt riktas mot – och drabbar – dessa verksamheter.”
Hur bör då de svenska verksamheterna tänka kring sitt personalsäkerhetsarbete för att få en högre kvalitet och ett mer moget koncept runt dessa risker?
”Jag tror att många verksamheter saknar en uppdaterad uppfattning och egen analys över vilket faktiskt hot som riktar sig mot den egna verksamheten. Jag tror tyvärr att det råder en hög grad av omedvetenhet kring hotet, vilket i sin tur också innebär att diskussioner och beslutsprocesser och därmed även efterföljande prioriteringar och inriktningar som skulle behövas, istället uteblir.
Om jag skulle få ge några konkreta tips på hur man kan få till en kvalitativ och verksamhetsanpassad förändring, så tror jag att man behöver börja med att analysera sin egen verksamhet i den omvärld den verkar i.
Fler verksamheter behöver ta hänsyn till geopolitik och säkerhetspolitik då det är fler verksamheter som berörs av den hotbild som genereras av dessa skeenden och utvecklingen som sker, än vad man kanske tror.
Sedan måste man, i mycket större utsträckning och på ett mycket tydligare sätt, inkorporera dessa slutsatser i sitt säkerhetsarbete. Det borde då leda till att man kraftigt förändrar och omprioriterar hur man bedriver det riskreducerande arbetet runt personal under personalens anställningsperiod.
Forskning på området visar tydligt att de flesta som anställs eller säkerhetsprövas har en positiv inställning till den aktuella verksamheten och inte har för avsikt att skada verksamheten då initialt anställnings- eller lämplighetsbeslut fattas. Men, denna inställning hos individen kan ibland förändras under tiden man är anställd eller inplacerad.
Den stora majoriteten av verksamheter saknar dock helt förmåga att upptäcka att detta sker och saknar även förmåga att samverka och eskalera dessa typer av indikatorer till säkerhetsfunktionen. Det innebär att åtgärder och mitigering uteblir eller inte kan ske på ett effektivt sätt.
Jag skulle vilja säga att utan det uppföljande, kontinuerliga och insiderpreventiva arbetet som syftar till att uppnå en god säkerhetskultur, en hög säkerhetsmedvetenhet och en vilja att säkerhetsrapportera inom organisationen så saknar man ett systematiskt säkerhetsarbete. Dessa komponenter blir personalsäkerhetsarbetets hörnstenar för många verksamheter – och något som man behöver prioritera betydligt högre.
Jag skulle även vilja sticka ut hakan och säga att här behöver många fundera och ta en titt i spegeln inför 2025 om man på allvar vill möta insiderhotet – ett hot som ökat under de senaste åren och fortsätter att öka.”
Läs även:
3 viktiga skäl: Därför fokuserar SRI på insiderhotet
Lärdomar och insikter från SBS Insider Threat Summit i Washington DC