Deepfake-videor, röstkloning och AI-hyperrealism. Dagens programvaror gör det närmast omöjligt att skilja det datorgenererade från det verkliga i digitala rekryteringsprocesser. Men även rekrytering av insiders inom den befintliga personalstyrkan blir en allt vanligare företeelse, vilket ställer viktiga frågor kring organisationers säkerhet på sin spets: 

Hur skyddar man sin verksamhet mot intrång från individer eller grupper med avsikt att exploatera känslig information? 

Mattias Engström har mer än tjugo års erfarenhet av underrättelse- och säkerhetsarbete inom Försvarsmakten, FRA och Regeringskansliet. I dag leder han arbetet med att motverka mänskliga säkerhetshot – insiders – på säkerhetsföretaget Truesec. Hans arbete går ut på att bedöma lojalitet, pålitlighet och sårbarhet hos individer som söker anställning eller konsultkontrakt. Enligt Mattias Engström behöver digitala rekryteringsprocesser kompletteras med fysiska möten – och löpande prövningar behöver göras under anställningen. 

En säkerhetsprövning handlar väldigt mycket om att jag som samtalsledare får en möjlighet att förstå en annan människa. Det finns alltid tekniska data, kreditkontroller, brottsregister och så. Men det är enbart data. Det krävs en människa för att förstå en människa.

I grund och botten är syftet med insiderverksamhet att få in en person på insidan av ett företag eller en organisation som där får tillgång till information, system eller processer, som sedan insiderns uppdragsgivare kan utnyttja eller manipulera. Och i takt med den här utvecklingen finns ett växande behov inom rätts- och finansväsendet att fördjupa sitt arbete med att bygga säkerhetskompetens. Enligt Mattias Engström behöver man analysera verksamheten och skapa medvetenhet hos medarbetarna kring vilka skyddsvärden man hanterar. 

– Det kan vara så att man sitter med kunskap om samhällssårbarheter som ger främmande makt möjlighet att manipulera information, nätverk eller processer som kan påverka samhällsviktig verksamhet, säger han och fortsätter. 

– Vi har ett ökat säkerhetspolitiskt tryck i dag, med hot både inifrån från organiserad kriminalitet och utifrån från främmande makt. Det behöver vi tala om på arbetsplatsen så att det blir en del av jobbet att reflektera kring vad det innebär för den verksamheten. Både med hänsyn till sina kunder och det svenska samhället.

Svårt för företag att inse hur viktig deras verksamhet är

2019 trädde den nya säkerhetsskyddslagen i kraft. Den omfattar både offentliga och privata organisationer som bedriver verksamheter med betydelse för Sveriges säkerhet, och innebär en breddning av vad som kan klassas som säkerhetskänslig verksamhet. Den omfattar verksamheter som på olika sätt tillhandahåller samhällstjänster som måste finnas och fungera även vid samhällspåfrestningar, kris och krig. 

Vidare tydliggör lagen skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att utföra säkerhetsskyddsanalys för att kartlägga hur skyddsvärden och sårbarheter ser ut i den egna verksamheten. Inom myndigheter och andra offentliga organisationer har man ofta en längre erfarenhet av säkerhetsskydd, men många privata företag är ovana och sökande kring hur man ska klassa sin verksamhet. 

– Det kan vara svårt när man som företag ska definiera sig själv utifrån ett säkerhetsperspektiv och förstå konsekvenserna av det man håller på med för samhället. Det kan handla om verksamheter inom livsmedelsförsörjning, äldreboenden, omsorg, skola och så vidare.

Om man kommer fram till att det här påverkar Sveriges stabilitet i händelse av kris eller krig, då måste man göra en analys för att förstå vad som är utsatt. I nästa steg görs en befattningsanalys där man kartlägger vilka roller som kommer i kontakt med verksamhetens skyddsvärden. Funktioner och positioner ska sedan säkerhetsprövas. 

Men förutom säkerhetsprövningen vid rekryteringen, behöver man jobba med uppföljande säkerhetsprövningar under anställningstiden för att få möjlighet att upptäcka om medarbetares lojalitet har förändrats. Mattias Engström betonar betydelsen av att ha en empatisk förståelse för hur människor fungerar i olika stadier i livet. 

– Som chef behöver man ha en organisatorisk förmåga att snabbt se när någon person med en arbetsuppgift där man bär organisationens skyddsvärden börjar vackla.  

Säkerhetstänk behöver finnas hos alla i organisationen

Mattias Engström menar att samtal kring hur vi mår och har det i livet är en del av en säkerhetsmedveten företagskultur. 

– Säkerhetsperspektivet behöver normaliseras och gå från att vara endast ett expertisområde, där det är några få på arbetsplatsen som jobbar med intern säkerhet, till att bli en hänsyn vi tar på vår arbetsplats. Precis som med mångfald och andra former av hänsyn för att få en välmående och välfungerande arbetsplats. Att ha en god säkerhetskultur är viktigt helt enkelt. Gör man det jobbet så får man en effektiv produktion till vardags med en god integritet.  

Håll koll på för att minska risken med insiders

Den som vill placera en insider i en verksamhet:

  • Vet i vilka lägen individer är sårbara och mottagliga, och söker upp dem då.
  • Kan använda antingen smicker, belöningar och beröm för att skifta en persons lojalitet, eller tvärtom hot och tvång för att sätta en sårbar person under press.
  • Kan investera lång tid i att rekrytera en kvalificerad person som avses användas dolt under lång tid, till exempel för att stjäla information.
  • Kan söka upp en person som redan är anställd och har alla behörigheter. Här krävs uppföljande säkerhetsprövning.
  • Kan söka upp en person som får i uppdrag att söka ett visst jobb för att ta sig in i organisationen. Här krävs säkerhetsprövning vid rekrytering.

Läs också: Hon vill stoppa det ökande företagsspionaget

Läs också: Kunskapsluckor ger oklar bild av korruption

Läs också: Arbetsmiljökriminaliteten ökar