”Många organisationer ser insiderhot som ett tekniskt problem, så de försöker lösa det med verktyg. Men problemet handlar i grunden om beteende och sammanhang”, säger Anders Spalding.
Som tidigare underrättelseofficer och kontraspionageexpert på Mast har han sett hotlandskapet förändras dramatiskt under de senaste 10 till 15 åren. Idag sträcker sig problemet bortom enskilda missnöjda anställda till allt från organiserad brottslighet som infiltrerar myndigheter till statliga aktörer som riktar in sig på företagsinnovation.
En viktig ny utveckling är framväxten av AI-agenter. Anders Spalding, ny säkerhetsskyddschef på IT-konsulten Hi Q, beskriver dem som ”the new technology insiders”. En AI-agent är mer än bara ett verktyg som Chat GPT, den har förmågan att få information, fatta beslut och vidta åtgärder på interna system.
”Ur ett säkerhetsperspektiv bör AI-agenter verkligen ses som aktörer med manipulativ förmåga som kan utgöra ett hot. Frågan vi måste ställa oss är: Vem är det egentligen som kontrollerar och uppmanar agenterna?” säger han.
Trots tekniska framsteg understryker Anders Spalding att den klassiska spionen inte har dött ut. Tvärtom kan AI användas för att kartlägga sårbarheter och bygga pålitliga kontakter med människor. Mycket av ett företags mest värdefulla information finns inte i dokument, utan i relationer och styrelsebeslut, information som bara kan nås genom mänsklig interaktion.
Den traditionella bilden av insidern handlade ofta om en enkel formel, personligt driv med tillgång till information, möjligheter och bristande säkerhetsskydd, men plötsligt finns det insiders. Idag talar man snarare om en kombination av personliga anlag och traumatiska triggers.
”Vi upplever alla trauman i våra liv, men för människor med vissa anlag, såsom missbruk eller svårigheter att följa regler, kan det traumat utlösa alarmerande beteenden.”
Det är här många organisationer misslyckas. När säkerhetsjobb är begränsade till efterlevnad och kryssrutor missar vi vad som verkligen händer i våra dagliga liv. Anders Spalding tror att ett stort problem ligger i att organisationer ofta arbetar i ”stupröret”.
”Säkerhets-, HR- och IT-avdelningar pratar ofta inte med varandra. Men insiderfrågor uppstår ofta precis i skärningspunkten mellan dessa avdelningar.”
Tre pelare av skydd mot insiderhot
Kollektiv säkerhetskultur. ”Säkerheten sköts inte av en liten grupp bakom frostat glas. Det är allas ansvar. Tillsammans är vi en säkerhetsorganisation.”
Tvärvetenskapliga insatser. ”Det verkställande teamet, som börjar med VD:n, måste engagera sig djupt med alla avdelningar för att visa att denna fråga är en prioritet.”
Teknisk support. ”IT-system som identifierar anomalier i dataflöden, såsom dataförlustskydd och användarbeteendeanalys, är viktiga verktyg, men de kan inte ersätta mänsklig intuition.”
Så hur kan vi bygga varaktiga försvar? Lösningen ligger inte i ökad övervakning, utan i psykologisk säkerhet och engagerat ledarskap. Jag pratar inte om en ”scenmentalitet” där kollegor övervakar varandra, utan snarare en sund organisationskultur där folk vågar fråga ”Hur mår du?”
”När en medarbetare börjar agera ovanligt, bryter mot policyn eller visar tecken på störande beteende är miljön den första att lägga märke till. En bra säkerhetskultur innebär att man tar upp dessa observationer inte för att placera någon på en viss plats, utan för att hjälpa dem ut ur en situation där de kan bli ett mål för påtryckningar från kriminella eller främmande makter.”
I en tid med distansarbete och så kallade deepfakes är utmaningarna ännu större. Att inte vara fysiskt närvarande minskar vår förmåga att upptäcka subtila förändringar i beteende. Anders Spalding föreslår klassiska corporate intelligence-metoder, som att använda kodord för att verifiera identitet i digitala möten, där det inte längre går att veta med säkerhet vem som är på videokonferensskärmen.
”Vi lever i en ny verklighet, och nu är det dags för oss alla att stärka vår motståndskraft. Tekniken förändrar spelplanen, men i slutändan är det mänskligt mod och vaksamhet som betyder något.”
