Artikkelserie: Innsidetrussel – del 1

En innsider, enten aktivt rekruttert eller som infiltratør, vil ha naturlig legal tilgang og dermed muligheten til å utføre en rekke forskjellige oppdrag.

Innsidetrusselen: En av de største truslene mot norske virksomheter

Den klassiske innsideren utgjør fortsatt en trussel, så hvordan kan virksomheter beskytte egne verdier i en moderne og digitalisert verden?

Dag Røhjell
Dag Røhjell Politioverbetjent, Politiets sikkerhetstjeneste
Publisert Sist oppdatert

Dette er en kommentar. Den gir uttrykk for skribentens holdninger.

Om forfatteren

Artikkelserien om innsidere er skrevet av Dag Røhjell i Politiets sikkerhetstjeneste for Sikkerhet og beredskap. Innholdet i artiklene er helt og holdent forfatterens egne, personlige meninger, holdninger og vurderinger, og innholdet kan ikke tilskrives Røhjells arbeidsgiver eller norske myndigheter.

En innsider kan forårsake mye skade gjennom lovlig tilgang til verdifull informasjon, og er en ettertraktet ressurs for mange trusselaktører. Dagens innsider har enda større verdi enn før, gitt avansert beskyttelse, digitale sikkerhetssystemer, adekvat fysisk sikring og økende sikkerhetsbevissthet i offentlige og private virksomheter.

Hovedformålet med en insider er å få tilgang til virksomhetens verdier. Hvis målet er vanskelig å kompromittere og virksomheten har utmerket fysisk og digital sikkerhet, er en trusselaktør tvunget til å se på alternativer for klare å komme på innsiden.

En innsider, enten aktivt rekruttert eller som infiltratør, vil ha naturlig legal tilgang og dermed muligheten til å utføre en rekke forskjellige oppdrag.

En innsider vil ha stor verdi, gitt et høyt sikkerhetsnivå med ugjennomtrengelige forsvarssystemer. På den annen side, hvis en organisasjon har dårlig sikkerhet og alle de forskjellige verdiene lett kan nås på ukomplisert vis, vil en innsider ha lav «nytteverdi». Med andre ord vil tilstrekkelige sikkerhetstiltak vil ikke være tilstrekkelige hvis man overser insidertrusselen, som krever en annen tankegang og tilnærming enn det fysiske og konkrete.

 

Innsider

Nasjonal sikkerhetsmyndighet (NSM) har utgitt en brosjyre kalt Insiderrisiko, som bruker følgende definisjon for å beskrive en innsider: «En innsider forstås som en nåværende eller tidligere ansatt, konsulent eller kontraktør som har eller har hatt legitim tilgang til virksomhetens systemer, prosedyrer, objekter og informasjon, og som misbruker denne kunnskapen og tilgangen for å utføre handlinger som påfører virksomheten skade eller tap.

Nasjonal sikkerhetsmyndighet (NSM) har utgitt en brosjyre kalt Insiderrisiko, som bruker følgende definisjon for å beskrive en innsider: «En innsider forstås som en nåværende eller tidligere ansatt, konsulent eller kontraktør som har eller har hatt legitim tilgang til virksomhetens systemer, prosedyrer, objekter og informasjon, og som misbruker denne kunnskapen og tilgangen for å utføre handlinger som påfører virksomheten skade eller tap.[ix]»

På hjemmesiden til det britiske National Protective Security Authority (NPSA) omtales en innsider som: «En person som utnytter, eller har til hensikt å utnytte, legitim tilgang til en virksomhets verdier til uautoriserte formål [min oversettelse].[x]»

Alternative definisjoner som finnes på internett, i fagartikler, rapporter eller bøker, har en ganske lik tolkning, med vekt på lovlig tilgang som utnyttes med ondsinnet hensikt.

En innsider kan allerede være i en posisjon og stilling med lovlig tilgang til forskjellige verdier, eller det kan også være en person som prøver søke seg inn i en stilling.

Kilde: Dag Røhjell

Hva kan en innsider skade?

Dette er noen eksempler på hva en innsider kan skade:

  • Skade på infrastruktur
  • Innsamling av informasjon om bygninger og steder, vitenskap og teknologi, strategier, produksjon og prosesser
  • Talentoppsporing
  • Tilgang til fasiliteter og nettverk
  • Tilrettelegge for offensive operasjoner[xi]

Listen er ikke en komplett oversikt, og ulike aktører vil ha ulike motivasjoner og ulike mål. Eksemplene er hentet fra NSM, NPSA og Cybersecurity and Infrastructure Security Agency (CISA).

Innsidere gjennom historien

Da de romerske myndighetene i Judea lokaliserte Jesus og arresterte ham, var dette basert på innsideinformasjon. Judas Iskariot, en av Jesus' betrodde disipler fra den indre sirkel, hadde solgt ut sin mentor og forrådt hans tillit. Selv om Iskariot er blant de første kjente insiderne, er historien fylt med en rekke eksempler på personer som har fått tilgang og tillit, men som har forrådt denne av ulike årsaker.

I Norge ble en person i Den Norske Veritas (DNV) opprinnelig siktet for spionasje på grunn av et hemmelig og fordekt forhold til en russisk etterretningsoffiser. Den ansatte i DNV ga informasjon og dokumenter som han ikke hadde lov å dele med utenforstående. I forbindelse med min vitneforklaring i både Oslo tingrett og Borgarting lagmannsrett, understreket jeg at dette var en klassisk spionasjesak der en russisk etterretningsoffiser hadde lyktes med å rekruttere en innsider – eller agent, innenfor en norsk virksomhet. Målet denne gangen var et norsk teknologiselskap, DNV (Det Norske Veritas), som var og fortsatt er et klassisk etterretningsmål av høy verdi for statlige og ikke-statlige aktører.

Selv om omstendighetene har endret seg, er noe likt. Både Iskariot og senioringeniøren ble belønnet for sine tjenester, og de jobbet frivillig for en ekstern aktør som lyktes i å utnytte målpersonen sin tilgang og kunnskap. Insidertrusselen er en aktuell trussel og en metode som brukes av forskjellige aktører for å oppnå bestemte mål.

 

Nyttige innsidere

En innsider kan være verdifull under en forhandlingsprosess. Hvis flere selskaper er involvert, er det åpenbart at innsikt fra motstanderen eller konkurrenten din vil være gunstig.

Et historisk eksempel er illustrerende for poenget. Under Jalta-konferansen i 1945 sørget generalsekretæren i Sovjetunionen, Josef Stalin, for at han visste alt om sine allierte, den britiske statsministeren Winston Churchill og USAs president Franklin Roosevelt. En kombinasjon av avlytting, signaletterretning, rapportering fra tjenere og rekrutterte innsidere, viste seg å være avgjørende i debatten om krigens slutt.[i] Strategiene til de britiske og amerikanske teamene ble kompromittert og avslørt, og argumenter kunne imøtegås under samtalene. Stalin visste nøyaktig hva han skulle si og når, hvordan han skulle argumentere, når han skulle gi etter og når han skulle være tøff, basert på god etterretning. Dermed var han i stand til å oppnå flere fordeler og sikre et bedre resultat for seg selv og Sovjetunionen.[ii]

 

Nyttig for Kina

Temaet innsidetrussel er svært relevant også for sivil sektor. En eldre sak med en tidligere ansatt i General Electric (GE) illustrerer poenget.[iii] Han var på innsiden av GE samtidig som han lastet ned og stjal data som han sendte til Kina. Dette var ikke militære hemmeligheter eller sikkerhetsgraderte dokumenter, men informasjon som var nyttig for Kina. Federal Bureau of Investigation (FBI) har listet opp flere eksempler, i tillegg til det som er nevnt med GE, om innsideraktivitet i en kort pamflett som gir er helhetlig beskrivelse og gjennomgang av temaet.[iv]

 

Lovlig tilgang

Dr. Paul Martin har følgende kjennetegn på en innsider og innsideaktivitet:

  • Misforstått
  • Neglisjert
  • Undervurdert
  • Et systemproblem
  • Manglende strategi [min oversettelse][v]

En rapport av Michael Jonsson og Jakob Gustafsson kalt Espionage by Europeans 2010–2021 inneholder, ikke overraskende kanskje, flere saker hvor gjerningsmannen har vært en innsider som brukte lovlig tilgang til å begå ulovlige handlinger.[vi] En ganske identisk rapport kalt Espionage Against the United States by American Citizens 1947-2001,[vii] trekker på amerikanske eksempler, der mange gjerningsmenn også er innsidere som misbrukte tilliten og aksessen de hadde hvor personene avslørte både militære og sivile hemmeligheter samt annen sensitiv informasjon. En oppdatert versjon av rapporten kom i 2008: Changes in Espionage by Americans: 1947-2007.[viii]

 

Reell trussel som må håndteres

Innsidertrusselen er reell. Den er svært potent og den utgjør en aktuell trussel som statlige og private virksomheter må håndtere for å beskytte egne verdier og hindre at for eksempel russiske aktører lykkes. Selv om innsidetrussel er et gammelt og kjent begrep, utgjør innsideren likevel en aktuell og alvorlig trussel for de fleste selskaper, organisasjoner, industri, militære enheter og statlige organer. Det er ikke et spørsmål om vestlige virksomheter vil oppleve flere innsidere i fremtiden eller ikke, men når.

 

Denne artikkelen er del av en artikkelserie om innsidere og innsidetrusler. Du finner lenke til de andre sakene i serien under.

Artikkelserie: Innsidetrussel

Referanser

[i] Haynes, John Earl, Klehr, Harvey, and Vassiliev, Alexander. 2009. Spies: The Rise and Fall of the KGB in America. Chelsea: Sheridan books. S. 1-31. Purvis, Stewart, and Hulbert, Jeff. 2016. Guy Burgess: The Spy Who Knew Everyone. Hull: Biteback Publishing. S. 169.

[ii] Koffler, Putin’s Playbook, s. 194-195.

[iii] Chris, Carola. “Ex-GE engineer charged with stealing trade secrets for China”. Seattle Times, April 23, 2019. https://www.seattletimes.com/business/ex-ge-engineer-charged-with-stealing-trade-secrets-for-china/

[iv] Federal Bureau of Investigation (FBI). 2024. The Insider Threat: An Introduction to Detecting and Deterring an Insider Spy. https://www.fbi.gov/file-repository/insider_threat_brochure.pdf/view. Lest 5. september 2024.

[v] Martin, Dr. Paul. It’s all about people - building trust and resilience. [Presentasjon gitt på den årlige Sikkerhetskonferansen i regi av NSM, april 8, 2025]. https://nsm.no/kurs-og-konferanser/sikkerhetskonferansen/sikkerhetskonferansen-2025/program/it-s-all-about-people-building-trust-and-resilience

[vi] Jonsson, Michael, and Gustafsson, Jakob. 2022. Espionage by Europeans 2010–2021: A Preliminary Review of Court Cases. https://www.foi.se/rest-api/report/FOI-R--5312--SE. Lest 8. november 2025.

[vii] Herbig, Katherine L., and Wiskoff, Martin F. 2002. Espionage Against the United States by American Citizens 1947-2001. https://sgp.fas.org/library/spies.pdf. Lest 8. november 2025.

[viii] Herbig, Katherine L. 2008. Changes in Espionage by Americans: 1947-2007. https://sgp.fas.org/library/changes.pdf. Lest 8. november 2025.

[ix] Nasjonal Sikkerhetsmyndighet (NSM). 2024. Innsiderisko [Temarapport]. https://nsm.no/getfile.php/133153-1591706148/NSM/Filer/Dokumenter/Rapporter/Temarapport%20innsidere.pdf. Lest 4. november 2025. S. 9.

[x] National Protective Security Authority (NPSA). 2023. Introduction to Insider Risk. https://www.npsa.gov.uk/introduction-insider-risk. Lest 5. september 2024.

[xi] NSM, Innsiderisko, s. 15. NPSA. 2024. Insider Events: A Communication Guide to Reduce Their Impact. https://www.npsa.gov.uk/resources/insider-event-guidance. Lest 5. september 2024. S. 27-37. Cybersecurity and Infrastructure Security Agency (CISA). 2020. Insider Threat Mitigation Guide. https://www.cisa.gov/sites/default/files/2022-11/Insider%20Threat%20Mitigation%20Guide_Final_508.pdf. Accessed 5 September 2024. S. 13-15.

digital beskyttelse innsidetrussel sikkerhet norske virksomheter spionasje kommentar
Powered by Labrador CMS