Artikkelserie: Innsidetrussel – del 3

Man må å bygge motstandskraft ved å forstå truslene og aktørene som er involvert, forstå hvordan de opererer, gjøre riktige vurderinger og utføre forebyggende mottiltak, skriver artikkelforfatteren.

Slik motvirker du innsidetrusselen

Det første steget i å motvirke en trussel, er å erkjenne den.

Dag Røhjell
Dag Røhjell Politioverbetjent, Politiets sikkerhetstjeneste
Publisert Sist oppdatert

Dette er en kommentar. Den gir uttrykk for skribentens holdninger.

Om forfatteren

Artikkelserien om innsidere er skrevet av Dag Røhjell i Politiets sikkerhetstjeneste for Sikkerhet og beredskap. Innholdet i artiklene er helt og holdent forfatterens egne, personlige meninger, holdninger og vurderinger, og innholdet kan ikke tilskrives Røhjells arbeidsgiver eller norske myndigheter.

Kunnskap om ulike aktørene som kan være på jakt etter innsidere er avgjørende for en virksomhet som ser på hvordan en skal beskytte egne verdier. Bare ved å kjenne og anerkjenne sine motparter, vil en virksomhet kunne gjøre adekvate vurderinger og implementere mottiltak som kan redusere og forhindre ulike sikkerhetsproblemer, inkludert innsideaktivitet.

Jeg har kalt denne figuren Aktørtrekanten, der poenget er å utvide forståelsen av ulike aktører ved å vurdere tre ulike relevante perspektiver:

  • Ulike aktører som eksempelvis kan prøve å rekruttere en innsider: Disse aktørene kan være alt fra en profesjonell etterretningstjeneste som SVR og «Aleks», eller det kan være miljøvernere som leter etter sympatisører som kan støtte deres sak.
  • Det andre trinnet er å forstå disse aktørene. Hvorfor min organisasjon? Hvem er målet? Hva er de ute etter og hvilke mål har aktøren?
  • Og til slutt, hvordan vil de prøve å omgå sikkerhetsmekanismer og -systemer? Essensen i det tredje punktet er å avsløre mulig ondsinnet aktivitet utført av en trusselaktør, der målet selvfølgelig er å motvirke trusselen og beskytte egne verdier. En kan jobbe fra et etterretningsperspektiv basert på skreddersydde analyser, en kan overvåke nettverkene nøye, en kan stenge ned digital tilgang fra visse høyrisikoland, en kan forbedre den fysiske sikkerhetskontrollen, og en kan briefe opp ansatte. Alt for å heve det generelle sikkerhetsnivået og øke bevisstheten ved å forstå de ulike aktørene som ønsker å påføre din bedrift eller virksomhet skade.

 

Tre trinn for komplett trusselbilde

Ved å analysere tre forskjellige komponenter vil enhver organisasjon forbedre egen trusselpersepsjon, trusseloppfatning og hvordan risikoen kan reduseres.

  1. Det første trinnet er å vurdere hvilke aktører som kan ha en interesse i virksomheten og hvem disse aktørene er.
  2. Trinn to handler om å avklare hvilke mål disse aktørene har, hva ønsker de å oppnå? Har virksomheten din interessant teknologi, forretningshemmeligheter, patenter, graderte dokumenter, tegninger til forsvarets nye fregatter, annen sensitiv kunnskap og så videre, som står på bestillingslisten til disse aktørene?
  3. Til slutt, hvilke metoder kan bli brukt gjennom både analoge og digitale operasjoner for å nå disse målene.

Ved å se på tre disse delene helhetlig og sammenhengende, vil et mer komplett trusselbilde dukke opp.

 

Beslutningsstøtte til ledelsen

Med en helhetlig tilnærming og aktørforståelse, så kan en gi mer dyptgripende beslutningsstøtte til ledelsen. Ved å legge frem hele situasjonen og beskrive ulike trusselaktører mer konkret, så vil dette være en mer pragmatisk og konkret tilnærming som i hvert fall bør øke sjansen for gjennomslagskraft og økt støtte til forebyggende sikkerhetstiltak. I tillegg kan forskjellige aktører kreve forskjellige mottiltak. En kan ikke bare sjekke bagasjen til dine ansatte hvis trusselen er en svært avansert cyberaktør som kanskje samarbeider med noen på innsiden for å legge til rette for tilgang til et lukket nettverk.

I bunn og grunn handler det om å bygge motstandskraft ved å forstå truslene og aktørene som er involvert, forstå hvordan de opererer, gjøre riktige vurderinger og utføre forebyggende mottiltak.

 

Hvordan redusere trusselen?

«En god sikkerhetskultur og et godt lederskap er viktig for å redusere risikoen for innsidevirksomhet også etter at personer eventuelt har fått tilgang til, eller blitt en del av, en virksomhet.»[i]

Uttrykket er fra en rapport fra Forsvarets Forskningsinstitutt (FFI) som tar for seg innsidetrusselen. Dinesh Agarwal kommenterer videre at: «Den beste måten å unngå innsidetrusler på er å skape et positivt miljø på jobben.» [min oversettelse].[ii] I en offisiell rapport om nasjonal og sosial sikkerhet erkjenner også den norske regjeringen at: «Målrettet motvirkning av innsiderisikoen er en kompleks oppgave som krever betydelig med kompetanse og fokus (...)»[iii]

Det finnes altså noen kjennetegn knyttet til innsider, profilering og vurderinger av trusselen når det gjelder hvordan denne kan forstås.[iv] Noen av disse trekkene er omtalt som «den mørke triangelen» og består av narsissisme, machiavellisme og psykopati.[v] Men hvor lett er det å oppdage disse trekkene hos en ansatt? Jeg er ganske sikker på at ingen vil ansette folk hvis en av disse egenskapene ble identifisert under ansettelsesprosessen.

NSM har påpekt at misnøye er en hovedårsak til innsidevirksomhet, men kun misnøye gjør en neppe til en innsider. Det må være noe mer der for eksempel PIKE er relevant. Men hvordan kan en motvirke eller redusere trusselen? Ved å bruke en enkel modell kjent som risikotrekanten, kan enhver virksomhet bli mer risikobevisst og kanskje optimalisere risikohåndtering.

 

Modellen ovenfor er kjent som Risikotrekanten og utgjør en klassisk forståelse av risiko slik den er beskrevet av for eksempel PST.[vi] De tre komponentene som utgjør risiko tar dog ikke hensyn til sannsynlighet. Det handler mer om å vurdere ulike trusler, egne verdier samt sårbarheter uavhengig av sannsynlighet og konsekvens.

 

Analyser virksomheten og finn risikoene

Min påstand er at god virksomhetsstyring er god risikostyring. Det bør ikke være et eneansvar til en sikkerhetsansvarlig eller sikkerhetsorganisasjon å beskytte virksomheten, selv om det operative ansvaret ligger hos sikkerhetsapparatet. For å ta informerte og gode beslutninger er det imidlertid behov for adekvate råd og relevante vurderinger fra fagfolk, som for eksempel kan stamme fra en risiko- og sårbarhetsanalyse (ROS-analyse). Bare det å erkjenne at du kan være utsatt for innsidetrusselen er et viktig første skritt for å redusere innsidetrusselen.

Derfor kan det være lurt å bruke penger og ressurser på forebyggende tiltak som er skreddersydde for å redusere nettopp innsiderisikoen. Å redusere en sårbarhet med påfølgende generell risikoreduksjon kan gjennomføres gjennom ulike kampanjer i selskapet. Det kan være styrket cybersikkerhet, avansert overvåking av datasystemer for å oppdage avvik eller anomaliteter, forbedrede fysisk sikkerhet og adgangskontroll eller andre aktive tiltak som for eksempel å håndtere personellsikkerhet på en profesjonell, tillitsvekkende og omsorgsfull måte.

­

Forstå helheten i virksomheten

Arbeidet med å redusere trusselen er konstant og krever både langsiktig forpliktelse og investeringer som kan redusere kortsiktig fortjeneste. Derfor må proaktiv og forebyggende personellsikkerhet aksepteres og forankres hos ledelsen. Å forklare og skissere trusselen kan ha noen fordeler, siden det kan bidra til å forklare og skape en felles situasjonsforståelse.

Som figur over illustrerer, er det et krav om handling – det vil si å reagere på hendelser og ha beredskapsplaner for en innsidehendelse. Å ha et godt samarbeid med og forhold til alle ansatte en grunnstein i forebyggende sikkerhetsarbeid, for eksempel for å detektere atferdsendringer. Et annet spørsmål er hvordan organisasjonen skal reagere på en innsidehendelse og hvilke tiltak som kreves. Noen viktige elementer og faktorer kan være planlegging, opplæring og konstant evaluering, som beskrevet av NSM i rapporten Innsiderisiko og et kapittel kalt: Risikoreduserende tiltak.[vii]

 

Øv på å håndtere trusler

Dersom en ikke har iverksatt forebyggende arbeid og tankeprosesser på forhånd, kan en fort få panikk dersom en innsidehendelse inntreffer. Men hvis en har gjennomført modellbordøvelser, testet og utarbeidet planer og interne retningslinjer, har linjeledere som er klar over ansvaret for sine ansatte, har et påskrudd og trusselfokusert sikkerhetsapparat klar over hvordan ulike trusler som skal håndteres, så vil virksomheten være i en bedre posisjon og oppleve redusert skade gjennom robusthet.

Derfor er det min påstand at gjennom konstant å utvikle egen kompetanse, følge råd fra for eksempel NSM og «best practice» samt å erkjenne at fokuset på innsidertrusselen er et konstant arbeid, vil virksomheten profitere på sikt. Det handler om praktiske og pragmatiske beskyttelsestiltak og å motvirke fiendtlig aktivitet fra en rekke trusselaktører for å beskytte egne verdier.

Vil du skrive for oss?

Sikkerhet og beredskap tar imot både kommentarer (kortere meningsytringer om konkrete saker, temaer eller problemstillinger) og fagartikler (kronikk og analyser fra fagpersoner, med større krav til forfatterens bakgrunn og kunnskap).

Send oss gjerne en e-post: sikkerhet@nso.no

Forhåpentligvis vil modellene som tilbys i denne artikkelserien stimulere diskusjon og kanskje åpne for nye tilnærminger til et voksende problem. En illustrasjon i den analytiske rapporten, Håndtering av insiderrisiko,[viii] er egnet som avsluttende bemerkning: Behovet for å sortere og skille de råtne eplene fra de gode. Tvisten er selvfølgelig at det er lettere å få øye på et virkelig råttent eple, mens det er mer utfordrende å oppdage en innsider, siden han eller hun godt kan se ut som et fint eple.

 

Denne artikkelen er del av en artikkelserie om innsidere og innsidetrusler. Du finner lenke til de andre sakene i serien i boksen under.

Artikkelserie: Innsidetrussel

 

Referanser

[i] Slagnes, Betina [for Forsvarets Forskningsinstitutt – FFI]. 2023. Hva vet vi om innsiderrisko? https://ffi-publikasjoner.archive.knowledgearc.net/bitstream/handle/20.500.12242/3155/23-00546.pdf. Lest 5. September 2024. S. 27.

[ii] Agarwal, Dinesh. 2024. “5 Ways HR Can Help Prevent Insider Threats”. LinkedIn. https://www.linkedin.com/pulse/5-ways-hr-can-help-prevent-insider-threats-dinesh-agarwal-jrpkc. Accessed 15 September 2025.

[iii] Justis- og beredskapsdepartementet. 2020. “Samfunnssikkerhet i en usikker verden”. Medl. St. 5 (2020-2021). https://www.regjeringen.no/contentassets/ba8d1c1470dd491f83c556e709b1cf06/no/pdfs/stm202020210005000dddpdfs.pdf. Lest 5. oktober 2025. S. 78.

[iv] Slagnes, Hva vet vi om innsiderrisko?, s. 26.

[v] Harms, P. D. et al. 2022. “Exposing the darkness within: A review of dark personality traits, models, and measures and their relationship to insider threats”. Journal of Information Security and Applications, 71. https://doi.org/10.1016/j.jisa.2022.103378.

[vi] PST, Nasjonal trusselvurdering 2023, s. 3.

[vii] NSM, Innsiderisko, s. 35-36.

[viii] DNV GL. 2019. Håndtering av innsiderrisiko. https://www.havtil.no/contentassets/d0de842c25b84fcebda5c24fe6daa6fa/handtering-av-innsiderisiko-rev-1.pdf. Lest 15. september 2024. S. 24.

 

sikkerhetskultur risikohåndtering kommentar innsidetrussel forsvarets forskningsinstitutt trusselaktører
Powered by Labrador CMS