Innlegg: Må håndtere risikoen for «spioner» blant egne ansatte

Innlegget er tidligere publisert i Dagens Næringsliv.

PSTs nylige pågripelse av en norsk statsborger siktet for spionasje viser igjen utfordringen som innsidetrusselen utgjør for norske offentlige og private virksomheter. God sikkerhetskultur og godt arbeidsmiljø kan i mange tilfeller redusere risikoen.

Årets trusselvurdering fra Politiets sikkerhetstjeneste (PST), som kom i starten av februar, viser til en forventning om at utenlandske etterretningstjenester fortsatt vil rette sin spionasje mot blant annet politiske myndigheter, næringsliv og forskning. I trusselvurderingen fremkommer det at plassering av spioner på innsiden av norske virksomheter er en kjerneoppgave for utenlandske etterretningstjenester.

«Kriminalitets- og sikkerhetsundersøkelsen i Norge» fra 2019 gitt ut av Næringslivets sikkerhetsråd (NSR) bekrefter at innsidetrusselen er høyst aktuell for private og offentlige virksomheter. I løpet av de siste to årene forteller åtte prosent at de har avdekket utro tjenere blant egne ansatte. Blant disse svarte 72 prosent at de ikke har anmeldt forholdet.

Innsidere eller «utro tjenere» kan grovt deles inn i fire typer.

Den første er de som har tilgang til sensitiv informasjon, men er uvitende til hvordan det skal behandles sikkert.

Den andre typen er ikke oppdatert på sikkerhetstrusselen, eller forbigår rutiner for å arbeide mer effektivt.

Disse to typene kan i stor grad unngås dersom virksomheten har en god sikkerhetskultur og gjør de ansatte bevisst på hvordan og hvorfor man skal håndtere verdiene.

Den tredje typen er de som bevisst stjeler eller ødelegger informasjon for å skade bedriften. Denne risikoen kan reduseres med et godt arbeidsmiljø.

Den siste og mest utfordrende typen er de profesjonelle innsiderne. Disse jobber bevisst med å utnytte svakheter på innsiden av virksomheten og å dele eller selge informasjonen videre til konkurrenter eller utenlandske etterretningstjenester. Dette er straffbare handlinger der et godt arbeidsmiljø og god sikkerhetskultur ikke vil være tilstrekkelig. Det er vanskelig å forebygge, og kan ramme alle virksomheter som forvalter verdier som kan ha betydning for andre.

Er det risiko for at virksomheten kan bli utsatt for profesjonelle innsidere, må den etablere et eget styringssystem for sikring, og det må forbedres kontinuerlig for å redusere risikoen. Systemet må omfatte risikoreduserende tiltak fra nyrekruttering, gjennom ansettelsen, til avvikling av arbeidsforholdet.

Den dagen du oppdager at styringssystemet likevel har sviktet, er det enklere å se hvor du skal sette inn ekstra tiltak.

De siste månedene er arbeidshverdagen blitt endret for de fleste. Det er flere som sitter på hjemmekontor, og ivaretagelsen av det gode arbeidsmiljøet og sikkerhetskulturen blir mer utfordrende. Denne nye tilværelsen vil de fleste norske virksomheter måtte regne med vedvarer i tiden fremover.

Innsidere er en av de mest krevende truslene for en virksomhet å beskytte seg mot. Det er enda viktigere at norske virksomhetsledere evaluerer om sikkerhetskulturen og arbeidsmiljøet blir like godt ivaretatt fra hjemmekontoret.

Er du medlem og ønsker å dele en artikkel eller kronikk på våre hjemmesider? Ta kontakt!