Exempel på hur man kan arbeta för att minska riskbeteenden
På Näringslivets Säkerhetsdelegations årsseminarium som hölls den 4e februari i år, berörde flera talare hur anställdas beteenden påverkar säkerheten inom företag. Till exempel så talade Lars Korsell, forskare på Brå, om infiltration. Han nämnde bl.a. fem sätt att infiltrera: förvärv av befintliga företag, bilda nytt bolag, utpressning, kapning av bolag och insider [1].
På samma årsseminarium visade Jan Persson, koncernsäkerhetschef på SEB, filmer som tagits fram i utbildningssyfte, med handling som bygger på verkliga händelser. Handlingen berör till exempel bedrägerier som möjliggörs av personal som av olika skäl, ofta beteenderelaterade, tummar på rutiner och kontroller. Största hoten är enligt SEB: cyber crime, kriminella grupper med värvning av insiders samt social engineering [2].
Både Korsell och Persson målar upp en bild av hur utomstående på olika sätt manipulerar andra att begå misstag, att ge ifrån sig information eller kontroll, genom att utnyttja brister i beteenden och rutiner.
För att få en insikt i vad en människa kan bli utsatt för kan vi hämta exempel från statlig underrättelseverksamhet som bedrivs runt om i världen. Tore Forsberg, före detta chef för Säpos kontraspionage, berättar att sovjetisk underrättelsetjänst ofta inhämtade information genom personlig kontakt, genom smicker och utdelad uppskattning, men även genom direkt ersättning. Vanligt var att bygga upp ett förtroende och förhållande för att på så sätt förmå en person att lämna ut hemlig information [4]. Detta är en hotbild som stämmer väl överens med den presenterades av Korsell och Persson [1,2] och som Torbjörn Britz beskriver i sin bok om Social Engineering, dvs manipulation av personer, att få dem att utföra något som inte nödvändigtvis ligger i deras intresse, eller att på något sätt dela med sig av hemlig information. Social Engineering bedöms alltså som nämnts tidigare, vara ett av de största hot SEB ser idag. Det finns alltså slående likheter mellan den verklighet ett företag befinner sig i rörande informationssäkerhet i form av hot och angreppssätt, och statlig underrättelseverksamhet.
Britz hävdar att den svagaste länken inom säkerhetsområdet är och förblir människan och vårt beteende [5]. Därför borde det vara av stor nytta att regelbundet arbeta med att förbättra säkerheten genom att ständigt arbeta med just människor och beteenden. Detta kan göras till exempel genom att regelbundet, i grupp, arbeta med olika fall och baserat på dessa arbetar fram regler och riktlinjer. Att arbeta i grupp inom företaget kan dessutom bidra till en god förståelse för säkerhetsarbete och en acceptans för framtagna regler.
Fall att arbeta med kan vara av olika typer och här följer några exempel.
Det är inte ovanligt att på tåg höra personer, ofta i chefsposition, diskutera högt och ljudligt så att de flesta i vagnen hör vad som sägs. Det har förekommit att personer på detta sätt diskuterat marginal på produkter, kommande offerter och ännu ej offentliggjorda affärer och strategier.
I ett annat fall, också det på tåg, loggar en person in på sin dator. Förmodligen omedvetet, bokstaverar hon högt och ljudligt, tecken för tecken, det lösenord hon just knappar in. På locket på hennes dator kan man läsa hennes namn, företag hon jobbar på samt datorns id. Hon har också lösenord nerskrivet på små lappar.
Dessa två situationer beskrivna ovan är verkliga händelser.
Det finns också åtskilliga berättelser från spionvärlden där pubar och restauranger använts för att inhämta information, bygga upp infiltration och rekrytera spioner. Restaurang Tennstopet i Stockholm nämns ofta både som rekryteringsplats och plats att tjuvlyssna på [6,7]. Tennstopet är ett känt tillhåll för journalister, vilket torde vara en intressant grupp ur underrättelsesynpunkt. Idag skulle man kunna diskutera om krogar som frekventeras av IT-folk eller höga chefer skulle kunna tjäna samma syfte. En viktig del i scenariot är förekomst av alkohol i kombination med att en känsla av att en restaurang på något sätt är en säker plats, att det är hemma.
Baserat på denna typ av scenarion, skulle man kunna komma fram till regler av typen:
- Diskutera aldrig arbetsuppgifter på offentliga platser.
- Publicera aldrig jobbrelaterad information på sociala medier.
- Lösenord får inte skrivas ner på papper.
- Datorer och annan utrustning får inte märkas med information annat än företag, id-nummer och företagets telefonnummer.
- Dela aldrig information med personer som inte är i direkt behov av den. Det inkluderar vänner och bekanta.
- Alkohol får inte förtäras i samband med att känslig information diskuteras eller hanteras.
- Tala inte om dina lösenord för någon som kontaktar dig, inte ens support.
En annan risk är hemlig information som glöms kvar på olämplig plats eller stjäls. För att åter igen anknyta till statlig underrättelsetjänst kan vi se på ett uppmärksammat fall som handlade om en officer på MI5 som för några år sedan glömde kvar en portfölj med hemlig information på ett tåg. Det var det fjärde fallet av borttappade papper för MI5 det året [8]. Denna typ av risk högst relevant för många företag. Mycket information flyttas på papper, datorer, USB-minnen med mera och man skulle kunna ifrågasätta om det verkligen behövs.
Att som i detta exempel med MI5, utgå från ett externt fall och använda det som grund för diskussionen, kan medföra att risker man aldrig tänkt på förut uppdagas. Att enbart utgå från sådant som hänt i det egna företaget gör att man kan missa att förhindra något som aldrig inträffat förut. Förbättringsarbete baserat på denna typ av förlustscenarion skulle kunna resultera i regler och riktlinjer som:
- Bär inte på information i onödan. En pärm, dator eller ett USB-minne kan tappas, kopieras eller stjälas. Minimera risken helt genom att inte ta med dig information du inte behöver, eller eliminera risken helt genom att inte ha med dig information alls.
- Kontrollera att White boards är suddade och att det inte finns kvarglömda dokument kvar innan du lämnar ett konferensrum.
- Information som transporteras ska vara krypterad.
- Lås datorn när du lämnar den.
- Använd aldrig sleepmode på datorn, stäng av den helt.
Beroende på verksamhet kan man till exempel även beakta möjligheten att man är avlyssnad och då kunna komma fram till följande direktiv:
- Använd företagets epostlösningar och lagring för jobbändamål, inte något annat system. Maila till exempel inte över dokument till din privata webmail i syfte att kunna ladda ner den på din privata surfplatta och komma åt den överallt.
- Använd inte publika okrypterade W-lan, till exempel på kaféer eller flygplatser.
Exemplen på fall, regler och rekommendationer ovan är inte tänkt att vara något som är generellt rätt för alla verksamheter. Det är exempel på regler man skulle kunna komma fram till genom att beakta verkligheten man verkar inom, genom att arbeta som personer med stor erfarenhet av underrättelseverksamhet: att bygga upp en säkerhetskultur, rätt beteenden, regelverk, rutiner och arbetssätt samt att förutsätta att den information ni hanterar faktiskt är viktig och eftertraktad av andra.
Referenser
[1] Näringslivets Säkerhetsdelegations (NSD) årsseminarium, 2016-02-04. Föredrag av Jan Persson, Koncernsäkerhetschef SEB.
[2] Näringslivets Säkerhetsdelegations (NSD) årsseminarium, 2016-02-04. Föredrag av Lars Korsell, Jur.Dr, forskare på Brå.
[3]. Mitchell Pat, Isaacs Jeremy (producenter), Cold War, Episode 21 ”Spies”, 1998. Intervjuer med Generallöjtnant Oleg Kaluging, f.d. chef för KGB:s kontraspionage.
[4] Johansson Fredrik, Hansson Kristoffer, 2005. P3 Dokumentär – Stig Bergling. Sändes på Sveriges Radio P3 den 6e juni 2005. Intervju med bland annat Tore Forsberg, f.d. chef för Säpos rotel för kontraspionage.
[5] Britz Torbjörn, 2012. Social Engineering – Ett beteendebaserat hot, TUK Förlag AB
[6] Forsberg Tore, Grigorjev Boris, 2006. Spioner Emellan, Bokförlaget Efron & Dotter.
[7] Svahn Clas, 2008. Historien om en svensk spionjägare, Dagens Nyheter 2008-10-02. Artikel om Tore Forsberg, Säpo.