Risker med kartläggning i en digitaliserad värld

Kartläggning av individer och organisationer har kommit att förknippas med främst med integritet, men det finns fler aspekter som är av intresse ur olika säkerhetsperspektiv. Vissa utredningar är både normala och önskvärda, exempelvis bakgrundskontroller vid anställningar och kontroller vid företagsförvärv. Andra former av kartläggning är mindre önskvärda, men svåra att förhindra.

Det som möjliggjort denna utveckling är en kraftigt ökad digitalisering av i princip hela samhället i kombination med en ökad spridning av informationen, bland annat genom outsourcing, där både privata och utländska intressenter får tillgång till allt mer känslig information. I kombination med regelverk för upphandling som sträcker sig över nationsgränserna så innebär detta ökade risker.

Detta har i viss mån kompenserats av lagstiftning och regelverk som ställer krav på att informationen enbart får hanteras för godtagbara ändamål. Samtidigt är det svårt att se att detta ska begränsa kriminella organisationer eller utländskt spionage. Flera utländska stater som Ryssland och Kina har en mycket starkare kontroll av sin digitala infrastruktur, sina nätverksmässiga kopplingar till utlandet och sina sociala medier där deras medborgare kan lagra privat information.

Kartläggning ur ett traditionellt kriminellt perspektiv

När en kriminell organisation vill begå ett brott så arbetar man normalt i vissa bestämda steg.

Först sker en planering där man väljer ut ett eller flera tänkbara mål. Därefter sker en kartläggning av de mål som är aktuella, både utifrån publik information och genom observationer på plats. Det är i detta skede som en kontroll sker av exempelvis transportrutiner och bevakningsrutiner. Kedjan blir då

Planering och identifiering av mål
Observationer på plats av utvalt mål
Beslut och genomförande

I en digitaliserad värld sker även den första identifieringen av mål genom en digital kartläggning av en population där möjliga mål väljs ut. Ett tänkt exempel kan vara en stöldliga som specialiserat sig på bildelar. Med hjälp av information från bilregister och adressregister kan ligan i princip direkt lägga in punkter i ett flygfoto och identifiera parkeringsplatser och garage. Med hjälp av ytterligare bilder från gatunivå kan de göra en bedömning om vilka platser som är skyddade från insyn eller olämpliga, tex återvändsgränder mm. Även vid utvärdering av andra tillgreppsbrott så kan bilmärke vara en god indikation.

Även andra former av brottlighet, exempelvis bedrägeribrott kan gynnas av digital genomsökning av exempelvis sociala medier där man för äldre människor kan fiska fram information om släktingar som kan användas vid ett bedrägeriförsök.

Andra former av IT-relaterade brott utnyttjar en mer indirekt kartläggning. Flera typer av e-postrelaterade bedrägerier framstår som ganska uppenbara bedrägerier för att sålla bort alla personer som ändå inte skulle låta sig luras utan bara ta bedragarens tid i onödan. Det kan ändock finnas en viss kartläggning via sociala medier så att man väljer ut ett möjligt offer att kontakta.

Risker med kartläggning på individnivå

Kartläggning på individnivå kan ske genom att uppgifter från offentliga källor som folkbokföring, skatte- och kronofogdemyndighet samt domstolar kombineras med uppgifter som inhämtas via sociala medier, nyhetsrapportering och andra publika källor. Detta är i princip känt som OSI, Open Source Intelligence [1]. Denna kartläggning görs exempelvis ofta i form av en bakgrundskontroll inför en anställning.

När efterfrågan växer på denna typ av information, både legitim och illegitim efterfrågan, så ökar också inhämtningen av information. Det uppstår en flora av företag som erbjuder sammanställningar av information både från sociala medier, domstolsutslag och ekonomiska upplysningar. Det finns på motsvarande sätt en viss organiserad spridning av information som samlats in genom exempelvis läckor eller dataintrång. Exempel på läckor är Wikileaks och Panamaläckan [2], röjd information kan publiceras i olika former på the Dark Web.

En uppenbar risk med kartläggning på individnivå är att negativa och okontrollerade uppgifter för den enskilde kan få stor spridning. En utsållning av antingen positiv eller negativ information kring en enskild person kan då ofta ge ett vinklat resultat. Det finns också risker med kriminell kartläggning där sårbara människor väljs ut efter lämpliga kriterier, tex rika personer som bor avlägset eller personer med skulder som hanterar värdefull information på sina arbeten.

Risker med kartläggning på företagsnivå

Alla företag som arbetar på en konkurrensutsatt marknad är föremål för någon form av kartläggning från kunder, konkurrenter, myndigheter och marknadsanalytiker. Företag måste dessutom tillåta en insyn kopplad till bland annat ekonomisk redovisning och olika former av bolagsredovisning. Oönskad kartläggning kan vara olika former av industrispionage, förberedelser för fientliga uppköp eller marknadspåverkan.

Hotbilderna är dock högst skiftande mellan olika företag och vad som kan vara ett allvarligt hot mot ett företag kanske inte ens är värt att beakta för ett annat företag. Normalt omfattar en kartläggning av ett företag exempelvis åtgärder som ekonomisk redovisning, årsredovisningar, bolagsinformation och nyckeltal, pressmeddelanden och egna nyheter, massmediabevakning, officiella dokument från myndigheter och domstolar.

Risker med kartläggning på nationell nivå

På nationell nivå är hoten främst från främmande makt eller kriminella organisationer som säljer information till främmande makt. Den kartläggning som bedrivs kan syfta till att hitta nyckelpersoner som kan värvas eller personer med exempelvis skulder som kan utpressas till att verka som en insider. Kartläggningen riktar sig främst mot känsliga företag och organisationer, men samtidigt inhämtas överskottsinformation från sociala medier och andra källor eftersom man då får fler möjligheter att utnyttja. Detta underlättas genom att exempelvis information om arbetsplatser finns mer eller mindre spridd via offentliga register, via e-postadresser och via sociala medier som Linkedin. Till detta kommer möjligheterna att söka både personer och företag via personnummer, yrkeskod, organisationsnummer och arbetsställenummer.

Andra möjligheter är att kartlägga infrastruktur som finns i digitaliserad form. Vägnätet är i princip helt känt vilket bland annat visas genom digitala kartor som finns i dagens bilar. Järnvägsnätet är i motsvarande grad känt genom den digitalisering som delvis är en följd av privatisering och upphandlingar. Ett aktuellt exempel på bristande säkerhet vid upphandling och outsourcing är Transportstyrelsens upphandling av IT-drift [3].

En särskild risk som aktualiserats på senare år är möjligheterna att påverka opinioner och utgången av val. Här behöver an inte kartlägga vem som har en viss åsikt utan mer vilka personer som kan vara möjliga att påverka. En sådan påverkan via sociala medier kan få stora genomslag i länder som har exempelvis valkretsar med majoritetsval. Givetvis vill alla vinna ett val och anpassar sina strategier efter detta. Problemet är snarare att definiera spelregler som alla kan enas kring. I ett traditionellt val kan man begränsa mängden reklam i TV och massmedier, kontrollera anslag till valkampanjer och valpropagandan är transparent, dvs alla kan ta del av den argumentation som förs fram. Om ett val istället avgörs av riktade budskap som bara förs fram till utvalda personer i valkretsar där det väger jämt så kan inte denna argumentation enkelt bemötas. Skadan ur demokratisynpunkt är att debatten inte längre förs öppet. Ett ytterligare problem med valbudskap på sociala medier är att det inte går att avgöra vilka deltagare som faktiskt är röstberättigade och vilka budskap som snarare är påverkan från utlandet. Ett aktuellt exempel på valpåverkan är Cambridge Analytica affären där det även är intressant att se på vilka tekniska funktioner i sociala medier som möjliggör både riktad reklam och valpåverkan [4].

Flera sociala medier registrerar namn, ålder och kön samt epost eller mobilnummer för att verifiera kontot. Därefter används flera källor för att avgöra var personen uppehåller sig och vilka vänner personen har. Detta underlättar givetvis riktad reklam från företag och vän förslag för att bygga upp det sociala nätverket.

Skydd mot kartläggning på individnivå

Som individ är det är det i första hand viktigt att skydda sig på sociala medier. Det är viktigt kan vara att själv värna den personliga integriteten, att begränsa den information som är publik och att i någon mån begränsa antalet kontakter. Man slipper då också att yrkesmässiga kontakter blandas in i den privata sfären och att blivande arbetsgivare eller kunder får en oönskad insyn. För att exempelvis skydda sig mot kriminalitet så kan man givetvis också undvika att berätta om semesterresor i förväg och lägga in semesterbilder först vid hemkomsten osv.

Skydd mot kartläggning på företagsnivå

På företagsnivå är riskerna i huvudsak industrispionage, kriminalitet, oönskade läckor och ofördelaktig publicitet. Enkla skyddsåtgärder kan vara att begränsa sin framtoning på sociala medier, att ha skydd för sitt intranät och distansåtkomst till detta samt att segmentera åtkomst till känslig information. Andra åtgärder kan vara försiktighet med att outsourca hantering av IT-tjänster och hantering av känslig information. Det är också viktigt att sprida säkerhetsmedvetande inom organisationen.

Skydd mot kartläggning på nationell nivå

På nationell nivå är riskerna i huvudsak främmande underrättelseverksamhet, industrispionage i syfte att egen industri tillgång till känslig information och underlätta för egen industri att konkurrera i upphandlingar. Kartläggning av individer och företag kan vara en viktig del i denna verksamhet och kan omfatta en långtgående utsökning av individer på sociala medier inklusive Facebook och LinkedIn, utsökning av företag och arbetsställen samt utsökning via officiell statistik och rättsdatabaser. Mycket av denna hantering är automatisk och kan användas för att snabbt avgöra vilka personer som arbetar på en viss plats, vilken utbildning och vilka intressen de har, vilken nationell eller etnisk bakgrund de har samt vilka resor de gjort till det egna hemlandet. Man går normalt inte in och söker på enskilda personer utan arbetar hela tiden med egna kopior av tillgänglig information.

Olika länder har skapat olika skydd mot kartläggning på en nationell nivå.

Sverige har en förhållandevis öppen nationell infrastruktur som präglas av en relativt omfattade privatisering med exempelvis ett flertal telekomföretag och leverantörer av annan nationell infrastruktur, upphandlingar av tjänster och outsourcing av tjänster både inom och utom EU.

Storbritannien har i motsats till Sverige ett mer tydligt skydd för sin nationella infrastruktur och sina telekom kopplingar till utlandet där de egna underrättelsetjänsterna har ett ansvar för att övervaka exempelvis Internettrafik och kunna ingripa mot skadlig trafik som kommer från utlandet. Det finns en nationell Cyber Security Strategy [5] som hanterar mål för verksamheten, vilka hot som ska mötas och som även hanterar befogenheter och budget för att bedriva verksamheten.

Ryssland och Kina har i jämförelse hårdare skydd för sin egen nationella infrastruktur och sina sociala medier samt i flera fall egna sociala medier samtidigt som västerländska tjänster är utsatta för en övervakning eller inte tillåts verka. Egna sociala medier [6] tillåter dessa länder att i större utsträckning hindra utländsk påverkan, utöva en inhemsk censur samt att utöva en påverkan på den egna befolkningen.