Av avdelingsdirektør Frode Skaarnes, Nasjonal sikkerhetsmyndighet

Med samfunnets fokus på digitalisering og trusler i det digitale rom er det fort gjort å glemme mennesket. Det er imidlertid vi - menneskene - i organisasjonene som skal forvalte informasjonen og verdiene en virksomhet har. Det er vi med våre ulike egenskaper og sårbarheter som skal gjøre kloke valg til virksomhetens og samfunnets beste. Dersom vi har verdier som er attraktive for andre stater kan vi bli utsatt for tilnærming i ulike former. I noen tilfeller kan vi utsettes for press, men det å skape en god relasjon er nok både mer vanlig og mer effektivt for å få en kilde på innsiden av en virksomhet. 

Å ha en person på innsiden i en virksomhet gir fremmede etterretningstjenester mange muligheter. Som ansatte har vi tillit og tilganger til vår virksomhets verdier. Som ansatte utgjør vi derfor en sårbarhet som kan utnyttes og skade virksomheten, dersom vi velger å være utro. 

Så hva kan virksomhetene gjøre for å minimere denne sårbarheten? For det første er det viktig at virksomhetene kjenner sine verdier – hva det er vi beskytter. For det andre må man forstå hvilken trussel man står overfor – hvem er ute etter våre verdier og hvordan jobber de? Til slutt, hva er våre sårbarheter – for eksempel knyttet til menneskene i virksomheten. Disse vurderingene skal resultere i et helhetlig system med tiltak for å håndtere risikoen. Systemet bør omfatte både tiltak som beskytter verdier, oppdager sårbarheter, og håndterer hendelser når de oppstår.

For oss ansatte vil  systemet bety at virksomheten kjenner oss godt gjennom hele ansettelsesforholdet. Vi bør oppleve at virksomheten har gjennomført en form for bakgrunnssjekk, at de har gitt oss opplæring og bevisstgjøring om verdiene som må beskyttes, og at hver enkelt av oss får systematisk oppfølging. Et nøkkelord her er tillit, og tillit etableres best gjennom en åpen og trygg dialog. Dersom virksomheten ikke fanger opp våre sårbarheter, er det større sjanse for at vi lar oss friste, presse eller lure til å dele informasjon med andre. Åpenhet, årvåkenhet og god sikkerhetskultur gjør det også vanskelig for en innsider å operere fritt. 

Så hva kan du gjøre? Begynn med å lese NSMs temarapport om innsiderisiko, hvor vi beskriver hvem innsideren kan være, hva som kan motivere vedkommende og hvilke sårbarheter ved mennesker og i virksomhetene, som kan føre til at noen blir en innsider. Her har vi også pekt på noen enkle tiltak som virksomhetene bør ha på plass.