Bruk av mennesker for å få urettmessig tilgang til informasjon og verdier på innsiden av en organisasjon er en velkjent metode som trusselaktører har benyttet gjennom alle tider. 

Å utnytte menneskelige sårbarheter for å få tilgang til informasjon og verdier kan ofte være den enkleste veien inn for trusselaktører. Begrepet innsider benyttes om en som bevisst eller ubevisst tilrettelegger for trusselaktører eller på annen måte skader virksomheten gjennom tilganger og kunnskap personen har fått – nettopp i kraft av å være på innsiden. 

Flere stater har etterretningsoffiserer utplassert i Norge, ifølge PST. Utenlandsk etterretning har som hovedoppgave å innhente informasjon og vil forsøke å rekruttere kilder og kontakter som har tilgang til informasjonen de søker. (PST, Nasjonal trusselvurdering 2023)

Å beskytte mot innsidervirksomhet kan gjøres gjennom menneskelige, tekniske, fysiske og organisatoriske tiltak. Et sentralt verktøy for å motvirke innsidere i virksomheter med skjermingsverdige verdier er ulike personellsikkerhetstiltak. De viktigste elementene for dette er sikkerhetsstyring, klarering, autorisasjon og daglig sikkerhetsmessig ledelse. Personellsikkerhet krever kompetanse og systematikk i alle ledd fra myndigheter til virksomheter, ledere og medarbeidere. Robuste fagmiljøer som følger utviklingen for personellsikkerhet og moderniserer tiltakene blir viktig. 

Sikkerhetsklarering skal sikre at personer som får tilgang til høygradert informasjon er sikkerhetsmessig skikket. En klarering er imidlertid ingen garanti for at en person ikke blir en innsider, bevisst eller ubevisst. Sikkerhetsbevissthet og den daglige sikkerhetsoppfølgingen av ansatte er vel så viktige verktøy for virksomheter som sikkerhetsklarering og autorisasjon. Dette gjelder for virksomheter med sikkerhetsklarerte ansatte, enten det er flertallet eller fåtallet av de ansatte, så vel som virksomheter uten sikkerhetsklarert personell.

Sikkerhetsutfordringer

Nytteverdien av innsidere øker

Dersom andre muligheter for å få tilgang utelukkes eller blir vanskeligere å utnytte, blir nytteverdien av innsidere større. Når IT-systemer blir stadig sikrere, øker verdien av å ha en innsider med lovlig tilgang til IT-systemene. Innsideren kan dermed være en brikke i en cyberoperasjon mot en virksomhet. Jo mer effektiv cybersikkerheten blir, desto mer attraktivt blir det å utnytte den menneskelige faktoren.  

Utvikling av sikkerhetsteknologi gjør det i mange tilfeller mer krevende for en trusselaktør å nå målene sine. Det kan føre til at trusselaktører benytter andre domener som inngang til operasjoner, ved for eksempel å bruke innsidere fremfor cyberaktivitet mot en virksomhet som har god cybersikkerhet. 

Kunnskap om innsiderisiko for norske forhold er mangelfull

Det er lite nasjonal forskning knyttet til innsiderisiko i Norge. Internasjonal kunnskap om personellsikkerhet og innsiderisiko har ikke alltid direkte overføringsverdi til det forebyggende sikkerhetsarbeidet i Norge. Ulike forhold knyttet til kultur, arbeidsliv og samfunnet spiller inn. 

Både forskningsmiljøer, private virksomheter og EOS-tjenestene har hver for seg og innenfor egne mandater kunnskap om innsiderisiko. Denne informasjonen er imidlertid ikke i tilstrekkelig grad satt i system. Dermed blir ikke den samlede kunnskapen om innsidevirksomhet i Norge benyttet på en effektiv måte. 

Kompetanse og bevissthet om innsiderisiko er lav i virksomheter

Flere virksomheter har ikke innsiderisiko som en del av virksomhetens risikovurderinger. Samtidig etterspør flere virksomheter kompetanse om innsiderisiko. Nærmeste leder har en avgjørende rolle i både å forhindre og avdekke innsidere gjennom den daglige sikkerhetsoppfølgingen av de ansatte. Det krever at ledere har tilstrekkelig kompetanse om sårbarheter trusselaktører utnytter, som at ansatte kan utsettes for press, fristelse eller forledelse. 

Virksomheter mangler verktøy for å avdekke innsidere 

Behovet for å sikre verdier mot innsidere strekker seg utenfor sikkerhetslovens rammer. Verktøyene for effektivt å motvirke innsidevirksomhet gjør ikke det samme. I flere tilfeller der innsidevirksomhet har blitt avdekket, har ikke innsideren hatt tilgang til sikkerhetsgradert informasjon. Skadepotensialet kan likevel være stort. Ugradert informasjon som for eksempel forskning, opplysninger i store registre eller regjeringens beslutningsnotater kan være av stor verdi for en trusselaktør for å sette sammen et større bilde. 

Plassering eller rekruttering av innsidere med tilgang til ugradert informasjon er enklere og innebærer lavere risiko for trusselaktører enn å prøve å rekruttere ansatte med tilgang til gradert informasjon. Trusselaktører vil på senere tidspunkt kunne utnytte dette som inngang til sikkerhetsgradert informasjon, når innsideren har fått økt tillit og flere tilganger.

Sosiale medier gjør flere individer sårbare for rekruttering

Trusselaktører bruker sosiale medier til å kartlegge og komme i kontakt med potensielle innsidere. Kartlegging innebærer for eksempel å finne sårbarheter som kan utnyttes i form av press, fristelse, forledelse eller manipulasjon. Trusselaktører bruker målrettede operasjoner for å rekruttere enkeltpersoner eller grupper. Det kan dreie seg om overtalelse eller i ytterste konsekvens direkte utpressing av enkeltpersoner. En fysisk tilnærming er i mange tilfeller fortsatt nødvendig før en innsider blir rekruttert, men den innledende kontakten og kultiveringen kan gjøres digitalt, og med mindre risiko for en trusselaktør. 

Generell og indirekte påvirkning er ikke direkte rettet mot ansatte i en virksomhet, men kan bidra til å endre enkeltpersoners virkelighetsoppfatning. Generell påvirkning kan også være direkte hvis potensielle innsidere i en virksomhet blir oppfattet som en klart definert målgruppe. 

Globalisering fører til utfordringer i personkontrollen 

Mange ulike forhold påvirker hvordan virksomheter forstår regelverk og praktiserer arbeidet med personellsikkerhet. Globalisering fører til økt flyt av tjenester, arbeidskraft og relasjoner på tvers av land. Metodene for personkontroll i klareringsprosessen har ikke holdt tritt med denne utviklingen. Det gjør det utfordrende å ansette personell med tilknytning til andre land og fører til at Norge står i fare for å miste tilgang på nødvendig kompetanse og arbeidskraft.

Anbefalinger

Den nasjonale evnen til å avdekke innsidevirksomhet må styrkes

Myndighetene må styrke kompetansemiljøene på innsiderisiko og samvirket mellom disse. Kunnskapsgrunnlaget fra forskningsmiljøer, EOS-tjenestene og privat næringsliv må systematiseres. Erfaringslærdom, forskningsresultater og trussel- og sikkerhetsinformasjon, blant annet trusselaktørers metodebruk, må utnyttes mer effektivt for å sikre kunnskapsbasert utvikling av målrettede tiltak. 

Evnen til å avdekke, forhindre og håndtere innsiderisiko i virksomheter må forbedres 
Virksomheter må styrke kompetansen og bevisstheten om hvordan man kan forebygge og avdekke innsidere. Det bør gjennomføres en evaluering med utgangspunkt i beste praksis for å finne effektive måter å styrke virksomhetens arbeid på.

Myndighetene bør stille krav til årlig kompetanseheving om innsiderisiko, for eksempel opplæring og obligatorisk e-læringskurs i virksomheter som forvalter verdier med betydning for nasjonal sikkerhet.

Kompetanse om innsiderisiko bør inngå som en del av utdanningsløpet innen organisasjons- og personalledelse. Det bidrar til å ivareta sikkerheten før, under og ved avvikling av ansettelsesforhold og ved innleie av tjenester. Samspillet mellom personalledelse, HR-miljøer og sikkerhetsmiljøer i virksomheter bør styrkes for å forebygge innsiderisiko. Det setter i større grad sikkerhetsmessig bevissthet, daglig sikkerhetsledelse og forhold som jobbtilfredshet i sammenheng. Et styrket samspill mellom miljøene bidrar til økt samvirke mellom menneskelige, tekniske, fysiske og organisatoriske tiltak. 

Det bør utredes muligheter for hjemmelsgrunnlag for bakgrunnssjekk som faller utenfor klareringsinstituttet 

Det bør nedsettes et utvalg til å utrede muligheter for bakgrunnssjekk for personer som ikke har behov for sikkerhetsklarering, men hvor det likevel er behov for å vurdere skikkethet.

Figur 10: En trusselaktør kan utøve ulike former for påvirkning eller press, for å rekruttere innsidere. Kilde: FFI. 

Figur viser graf med innsats og kontroll for at en trusselaktør kan utøve ulike former for påvirkning eller presse, for å rekruttere innsidere. Tre nivåer er tegnet inn; generell påvirkning, deikerte påvirkning og utpressing.