Fremmede etterretningstjenester bruker store ressurser på å rekruttere både egne og norske borgere med tilgang til informasjon eller andre verdier som er viktige for deres nasjonale interesser. For å oppnå sine mål leter trusselaktører systematisk etter personer som kan utnyttes eller er villige til å gi dem tilgang til de verdiene de jakter på. Fremmed etterretning har personell som er spesialtrent for å utnytte og forlede personer. De vil også kunne manipulere utnyttede eller rekrutterte personer til å tro at det er for sent å trekke seg. I dette spillet kan enkeltpersoners skjebne ha liten betydning for fremmed etterretning opp imot deres nasjonale målsettinger, og enkeltpersoner kan bli utnyttet på en kynisk måte der personvern og rettssikkerhet er satt fullstendig til side. NSM vil understreke at det aldri er for sent å trekke seg. Personer som utsettes for tilnærming eller blir utnyttet av trusselaktører, må ta kontakt med PST.

Ved å utnytte menneskelige sårbarheter hos personer med de rette tilgangene vil en trusselaktør kunne skaffe seg urettmessig tilgang til informasjon, informasjonssystemer eller andre verdier det er viktig å beskytte. For en virksomhet vil en potensiell innsider være en betydelig risikofaktor. Medarbeidere eller andre som kjenner interne systemer og rutiner ved virksomheten, vil kunne omgå både digitale og fysiske sikkerhetsbarrierer eller sette slike tiltak ut av spill. Dersom virksomheten ivaretar viktige samfunnsfunksjoner, vil innsidevirksomhet kunne ha alvorlige konsekvenser for våre nasjonale sikkerhetsinteresser.

Innsidevirksomhet oppstår i de fleste tilfeller noen år etter at en person ble ansatt. Det er derfor svært viktig at alle virksomheter følger opp sitt personell gjennom hele ansettelsesforholdet, slik at omstendigheter som kan benyttes som pressmiddel med tanke på rekruttering, kan avdekkes og håndteres fortløpende.

I tillegg må virksomhetene iverksette andre sikkerhetstiltak som reduserer risiko for innsidevirksomhet. Dette gjelder for eksempel soneinndeling/ autorisasjonsskiller både i fysiske domener og informasjonssystemer, i tillegg til logging av aktivitet i systemer så vel som i virksomhetens lokaler.

Les mer om innsidere i NSMs temarapport Innsiderisiko.