Vi må prioritere personellsikkerhet
Det hjelper ikke å ha fysiske og digitale barrierer hvis personen på innsiden av gjerdet blir illojal.
Blogg
16. mai 2023
Pentagon-lekkasjen er nok en påminnelse om at verken bakgrunnssjekker eller fysiske og digitale barrierer ikke nødvendigvis hindrer at en person i en virksomhet blir illojal. Et liknende scenario har skjedd i Sverige.
Et svensk brødrepar ble nylig dømt for spionasje på vegne av Russland. Den eldste broren har jobbet i både det svenske sikkerhetspolitiet og den svenske militære etterretningstjenesten. Han hadde tilgang på svært hemmelig og sensitiv etterretningsinformasjon.
Nylig ble også en gjesteforsker ved Universitetet i Tromsø avslørt som russisk spion. Disse sakene er alvorlige tilfeller av innsidevirksomhet i en urolig tid. Sannsynligvis blir mange slike saker aldri oppdaget.
Personellsikkerhet får lite oppmerksomhet
Det forebyggende sikkerhetsarbeidet er gjerne knyttet til digital sikkerhet, fysisk sikring og personellsikkerhet. Myndighetene og virksomheter vier ofte mer oppmerksomhet til digital sikkerhet og fysisk sikring sammenliknet med personellsikkerhet, til tross for at sistnevnte er svært viktig for å hindre og redusere risiko for innsidevirksomhet. Denne prioriteringen gjenspeiles også i norsk forskning.
I en ny FFI-rapport har vi avdekket at det i liten grad eksisterer norsk forskning på innsiderisiko og personellsikkerhet. I tillegg påpeker vi at det er usikkert om internasjonal litteratur på personellsikkerhet har en direkte overføringsverdi til forebyggende sikkerhetsarbeid i Norge. Dette skyldes at historiske, politiske og kulturelle forhold kan variere mellom land.
Hvorfor er dette et problem?
En mangelfull prioritering av personellsikkerhet kan gi svake sikkerhetsregimer, og dermed øke handlingsrommet til trusselaktører som ønsker å ramme våre nasjonale verdier. En sterkere prioritering av personellsikkerhet – gjennom satsing, forskning og praktisering – kan derimot redusere innsiderisikoen blant norske virksomheter. Dette samfunnsansvaret ligger ikke bare hos norske myndigheter, men også blant virksomhetene og forskere.
Fire hovedanbefalinger
I rapporten gir FFI fire råd for hva som bør gjøres framover. For det første bør vi forske på hvordan påvirkningsoperasjoner i det digitale rom kan føre til økt innsiderisiko.
For det andre bør vi forske mer på vurderinger som knyttes til sikkerhetsmessig skikkethet, som per i dag knyttes til en persons pålitelighet, lojalitet og sunne dømmekraft.
For det tredje bør vi ta for oss innsiderisiko og sikkerhetskultur ut fra norske forhold, ettersom nasjonale kulturer og organisasjoner ofte er unike.
For det fjerde bør vi forske mer på hvordan kunnskap og kompetanse innenfor ledelse, organisasjonsutvikling og pedagogikk kan anvendes i en sikkerhetssammenheng.
Slik forskning kan styrke virksomheters daglige sikkerhetsledelse og ansattes sikkerhetsbevissthet, og blant annet redusere risikoen for at skjermingsverdig eller sensitiv informasjon havner i hendene til ondsinnede aktører.
Behov for nasjonal satsing
Norske myndigheter og forskere må etablere personellsikkerhet som et forskningsområde med en kontinuerlig kunnskapsutvikling. Vi har nasjonal forskning og kompetanse innenfor mange fagretninger som kan koordineres, samles og overføres til personellsikkerhetsområdet i en norsk kontekst.
Med rett tilnærming kan Norge bli et foregangsland når det kommer til å redusere innsiderisiko, men det krever at satsingen prioriteres og at forskningen omsettes til kompetanse som lar seg implementere hos myndigheter og virksomheter. Det kreves også bevissthet rundt hvilken del av forskningen som kan være åpen og hva som må skjermes. Dette arbeidet bør starte nå.