Insidergärningar: Genom datastöld eller sabotage kan anställd utgöra ett hot mot företagets verksamhet

Organisationens informationskapital eller kritiska funktioner kan äventyras på grund av de anställdas handlingar. Sådant äventyrande vållar skada på organisationens finanser och rykte. I fråga om myndigheter eller till exempel företag med anknytningar till den kritiska infrastrukturen kan situationen därtill utgöra ett hot mot statens säkerhet. Med säkerhetsutredningar och bakgrundskontroller kan man utreda oförvitligheten och pålitligheten hos både blivande och nuvarande anställda.

Om den anställda med avsikt agerar mot sin egen organisation, är det fråga om så kallad insiderverksamhet. Med insider avses inom en organisation en nuvarande eller före detta anställd som har tillgång till arbetsgivarens konfidentiella uppgifter eller skyddsvärda lokaler och använder denna tillgång på ett sätt som skadar arbetsgivaren. Insiderfall upptäcks regelbundet, även om myndigheterna inte får kännedom om samtliga fall. Ibland kan en anställd även agera oavsiktligt, det vill säga utan att inse den skadliga verkan av sina handlingar.

En insidergärning kan vara till exempel en datastöld eller ett sabotage mot kritiska funktioner såsom datasystem eller ett bedrägeri. Gärningen kan även ha kopplingar till en utländsk underrättelsetjänst. Det som stjäls är oftast information gällande kunder, produktutveckling, avtalsförhandlingar och samarbetspartner.

Vad ökar risken för en organisation att bli utsatt för datastöld?

Organisationens verksamhet kan ha sårbarheter som möjliggör en framgångsrik datastöld. Till vanligaste sårbarheter hör oförmåga att identifiera vilka skyddsvärda uppgifter som är mest kritiska för organisationens verksamhet, personalens obegränsade tillgång till uppgifter och lokaler, bristfälliga loggningsuppgifter, bristfällig bedömning av sökandes bakgrund och lämplighet vid rekrytering samt svag säkerhetskultur.

En medlem av IT-personalen vid ett internationellt företag som upprätthåller kritisk infrastruktur kom i gräl med sina chefer. Han sades upp men fick ännu ha kvar sina tillgångsrättigheter och arbetsgivarens elektroniska utrustning. Under denna tid hann han allvarligt sabotera driften av arbetsgivarens datasystem. Fallet blev till betydande skada för arbetsgivarens finanser och rykte.

Det går inte att fastställa någon tydlig gärningsmannaprofil, ty fallen är mycket olika. Det finns dock vissa ofta förekommande bevekelsegrunder bakom gärningen: strävan efter ekonomisk vinst, ideologiska motiv, missnöje med arbetet eller arbetsgivaren och problem i privatlivet.

Ekonomiska problem, såsom allvarlig skuldsättning, är en faktor som kan öka risken för att en anställd begår datastölder, i synnerhet i fråga om arbetsuppgifter som ger den anställda tillgång till information av stort ekonomiskt värde. Ett annat typiskt motiv är känslan av motsatsförhållande mellan den anställdas egna värden och arbetsgivarens verksamhet. Ofta har det legat bakom gärningen även konflikter på arbetsplatsen och den anställdas missnöje med sina arbetsuppgifter. Vanligen har gärningsmannen arbetat inom organisationen i några år innan han eller hon inlåter sig i gärningen. Det är mera sällan som en person söker anställning vid en organisation med, redan på förhand, planer på datastöld som motiv.

En anställd vid ett finländskt företag hade upprepade gånger råkat ut för problem på arbetsplatsen: han underlät att sköta uppdrag som han fått och uppnådde inte de uppsatta målen. Den anställda sade upp sig själv innan han blev uppsagd och tog anställning vid ett konkurrerande företag utomlands. Den före detta arbetsgivaren började misstänka att den anställda tagit med sig kritiska uppgifter om kunder och produkter. Misstankarna kunde emellertid inte bevisas.

Hur kan datastölder förebyggas?

När det gäller att skydda information bidrar sådana grundläggande element som klassificering av uppgifter och tillgångsbegränsningar till att bekämpa insiderhotet. Det är viktigt att begränsa tillgången till konfidentiellt material. Enbart det att rätten att behandla uppgifter baserar sig på arbetsuppgifterna räcker inte för att förhindra datastölder, men det hjälper till att minska antalet potentiella gärningsmän.

Med säkerhetsutredningar och bakgrundskontroller kan man utreda oförvitligheten och pålitligheten hos både blivande och nuvarande anställda. Till exempel genom att kartlägga personens eventuella kriminella förflutna kan man bidra till att bedöma personens förmåga att på ett adekvat sätt sköta arbetsuppgifter som förutsätter pålitlighet och oförvitlighet. Bakgrundskontroller gör det även lättare att bedöma hur ärligt personen berättar om sig själv.

Vid rekrytering har man tillfälle att påverka personens förväntningar på den framtida arbetsuppgiften och arbetsgemenskapen. Det är lättare att undvika besvikelser och konflikter angående arbetsuppgifterna om den anställda från första början har en realistisk bild av hur krävande arbetsuppgifterna är och vilka som är till exempel möjligheterna till karriärutveckling.