Regelefterlevnad – Digitala verktyg och personligt stöd

Lantero arrangerade ett webbsänt seminarium om infiltration av kriminella i offentlig verksamhet, så kallade "möjliggörare". Som expert deltog Catharina Lindstedt som specialiserar sig på otillåten påverkan, infiltration och möjliggörare för kriminella. Nedan följer en sammanfattning av seminariet. ### Vad är en möjliggörare? Möjliggörare, det är personer som, medvetet eller omedvetet, underlättar för kriminella aktörer att begå brott eller skydda sin verksamhet. Utgångspunkten är att fenomenet är relativt nytt i den offentliga diskussionen och att kunskapsläget ännu är begränsat. Därför betonas behovet av kunskapshöjning och ett mer strukturerat arbetssätt i kommuner och andra verksamheter. Lindstedt förklarar att organiserad brottslighet och kriminella nätverk i första hand drivs av att tjäna pengar, men även av att få och behålla makt. När samhällets synlighet och motåtgärder ökar i det ”öppna” våldet (skjutningar, sprängningar, narkotika) söker sig de kriminella under ”vattenytan” till andra intäktsströmmar – exempelvis inom välfärdssektorn, miljöbrott, bidragssystem och andra mindre synliga delar av offentlig verksamhet. För detta behöver de information, inflytande och skydd, vilket de skaffar sig genom olika typer av möjliggörare och ibland genom otillåten påverkan. ### Fyra kategorier Brottsförebyggande rådet delar in möjliggörare i fyra kategorier. Den manipulerande möjliggöraren kan vara en mindre erfaren tjänsteperson som har svårt att sätta gränser och därför låter sig styras. Den affärsmässiga möjliggöraren agerar medvetet för egen ekonomisk vinning och kan samarbeta med flera kriminella nätverk samtidigt, vilket skapar stora risker. Den upparbetade möjliggöraren börjar sitt arbete med goda avsikter men glider gradvis in i ett destruktivt beteende, exempelvis genom missnöje, sviktande lojalitet eller för att lojalitet till familj/släkt blir starkare än lojaliteten till arbetsgivaren. Ekonomiska problem kan också vara en faktor som ökar sårbarheten. Slutligen den placerade/infiltrerade möjliggöraren, som är ovanligare eftersom det kräver tid och kan motverkas av gedigna rekryteringsprocesser – men risken finns, särskilt i miljöer med svagare kontroller, till exempel i föreningslivet kopplat till bidrag. En central poäng är att många möjliggörare är omedvetna: de inser inte att deras handlingar underlättar för kriminella intressen. Det här skapar skuld och skam när det uppdagas, men också tystnadskultur. Därför behöver organisationer öka medvetenheten utan att misstänkliggöra enskilda, och i stället fokusera på funktioner och befattningar som är attraktiva mål. ### Tips för förebyggande arbete För att kunna arbeta förebyggande, föreslår Lindstedt att man arbetar med riskidentifiering för att hitta områden som kan vara särskilt utsatta. Här föreslår Lindstedt att man kartlägger sex områden där kriminella typiskt vill in: 1. Ekonomin (utbetalningar, upphandling, bidrag), 2. Strukturella/institutionella faktorer (befattningar nära politiska beslut och tung påverkan), 3. Sociala faktorer (områden med dålig tillit till myndigheter, låg öppenhet, rapporteringsobenägenhet i området), 4. Teknologiska (verksamheter med mycket teknik/informationsåtkomst), 5. Geografiska (platser med strategiskt läge, hamnar, stora trafikleder), 6. Information (funktioner som sitter på känslig eller omfattande information, t.ex. juridik, HR). Utifrån denna grund genomför man workshops där man – tillsammans och på funktionsnivå – listar sårbara roller och processer, och därefter gör riskanalyser med bedömning av sannolikhet och konsekvens. Resultatet blir ett mer nyanserat underlag för riktade bakgrundskontroller och andra åtgärder där de verkligen behövs, i stället för generella kontroller av ”alla och allt”. En väl genomförd kartläggning underlättar även för att motivera kontrollerna gentemot eventuella invändningar. ### Praktiska verktyg Flera praktiska verktyg lyfts: stärkta och ändamålsenliga bakgrundskontroller, medarbetarsamtal och medarbetarenkäter för att tidigt fånga upp sårbarheter (t.ex. ekonomisk press), samt tipsfunktioner från allmänheten för att upptäcka misstänkta mönster. Samtidigt påminner Lindstedt om risken för otillåten påverkan och hur tystnad kan sprida sig i en organisation om man inte arbetar systematiskt. ### Kulturarbete Utöver strukturer och rutiner krävs ett värderings- och kulturarbete. Policydokument räcker inte; man måste i gruppen konkretisera vad exempelvis ”mod” innebär i praktiken, hur man agerar när man utsätts, och vilket stöd ledningen ger. Ledarskapet behöver ”sätta tonen” så att handlingsplaner faktiskt används och inte stannar på papper. Poängen är att nästan alla i kommunal verksamhet vill göra gott för invånarna – kulturarbetet hjälper medarbetarna att omsätta det i handling även när trycket ökar. Avslutningsvis rekommenderas att börja i rätt ordning: kunskapshöjning, därefter kartläggning av attraktiva områden för kriminella, identifiering av särskilt sårbara funktioner/befattningar, och sedan riskanalys (sannolikhet/konsekvens) som grund för åtgärder som bakgrundskontroller, behörighetsstyrning, stödstrukturer och rapporteringsvägar. På så sätt blir arbetet hanterbart, träffsäkert och förankrat i både verksamhetens vardag och dess värdegrund.

I ett samtal med säkerhetsexperten Joakim Karlén diskuterar vi riskhantering och riskanalys inom ramen för arbetet med cybersäkerhet i mindre organisationer. Nedan följer en redigerad och något nerkortad version av samtalet. Vi på Lantero hjälper våra kunder att strukturera arbetet med lagar, regelverk och komplexa teman.
Idag ska vi tala om cybersäkerhet och specifikt om riskhantering eller -bedömningar. Med oss har vi Joakim Karlén, som har mångårig erfarenhet inom området. Fråga: Joakim, vad är det som gör riskbedömningar, riskhantering och riskanalys till en så viktig del av arbetet med cybersäkerhet?
Joakim: Det handlar om att riskbedömningar gör oss proaktiva. När man genomför en riskbedömning tittar man framåt och identifierar vad som kan hända, istället för att bara reagera på det som redan har inträffat. På så sätt blir riskbedömningen ett avgörande verktyg för att ligga steget före. Fråga: Vad består en riskbedömning av när det gäller informationstillgångar?
Joakim: Det är en process. Först behöver man ha identifierat sina informationstillgångar. Därefter samlas man i en grupp och går igenom varje tillgång för att identifiera både sannolika och mindre sannolika risker. Sedan värderar man riskerna. Fråga: Finns det ett etablerat sätt att mäta riskerna, eller skiljer det sig åt mellan olika verksamheter?
Joakim: Det finns skillnader, men i grunden gör de flesta på samma sätt. Man bedömer sannolikheten för att en risk ska inträffa, och man bedömer konsekvensen om den inträffar. Multiplicerar man dessa värden får man ett samlat riskvärde för varje tillgång. Fråga: Och praktiskt, hur används detta i arbetet?
Joakim: Ofta sker det i form av ett möte. Man har sin inventarielista över tillgångar och går igenom dem tillsammans med personer som har kunskap inom området. För varje tillgång listar man riskerna, bedömer sannolikheten och konsekvensen. På så sätt får man en strukturerad riskbild. Fråga: Vilka vanliga misstag ser du i det här arbetet?
Joakim: Det vanligaste är att man inte har rätt personer i rummet, eller att man inte vågar ta hjälp när man saknar den kompetens som krävs. Vi på Lantero arbetar med att strukturera den här typen av processer och har verktyg som hjälper organisationer att skapa en tydlig överblick över cybersäkerhetsarbetet. Har ni frågor om det här området eller vill titta närmare på våra mallar och exempel, är ni varmt välkomna att höra av er till oss. Stort tack för att ni har tittat!

I ett samtal med säkerhetsexperten Joakim Karlén diskuterar vi tillgångsförvaltning och hur ett sådant arbetet är en bra grund i ett strukturerat arbete med cybersäkerhet. Nedan följer en redigerad och något nerkortad version av samtalet. Fråga: Vad innebär tillgångsförvaltning inom cybersäkerhet?
Joakim: I grunden handlar det om att ha ett bra register över sina tillgångar – ett uppdaterat och etablerat dokument som visar vad organisationen behöver skydda. Fråga: Så det handlar om att göra en inventering? Vad ska man ta med i registret?
Joakim: Man ska identifiera vilken typ av tillgångar som finns: hårdvara, databaser och viktiga system. Alla dessa ska listas. Sedan anger man vem som är ansvarig för respektive tillgång, var den finns och vilken betydelse den har. Fråga: Hur stor behöver en organisation vara för att detta ska bli relevant?
Joakim: Det varierar mycket, beroende på hur mycket IT-utrustning och informationskällor man har. Även små organisationer kan ha många tillgångar. Men när man börjar närma sig 10–20 anställda, där alla har en dator och en telefon, då blir det i praktiken nödvändigt att upprätta ett register. Fråga: Vad krävs för att genomföra inventeringen? Finns det metoder eller verktyg man bör använda?
Joakim: Det behöver inte vara komplicerat. Det viktiga är att vara noggrann och inte missa någon del. Några personer med bra kännedom om organisationens IT sätter sig ner och gör en första lista – till exempel i ett Excelark eller en enkel mall. Fråga: Hur används registret sedan?
Joakim: Det blir en grund för riskbedömningen. Då kan man avgöra vilka tillgångar som är mest kritiska och behöver starkast skydd, och vilka som är mindre känsliga. Fråga: Finns det något som organisationer ofta glömmer när de gör ett sådant register?
Joakim: Ja, mobiltelefoner. De ses ibland som personliga prylar, men de är ofta kopplade till känsliga system och innehåller viktig information. Därför måste de tas med. Avslutningsvis: Lantero samlar mallar och exempel i vårt verktyg, vilket hjälper till att strukturera arbetet med cybersäkerhet och skapa överblick. Har ni frågor kring detta är ni varmt välkomna att kontakta oss. Tack för att ni tittade!