Lästid: 4 minuter
Senast redigerad:
Så undviker du att rekrytera illasinnade insiders
7 tips för att skydda ditt bolag från insiderhot
Har du medarbetare som riskerar att läcka information? Eller har du kanske råkat rekrytera en deepfake-bedragare? Med lättillgänglig AI, social engineering och ökad arbetslivskriminalitet ökar insiderhoten snabbt. Bristande rutiner, svagt internt samarbete och mänskliga misstag kan lätt göra att känslig information hamnar i fel händer – med allvarliga konsekvenser. Ta del av våra tips för att stärka din verksamhets skydd mot insiders, särskilt vid rekrytering och inhyrning av nya medarbetare.
Nyligen gick Skatteverket ut och berättade att de sedan två år tillbaka stoppar fler personer än tidigare från att arbeta på myndigheten. Att det helt enkelt är färre som klarar säkerhetsprövningarna inför och under pågående anställning.
Till exempel väljer man bort individer som har kriminella släktingar, skulder eller kopplingar till länder som Säpo pekat ut som särskilt kritiska säkerhetshot. Kort sagt, personer med hög risk att utsättas för påtryckningar eller att agera illojalt mot arbetsgivaren får avslag.
Givetvis är Skatteverket är inte ensamma om att försöka stoppa insiderhot. Allt fler myndigheter, organisationer och företag stramar åt och försöker täppa till säkerhetsluckor. Ändå är det förvånansvärt få som tar ett helhetsgrepp kring risken för illasinnade insiders och andra insiderhot. Inte minst vid rekrytering eller inhyrning av nya medarbetare och chefer.
Vad är ett insiderhot?
Enligt en artikel av Anders Spalding, specialist inom human risk management och med närmare två decennier inom Försvarsmakten bakom sig, är insiderhot olika sorters handlingar där en eller flera medarbetare, chefer eller samarbetspartners till en organisation utnyttjar sin tillgång till information eller resurser för att orsaka skada.
En artikel från Flashpoint, ett globalt företag inom threat intelligence, lägger till att individer som utgör ett insiderhot både kan agera avsiktligt och oavsiktligt. Det vill säga att man bistår andra med känslig information eller andra resurser. Utan att vara medveten om att handlingen i sig utgör en risk eller ett sabotage. Just dessa oavsiktliga insiderhot är extra svåra att komma åt och kräver andra insatser än klassiska säkerhetsprövningar och bakgrundskontroller.
Human hackning på LinkedIn
LinkedIn har blivit en växande plattform för virtuellt spionage. Det konstaterar rapporten Covert Connections: The LinkedIn Recruitment Ruse Targeting Defense Insiders från överstelöjtnant Lisenbee, en officer inom cyberspace-operationer med lång karriär inom det amerikanska flygvapnet.
Särskilt utsatta är medlemmar av USA:s försvarsdepartement. Där vittnar allt fler om hur de får privata meddelanden med till synes oskyldiga jobb- och konsulterbjudanden. Men där syftet är att fiska fram hemlig information. Och falska, vilseledande identiteter på LinkedIn är ett reellt problem. Varje år raderar plattformen miljontals falska konton och antalet har ökat dramatiskt år för år.
Även om rapporten om falska profiler på LinkedIn gäller amerikansk säkerhet är det rimligt att anta att liknande hot sker mot svenska medarbetare inom försvar och säkerhet. Men också i helt andra branscher och yrken, samt långt förbi LinkedIn.
Poängen är inte vilka som utsätts och var. Utan hur lätt det är att bli utsatt för social engineering, även kallat social ingenjörskonst eller human hackning. Ett angreppssätt där teknik knappt behövs eftersom människor ”låter sig bli” manipulerade och frivilligt samarbetar med utomstående. För att avsändaren ser legitim ut i ett legitimt sammanhang.
Med andra ord är det helt klart läge att verifiera identiteten hos framtida samarbetspartners och medarbetare. Inte minst i en tid av deepfakes och AI-manipulerade bilder, videos och ljudsamtal.
Anställningsintervjun – en optimal plattform för deepfake-insiders
Redan 2022 gick FBI:s Crime Complaint Center i USA ut och varnade arbetsgivare för den ökade risken med deepfakes i rekrytering. Eftersom chefer oavsiktligt kan rekrytera medarbetare eller anlita konsulter med falska identiteter och inte minst illvilliga avsikter. Allt är möjligt tack vare bred access till generativ AI och deepfake-teknik – i kombination med allt fler distansanställningar.
Enkelt förklarat blir arbetsgivare lurade när en bedragare söker ett jobb under falsk identitet – och gärna med en äkta specialists identitet. När det är dags för en digital anställningsintervju sätter bedragaren igång sin lookalike-process med deepfake-teknik i realtid. Eller förvränger rösten med voice cloning för att matcha en förväntad dialekt.
Väl anställd och med inlogg till viktiga system har bedragaren ett smörgåsbord av möjligheter framför sig. Ska hen plantera ransomware? Stjäla affärskritisk data? Sabotera viktiga projekt? Eller läcka personuppgifter från kunder och medarbetare?
Läs även: Deepfakes – det nya rekryteringshotet
Var tredje person inom den organiserade brottsligheten haft ett bolagsengagemang.
Arbetsplatskriminalitet ett växande problem
Även kriminella infiltratörer och möjliggörare är tätt sammankopplade med insiderhot.
Enligt rapporten Kriminella entreprenörer från Stockholms Handelskammare har var tredje person inom den organiserade brottsligheten haft ett bolagsengagemang. Och inte sällan i en maktposition såsom styrelseledamot. Eller så söker de kriminella aktörerna sig till samhällskänsliga verksamheter, som i de uppmärksammade fallen av HVB-hem.
Därtill söker många kriminella upp vad Brottsförebyggande rådet kallar för möjliggörare i såväl kommunal och statlig som privat sektor. Alltså en person som genom sin position, uppdrag eller mandat hjälper, möjliggör och underlättar för kriminella nätverks syften. Enbart genom att bidra med information. Information som inte nödvändigtvis behöver vara av typen affärshemligheter eller ens vara sekretessklassad. Men som ändå hjälper till att effektivisera och bredda de kriminellas affärer.
Andra gånger har insidern agerat mer uppenbart. Såsom i fallet med domstolshandläggaren på Attunda tingsrätt, som i slutet av 2023 dömdes till fängelse. Bland annat för grovt brott mot tystnadsplikten efter att ha lämnat ut hemlig information till en gängkriminell.
Läs även: Arbetslivskriminaliteten ökar – har du koll?
7 tips: Så skyddar du ditt bolag från insiderhot vid rekrytering och konsultinhyrning
- Skilj på avsiktliga och oavsiktliga insiderhot då dessa kräver olika motangrepp och strategier. Vid rekrytering är det framför allt rekryterande chefer som kan utgöra en oavsiktlig insiderrisk genom att försumma säkerhetsrutiner. Medan de avsiktliga insiderhoten kommer från kandidatsidan.
- Etablera ett starkt samarbete mellan IT, HR, säkerhetsfunktionen och den juridiska avdelningen. Frågan är mycket större än vad enskilda roller och avdelningar klarar av och att arbeta i silos gynnar enbart de kriminella sabotörerna. Se till att samarbetet mynnar ut i tydliga rutiner för konsultinhyrning och rekrytering – oavsett om det rör sig om externa kandidater eller internrekrytering.
- Satsa på en stark säkerhetskultur som involverar alla rekryterande chefer och uppmuntrar till kritiskt tänkande. Lär dem känna igen varningstecken på mänskliga riskbeteenden, liksom cyberhot, deepfake-teknik, social engineering och virtuellt spionage.
- Gör identitetskontroller i flera urvalssteg där du exempelvis ber kandidaten visa upp ID-kort under pågående videointervju och välj ut intervjufrågor som bara den rätta kandidaten ska kunna besvara. Se också till att ta referenser på kandidaten där du söker upp referenten via växeln på nuvarande arbetsplats – nöj dig inte med ett ospårbart mobilnummer.
- Överväg att köpa in programvara för deepfake detectoring. Notera att ingen teknik är 100 % säker och utvecklingen av deepfake-AI går framåt i samma takt som all annan AI. Men mjukvaran kan vara ett första filter som stöttar chefer och rekryterare i sin rekryteringsprocess.
- Satsa på bakgrundskontroller och juridisk bevakning, helst av alla medarbetare men åtminstone dem som ska arbeta med känslig data, IT, ekonomi och med hög systemaccess. Förlita dig inte på Polisens belastningsutdrag, utan gör en ordentlig bakgrundskontroll som kontrollerar personens identitet, ekonomi och juridiska bakgrund, liksom pågående ärenden i rättsväsendet. De bästa tjänsterna inom bakgrundskontroll inhämtar även tillstånd från kandidaten. Något som ger dig ytterligare kvalitetssäkring.
- Använd en seriös rekryteringspartner eller konsultföretag som kan komplettera era egna säkerhetsrutiner för rekrytering och konsultinhyrning med modern urvalsteknik och personbedömning. Duktiga bedragare är ofta oerhört charmiga – något som många chefer faller för. Inte minst eftersom chefer gärna fattar beslut på magkänsla. Men genom att anlita en extern rekryterare slipper både chefen vara ensam i sina beslut, samtidigt som ni får en second opinion gällande favoritkandidaterna.
Rekrytera mer säkert med TNG
Var står din verksamhet idag? Hur många av punkterna ovan kan du bocka av? Och hur säker är er rekrytering av nya medarbetare och chefer idag? Har ni tydliga rutiner som alla följer och en bakgrundskontroll som täcker säkerhetsaspekter inom ekonomi och juridik, samt verifierar kandidatens personalia? Och har arbetar ni med modern personbedömning och second opinion?
Annars kan du anlita TNG i din rekrytering och bli tryggare. Förutom en datadriven och fördomsfri rekryteringsprocess med tydlig kandidatdata, ingår alltid en bakgrundskontroll med branschledande ToFindOut. Självklart är vår rekrytering lika träffsäker oavsett om du behöver en specialist, generalist eller ledare till ditt team.
Vill du veta mer om hur TNG kan hjälpa dig motverka att rekrytera skadliga insiders i rekrytering? Eller ta del av våra tjänster inom rekrytering, interim och bemanning? Hör av dig!