”En uppsägning kan innehålla både stöld av företagshemligheter och kunder. Säkra bevisen i tid.”

8 maj, 2023

Michael Nylén är senior forensiker på 2Secure och jobbar mest med företagshemligheter och upphovsrätt kopplat till hot mot företag. En avgörande skillnad mellan externa hot och interna hot, enligt Michael, är att vid externa hot så undersöker man offrets datorer, och vid de interna hoten så är det förövarens dator som undersöks. ”Jag lägger pusslet, och när det går ihop är det som om guldbokstäver dyker upp på skärmen”. Michael berättar om sitt jobb och ger dessutom några tips till hur företag kan agera för att minska eventuella skador om någon stjäl med sig personal, kunder eller företagshemligheter.

Vilken är din bakgrund?

Jag kommer ursprungligen från rättsväsendet. Jag var polis fram till 2002 och efter det jobbade jag på Ekobrottsmyndigheten. Man kan säga att jag har jobbat med underrättelse och utredning nästan hela mitt liv, men 2011 valde jag att göra något nytt och började på ett bolag som jobbade med digital forensik. Ett bolag som sedermera stängde flera av sina kontor i Norden, vilket gjorde att jag istället började på 2Secure 2022.

Vad har du för roll på 2Secure?

Jag är senior forensiker vilket innebär att jag gör forensiska analyser i olika sammanhang. Typ bevissäkring, insamling av loggfiler och material, gör undersökningar och skriver rapporter.

Du brukar prata om externa hot och interna hot?

Vi pratar ju mycket om externa angrepp, som till exempel det som hände för COOP för två år sedan, då de blev angripna utifrån. I de fallen jobbar vi med ”cyber security”, som det oftast kallas, eller ”incident respons”. Men jag tycker det är lika roligt att jobba med företagens interna hot. Där anställda på bolag gör dåliga saker, eller planerar någon form av bedrägeri. Vid ett internt hot vet vi i princip alltid vilken person det är, och vi jobbar då med bevisinsamling för att visa vad som har hänt och vad som har skett. Vid de externa hoten jobbar man så att säga med offret, företaget som har råkat ut för att någon eller några har hackat deras system.

Hur brukar interna hot gå till?

Det börjar alltid med en anställd eller en person i organisationen som man av någon anledning misstänker för oegentligheter. Något känns fel. Då börjar man titta på personens aktiviteter och upptäcker kanske att hen har startat ett eget bolag, som man ska hålla på med samma saker som bolaget man är anställd i. Det är en klassiker. Eller att en person säger upp sig, har uppsägningstid och kanske konkurrensklausuler, och sen tre dagar senare startar konkurrerande verksamhet… och kanske fler säger upp sig som sedan visar sig ansluta till det nya bolaget.

Vad gör man då?

Om misstanken är så stark så den kan kallas skälig, då kickar det in en lagstiftning som heter lagen om företagshemligheter och då börjar man ju undersöka den här personen.

Man får väl sluta på sin arbetsplats om man vill?

Det är naturligtvis helt tillåtet att sluta och göra någonting annat här i livet, men det är inte tillåtet att ta med sig hela arbetsgruppen och alla företagshemligheter. Man får inte rekrytera sina kolleger att jobba med konkurrerande verksamhet. Det här är ju någonting som går upp i Arbetsdomstolen. Om man stjäl företagets hemligheter och företagets kunder och startar en konkurrerande verksamhet så kan ju företaget lida skada, och den skadan kan företaget yrka ersättning för.

Får man utreda vem som helst när som helst?

Har du en skälig misstanke så får du lov att utreda, så är det. Man går till sin arbetsrättsjurist och berättar om händelseförloppet, och då kan juristen göra en bedömning om det är grund för att efterforska vad som hänt.

Vad är det mest roliga med ditt jobb?

När jag förstår vad det är som har hänt utefter spåren som finns i en dator. Sen lägger jag pusslet, och när jag hittar rätt så är det som om guldbokstäver sveper fram över skärmen.  Det tycker jag är otroligt fascinerande. Man ser vad personen har försökt att dölja, man får fram bevis, och sen gör jag en snygg tidslinje med alla aktiviteter.

Vad är det svåraste?

Det svåraste är när kunden är försent ute, eller sent ute. Kanske att något har hänt 2021, som nu är uppe i domstol i en arbetsrättslig tvist. Då blir jag plötsligt historieforskare också. Det är svårt, men inte omöjligt. Men, bättre att vara ute i god tid. Så fort en person har sagt upp sig, och man misstänker något, ska man agera. Då har vi alla chanser att säkra bevisning.

Något konkret råd till företag?

Loggfiler ligger ju i molnet under begränsad tid, det vill säga 30 dagar i normalfallet. Efter det blir allt svårare. Så, jag brukar nämna i mina föreläsningar att man ska ha koll på det. Alternativt ha sina egna system där det sparas längre.

Varför är 2Secure bättre?

Vi jobbar med så många olika delar inom säkerhet. Vi har ett komplett utbud utav av tjänster. Vi sitter inte ensamma med bara forensik. Det här gör oss starka. Och för mig känns det jättebra att det finns kollegor i huset som gör alla de andra sakerna.

Vill du veta mer om digital forensik? Eller vill du ha hjälp?
Kontakta Michael Nylén