De flesta organisationer lägger idag betydande resurser på att skydda sig mot yttre hot. Brandväggar, övervakning, underrättelser och avancerade cybersäkerhetslösningar. Men trots detta sker en stor del av de mest skadliga incidenterna inte genom att någon tar sig in utifrån, utan genom att någon redan finns på insidan.
Frågan är därför inte bara hur väl organisationer kan stoppa en angripare. Frågan är hur väl de förstår, identifierar och hanterar risker som redan har tillgång. Och där uppstår ett glapp.
Insiderprevention är idag en etablerad disciplin
Under mer än ett decennium har USA systematiskt byggt upp strukturer, standarder och metoder för att hantera insiderproblematik. Redan 2009 började forskningsbaserade program ta form och 2012 formaliserades en nationell policy för insiderhot. Drivkraften var tydlig: allvarliga incidenter som Wikileaks, Manning och Snowden visade att hotet inte bara kommer utifrån utan lika ofta från insidan.
Idag är detta arbete integrerat i amerikanska myndigheters vardag. Metoderna omfattar allt från beteendeanalys och revisionsprocesser till nära samverkan mellan HR, säkerhet och juridik. Verktyg som User And Entity Behavior Analytics (UEBA) och Data Loss Prevention (DLP) kombineras med förståelse för mänskliga riskbeteenden, ledarskap och kultur.
Samtidigt har utvecklingen i Sverige varit betydligt långsammare.
Insiderproblematik är ett växande problem med tydliga siffror
Statistiken lämnar inget utrymme för tvekan:
- Cirka 20 % av alla dataintrång involverar insiders (Verizon Data Breach Investigations Report 2024)
- En betydande andel spionage- och säkerhetsincidenter involverar insiders, men exakta europeiska siffror varierar och saknar en enhetlig källa (ENISA Threat Landscape)
- Cirka 80 % av undersökta organisationer rapporterade minst en insiderincident under 2024 (Cybersecurity Insiders 2024 Insider Threat Report, ≈83 %)
- Nästan hälften upplever att hotet ökar (≈48 %, Cybersecurity Insiders 2024)
Bakom siffrorna döljer sig en komplex verklighet. Insiderhot handlar inte bara om illvilja. Tvärtom:
- Den största andelen orsakas av misstag och slarv
- De mest allvarliga incidenterna drivs ofta av ekonomiska motiv eller missnöje
- En växande kategori är komprometterade insiders, som utnyttjas av externa aktörer
Kostnaderna är betydande. En enskild incident kostar i genomsnitt motsvarande flera miljoner kronor, och den årliga totalkostnaden för insiderrelaterade risker kan uppgå till mycket höga belopp per organisation.
Trots detta saknar Sverige fortfarande en nationell strategi eller etablerade standarder inom området.
Svagheten är interna brister inte externa hot
Många organisationer fokuserar idag på externa hot, organiserad brottslighet, cyberattacker och statliga hotaktörer. Det är naturligt och nödvändigt. Men det riskerar att skymma den egentliga problematiken. I praktiken är det ofta inte angriparen som är den största svagheten utan organisationens egna strukturer.
Återkommande brister är tydliga:
- Bristande kunskap om insiderproblematik
- Informationsöar mellan HR, IT och säkerhet
- Oklara riktlinjer och mandat vid misstänkta incidenter
- Avsaknad av handlingsplaner för interna utredningar.
Resultatet blir ad hoc-lösningar, kostsamma, ineffektiva och ibland rättsosäkra. Dessutom ökar risken för intressekonflikter och felaktiga beslut. Med andra ord: många organisationer saknar inte vilja men de saknar kunskap och struktur.
Ett skifte i perspektiv från kontroll till arbetsmiljö
Det finns en avgörande insikt som ofta förbises. Insiderprevention bör inte ensidigt handla om att hitta de som gör fel. Det bör även handla om att identifiera risker och skapa en trygg och säker arbetsplats. Detta perspektiv ligger närmare arbetsmiljölagen, där arbetsgivare är skyldiga att identifiera risker och vidta riskreducerande åtgärder. Eftersom insiderhot idag är en känd risk innebär det i praktiken ett ansvar att agera.
Angreppssättet förändrar också mottagandet i organisationen. Fokus flyttas från kontroll och misstänksamhet till trygghet, struktur och förebyggande arbete, något som ofta möter mindre motstånd från HR, fackliga organisationer och medarbetare.
Ett förändrat hotlandskap
Utvecklingen förstärker behovet av förändring
- Digitalisering och AI ökar möjligheten att utnyttja legitim åtkomst
- Fjärrarbete och molntjänster suddar ut traditionella säkerhetsgränser
- Leverantörer och konsulter är en del av insiderbegreppet
- Organiserad brottslighet använder aktivt infiltration och interna möjliggörare som metod
- Främmande makts säkerhetshotande verksamhet ökar.
Insider är inte längre bara en anställd, det är alla med tillgång till företagets resurser. Kanske nästa insider är en okontrollerad AI-agent.
Från reaktivt till proaktivt arbete
Många organisationer har de senaste åren investerat i krisledning och kontinuitetsplanering. Insiderprevention kräver samma mognad.
Det handlar att hantera det oönskade på ett önskat sätt, bland annat om att:
- Etablera tydliga processer och ansvar
- Integrera HR, IT och säkerhet
- Arbeta systematiskt med riskidentifiering
- Förbereda organisationen på att hantera incidenter strukturerat.
Den dolda potentialen och mörkertalet
En viktig aspekt som sällan lyfts är mörkertalet. Många insiderrelaterade händelser polisanmäls aldrig, de leder inte till åtal och hanteras ofta internt utan struktur.
Det innebär att den faktiska problembilden är betydligt större än statistiken visar. Organisationer som arbetar operativt med utredningar får därför en unik insyn i verkligheten, en insyn som kan användas för att identifiera mönster, sårbarheter och förebyggande åtgärder. Här finns en outnyttjad möjlighet att omvandla erfarenheter från incidenter till konkret förbättringsarbete.
Är det inte dags nu?
Sverige har länge präglats av hög tillit, en styrka, men också en sårbarhet. I ett förändrat säkerhetsläge, där både interna och externa hot ökar, räcker inte tillit som strategi. Insiderproblematiken är inte ny. Verktygen finns. Erfarenheterna finns. Behoven är tydliga. Men det finns fortfarande ett glapp mellan insikt och förmåga. Att stänga det glappet kräver mer än teknik eller enskilda insatser. Det kräver struktur, erfarenhet och förmåga att omsätta komplex problematik till praktiskt genomförbara arbetssätt.
Läs mer om hur din organisation kan jobba med insiderprevention
Behöver du komma i kontakt med någon av våra säkerhetsrådgivare gällande din organisations risk och sårbarhet? Kontakta oss.
Källa:
Verizon Data Breach Investigations Report 2024
ENISA Threat Landscape
Cybersecurity Insiders 2024 Insider Threat Report
FOI Espionage in Europe from 2008 to 2024
Vill du stärka din organisations säkerhetsarbete? Vi hjälper dig med rådgivning inom säkerhetskultur, bakgrundskontroller, utredningar och digital forensik, anpassat efter din verksamhets behov.
Möt oss i Almedalen
– Vi är med på Säkerhetsarenan och pratar om personalsäkerhet tillsammans med Säkerhetsbranschen.
Tid: Onsdag 9.00-9.45
Plats: Strandgatan 14, Gotlands museum, SäkerhetsArenan
