Lägesbild, insiderhot och säkerhetskultur

Under februari och mars har vi på SJR tillsammans med Pierre Gudmundson på Scandinavian Recruitment Intelligence (SRI) anordnat flera kunskapsevent med företagsledare i Malmö, Uppsala och Stockholm samt med våra konsulter och interna medarbetare på temat säkerhetsläget, insiderhot och säkerhetskultur.  

Under föreläsningarna belyste vi områden som: det komplexa geopolitiska landskapet och begreppet VUCA; vikten av det goda ledarskapet och riskerna med dåligt ledarskap; insikter om insiders och hur insiderhotet har utvecklats och eskalerat under de senaste 10 åren; insiderhotet mot svenska verksamheter och hur man kan skydda sig; samt säkerhetskultur. 

Föreläsningarna har bjudit på värdefulla insikter och spännande diskussioner. Vikten av en ökad kunskapsnivå samt bättre strategi och processer kring dessa frågor har varit tydlig. Dessa ämnen, särskilt nu i vår samtid, väcker frågor, skapar behov och behöver prioriteras. I denna artikel delar vi några key takeaways från föreläsningarna.

Stort tack till Pierre för tankeväckande och intressanta föreläsningar, och stort tack till alla som deltog för givande samtal och kloka frågor. 

a man standing in front of a screen, SJR event on security issues for companies

Lägesbild, insiderhot och säkerhetskultur med Pierre Gudmundson

Vi lever i en samtid som i allt större utsträckning präglas av osäkerhet, komplexitet och snabba förändringar – en VUCA-värld (Volatile, Uncertain, Complex, Ambiguous). Detta förändrar kraven på såväl organisationer som människor, på hur vi arbetar med risk, ledarskap och säkerhet samt på vad det innebär för ledare och chefer på alla nivåer. Det kräver också ytterligare ansvar inom och samspel mellan HR-, ekonomi- och säkerhetsfunktionen tillsammans med ledningen. I den hotbild och svåranalyserade omvärld vi ser idag behöver fler organisationer förflytta sitt säkerhetsarbete och säkerhetstänk till att i större grad fokusera på worst case-scenarier. Det handlar inte om att överge sannolikhet helt, utan om att komplettera med ett konsekvenstänk som rustar verksamheten bättre för oväntade och potentiellt mycket allvarliga situationer. Det är också kritiskt med modiga ledare som klarar av att agera solitärt med sina team trots begränsad information samt en företagskultur som tillåter initiativ och att våga testa.

Under föreläsningen med Pierre Gudmundson fick vi en fördjupad inblick i varför dagens hotbild kräver ett nytt sätt att tänka kring säkerhet, ledarskap och organisationskultur. Med tydliga exempel och förankring i aktuell forskning och omvärldsanalys belystes hur vi bättre kan förstå och hantera det växande insiderhotet, hur vi bygger en sund säkerhetskultur – och varför bra och modigt ledarskap är en nödvändighet i den värld vi befinner oss i.

Världen är VUCA

I en värld präglad av desinformation, gråzoner och asymmetriska hot krävs ett nytt sätt att tänka. Många organisationer behöver förflytta sitt riskarbete från sannolikhetstänk till worst-case-scenarier. Det innebär att arbeta mer konsekvensorienterat, särskilt i ljuset av dagens komplexa och snabbt föränderliga hotbild.

Det kräver ledare som klarar av att agera under oklarhet och press, och en organisationskultur där man vågar fatta beslut, testa nytt och ta initiativ utan att alltid ha hela bilden. Här blir begrepp som uppdragstaktik, tillitsbaserat ledarskap och stresstålighet centrala.

Samtidigt måste vi förstå att ökade varningssignaler kan leda till “alert fatigue” – en psykologisk trötthet som gör att organisationer missar signaler. Hotaktörer är medvetna om detta och designar attacker som bygger på just detta. Ledare måste därför träna på krishantering, worst-case-scenarier och proaktivt beslutsfattande.

  • Samhällsförändringar och hot: Den globala miljön är osäker, komplex och ambivalent, vilket ger ökat utrymme för hotaktörer att skapa osäkerhet, desinformation och missförstånd. Vår värld är mer VUCA (Volatil, Osäker, Komplex, Ambivalent) än någonsin, och det påverkar hur organisationer och individer agerar.

  • Riskbedömning: För vissa organisationer är det avgörande att gå bortom traditionella sannolikhetsbedömningar och även överväga worst-case scenario. Detta innebär att planering och åtgärder måste anpassas för att hantera möjliga, stora konsekvenser av säkerhetsincidenter.

  • Proaktivt beslutsfattande: I en osäker värld där snabba beslut är nödvändiga, behöver företag och ledare kunna fatta beslut även med begränsad information. Det handlar inte bara om att reagera utan också att aktivt förbereda sig för framtida kriser.

  • Hot från statliga aktörer: Dagens hotaktörer är inte bara brottslingar, utan även statliga aktörer som kan utnyttja otydligheter för att skapa störningar, till exempel genom hybridkrigföring och informationspåverkan.

  • Förändringsledning: Framtidens arbetsplatser kommer att vara mer turbulenta och förändringsbenägna. Därför krävs ledare som är både stresståliga och kan hantera förändringar effektivt. Ledarskap i en VUCA-värld handlar om flexibilitet, anpassningsförmåga och att skapa förutsättningar för sina team att agera i osäkra tider.

Insikter om Insiders

Hotet från insiders ökar, särskilt i tider av osäkerhet. Ekonomiska stressorer, psykisk ohälsa, missnöje och toxisk arbetsmiljö kan bli ingångar som hotaktörer utnyttjar. Det handlar inte längre bara om säkerhetsklassade befattningar – tvärtom riktas påverkan ofta mot helt vanliga roller.

Varningssignaler finns nästan alltid månader i förväg, men få organisationer har förmåga att se eller agera på dem. Därför behöver arbetet med personalsäkerhet gå bortom rekryteringsögonblicket. Det är efter anställning som riskerna växer – och där de förebyggande insatserna måste stärkas.

Säkerhet, arbetsmiljö och kultur måste samspela. Det är ofta en kombination av individuella, grupp- och strukturella faktorer som driver någon att agera illojalt. Psykologiska kontrakt, tillhörighet, rättvisa och förtroende blir därmed viktiga skyddsfaktorer. Och i denna mix är chefen avgörande – som kulturbärare, trygghetsskapare och riskidentifierare.

  • Hotet från insiders: Insiderhotet har ökat i takt med att ekonomiska, sociala och organisatoriska stressorer skapar sårbarheter i företag och organisationer. Hotaktörer utnyttjar dessa faktorer genom att rekrytera individer i svaga situationer för att genomföra illojala handlingar. 

  • Företagsspionage: Hotaktörer är oftast inte är ute efter säkerhetsklassade befattningar inom näringslivet, utan i många fall handlar det om tillgång till information och företagsspionage.

  • Långsiktiga strategier: Hotaktörer tänker långsiktigt och försöker bygga upp nätverk eller påverka individer för att skapa en kedja av incidenter. Beroende på verksamheten kan vi vara ett direkt mål eller en länk i en kedja där vi utnyttjas.

  • Varningssignaler 6-24 månader innan: De flesta insiderincidenter kan spåras tillbaka till varningssignaler som funnits upp till 6-24 månader innan de inträffade. Organisationer har ofta inte förmåga att identifiera, tolka eller eskalera signalerna. De har även utmaningar med att prioriterar dem eller svårighet att utreda dem. Organisationer måste bli bättre på att identifiera och hantera dessa signaler för att förebygga hotet innan det leder till allvarliga konsekvenser.

  • Riskfaktorer: Ekonomiska problem, personliga stressorer, ohälsa, och missbruk är vanliga faktorer som kan utnyttjas av antagonister för att locka individer till att agera illojalt. Dessutom kan problem inom organisationen, som toxisk kultur eller dåligt ledarskap, bidra till att skapa miljöer där insiders riskeras.

  • Insiderrekrytering: Rekrytering av insiders sker ofta via nätverk och onlinekanaler. Rekrytering av insiders online är väldigt vanligt och kan ske genom många olika digitala platser, alltifrån gaming, till chat-rum, sociala medier, med mera. Hotaktörerna söker ofta individer/anställda som är missnöjda eller har ekonomiska problem. 

  • Riskfaktorer: Flera faktorer kan pågå och påverka en individ samtidigt och därmed fungera som en katalysator och påskynda en beslutsprocess som leder till ett illojalt beteende. 

    • Individuella, såsom ekonomiska faktorer, stressorer i privatlivet, ohälsa och missbruk, kontakter och nätverk, predispositioner.

    • Grupp, såsom mobbning, upplevda orättvisor, felbeteenden som premieras, informella ledare.

    • Strukturella, såsom toxiskt ledarskap och kultur, avsaknad av tydliga regelverk, avsaknad av utbildning, avsaknad av eller dålig säkerhetskultur.

  • Ekonomiska stressorer påverkar en individs rationalitet kraftigt och man kan med små medel få denne att agera illojalt, irrationellt och ta väldigt lite hänsyn till konsekvenser och egen risk.

  • Påverkansfaktorer: Topp tre påverkansfaktorer enligt SRI:s årsbok 2024 är 1) tillfälle, 2) kontakter och 3) ideologi. (Därefter ekonomisk situation, social situation och sist besvikelse). Här krävs utveckling av det svenska metodstödet BESK-T, som ofta används som standard, då den inte uppmärksammar ideologi som en specifik påverkansfaktor och därmed har en indikativt brist i nästan 20% av de identifierade insiderfallen. (Internationellt jobbar man vanligtvis utifrån metoden MICE.)

  • Toxisk kultur: En toxisk arbetsmiljö, orättvisor, mobbning eller dåligt ledarskap är grogrund för insiders. Chefer spelar en avgörande roll i att förebygga en sådan kultur och skapa en säkerhetsmedveten och hälsosam arbetsplats.

  • Pre-hire vs. Post-hire: Viktigt att jobba med och investera i personalsäkerhet även efter anställningsbeslutet, dvs. post-hire. Majoriteten av insiders utvecklas när individer redan är anställda. Bör utvidga fokus till att inte bara göra säkerhetsgranskningar före anställning utan även på att följa upp och säkerställa att ingen påverkats eller utvecklar illojala tendenser under anställningstiden. Post-hire handlar ofta om mjuka värden och actions, inte övervakning utan processer kring välmående, företags- och säkerhetskultur, hantering av toxiska situationer, med mera. Vid intern befordran kan också externt stöd såsom Second Opinion vara en värdefull kontroll och utvärdering.

  • Förhindring av insiderincidenter: Företag måste arbeta med individer på flera nivåer – individuellt, gruppmässigt och strukturellt – för att skapa en säkerhetskultur där de anställda känner sig inkluderade och engagerade. De behöver känna att organisationen också tar hand om dem. Ett annat nyckelområde är tydliga processer kring risk samt samverkan mellan verksamhetens olika avdelningar (t.ex. HR, ekonomi och säkerhet).

  • Några nyckeltal från SRI:s årsbok 2024:

    • 92% av avslöjade insiders var anställda i de verksamheter där insiderhandlingarna inträffade.

    • 18% av de bevakade fallen visar att antagonisten har haft ekonomisk vinning som primärt mål.

    • 88% blir även ertappade under tiden som de fortfarande är anställda i verksamheten.

    • 75% av avslöjade insiders har varit anställda i sina verksamheter i mer än 12 månader.

    • Ofta kan så kallade "engångsspioners" eller "förbrukningsagenters" lojalitet köpas för 10 000 kr.

Ledarskap och säkerhetskultur

En sund säkerhetskultur bygger på ömsesidighet: människor skyddar organisationen om de känner att organisationen skyddar dem. Här spelar chefer en nyckelroll – inte bara i att kommunicera risker och förväntningar, utan i att bygga tillit, lojalitet och meningsfullhet.

Det är inte ovanligt att organisationer fokuserar på arbetskultur men glömmer bort säkerhetskulturen – och de är inte samma sak. Säkerhetskultur kräver tydlighet i både värderingar och processer, och måste aktivt byggas, underhållas och mätas.

Frågor som “varför säger ingen något?” visar ofta på bristande rutiner och otydlighet. Att göra det lätt att göra rätt, skapa säkra sätt att rapportera och utbilda i varför det spelar roll är avgörande. Ledare måste vara trygga i att leda i osäkerhet, fånga upp tidiga signaler och agera innan det är för sent.

  • Säkerhetskultur: Säkerhetskultur handlar om att skapa och främja en kultur där medarbetare vill ta hand om organisationen för att de vet att organisationen tar hand om dem. Det är en del av det ”psykologiska kontraktet” mellan arbetsgivare och arbetstagare. En stark säkerhetskultur är en där medarbetarna känner att de är en del av ett gemensamt skyddsnät, vilket bygger på ömsesidig respekt och förtroende. Det handlar om att skapa en arbetsmiljö där säkerhet inte ses som en extern övervakning utan som en del av den dagliga verksamheten.

  • Psykologiskt kontrakt: Ett viktigt inslag i säkerhetskulturen är det psykologiska kontraktet mellan organisationen och medarbetarna. Om organisationen inte visar att den bryr sig om sina anställda – genom att skapa en trygg och säker arbetsmiljö – kommer det att påverka engagemanget och lojaliteten negativt.

  • Ledarskapets betydelse: En av de största faktorerna för att bygga en bra säkerhetskultur är den närmaste chefen. Chefen skapar förutsättningarna för att en toxisk kultur ska uppstå eller förhindras. Ledarna är kulturbärarna. Om chefen kan skapa förtroende och visa att han eller hon bryr sig om sina medarbetare, skapas en kultur där individer är mer benägna att följa säkerhetsregler och vara lojala mot organisationen.

  • Toxisk arbetsmiljö: En toxisk kultur, som kan uppstå genom dåligt ledarskap, mobbning eller organisatoriska orättvisor, leder till en försvagad säkerhetskultur och ökar risken för insiders. Det är viktigt att identifiera och motverka toxisk kultur genom att regelbundet mäta organisatoriskt välmående och vidta åtgärder för att åtgärda problem.

  • Vikten av rätt ledare: Att rekrytera rätt ledare, särskilt de som kan hantera stress och förändring i en VUCA-värld, är avgörande. Dessa ledare måste vara anpassningsbara, motståndskraftiga och kunna fatta beslut även under osäkra omständigheter. Vår samtid och framtid kräver ledare som kan navigera i utmaningar och fatta välgrundade beslut trots begränsad information och skiftande omständigheter samt skapa och bibehålla förtroende och engagemang från medarbetarna.

  • Säkerhetskulturens långsiktiga arbete: Att etablera en säkerhetskultur är ett långsiktigt arbete som kräver kontinuerlig uppföljning och anpassning. Säkerhetsarbete bör inte vara något som görs en gång om året utan måste vara en del av företagets löpande processer.

  • Kommunikation och tydliga processer: En effektiv säkerhetskultur förutsätter att alla medarbetare vet vad som förväntas av dem när det gäller att rapportera risker och incidenter. Detta kräver tydliga kommunikationskanaler och processer för att rapportera och åtgärda problem.

    • Har organisationen förklarat vikten och värdet av att säga något när man observerar något eller får en dålig magkänsla om att något inte står rätt till? 

    • Finns det en tydlig rutin för hur man ska göra för att rapportera? Och vad händer sedan, var tar det som rapporterats vägen?

    • Vet alla medarbetar att det finns en förväntan om att man ska rapportera och vad som ska rapporteras? 

  • Tidiga åtgärder för riskhantering: För att undvika större problem måste företag arbeta förebyggande och inte vänta tills en situation har blivit allvarlig. Detta innebär att fokusera på tidiga varningssignaler och skapa ett system med rutiner och utbildning där alla anställda vet vad som förväntas och kan rapportera risker och observera potentiella hot utan rädsla för repressalier. Möjligheter för mjukare lösningar om man jobbar förebyggande i ett tidigare stadie.

Key Takeaways

  1. Pre-hire-perspektivet: Ställ riskrelaterade frågor redan i rekryteringsprocessen – t.ex. om konflikthantering, impulskontroll, långsinthet – och inkludera det i referenstagningen. Enkla medel som ger värdefull information.
  2. Post-hire är kritiskt: Majoriteten av insiderincidenter sker efter anställning. Arbeta därför aktivt med kulturen, uppföljning och välmående även efter att anställningen påbörjats – inte bara med kontroll utan med tillit och stöd.
  3. Ledarskap under tryck: Vi behöver fler chefer som klarar att fatta beslut med ofullständig information, navigera i förändring och agera under osäkerhet samtidigt som de motarbetar toxiska omständigheter och skapar engagemang. Vikten av att veta sitt uppdrag är kritiskt när man leder i kris och ökad komplexitet. Rekrytering och utveckling måste anpassas till detta.
  4. Skilj på kultur och säkerhetskultur: Det räcker inte med en bra arbetsplatskultur – det måste också finnas en tydlig säkerhetskultur. Den bygger på förståelse för risker, tydlighet kring processer, psykologiska kontrakt och ett gemensamt ansvarstagande.
  5. Alert fatigue och informationsbedömning: Lär känna symptomen på alert fatigue – när vi slutar reagera på varningssignaler. Det är ett växande problem som underminerar förmågan att agera i tid. Viktigt också att kunna identifiera betydelsefulla signaler och särskilja dem mot ett överflöde av brus (som nyttjas för att avtrubba och distrahera).
  6. Chefen är nyckeln: Den närmaste chefen är ofta den största faktorn för att förebygga illojalt beteende. Chefer måste utbildas i säkerhetskultur, kommunikation och förmågan att se tidiga signaler. Vi måste också agera för att åtgärda toxiskt ledarskap. 
  7. Rapporteringsvägar måste vara tydliga: Varför, hur, vem och när – alla anställda måste veta exakt hur de ska agera när de ser något som oroar dem. Här fallerar många organisationer – och då missar man viktiga möjligheter till prevention.

 

Om föreläsaren

Pierre Gudmundson är en ledande expert inom personalsäkerhet med en bakgrund inom säkerhetstjänsten. Idag är han ansvarig för Security Solutions på Scandinavian Recruitment Intelligence (SRI) där han leder omvärldsbevakningstjänsten KOMPASS, programmet för insiderprevention PRISMA samt incidenthantering och utredning åt SRIs kunder. SRI är en av SJR:s samarbetspartners. 

 

SJR - en partner för rekryteringen av framtidens ledare och specialister

På SJR är vår ambition att vara en gedigen partner som hjälper våra kunder och kandidater nå sina mål. För oss är utveckling och lärande strategiska verktyg och ett av våra kärnområden för framgång. Vi erbjuder flertal möjligheter för våra konsulter och medarbetare att höra från experter inom olika viktiga områden under året. Vi arrangerar mindre samtals-drivna kunskapsforum med våra kunder. Vi anordnar även öppna digitala föreläsningar för hela vårt nätverk.

Håll utkik för kommande inbjudningar eller anmäl ditt intresse här.

Vi pratar gärna vidare! Kontakta oss så fortsätter vi dialogen om hur vi kan stötta ert företag på bästa sätt.

Insights lärande kompetensutveckling ledarskap

 

Stärk ert team med oss på SJR.

Vi ser fram emot att höra från dig!

Anlita oss

Fler nyheter

Hållbarhet
16 april, 2025

SJR ett Karriärföretag – samtal med Michaela Björsell

Ett samtal med Michaela Björsell, HR-chef i Ogunsenkoncernen, om SJR:s utmärkelse till Karriärföretag 2024 och 2025, vad denna framgång betyder för oss och hur vårt fokus på hållbarhet och medarbetarengagemang har varit avgörande.
Läs mer
Konsult
Möt våra medarbetare
15 april, 2025

Möt människorna på SJR: Sofia Erikson

Sofia Erikson, konsultchef på SJR i Göteborg, sig av tips, reflektioner och spaningar.
Läs mer
Event
Kompetensutveckling
12 april, 2025

Karin O’Connor — geopolitik, makroekonomi och att bygga framgångsrika företag

Ekonomiprofilen Karin O'Connor gästade SJR för en digital föreläsning om geopolitik, handelstullar, makroekonomi, digitalisering, ledarskap, förändringsledning och att bygga framgångsrika företag. Här delar vi en summering av föreläsningen.
Läs mer

Alla nyheter