Vem blir spion?

[Krönika ur Säkerhetsinstallatören #2 2023]

I min förra krönika skrev jag att en konsekvens av att vi blir bättre på att skydda oss med tekniska säkerhetslösningar är att angriparen försöker komma åt informationen på andra sätt, exempelvis genom att rekrytera någon på insidan. Men vilken typ av drivkrafter är det egentligen som ligger bakom när någon blir rekryterad?

Jag tänkte berätta om ett amerikanskt företag som utvecklar vindturbiner för vindkraftverk och som för ett antal år sedan var ytterst nära att gå i konkurs. Deras största kund var ett kinesiskt bolag och när Kina så införde en lag om förnybar energi blev landet den hetaste marknaden för vindkraftverk i världen. Det amerikanska företaget verkade ha satsat helt rätt. Man kom överens med sin kinesiska kund om att hårdvaran kunde få tillverkas på plats i Kina men att mjukvaran skulle hanteras av det amerikanska bolaget. Säkerheten för att skydda den var extra hög: källkoden var krypterad, den hölls utanför Kina i en säker forskningsanläggning där bara ett fåtal hade access till den på ett nätverk utan internetuppkoppling. Kloka åtgärder kan man tycka, men tyvärr räckte det inte. Det kinesiska bolaget lyckades nämligen förmå en av det amerikanska bolagets programmerare att lämna ut information om källkoden vilket gjorde att man inte längre behövde det amerikanska bolaget som därmed förlorade sin största klient. Konsekvenserna blev att företaget föll 84% på börsen och man tvingades säga upp 600 medarbetare, cirka två tredjedelar av personalen.

Det här visar verkligen hur svårt det är att skydda sig med enbart tekniska säkerhetslösningar, oavsett vilken bransch man är verksam inom. Trots att man hade vidtagit ordentliga säkerhetsåtgärder krävdes det bara en enda illojal medarbetare för att i princip ta död på hela verksamheten. Vad var det då som fick honom att begå det här brottet? Utredningen visade att han fick 1.7 miljoner dollar, så man skulle kunna tänka sig att pengarna var hans motiv. Samtidigt beskrevs han av FBI som en ung man med ett stort ego, som gillade att festa och som hyste ett växande hat och förbittring mot sin amerikanska arbetsgivare. Och det är nog någonstans i allt detta som svaret ligger.

I princip alla case som jag har tittat på har involverat pengar, men det är sällan det rör sig om enbart det. Ofta är det i stället en kombination av flera olika drivkrafter som en hotaktör har lyckats identifiera och utnyttja, exempelvis missnöje eller dubbla lojaliteter. Utöver det har vissa personligheter visat sig vara mer vanligt förekommande, bland annat grandiosa, narcissistiska och manipulativa, impulsiva, spänningssökande och lättledda samt personer med en extrem men missriktad lojalitet eller ett stort behov av att känna sig värdefulla.

De flesta av oss har tack och lov en moralisk kompass som hindrar oss från att begå den här typen av brott, oavsett om vi vill ha mer pengar eller för tillfället inte trivs på jobbet. De flesta av oss men inte alla. Det är därför det är så viktigt att titta på de här sakerna innan vi anställer, för att om möjligt identifiera motiv, sårbarheter eller personligheter som skulle kunna göra det svårt för en anställd att vara lojal över tid. Struntar vi i det kan det, precis som för det amerikanska bolaget, komma att bli oerhört kostsamt.

Av: Carolina Angelis

Carolina Angelis
Född: I Västerås, uppvuxen i Dalarna.
Bor: I skärgården, på Värmdö.
Karriär: Har bland annat arbetat närmare 20 år inom den militära och civila underrättelsetjänsten. Är idag rådgivare på cybersäkerhetsbolaget Truesec. Carolina anlitas frekvent av media i frågor gällande underrättelseinhämtning av främmande makt. Hon är även författare av spionromanerna Tunn is och Dominoeffekten. Uppföljaren Pelikanen utkommer under 2023.