Carolina Angelis, om att brandväggar, virusskydd och separata IT-system är nödvändiga och säkerhetshöjande åtgärder men det hjälper inte mycket om någon på insidan med access till informationen så att säga öppnar dörren för angriparen. Människan är och förblir den svagaste länken och det finns många motiv för att bli landsförrädare.
Pengar, missnöje eller en narcissistisk personlighet. Ideologiska bevekelsegrunder eller hot och utpressning. Det finns många olika orsaker till att en person väljer att förråda sitt land men i grund och botten handlar det om samma sak; motiv, drivkrafter eller sårbarheter som utnyttjas av någon annan för att bereda sig access till svåråtkomlig information, ett styrsystem eller en anläggning.
En underrättelsetjänst tar inte att onödiga omvägar för att uppnå sina mål. Om det enklaste sättet är att genomföra en cyberattack kommer man att göra det. Om det enklaste sättet istället är att rekrytera någon på insidan som redan har access kommer man att göra det. Kanske är det en kombination av teknisk och personbaserad inhämtning som gör att man får bäst resultat.
Media rapporterar närmast dagligen om cyberattacker riktade mot såväl det svenska näringslivet som statliga myndigheter. För att skydda oss investerar vi, på goda grunder, stora summor i att förbättra informationssäkerheten. Det vi verkar glömma bort är att cybersäkerhet och informationssäkerhet inte bara handlar om teknik. En naturlig följd av att vi skapar säkrare tekniska miljöer är nämligen att angriparen försöker komma åt informationen på annat sätt, till exempel genom att rekrytera eller placera någon på insidan.
Brandväggar, virusskydd, separata IT-system och så vidare är nödvändiga och säkerhetshöjande åtgärder, men hjälper inte mycket om någon på insidan med access till informationen så att säga öppnar dörren för angriparen. Människan är och förblir den största sårbarheten, den svagaste länken. Det är vi som hanterar informationen och säkerhetslösningarna och det är vi som ibland råkar göra fel – eller till och med väljer att göra det.
Det sägs att alla har ett pris, men hur ofta handlar det verkligen om enbart pengar? En av Sveriges mest ökända spioner är Stig Wennerström. Under femton års tid försåg han Sovjetunionen med omfattande information om det svenska försvaret. Hans förräderi kom att bli oerhört kostsamt då vi tvingades utgå från att Kreml visste allt. I den dokumentär som gjorts om Wennerström får tittaren ta del av de inofficiella samtal som fördes med honom och som kom att kallas ”snackeband”. Fram träder bilden av en man med en narcissistisk personlighet och grandios självbild. Knappar att trycka på som antagligen var minst lika effektiva och motiverande som ett kuvert med pengar.
Spionage är ju inget nytt påfund – man brukar säga att det är världens näst äldsta yrke. Själva ordet spionage för lätt tankarna till Kalla Kriget och spioner som just Wennerström, men faktum är att det är minst lika omfattande idag. Trots detta finns det en utbredd naivitet i Sverige. En naivitet som antagligen delvis grundar sig i att vi när Kalla Kriget tagit slut, Berlinmuren hade fallit och Sovjetunionen upplösts lät oss invaggas i tron att det inte längre fanns några hot mot Europa. När nu verkligheten och det säkerhetspolitiska läget i vårt närområde säger något annat tar det tid för medborgarna att förstå.
Att de svenska säkerhets- och underrättelsetjänsterna i allt större utsträckning väljer att tala öppet om så väl hotbild som aktörer och incidenter, i den mån det är möjligt, är därför välkommet. För hur ska medarbetare som arbetar inom samhällsviktig infrastruktur eller vid ett högteknologiskt företag ha möjlighet att upptäcka ett rekryteringsförsök iscensatt av främmande makt om de inte ens förstår att det är en metod som fortfarande används?
För drygt ett år sedan grep SÄPO en fyrtiofemårig svensk IT-konsult misstänkt för olovlig underrättelseverksamhet. Enligt uppgift hade mannen haft tillgång till mycket känslig information som man vet är av intresse för främmande makt. Främmande makt var i det här fallet Ryssland och man misstänker att IT-konsulten hade spionerat för dem under cirka två års tid. Den här typen av avslöjanden är viktiga om än trista. Trista för AB Sverige men också för mannen som låtit sig rekryteras och vars liv slås i spillror. Hans möjligheter att få nya kunder och uppdrag torde vara tämligen små efter att ha misstänkts för spioneri. Vilka motiv som låg bakom just den här rekryteringen vet kanske bara han själv, den ryska underrättelsetjänsten och möjligen Säpo. Gissningsvis rörde det sig även här om något mer än pengar i ett kuvert.
En viktig insikt i just det fallet är att inte bara nyckelpersoner i målföretaget eller på den aktuella myndigheten kan drabbas. Många gånger kan det vara effektivare att approchera en konsult eller underentreprenör vars lojalitet mot verksamheten kan tänkas vara lägre än hos en medarbetare (även om så naturligtvis inte behöver vara fallet). Det är något att ha i åtanke när många funktioner och uppdrag outsourcas till den som levererar till lägst pris.
Flera utredningar visar att ett mycket vanligt förekommande skäl till att man låter sig rekryteras är missnöje. Det kan låta simpelt, men vad händer med en anställd som inte får den där befordran som han eller hon tycker sig förtjäna? Eller när det aldrig är någon som säger hej vid kaffemaskinen eller frågar om man vill följa med på lunch? Eller när man inför den kommande omorganisation petas snett åt sidan och kanske inte ens vet om man kommer att få behålla sitt jobb? En skicklig underrättelseofficer kan underblåsa och förstärka den sortens känslor.
– Varför ska du vara lojal mot din arbetsgivare? Se hur de behandlar dig efter alla år som du jobbat där. Är det inte dags att du börjar se om ditt eget hus?
Pengar är förvisso ett klassiskt motiv, men kanske är det en narcissistisk personlighet eller ett växande missnöje som ligger i grunden.
Internet har delvis förändrat underrättelsetjänsternas verksamhet. Inte bara för att man nu kan inhämta information på distans via cyberattacker utan också för att möjligheterna att identifiera, kartlägga och kontakta potentiella måltavlor har ökat markant. I dag är våra yrkes- och privatliv några knapptryckningar bort för vem som helst att ta del av. LinkedIn avslöjar vem som arbetar med vad, utbildning, projekt, spetskompetenser och så vidare. Facebook, Instagram och andra plattformar visar hur våra liv ser ut, eller hur vi vill att de ska se ut vilket kan vara minst lika intressant. Civilstatus, livsstil, intressen, aktiviteter, resor.
Ohemlig information som vi frivilligt och ofta utan betänklighet delar med oss av. Baserat på det här smörgåsbordet av information kan en angripare planera en kontakttagning som har goda chanser att lyckas.
2007 reste en ung estnisk arméofficer vid namn Deniss Metsavas till Ryssland för att hälsa på släktingar. Efter en blöt natt på krogen följde han med en kvinna till ett motellrum. Det visade sig vara ett stort misstag eftersom rummet där de tillbringade natten var riggat. Dagen efter greps han av den ryska polisen som anklagade honom för våldtäkt. Efter hot om ett långt fängelsestraff valde Metsavas att signera dokument där han förband sig att samarbeta. Vad samarbetet skulle gå ut på visste han inte. Han släpptes och for uppskakad men lättad hem till Estland där han inte berättade för någon vad han hade råkat ut för eftersom han var rädd att incidenten skulle påverka hans militära karriär. Tiden gick och han hade nästan glömt den obehagliga upplevelsen när han en dag blev kontaktad av en person från den ryska underrättelsetjänsten som påminde honom om dokumentet. Det var dags att börja leverera.
Efter tio år greps Deniss Metsavas slutligen av den estniska säkerhetstjänsten och avtjänar i dag ett långt fängelsestraff för spioneri. Historien hade antagligen kunnat få ett lyckligare slut om han bara informerat sina överordnade om vad han råkat ut för.
Honungsfällor, hot och utpressning är metoder som vi känner igen från otaliga spionserier och filmer men metoderna används också i verkliga livet. Vilken metod som man väljer att använda för att rekrytera någon kommer att vara den som man tror har störst möjlighet att fungera.
En grundförutsättning för att vi ska lyckas skydda våra skyddsvärda tillgångar är att vi förstår att spionage förekommer och vilka metoder som används men också att vi förstår att ingen är immun. Vem som helst med någorlunda insyn eller access kan drabbas, man måste inte nödvändigtvis vara en nyckelperson. Underrättelseinhämtning är en långsiktig verksamhet och över tid kan en person lyckas avancera och medvetet söka sig till projekt och uppdrag som är av större intresse. Titta bara på Stig Wennerström och de femton år som han drevs av KGB.
CAROLINA ANGELIS är säkerhetskonsult i Angelis & Hansen och har tidigare bland annat varit verksam vid FRA och sedan Must i i ett tjugotal år. Hon är också författare av Tunn is (Creative Box 2018) och uppföljaren Dominoeffekten som släpps i höst.
Läs en intervju med Carolina Angelis och ett utdrag ur Tunn is.