Nyheter från FKG

De finns där ute – statliga underrättelsetjänster och internationella konkurrenter som är intresserade av vad FKG:s medlemmar håller på med. Håller koll på medarbetare på olika sociala plattformar – framförallt Linkedin – och är beredda att betala en hel del pengar för information som inte är tänkt att delas med andra.
– Förståelsen för det här är generellt sett ganska låg, många inser inte att just de skulle kunna vara av intresse, säger Carolina Angelis, säkerhetsrådgivare på företaget Truesec och med lång erfarenhet från svensk underrättelsetjänst och försvarsindustri.

Det kan verka rätt oskyldigt. Ett kontaktmeddelande via Linkedin där någon breder på om hur intressant och kunnig du är inom ditt fält. ”Skulle du kunna tänka dig att vara med i en undersökning och svara på några enkla frågor?”
– För besväret erbjuds du kanske 300 dollar, säger Carolina Angelis.
Per gång. För det kan bli flera samtal.

De som ställer upp får höra att de inte behöver avslöja några företagshemligheter. Men efter ett antal samtal, och ett antal checkar, kan ribban för vad som verkar hemligt sjunka. I takt med att de där extrainkomsterna börjar kännas som både lättförtjänta och välbehövliga tillskott till hushållskassan.
Enligt Carolina Angelis är det ett relativt vanligt tillvägagångssätt för att ta en första kontakt.
Tre nationer utmärker sig i den något ljusskygga verksamheten.
– De största underrättelsehoten mot Europa idag kommer från Kina, Ryssland och Iran, säger hon.
Konkurrenter i branschen? Jo, enligt henne förekommer det också, även om främmande makt verkar dominera.
Fordonsbranschen är ett segment som är mycket utsatt för den här typen av spionage. En anledning är att de ofta investerar stort i kunskaper om AI och autonoma fordonssystem. Saker som är högintressant även i militära sammanhang.
Carolina Angelis nämner ett känt svenskt fall. En högutbildad ingenjör med pressad ekonomi lämnade ut stulen information.
– Spionaget riktade sig mot både Volvo Cars och Scania, och han lämnade ut uppgifterna till den ryska underrättelsetjänsten.
Mannen dömdes till tre års fängelse.
– Domen föll 2021 så han bör vara frigiven nu.
Hon är övertygad om att de fall som upptäcks bara är toppen på ett isberg.
– Det finns olika skäl till att personer avslöjas. Det skulle till exempel kunna bero på att Säkerhetspolisen sedan tidigare har koll på utländsk underrättelsepersonal i Sverige. Genom att följa dem kan de identifiera personer som de träffar. Personer som kanske är på väg att bli värvade, eller redan är det.

Ett annat scenario är att spionen blir mer oförsiktig och börjar ställa frågor till kolleger, som fattar misstankar.
Men vem är det då som trillar dit? Enligt Carolina Angelis är vissa personlighetstyper mer vanligt förekommande.
– Grandiosa, narcissistiska och manipulativa personer med ett stort behov av bekräftelse. Personer som inte tycker sig få den uppskattning som de förtjänar, säger hon.
Att närma sig den typen av människor, som kanske dessutom har ekonomiska problem, är lågt hängande frukter för en underrättelseofficer.
För att undvika att hamna i den här i situationen menar hon att företag bör utbilda sina medarbetare i ämnet, så att de förstår vilka risker som kan vara förknippade med exempelvis sociala medier. Företagen bör också tänka på vem de anställer.
– Om du är aldrig så duktig på den tekniska säkerheten … det hjälper inte om du har fel personer på insidan.
Därför anser Carolina Angelis att företag som hanterar känslig information bör göra säkerhetsprövningar av de som anställs.
– Säkerhetsprövningen ska göras av kvalificerad personal som förstår hur hotaktörer jobbar. Människor som har förmåga att identifiera eventuella sårbarheter, som kan läsa av nyanser och förstå vilka risker som kan vara förknippade med vissa personlighetsdrag, säger hon.
Det räcker inte med att kolla brottsregistret och eventuella anmärkningar hos Kronofogden. Dessutom menar hon att en person som exempelvis begått ett brott för längesen, eller har dragit på sig en betalningsanmärkning, inte nödvändigtvis måste vara en dålig rekrytering.
– Företaget kanske tackar nej till en duktig person av rädsla eller okunskap. Hade en kvalificerad säkerhetsprövare gjort den sammantagna bedömningen hade de kanske kommit fram till att kandidaten visst kunde anställas.
Du har jobbat på bland annat Must*. Är det så spännande som det låter?
– Ja, det får jag nog säga, även om det blir en vardag i allt. Men det jag jobbar med i dag handlar till stor del om att skapa medvetande om att man behöver investera i sin säkerhet, just för att motverka insiderproblematiken och risken att drabbas av spionage.

Ett företag som närmast är prototypen för ett mål när främmande makter utför industrispionage är Zenseact, specialiserade på saker som spjutspetsteknik inom autonom körning.
– Vi gör mjukvara för avancerade förarstödssystem och självkörande bilar, säger företagets kommunikationschef Veronika Nihlén.
Exakt vilka läckor de har råkat ut för – eller om det ens har hänt något i den vägen – vill hon inte gå in på. Men att det görs försök är ingen hemlighet. Hon har själv fått den typen av meddelanden som Carolina Angelis nämner, där någon erbjuder pengar för vad som till en början framstår som beskedliga enkäter.
– Under mina tre år här har jag fått sju förfrågningar, säger hon.
Hon har även råkat ut för en annan sak som säkerhetsexperten Carolina Angelis varnar för: okända personer som vill bli kompisar på Linkedin.
– Det luriga är att de kanske inte ens är dig de vill ha kontakt med, utan någon högre upp i näringskedjan som du råkar känna.
För att skydda sig har Zenseact vidtagit olika åtgärder. De har olika policyer och uppförandekoder. Medarbetare ska vara varsamma med vad de delar för information om företaget och det finns riktlinjer för vad de ska tänka på ute på de sociala medierna.
Privat då?
– Det lägger företaget inte sig i. Sedan är våra medarbetare generellt inte så aktiva på sociala medier ändå, säger hon.
Det handlar enligt Veronika Nihlén i stor utsträckning om engagerade och högintelligenta ingenjörstyper. Experter med starkt fokus på mycket specialiserade och komplicerade arbetsuppgifter och minimalt intresse för vad lättviktiga sociala medier har att erbjuda.

*Fotnot: Must är en akronym för Militära underrättelse- och säkerhetstjänsten.

”Då blev det jackpott för konkurrentanalytikern”

Spionen lägger pussel. Med den devisen vill Göran Björklund, senior rådgivare till FKG, uppmärksamma på vad som pågår i det grå gränssnittet där företagens kommunikation möter de anställdas  privata konton på plattformar som Linkedin.
– Tidigare har vi uppmanats att inte posta inlägg på Facebook om att vi befinner oss på semester, för att förebygga inbrott och bedrägeri. Men på Linkedin är vi inte lika nogräknade, säger han.

Företag bör enligt Göran Björklund sätta sig in i hur de exponeras i sociala medier, inte minst på Linkedin. De bör också sätta sig in i hur en extern person kan inhämta information och underrättelser om företaget i sociala medier.
– Bara genom att träna upp sin sökordsförmåga på Google, eller skruva på inställningarna till något av de system för omvärldsbevakning som finns på marknaden kan man komma långt. En tränad omvärlds- eller konkurrentanalytiker kan gräva djupt med tangentbordet. En underrättelseanalytiker, som har samma digitala resursers som en underrättelsetjänst, kan gräva ännu djupare in i företaget, säger han.

Får lite på enskildas omdöme
Enligt Göran Björklund är frågan är komplicerad, eftersom det av integritetsskäl är svårt för ett företag att lägga sig vilka inlägg anställda gör, vilka som ingår i deras nät eller i vilka intressegrupper som de är aktiva i etcetera.
– De får lita på den enskildes goda omdöme.
Han tar ett exempel. Vid ett tillfälle tittade han närmare på ett inlägg som en anställd hos en större FKG-medlem gjorde efter att företaget hade haft en intern konferens. I förgrunden syntes ett glatt gäng medarbetare samtidigt som det i bakgrunden fanns en PPT-bild som visade upp en ny produkt.
– Jackpott för en konkurrentanalytiker, säger Göran Björklund.