EOS-tenestene har nyleg lagt fram sine nasjonale trusselvurderingar. Tonen er alvorleg. I Aftenposten blir det hevda at no er vanlege folk mål for framande makter, og bilar som er «rart parkert» bør meldast inn til tryggingsmyndigheitene. I NSMs rapport Risiko 2024 står noko som treff oss alle: «Det er naivt å tro at det ikke finnes innsidere i betrodde stillinger også her i Norge, enten de er bevisste eller ubevisste innsidere», og det blir hevda norske verksemder har lav kunnskap om innsidarar. Fleire spørsmål melder seg.
Innsidar
Innsidevirksomhet handlar ifølge tryggingsmyndigheitene om «personer som kan komme til å utnytte sine legitime tilganger til virksomhetens verdier for uautoriserte formål», og ein innsidar kan altså vere bevisst eller ubevisst. Myndigheitenes temarapport om Innsiderisiko inneheld fleire interessante påstandar. For eksempel at menneske som opplever skilsmisse eller sjukdom, har ein sårbarheit som kan utnyttast av framande makter, og kan «lede til både bevisst og ubevisst innsidevirksomhet». Andre sårbarheiter som nemnast er svak økonomi og misnøye med arbeidsgjevar. Ganske normale ting ved sjølve livet, vil mange meine.
Det første hovedspørsmålet som dukkar opp, er: Er det riktig? Kor sterkt er kunnskapsgrunnlaget? Er det basert på anekdotar eller store empiriske studiar? FFI-rapporten Hva vet vi om innsiderisiko? konkluderer med at det er lite forsking på feltet. Det andre spørsmålet er: Kva betyr det i praksis? Kan vi la nyskilte eller folk med svak økonomi ha viktige oppgåver i samfunnet? Bør dei vere på jobb utan tilsyn?
Ubevisst?
Begrepet ubevisst innsider er spesielt interessant og blir forklart som «en som uforvarende videreformidler informasjon som ikke skulle vært videreformidlet, eller skjødesløst lar være å forholde seg til sikkerhetskrav og sikkerhetsoppdateringer». Eller nokon «som uforvarende åpner et vedlegg med skadevare», ifølge ein annan rapport frå i haust. Dei, eller vi, «ubevisste» skal stå for over halvparten av «innsidehendelser mot digitale verdier». Med andre ord: Gjer du ein feil, er du ein innsidar. Ein innsidar er ein svikar. Men treng det vere slik?
Kontrasten er iallfall stor mot kunnskapsutvikling innan andre samfunnsområder, og då særleg innan helse, miljø og tryggleik (HMS), med fagmiljø som ligg fleire tiår framfor store delar av det stadig veksande security-miljøet. I Norsk Industris rettleiar Sikkerhet, ledelse og læring (2023) legg ein til grunn at menneske gjer feil. Men ein ser ikkje på feil eller avvik som årsaker, men som teikn på underliggjande problem.
Konsekvensar?
Kan det ha konsekvensar at tryggingstenester og -miljø ser oss arbeidstakarar som ein trussel og ein kilde til feil?
For det første er det ei lite føremålstenleg tilnærming til det stadig viktigare samspelet mellom menneske og teknologi, der feil kan skje. At vi alle kan gjere feil er godt kjent, men mange faktorar påverkar menneskelege val og handlingar, også tilhøve som kan gjerast noko med.
For det andre kan det også utfordre lange samfunnstradisjonar. Dersom ingen er til å lite på, blir det vanskeleg med informasjonsdeling og medverknad, til dømes kan fagforeningar bli haldne utanfor tryggingsarbeid på grunn av hemmeleghald.
For det tredje kan det ha konsekvensar for breie tryggleikstiltak. Nye lover viser at norske myndigheiter er villige til å gå langt i overvaking av den norske befolkning, med tryggleik som grunngjeving.
Og det er ikkje sikkert det blir betre tryggleik. Mange kan også sjå potensielle nedsider ved å mistenke ein kollega for å vere ein innsidar i tillitslandet Noreg. Mennesket er mykje meir enn ein kilde til sårbarheiter og feil. Det trengs meir balanse i synet, spesielt i urolege tider.