Allvarliga risker mot samhällsviktig verksamhet visar sig inte alltid som tydliga incidenter, utan uppträder ofta först som mindre avvikelser, enligt 2Secure. Det kan röra sig om förändrade beteenden, avvikande observationer, oväntade kontakter eller en återkommande känsla av att något inte riktigt stämmer.
Flera internutredningar som bolaget tagit del av uppges visa samma mönster: personer har reagerat, sett något eller uttryckt oro, men informationen har sorterats bort, misstolkats eller inte nått rätt funktion. Problemet beskrivs sällan vara avsaknad av styrande dokument, utan brister i förmågan att ta emot, bedöma och omsätta signaler i praktisk handling.
– Hot mot samhällsviktig verksamhet yttrar sig sällan som klassiska incidenter. De börjar som avvikelser – människor, beteenden eller situationer som inte riktigt stämmer. Att kunna bedöma sådana signaler kräver säkerhetskompetens och erfarenhet. Där ser vi en tydlig brist hos många organisationer, säger Denny Tano, senior konsult och diplomerad säkerhetsskyddschef på 2Secure.
Felbedömda signaler försvagar motståndskraften
När tidiga signaler inte fångas upp riskerar hot och risker att underskattas, misstolkas eller upptäckas för sent, enligt 2Secure. Detta kan leda till att åtgärder fördröjs, riktas fel eller uteblir helt, samtidigt som ledningen inte får en samlad och tillförlitlig bild av hotläget.
På sikt kan detta innebära att verksamhetens motståndskraft försvagas successivt. I ett förhöjt säkerhetsläge lyfter bolaget fram behovet av att aktörer inom samhällsviktig verksamhet och civilt försvar agerar redan på tidiga varningssignaler, innan incidenter hinner utvecklas.
Strukturerad incidenthantering och visselblåsning
En central förutsättning är att medarbetare faktiskt rapporterar små avvikelser och säkerhetsrelaterade iakttagelser. 2Secure menar att tröskeln för att rapportera kan vara hög, särskilt när det gäller sådant som uppfattas som osäkra misstankar. Därför behövs tydliga och gärna anonyma rapporteringsvägar.
Bolaget pekar samtidigt på att rapporter som inkommer via visselblåsarkanaler ibland avskrivs därför att de faller utanför visselblåsarlagstiftningen, trots att innehållet kan röra otillåten påverkan, insiderproblematik eller andra säkerhetshot. Bedömningar av antagonistiska hot kräver enligt 2Secure inte enbart kompetens inom personalfrågor eller juridik, utan även säkerhetskompetens och en etablerad förmåga till incidenthantering.
Mot denna bakgrund framhåller bolaget att incidenthantering inte kan reduceras till en administrativ rutin. I stället bör den utgöra en central funktion för att upptäcka, förstå och hantera risker och hot i ett tidigt skede.
Stöd från tidig signal till åtgärd
2Secure uppger att allvarliga incidenter sällan sker utan förvarning. Med stöd inom incidenthantering, utredningar, visselblåsning samt hot- och riskbedömningar vill bolaget stärka organisationers förmåga att upptäcka, förstå och agera på tidiga signaler, minska negativa konsekvenser och i vissa fall förhindra att incidenter uppstår.
Enligt 2Secure arbetar företaget med att skydda information under hela anställningscykeln, från introduktion till avslut. Genom att kombinera rutiner, tekniska lösningar och it-forensisk kompetens ska risken för incidenter minska och säkerhetsarbetet stärkas både på kort och lång sikt.
I sin information hänvisar bolaget även till arbete med incidenthantering kopplat till kommande krav i cybersäkerhetslagen, och uppmanar berörda verksamheter att se över hur de upprätthåller rätt skyddsnivå samt är förberedda för lagstiftningen.
