En medarbejder, der taler over sig om det nye patent i baren på eksportmessen, skjulte mikrofoner på hotelværelset eller lækkede fortrolige forretningshemmeligheder.

Insidertruslen, som for eksempel spionage, sabotage og lækning af fortrolig data, er ifølge Politiets Efterretningstjeneste (PET) i stigende grad et problem for danske virksomheder og myndigheder.

Det er der bare ikke særligt mange virksomheder, der er bevidste om. I en ny undersøgelse foretaget af DI og Beredskabsstyrelsen rangerer insidertruslen langt nede på listen over begivenheder, som virksomhederne frygter kan kaste dem ud i en krise. Cyberkriminalitet, it-nedbrud, svigt fra leverandører og ekstremvejr giver i langt højere grad grund til bekymring hos virksomhederne.

Men ifølge Politiets Efterretningstjeneste (PET) kan det være farligt at undervurdere truslen fra ”de betroede medarbejdere”.

– Offentlige institutioner og private virksomheder bliver i stadig større omfang udsat for flere og nye trusler, men truslen fra en insider er sværere at opdage og kan forårsage mest skade. Den person, vi selv lukker ind og giver adgang til alt, er også den person, som kan påføre virksomheden den største skade, siger Martin Dinesen, centerchef i PET.

Forståelsen skal forbedres

Insidertruslen har fået PET til at oprette et kursus målrettet virksomheder og organisationer kaldet Projekt Insider. PET håber på at få det private erhvervsliv og det offentlige til at have fokus på og sætte klare regler op for, hvad medarbejderne for eksempel må eller ikke må tage med sig hjem på et USB-stik.

Formålet med kurset er at øge opmærksomheden på trusler fra insidere, så Danmark fortsat kan være et digitalt foregangsland.

Men selvom en række sager fra ind- og udland viser, at det foregår, så er bevidstheden om den menneskelige faktor i informationssikkerhed og beskyttelse af viden begrænset, mener Martin Dinesen.

– Generelt har virksomhederne kendskab til truslerne og er opmærksomme på problematikken. Men forståelsen, herunder implementering af de rette tiltag, kan forbedres, siger han.

En af de oversete trusler

PET og Dansk Industri (DI) håber, at der – blandt andet med den nye undersøgelse af virksomheder og det offentliges krisestyring – kan komme ekstra fokus på insidertruslen.

– Vi kender i dag ikke det præcise omfang, men vi ved ud fra eksempler fra ind- og udland, at det sker. Men det fylder ikke meget i virksomhederne, selvom det kan have store konsekvenser. Det er på en måde en af de oversete trusler, siger Christine Jøker Lohmann, chefkonsulent i DI.

En række af DI’s medlemsvirksomheder har været med på PET’s kursus. Og det er en rigtig god idé, forklarer Christine Jøker Lohmann. 

– Det kan virke banalt at skulle sikre sig mod, at en betroet medarbejder gør skade på virksomheden. Men man kan heller ikke tillade sig, at ens sikkerhed blot baserer sig på, at man stoler på sine medarbejdere, siger hun.

For selvom det vil være rarest på den måde, så er der eksempler på medarbejdere, der bevidst lækker oplysninger, forklarer hun videre.

– Det vigtigste er, at virksomhederne tænker over, hvordan man gør det klart overfor medarbejderne, at man har en politik og forbereder sig på sådan en situation, siger Christine Jøker Lohmann. 

FAKTA

Insidertruslen – tre eksempler

I sommer kom det frem, at en medarbejder i den danske vinduesgigant Velux mistænkes for at have solgt forretningshemmeligheder til en konkurrent. Medarbejderen nægter sig skyldig, og sagen efterforskes fortsat.

Ifølge Forsvarets Efterretningstjeneste spionerede en fremmed stat fra 2008 til 2012 mod flere af den danske forsvarsindustris virksomheder.

FLSmidth var i 2005 involveret i en sag om industrispionage, som endte med et forlig mellem FLSmidth og den tyske virksomhed IKN. IKN undskyldte i sagen – dog uden at indrømme, at der var tale om spionage.

Morten Pors Simonsen, Head of IT Security, Danfoss, 23.400 medarbejdere  

– Det er ikke det, der fylder mest i vores vurdering af risici. Men der arbejdes mere i retning af, at vi beskytter vores fortrolige informationer ved for eksempel at beskytte data, så folk ikke kan kopiere oplysningerne over på et USB-stik eller sende på mail til konkurrenterne.

– Vi er nødt til at have en risikobaseret tilgang, og der er rigtig mange andre ting, vi kan gøre, og som står højere på listen.

– Vores medarbejdere får som en del af ansættelseskontrakten en introduktion til sikkerheden og skriver under på, at man behandler Danfoss’ data korrekt.

– Men igen handler det i sidste ende også om et tillidsforhold. Og kan det er på den måde svært at sikre sig 100 procent.

Lars Rosenlund, Group Security Manager, Grundfos, 18.000 medarbejdere

– Det er vigtigt, at vi konstant forholder os til sikkerhed, for vi ved ikke, hvad morgendagen bringer. Vi ved ikke, hvor og hvornår der opstår uroligheder, eller den næste terrorhandling sker.

– I og med at vi er en global virksomhed og markedsførende, så er øjnene også rettet mod os.

– I Grundfos arbejder vi meget med at skabe en fælles kultur og herunder sikkerhedskultur, og vi har lavet en fælles Code of Conduct på 21 sprog.

– Den skal sikre, at alle kender spillereglerne for at være en del af Grundfos. Det handler for eksempel om at sikre, at vores medarbejdere håndterer fortrolige oplysninger korrekt. Du sidder for eksempel ikke i kantinen og snakker om forretningshemmeligheder.