Idag lyssnade jag på Carolina Angelis från TrueSec föreläsa om insiderhot och industrispionage. Man kände igen mycket av det hon tog upp, men det är en sak att veta något i teorin och en annan att faktiskt hålla det framme. Det är nog precis det den här typen av föreläsning gör bäst.

Vad föreläsningen handlade om

En central poäng var att när den tekniska säkerheten väl är tillräckligt bra, börjar angripare rikta in sig på människor istället. Det är förhållandevis enklare att manipulera en person än att ta sig igenom ett välsäkrat nätverk – något som säkerhetsforskare länge pekat på och som brukar samlas under begreppet social engineering.

Industrispionage är inte heller enbart en fråga för försvarsföretag och underrättelsetjänster. Teknikbranschen, energisektorn och hälsovetenskaplig forskning pekas återkommande ut i rapporter från bland annat FBI och europeiska säkerhetsorgan. Ett mönster som lyftes fram var hur ett företag kan förlora hela sin affärsmodell när kärnteknologin väl läckt – kunden behöver plötsligt inte köpa tjänsten längre.

Drivkrafterna bakom insiderhot är inte alltid vad man tror. Pengar är ett motiv, men missnöje och upplevd orättvisa pekas ut som den vanligaste utlösaren. En person som känner sig förbigången eller orättvist behandlad är mer sårbar, inte för att personen är dålig utan för att lojalitetsgränsen kan förskjutas av omständigheter. Det är ett ledarskapsargument lika mycket som ett säkerhetsargument, och en organisation där medarbetare känner sig sedda och värderade är, lite oväntat kanske, också en säkrare organisation.

Den sociala motsägelsen

Det som fastnade mest handlar inte bara om spionage i sig, utan om en spänning som är svår att navigera.

Vi uppmanas att synas på LinkedIn. Bygga trovärdighet, visa kompetens, vara företagets ansikte utåt och samtidigt vår egen karriärs varumärkesambassadör. Vi ska synas på Instagram också, helst på ett sätt som visar att vi inte bara är framgångsrika utan också har kul medan vi är det. Det är spelreglerna för hur man bygger ett professionellt rykte idag.

Samtidigt är det precis det digitala fotavtrycket som kan användas mot oss. Vardagliga inlägg om resor, nätverk och karriär skapar tillsammans en ganska detaljerad bild av vem man är och var man befinner sig.

En förfrågan på LinkedIn kan vara starten på en riktig jobbrekrytering. Den kan också vara något helt annat. Jag fick nyligen en förfrågan som kändes lite för polerad, lite för välriktad. Där uppstår dilemmat: är man för försiktig riskerar man att gå miste om något bra. Är man för naiv riskerar man något värre. Frågan är hur man ens vet skillnaden.

Det är inte att man ska sluta synas. Men synligheten har en baksida vi sällan pratar om i samma andetag.

Lagom paranoid

Det svåraste är nog att tänka kritiskt utan att bli paranoid. Det kräver att man faktiskt stannar upp och ställer frågan: är det här rimligt? Hellre fråga en gång för mycket än en gång för lite gäller inte bara förfrågningar utan tillgång till system, information man inte borde ha behov av och kontakter som dyker upp lite väl opportunt.

Min bransch är direkt relevant för det här. Det är inget tankeexperiment. Ändå är det lätt att låta det glida i bakgrunden när vardagen tar vid, för det finns alltid något som känns viktigare just nu.

Det är nog precis därför det var värdefullt att sitta där idag. Inte för att höra något man inte visste, utan för att påminnas om att hålla det framme lite längre än man annars hade gjort.