Slik avslører du den interne fienden

I en ny rapport utarbeidet for Justis- og beredskapsdepartementet, har KPMG og Samfunnsøkonomisk Analyse kartlagt omfanget av økonomisk kriminalitet i næringslivet. Som en del av dette oppdraget har KPMG gjennomført en dybdeanalyse av innsiderisiko.

Konklusjonen er urovekkende for norske styrerom: Mørketallene antas å være store, og mange virksomheter mangler systematisk tilnærming til sikkerhetsarbeidet. Det er Trygve Aandstad og Sigve Røger i avdelingen Gransking, sikkerhet, compliance og økonomisk kriminalitet som har vært ansvarlige for KPMGs del av rapporten. 

– Innsiderisiko innebærer at ansatte eller andre med tilgang til virksomhetens informasjon, systemer eller verdier misbruker sin posisjon på en måte som påfører virksomheten skade, sier Aandstad.

Rapporten bygger på en kombinasjon av kvantitative data og kvalitative dybdeintervjuer med toppledere i blant annet Økokrim, Equinor, BN Bank og Finans Norge. Dette gir et unikt innblikk i hvordan innsidetrusler faktisk oppstår og håndteres i norsk næringsliv.

Hvem er egentlig innsideren?

For en bedriftsleder er det avgjørende å forstå at en «innsider» ikke nødvendigvis er en ondsinnet spion fra dag én.

KPMG deler trusselbildet inn i fire kategorier som enhver økonomisjef bør ha på radaren:

1. Alene-aktøren: Handler for egen vinning, typisk underslag. Et grelt eksempel fra rapporten er en ansatt i Posten som manipulerte datasystemet og overførte ca. 340.000 kroner til seg selv.

2. En-til-en: En ansatt som hjelper en ekstern part. En DNB-ansatt ble nylig dømt for å ha underslått 12 millioner kroner; ironisk nok var vedkommendes jobb å kontrollere at andre ikke begikk bedrageri.

3. Organisert: Flere ansatte samarbeider med kriminelle. Eksempelvis låneagenter som bruker innsidere i bank for å sikre finansiering på falskt grunnlag.

4. Nettverk: Infiltrasjon der kriminelle plasserer sine egne folk i stillinger – en metode svensk politi har sett i egne rekker.

Den farlige «glippen»: Ubevisste innsidere

Rapporten trekker frem et skille som er kritisk for risikostyring: Forskjellen på den bevisste og den ubevisste innsideren.

– En årsak til at noen blir ubevisste innsidere kan være lav sikkerhetsmessig bevissthet hos den aktuelle personen, sier Røger.

Dette er ofte velmenende ansatte som blir sikkerhetshull. KPMG trekker frem ansatte i finansinstitusjoner som jobber med oppkjøp og fusjoner. De forstår ikke alltid at informasjonen de sitter på er gull verdt for utenforstående.

Rapporten trekker frem et eksempel fra virkeligheten: En ansatt fikk 250.000 kroner i bot for lekkasje av innsideinformasjon om en emisjon. Vedkommende beskrev det selv som «en helt ubetenksom glipp av meg en sen kveldstime».

For ledelsen betyr dette at opplæring er like viktig som overvåking. Du kan ikke sparke noen for å være ondsinnet hvis problemet egentlig var manglende opplæring.

Slik blir en innsider skapt

Hvordan går en lojal ansatt til å bli en utro tjener? Rapporten peker på tre faktorer som må være til stede: Intensjon, kapasitet og mulighet.

Mens kapasitet og mulighet handler om tilganger, er intensjonen ofte driveren som ledere overser. Det handler sjelden om ondskap, men om sårbarhet:

• Økonomiske problemer eller gjeld.

• Skilsmisse, sykdom eller personlige kriser.

• Misnøye med ledelsen eller følelse av å bli dårlig behandlet.

De to advarer spesielt om hvordan kriminelle aktivt rekrutterer innsidere. Det starter uskyldig. 

– Den første kontakten kan for eksempel være i en arbeidssituasjon, tilsynelatende tilfeldige møter, via sosiale medier eller ved en introduksjon fra en felles bekjent, sier Røger.

Kriminelle bygger en relasjon før de strammer grepet, sier han: 

– Dersom vedkommende lar seg overtale og rekrutteres så vil forholdet kunne endres over tid til å innebære både trusler og press.

Lederens verktøykasse: Bow-tie-modellen

KPMG strukturerer tiltakene etter det de kaller bow-tie-modellen. 

1. Identifisere (før ansettelse)

Du må vite hva du beskytter. Bruk Risikotrekanten: Forstå forholdet mellom verdi, trussel og sårbarhet. Rapporten introduserer begrepet HRP (High Risk Positions). Dette er stillinger med utvidede tilganger som krever ekstra tiltak.

Rapporten anbefaler å gjennomføre grundig stillingsanalyse. I HRP-stillinger bør bakgrunnssjekken gå dypere enn bare å ringe referanser. Vurder sikkerhetssamtaler for å avdekke økonomiske bindinger eller sårbarheter.

2. Beskytte (i hverdagen)

– Fordi medarbeidere har tilgang til virksomhetens verdier og informasjon, representerer de alltid en potensiell risiko. Det viktigste grepet er tilgangsstyring etter need-to-know-prinsippet, sier Aandstad.

Kommunikasjon om innsiderisiko er krevende. Hvis det gjøres feil, kan ansatte føle seg mistenkeliggjort. Fokusér på beskyttelse av virksomheten, ikke overvåking av individet. Vær varsom, anbefaler han. 

3. Detektere (når alarmen burde gå)

Hvordan oppdager du at en ansatt underslår penger eller selger passord? Virksomheten bør vurdere implementering av teknologiske løsninger for deteksjon. Dette kan være systemer som varsler ved uvanlig store nedlastinger, pålogginger til rare tider, eller endring av kontonummer. Husk: Alle virksomheter med mer enn 5 ansatte skal ha varslingsrutiner.

4. Håndtere (når krisen er et faktum)

Når en hendelse skjer, må du handle raskt, men riktig. – En uproporsjonal reaksjon, for eksempel å sanksjonere ansatte hardt for mindre feil eller uaktsomhet, kan bidra til å svekke tilliten til arbeidsgiver. Dette kan føre til en «nedkjølende effekt» hvor ingen tør å melde fra om feil i fremtiden.

KPMG anbefaler å ha en plan før krisen treffer. Hvem ringer politiet? Hvem snakker med media? Hvem ivaretar den ansatte?