Vill ni ge oss en kort introduktion och er själva och era respektive bakgrunder?
Pierre: Jag grundade Scandinavian Recruitment Intelligence 2016, eller SRI som vi förkortar det, och jobbar idag som VD i bolaget. Jag är även seniorkonsult och säkerhetsskyddsspecialist med inriktning på personalsäkerhet. Från början är jag polis och har sedan huvudsakligen jobbat inom Försvarsmakten vid Militärpolisen och med strategiskt säkerhetsskyddsarbete på Försvarsmaktens HR-centrum.
Nils: Jag är ekonom och statsvetare och har en bakgrund som officer i flottan i 10 år. Här på 4C Strategies har jag jobbat i 13 år, idag som seniorkonsult och som ansvarig för att utveckla vårt tjänsteerbjudande.
Hur föddes idén till företaget SRI?
Pierre: När jag arbetade inom Militärpolisen med utredningar var jag beställare av bakgrundskontroller och tyckte att jag fick ganska bristfälliga leveranser från de företag som då fanns på marknaden.
”Säkerhetsrapporten ska kunna användas av vem som helst, även den som inte är specialist.”
Pierre Gudmunson
I samband med att jag skulle vara föräldraledig med mitt andra barn fick jag ett uppehåll från rutinerna i mitt dåvarande jobb och passade på att utveckla en metod jag hade skissat på under en längre tid. En av kärnpunkterna i metoden är att den som tar emot säkerhetsrapporten inte ska behöva vara säkerhetsspecialist och kunnig inom säkerhetsskydd och riskhantering. För att de ska kunna bli det så måste man jobba mer innan man levererar slutprodukten.
Vad innebär det här nya samarbetet för respektive kunder?
Nils: Det innebär konkret att de båda organisationerna tillgängliggör kunskap och konsulter med fokus på utbildning och konsultstöd inom säkerhetsskydd med utgångspunkt i den nya säkerhetsskyddslagen.
Hur fick 4C Strategies och SRI kontakt?
Nils: Vi fick en förfrågan från en kund om att hjälpa dem utveckla utbildningar för de personer som ska genomföra säkerhetsprövningsintervjuer. Vi funderade på om vi kunde göra det själva och kom fram till att vi inte kunde det, inte med den kvalitet vi ville leverera. På så vis inleddes samarbetet med SRI.
”Jag uppfattade SRI som oerhört kompetenta. När jag sett underlag från andra företag har jag inte varit imponerad.”
Nils Kjellgren
När vi träffades kände jag att det här kan bli hur bra som helst. SRI var väldigt likt 4C Strategies som vi såg ut när jag började i bolaget för 13 år sedan. Vi var 27 stycken då och hade samma typ av entreprenöriella anda som jag uppfattade att SRI hade när jag träffade Pierre första gången och han berättade om bolaget han grundat.
Och så uppfattade jag dem som oerhört kompetenta, vi har ju sett underlag från andra företag som gör bakgrundskontroller och jag har inte varit imponerad över branschen, det har sällan funnits något stort värde i leveransen. Det är klart att man plockar det värsta, att det står olika på cv:t och Linkedin, på den nivån, men det kanske inte är där som det största problemet finns.
Pierre: När man från början har introducerat bakgrundskontrollkonceptet på den svenska marknaden så har man tagit det från USA, Background checks och Screens och lyft in det utan att tänka syfte och mål.
”Bakgrundskontrollen är en underrättelseprodukt som man ska kunna ta ett exekutivt beslut på när man får pappret i sin hand”
Egentligen har man tidigare bara radat upp punkter man ska leverera på, men inte stoppat in dem i ett sammanhang. Vi har byggt vår metod på ett annat sätt, där vi tittar på personens bakgrund och tar hänsyn till den befattning man ska ha.
Som vi ser det är bakgrundskontrollen en underrättelseprodukt som ska man ska kunna ta ett exekutivt beslut på när man får pappret i sin hand. Det måste finnas mervärden. Om målet är att reducera risk måste det vara tydligt om jag ska välja kandidat A eller kandidat B. Jag tycker inte det finns ett sådant svar i andras leveranser.
”Tar hänsyn till befattningen”, det låter som ett nyckelbegrepp
Pierre: Ja det är därför det blir en sådan naturlig komponent i säkerhetsskydd, när man pratar om det som kallas för befattningsanalys, där du ska bryta ner befattningarna för att kunna vidta rätt proaktiva åtgärder innan du tar in en människa i en befattning.
”Du kan inte godtyckligt göra bakgrundskontroller på vem du vill. De måste alltid kunna motiveras.”
Vi har applicerat det på ett sätt som gör att hela den privata sektorn kan få tillgång till metoden, alltså även de som inte är en myndighet. Men för aktörer som inte har ett lagkrav eller annat tydligt direktiv behöver man arbeta väldigt tydligt. GDPR kräver att du har någon sorts policy, du kan inte godtyckligt välja att göra bakgrundskontroller på vem du vill i en organisation. Du måste kunna motivera det utifrån de konsekvenser det kan få om man inte gör det.
Är det så man motiverar det enligt GDPR?
Pierre: Nej men det är så man kan säga att systematiken i GDPR kräver att man jobbar – med laglig grund, intresseavvägning och samtycke i privat sektor, när du inte kan luta dig mot säkerhetsskyddslagen. Du måste på något sätt motivera varför man ska göra den här integritetskränkningen, varför man anser att man har den rätten.
Nils, du pratade tidigare om att ”för en organisation med mycket fysiskt och logiskt skydd är den enklaste vägen in via en person”, vad menade du med det?
Nils: Lås, larm och nycklar har alla hållit på med i alla år, och IT-skyddet har också byggts upp genom åren med allt från kryptering och brandväggar i takt med att omvärlden blivit mer IT-beroende. Givet detta är individen en av de få kvarvarande svaga länkarna och det är för förövaren helt enkelt enklare att gå via personer.
”Personalens sårbarheter utnyttjas ofta. Människan är en risk som prioriteras alldeles för lågt.”
Istället för att lägga ett år på att ta sig igenom ett logiskt eller fysiskt skydd så går man på en person och börjar bearbeta den istället. I praktiken jobbar man på alla fronter samtidigt med att bryta sig igenom ett skydd. Men om vi bygger starka skydd på vissa ställen så öppnar vi upp svagheter på ett annat ställe, så skyddet måste vara i balans.
Pierre: Jag håller med, människan är en risk som ofta prioriteras alldeles för lågt. Personalens sårbarheter är ofta sårbarheter som utnyttjas. Sen är det som Nils säger att den som vill skada eller ta något oftast jobbar i flera kanaler samtidigt. Personalen kan då bli en katalysator som kan påskynda angreppet eller stölden.
”Förr ägde staten den kritiska infrastrukturen. Nu ägs den ofta av privata företag.”
Hur har den nya säkerhetsskyddslagen påverkat branschen?
Nils: Det kom ju en ny säkerhetsskyddslag i april förra året och sen släppte Säkerhetspolisen sin vägledning under sommaren. Säkerhetsskyddslagen har ju funnits sedan 1996, men den stora skillnaden är att nu inkluderas alla, förut var det myndigheter.
Men världen har förändrats kraftigt, för 30 år sedan ägde staten nästan all samhällsviktig verksamhet. Så är det ju inte längre, utan nu är det privata företag som äger den kritiska infrastrukturen, inte informationen i sig, men infrastrukturen. Så lagen behövde uppdateras.
När vi sedan gör en säkerhetsskyddsanalys visar den var det finns svagheter och behov av förbättringar. En del inom ramen för säkerhetsskydd är personalsäkerheten och här är SRI verkliga experter. På en grundläggande nivå kan vi väl prata personalsäkerhet, men om man ska gå in djupare lämnar vi över det till SRI inom våra uppdrag.
Pierre: Om man ska ta ett omtag på det Nils sade så är säkerhetsskyddslagen en metod som står på ett antal ben. Man har informationssäkerhet och IT-säkerhet, signalskydd, personalsäkerhet och underrättelse för att kartlägga hoten.
I arbetet med säkerhetsskyddet är syftet att skydda det som man förr i tiden kallade för rikets säkerhet, alltså det som är hemligt, det som är viktigt för Sverige i kris och krig. Säkerhetsskyddet ska skapa ett robustare samhälle som är mer motståndskraftigt. En del av det handlar om människorna, som vi jobbar med, och väldigt mycket annat handlar om det som 4C Strategies gör.
Nils: Den nya säkerhetsskyddslagen har aktualiserat behovet av att värdera informationen och tillgångarna som organisationerna arbetar med. För några år sedan låg mycket information öppen på nätet, på hemsidor, intranät etc. och man kunde hitta mycket som inte borde legat helt öppet. Nu har pendeln svängt, kanske till och med för mycket, vilket gör att säkerhetsanalysen blir väldigt viktig då den hjälper att prioritera vad som verkligen behöver skyddas.
”Säkerhetsskyddsanalysen är viktig, den dokumenterar vad som inte är skyddsvärt och hjälper dig att prioritera och prioritera bort.”
Vad kunde det vara för information menar du?
Nils: Det kunde vara linjekartor, risk- och sårbarhetsanalyser, förteckningar över vad som helst, allt låg öppet, eller på ett intranät utan skydd, så alla anställda kunde se precis allt. Nu har pendeln svängt åt andra hållet så det måste finnas balans. Säger du att något är skyddsvärt så måste det också skyddas, men det innebär också att det blir jobbigare att jobba med informationen, jobbigare att hantera den.
Därför är säkerhetsskyddsanalysen viktig, för då får vi dokumenterat vad som inte är skyddsvärt, den hjälper dig att prioritera och prioritera bort.
”Det är viktigt att anställda förstår att personalsäkerhet också handlar om att skydda människor.”
Orsakar inte era kontroller och undersökningar stor oro i ett företag?
Pierre: Personalsäkerhet handlar om att skydda organisationen men också den enskilda människan. Människor blir manipulerade och kan tvingas göra saker mot sin vilja för att man har svagheter och kan bli utpressad. Personalsäkerhet arbetar man med även för att värna om människor i organisationen så att någon slipper bli utsatt.
Det här är viktigt att de anställda förstår för att få med sig personalen, att personalsäkerhet också handlar om att skydda människor. Annars blir det lätt att man ser säkerhetstjänsten som en organisation som sorterar bort människor, det handlar om att hjälpa och i ett tidigare stadie kunna stärka människorna, skapa förutsättning för en positiv förändring, innan en situation gått för långt.
