Hva vet vi om innsiderisiko?
Abstract
Denne rapporten gir et kunnskapsbidrag om innsiderisiko. Den er bygget opp rundt åpent tilgjengelig og relevant forskning. Rapporten legger vekt på egenskaper ved sosiale medier og ulike tilnærminger til påvirkning. Rapporten ser også nærmere på faktorer knyttet til hvordan en kan vurdere sikkerhetsmessig skikkethet. Her er individuelle personlighetstrekk viktig. Et annet viktig tema er sikkerhetskultur og sikkerhetsledelse. Dette omfatter jobbtilfredshet, sikkerhetsbevissthet og rapportering av sikkerhetstruende hendelser.
Rapporten avdekker at det er et stort behov for nasjonal forskning på personellsikkerhet som tar hensyn til norske forhold. For det første bør det forskes på hvordan påvirkningsoperasjoner i det digitale rom kan føre til økt innsidevirksomhet. For det andre bør forskningen se på faktorer knyttet til vurderinger av sikkerhetsmessig skikkethet. For det tredje bør forskningen ta for seg innsiderisiko og sikkerhetskultur ut fra norske kulturelle forhold, ettersom nasjonale kulturer og organisasjonskulturer ofte er unike. For det fjerde bør det forskes mer på hvordan eksisterende kunnskap og kompetanse innenfor ledelse, organisasjonsutvikling og pedagogikk kan anvendes i en sikkerhetssammenheng.
Rapporten konkluderer med at forskning på personellsikkerhet bør etableres som et bærekraftig fagområde i Norge, der forskningen kontinuerlig utvikles og oppdateres. Med den rette tilnærmingen kan Norge bli et foregangsland innenfor forskning på personellsikkerhet. This report is a contribution to the literature on insider threats. The report treats openly available and relevant research. It emphasizes characteristics of social media and malicious actors’ different approaches of influencing their targets. The report also examines factors that can contribute in assessing persons’ suitability related to security. Here, individual personality traits are important. Another important area is security culture and security management, which include job satisfaction, security awareness and reporting of security-threatening behaviors or incidents.
Moreover, the report reveals that there is a great need for national research on personnel security that considers Norwegian conditions. First, the research should investigate how influence operations in the digital space can increase insider activities. Second, the research should examine relevant factors in assessments of persons’ suitability related to security. Third, research on insider threats and security culture should include Norwegian cultural parameters, as national cultures and organizational cultures are often unique. Fourth, the research should further explore the possibility of applying existing knowledge and competence within management, organizational development and pedagogy in the context of security.
The report recommends establishing personnel security as a sustainable research area in Norway, and continuously developing and updating this research. With the right approach, Norway can become a leading country in the field of personnel security research.