Den nya nyckelfrågan: vem släpper du egentligen in?

Det finns en gammal sanning inom säkerhet som är värd att damma av: du kan bygga hur höga staket du vill, men det spelar ingen roll om du delar ut nycklarna till fel personer. I takt med att företag investerar allt mer i lås, larm, kameror och cybersäkerhet är det lätt att missa att den största sårbarheten ofta inte är en svaghet i muren – utan en person som redan är på insidan.

Hotet som inte bryter sig in

Vi har en tendens att föreställa oss säkerhetshot som något yttre. Inbrottstjuven, hackaren, den anonyma motståndaren. Men en stor del av de skador företag faktiskt drabbas av kommer inifrån: den anställde som förskingrar, entreprenören som inte är den hen utger sig för att vara, samarbetspartnern vars ekonomi var en lerfot redan när avtalet skrevs.

Det obekväma med interna hot är att de inte behöver forcera någonting. De har redan blivit insläppta – genom en anställning, ett avtal, ett hyreskontrakt. Och de upptäcks ofta sent, eftersom ingen letade efter dem.

Från efterklokhet till förebyggande

Det intressanta är att de som arbetar med att utreda sådana här skador i efterhand nästan alltid landar i samma slutsats: det mesta hade gått att fånga tidigare. När man nystar i ett internt bedrägeri eller en förskingring dyker det ofta upp signaler som fanns där redan från början – om någon bara hade tittat.

Det är den insikten som har drivit fram en hel bransch kring förebyggande personkontroll. Ett av de svenska företagen på området, göteborgsbaserade PrimeSafe, är ett bra exempel på hur de två perspektiven hänger ihop. Bolaget har rötter i säkerhetsbranschen sedan 2004 och arbetar både med utredningar av oegentligheter och med bakgrundskontroller och säkerhetsprövningar. Logiken är att det ena föder det andra: varje internutredning lär dem något om hur skador uppstår, och den kunskapen gör de förebyggande kontrollerna vassare. Man skulle kunna säga att de lärt sig var problemen brukar finnas genom att gång på gång gräva fram dem.

Varför ”kontroll” inte är så enkelt som det låter

Här finns dock en fälla. ”Bakgrundskontroll” låter som något mekaniskt – en knapptryckning, en databasslagning, en grön bock. Men begreppet är varken skyddat eller standardiserat, och kvaliteten varierar enormt.

En verkligt användbar kontroll består av två delar. Den första är verifikation: stämmer det personen säger? Identitet, utbildning, tidigare anställningar. Den andra, och svårare, är riskbedömningen: vad betyder det vi hittat, ställt mot just den här rollen? En uppgift som är harmlös för en tjänst kan vara en varningsflagga för en annan. Det är analyssteget – att någon med rätt kompetens faktiskt tar ställning – som skiljer en meningsfull kontroll från en som bara ser ut att vara gjord. PrimeSafe har byggt mycket av sin profil kring just det: att våga ge kunden en rekommendation, inte bara en rapport.

För de mest känsliga rollerna finns dessutom säkerhetsprövning, ett lagreglerat och betydligt mer ingående förfarande med bland annat en särskild intervju. Och risken stannar inte vid personer – när motparten är ett bolag, en entreprenör eller en hyresgäst kan även företaget behöva granskas innan man binder upp sig.

Integritet är en del av kvaliteten

En invändning hörs ofta, och den är berättigad: innebär inte allt det här ett integritetsintrång? Jo. Att kontrollera en person eller ett bolag griper in i något privat, och det ska tas på allvar.

Men det är just därför hur kontrollen görs är avgörande. Seriösa aktörer arbetar inom ramen för gällande lagstiftning, med transparens mot den som kontrolleras, och med respekt för proportionalitet – man gräver inte djupare än rollen motiverar. Branschföreningen Bakgrundskontrollföretagen, där PrimeSafe är medlem, finns till bland annat för att sätta den ribban. En kontroll som görs slarvigt eller oseriöst är inte bara dålig – den kan i sig bli en risk, både för individen och för organisationen.

En annan sorts säkerhetstänk

Kanske är det här den egentliga poängen. Vi är vana att tänka på säkerhet som något fysiskt eller digitalt – något man bygger, installerar eller köper. Personsäkerhet är en annan sorts tänk. Den handlar inte om murar, utan om omdöme. Om att veta vem som faktiskt står på andra sidan bordet innan man skakar hand.

Det är inte ett särskilt glamoröst område. Det syns sällan, och när det fungerar märks det inte alls – precis som med de bästa staketen. Men nästa gång ett företag drabbas av en skada inifrån, är frågan sällan ”hur tog de sig in?” Frågan är ”vem släppte vi in, och varför kollade vi inte?”

Och det är en fråga det går att göra något åt – innan, inte efter.