Så kan även styrelseledamöter höja säkerheten

Kriminaliteten i samhället tilltar snabbt. Hur kan styrelser förhålla sig till det? Kriminalkommissarie Jan Olsson har tankar om det.

Jan Olsson, kriminalkommisarie

Bara de senaste veckorna har man kunnat läsa hur vd tillika storägare i börsnoterade Fastator misstänks ha utsatts för utpressning av ett kriminellt nätverk och hur hans ordförande, veteranen Björn Rosengren, tvingas inleda en intern utredning. En annan styrelseledamot heter Carl Bildt.  

Mycket är oklart om vad som har hänt i Fastator, men en sak är säker: Gängkriminaliteten kryper närmare styrelserna. Det kan handla om inre och yttre hot. Oavsett vilket, är svenska bolagsstyrelser ovana att hantera det.  

Kriminalkommissarie Jan Olsson har de senaste åren ofta synts i medierna när det handlar om att som privatperson eller företag handskas med den nya typen av brottslighet. I slutet av november deltog han i ett panelsamtal arrangerat av Styrelseakademien. Frågan gällde hur styrelsen kan bidra till att vända utvecklingen. 

– Det handlar om att ha en ordentlig policy i företaget, och se till att man följer den. Det kanske låter självklart, men det är inte många av de små och medelstora företagen som har en väl genomarbetad policy som de också efterlever. Detta måste upp på styrelsens bord, säger han.  

En annan viktig sak är att ha en tillåtande och förlåtande kultur i företaget, och här kan styrelsen spela en viktig roll. Med rätt kultur vågar nämligen visselblåsare och andra som har något de undrar över vända sig till cheferna utan att vara rädda för repressalier eller för att verka dumma. Det måste vara riskfritt att medge att man har klickat på en länk man inte borde ha klickat på, till exempel. Det gäller även det allra högsta skiktet, styrelsen. 

– Många storföretag har övningar där de skickar ut felaktiga länkar eller fejkmejl, för att se hur många som klickar på dem. Den typen av övningar borde även mindre företag ägna sig åt. Man göra det lite roligt och dela ut priser till dem som upptäcker dessa så kallade phishingmail, men inte klickar på länkarna i dem, föreslår Jan Olsson.  

Ett annat konkret tips är att ordna vad Jan Olsson kallar för nanoutbildningar, alltså små korta kurser varje eller varannan vecka där man upplyser medarbetarna om hur de bör bete sig. Här kan styrelseledamöter med fördel delta. 

– Jag känner till storföretag som har fått ner antalet klick på felaktiga länkar eller fejkmejl med 90 procent på kort tid. Tänk på att klicket är det första och viktigaste momentet för denna typ av brott i hela världen, säger Jan Olsson. 

Kolla bakgrundsfakta på alla anställda anser han vara en självklarhet, liksom att se till att varje anställd bara ha access till det den behöver för sitt jobb. Det här har många hört (och många slarvar), men det finns också en annan sida som är mer relevant för styrelseledamöter:  

– Du som funderar på att acceptera ett styrelseuppdrag bör göra eller helst beställa en ordentlig koll av företaget. Du bör också fråga dig varför man ber just dig. Kan du verkligen tillföra något unikt, eller finns det en risk att företaget enbart vill ha dig som galjonsfigur? 

Som styrelseledamot har du ett stort ansvar för alla bolag där du är engagerad. Då gäller det att tänka efter hur du arbetar. De flesta ledamöter har ingen arbetsplats på företaget där de kan låta sin dator stå, utan har materialet på sin laptop som de tar med sig hem.  

– Är det säkert att ingen kan komma åt din dator? Och om någon skulle kunna det – kommer den i så fall åt information om alla företag du jobbar för? I den bästa av världar bör man segmentera sina uppdrag och använda olika system för olika företag, säger Jan Olsson.  

I medierna delas ofta artiklar om säkerhet upp på privatpersoner och företag. Men Jan Olsson gör aldrig någon skillnad när han är ute och föreläser. Det är ju privatpersoner som arbetar i företag, och det är alltid människor som begår misstagen. Om exempelvis en privatperson låter sig luras att tömma sitt eget bankkonto och skicka pengarna till ”en snygg amerikansk officer” hon har träffat på facebook, är det stor risk att hon kommer att tro att det verkligen är hennes vd som skickat mejlet där han ber henne överföra pengar till honom när han är på semester.  

Inom kort kommer allt detta att bli värre, förutspår Jan Olsson. AI är på gång med fejkade röster. Snart kan en robotröst som liknar din vd ringa och berätta att hen har hamnat i kris och behöver hjälp. Sedan dröjer det inte länge förrän vd ringer upp dig på Facetime och den robot du i själva verket möter både ser ut och låter som den verkliga vd:n.  

Hur kan man skydda sig? 

– Det är svårt, och måste vara vaksam. Säger personen något den aldrig brukar säga? Finns det något som sticker ut? Tänk på att kriminella alltid vill ha pengar, det är vad samtalet handlar om. Lägg på och ring tillbaka för att kolla – även om det är din dotter som ”ringer”, säger Jan Olsson. 

Man kan också göra det svårare för kriminella, till exempel genom att inte strössla med sina kontaktuppgifter på nätet, tipsar han. Mejladresser med tillhörande lösenord går att köpa.  

– Om du exempelvis har namn.namn@foretaget.se och det tillsammans med ditt lösenord till mejlkontot är till salu, går dina dokument att hitta, och den som gör det kan läsa vad du och styrelsen har pratat om. Byt lösenord med jämna mellanrum och använd olika mejlkonton för privata ärenden och arbete, säger Jan Olsson.  

Fakta:  

Jan Olsson är kriminalkommissarie och verksamhetsutvecklare vid polisens nationella operativa avdelning (NOA) och Nationellt it-brottscentrum (SC3).  

Han är expert på bedrägerier och flitigt anlitad föreläsare och debattör.  

Han har själv styrelseuppdrag i ECCFI (European Cyber Crime and Fraud Investigators, en organisation med syfte höja on line-säkerheten, samt i MRC (Merchant Risk Council), en icke vinstdrivande och icke lönegivande organisation som syftar till höja säkerheten vid e-handel.