Hur ifrågasättandet av hotbildsbedömningar kan ge oanade konkurrensfördelar. En artikel av Nordic LEVEL Advisory.

Vi lever i en farlig tid, hotbilden är eskalerande, säkerhetsläget har försämrats och situationen är allvarlig. Horisonten har onekligen mörknat – åtminstone om man får tro de lägesbilder och hotbildsbeskrivningar vi får till oss från myndigheter och andra aktörer. Och som om inte det vore nog förstärks hela tiden bilden av att vi är utsatta för olika faror och risker av det dagliga nyhetsflödet där säkerhetshotande incidenter avlöser varandra. Men vilka hot är egentligen relevanta utifrån en risk- och sårbarhetsanalys? Och hur går det egentligen till när alla lägesbilder och hotbildsbedömningar tas fram?

Snarare än att rada upp alla tänkbara hot verksamheten står inför kan det finnas anledning att börja sin risk- och sårbarhetsanalys med att ifrågasätta befintliga hotbilder och ställa sig frågan vad i allt detta som egentligen är faktabaserat och vad som är relevant för den egna verksamheten. Vidare finns anledning att mentalt ställa om från reaktiva åtgärder till ett mer värdeskapande säkerhetsarbete där koll på läget kan omsättas till en konkurrensfördel. En fråga vi bör ställa oss när vi blickar ut över det till synes oändliga hotbildslandskapet blir då om vi ser några möjligheter bortom alla hot.

För vi är ju milt uttryckt omgivna av en bred palett av hot – ensamma tokstollar som går runt och funderar på skolattacker, vårdinrättningar som drivs av kriminella, extremister som planerar terrorattentat, infiltratörer på myndigheter, byggföretag som anlitar svart arbetskraft, företagsledare som utsätts för utpressning, lärosäten som blir utsatta för spionage, främmande makt som bedriver påverkansoperationer, kärnvapenkrig som kryper allt närmare i den eskalerande globala kraftmätningen, allt medan cyberangreppen står som spön i backen och bedragare lurar bakom varje okänt telefonnummer. Och inte nog med det, kollegan som sitter bredvid dig i det öppna kontorslandskapet kan i själva verket vara en så kallad insider som dagligen duperar folk i sin närhet på uppdrag av individer i den så kallade organiserade brottsligheten. Det är helt enkelt mycket på en gång.

Hotlandskapet är vidare befolkat av ett antal sinsemellan mycket olika hotaktörer eller så kallade ”antagonistiska aktörer” – från de mer diffusa som organiserad brottslighet, kriminella nätverk och främmande makt till mer konkreta som ensamagerande gärningspersoner och infiltratörer – en spännvidd som alltså täcker in allt ifrån statliga till individuella aktörer och allt där emellan. Dessutom får vi till oss att det finns aktörer med sinsemellan olika agendor, samtidigt som aktörerna i vissa fall samverkar och samarbetar. De är multikriminella, arbetar i projektform, infiltrerar myndigheter och agerar globalt och i en gråzon. Till yttermera visso beskrivs de även inte sällan i termer av de befinner sig i en gradvis uppåtgående förmågehöjning, eller, som det står i en av alla lägesbilder ”nätverk med en allt högre kriminell kapacitet”. Och sist men inte minst använder de sig av mer eller mindre avancerad teknologi för att genomföra sina brottsplaner och undandra sig straffrättsligt ansvar. Här kan vi notera att utvecklingen med en tilltagande digitalisering liksom ökande användning av artificiell intelligens beskrivs som växande sårbarheter.

”Den kriminella ekonomin genererar 100–150 miljarder kronor i brottsvinster varje år.”

Avseende de så kallade cyberkriminellas brottsliga gärningar är det ju allmänt känt att de utförs på distans. Och vi vet att tongivande figurer inom de kriminella gängen gömmer sig utomlands, varför svensk polis numera behöver arbeta mer globalt. Hotbilden förflyttar sig således mellan fysiska och digitala dimensioner samtidigt som identiteter och identitetshandlingar bedöms ha blivit handelsvara och svenska kommuner och myndigheter uppges ha infiltrerats av kriminella. Å ena sidan kan en telemast i vår omedelbara närhet utsättas för sabotage av personer som där och då befinner sig på den aktuella platsen på uppdrag av främmande makt, samtidigt som vår arbetsplats kan utsättas för ett omfattande cyberangrepp av gärningsmän som håller till på andra sidan jordklotet. Hoten finns således överallt och kan drabba vem som helst när som helst.

Slutligen kan det även noteras att den övergripande bedömningen av potentiella hot som Sverige står inför ofta beskrivs som eskalerande eller att vi befinner oss i ett ”pressat omvärldsläge”, samtidigt som hotbilden beskrivs som både bred och komplex, bestående av både inre och yttre hot. Sammantaget kan läsaren alltså ges intrycket av att det är fråga om överhängande hot som anhopas från olika håll och kanter, likt en storm i antågande. Det är lätt att känna sig otillräcklig och det blir också svårt att veta i vilken ände man ska börja för att skydda sig mot alla hot och hotaktörer.

Om vi lyfter blicken från själva innehållet i de enskilda hotbildsbedömningarna och lägesbilderna och i stället betraktar den sammantagna publikationsinsatsen får vi intrycket av att svenska myndigheter inte förefaller synkronisera sina respektive alster med varandra, samtidigt som en hel del formuleringar går igen och verkar återanvändas närmast slentrianmässigt. Ett tydligt exempel på det sistnämnda är storleken på den så kallade kriminella ekonomin som i samtliga publikationer uppges omfatta 100–150 miljarder per år. Vid en närmare betraktelse går det dock att skönja vissa nyansskillnader även i denna till synes självklara beräkning. En myndighet beskriver till exempel det som att den kriminella ekonomin genererar 100–150 miljarder kronor i brottsvinster varje år, medan den enligt en annan myndighet omsätteromkring 150 miljarder kronor. I det förstnämnda exemplet är således summan ett överskott som erhållits efter att utgifter och intäkter under ett kalenderår vägts mot varandra, medan samma summa i den andra formuleringen är en sammanräkning av alla försäljningsintäkter under perioden. Hos den nyfikne och analytiskt lagde läsaren uppstår här frågor som exempelvis hur summan har räknats ut, när kalkylerna gjordes och av vem, särskilt med tanke på att summan betraktas som resultatet av en faktabaserad granskning och även ligger till grund för politiska inriktningar som till exempel regeringens nationella strategi mot organiserad brottslighet. Det bör ju i kontexten förvisso påpekas att det är notoriskt svårt att beräkna den så kallade svarta eller kriminella ekonomin. Enligt SCB:s estimat uppgick vad statistikmyndigheten benämner ”svart förbrukning och produktion” för det tredje kvartalet 2024 till 36 miljarder kronor, en uppgång med ca 3% från samma period föregående år. Ett annat exempel är Polismyndighetens specialenhet Nationellt bedrägericentrum som räknat ut att brottsvinsterna från bedrägerier år 2024, baserat på anmälda bedrägeribrott, landande på totalt ca 6,3 miljarder kronor. Det kan alltså på goda grunder hävdas att det är omöjligt att få fram en samlad summa som återspeglar verkliga omständigheter. Därför är det också viktigt att uppgifter av ovan nämnda typ av uppgifter som härrör från svenska myndigheter inte per automatik behäftas med en legitimitet eller en stämpel av fakta, då det som sagt rör sig om uppskattningar och bedömningar.

Det kan dock konstateras att det inte bara finns empiriska brister i myndigheternas publikationer utan att det även råder viss begreppsförvirring, en omständighet som också förvärras av vad som verkar vara en förkärlek för att använda svårtillgängliga uttryck med en vetenskaplig fernissa. Sålunda talas det i den myndighetsgemensamma lägesbilden 2025 om ”kriminell infrastruktur”, ”kriminell strategi” och ”kriminell ekonomi”. I början av rapporten förklaras det förstnämnda begreppet som ”kriminella aktörers förmåga att hota skyddsvärda samhällsfunktioner”, medan samma uttryck på ett annat ställe i rapporten beskrivs som ”de metoder som den organiserade brottsligheten behöver för att bedriva sin vinstgivande brottsliga verksamhet”. Precis som i fallet med omsättning kontra brottsvinster kan man som läsare drabbas av viss förvirring när ett och samma begrepp betyder både förmåga och metoder. Listan på begrepp kan göras lång och innefattar till exempel välfärdsbrott, arbetslivskriminalitet, underrättelsehot, gråzonsproblematik, skuggsamhälle, otillåten påverkan, med mera.

Därtill uppstår, som tidigare lyfts, i den nyss nämnda avsaknaden av transparens, en undran över hur alla hotbildsbedömningar och lägesbilder har tagits fram, av vem och med hjälp av vilken metodik. Hur mäter man till exempel förändringar i säkerhetsläget och vad är egentligen ett säkerhetsläge? Vilka källor har använts för att inhämta informationen och hur har den bedömts? Vidare saknas generellt sett konkretisering och nedbrytning till olika nivåer vilket torde vara en förutsättning för att mottagare ska kunna prioritera – vad är ett hot för oss i vår specifika verksamhet och bransch, vilka är våra största sårbarheter, vad är risken att något händer oss och vad blir konsekvenserna om det händer.

Samtidigt är normativt färgade hotbildsbeskrivningarmed tonvikt på det allvarliga läget svåra att bryta ner när hoten ömsom beskrivs som komplexa och diffusa, ömsom som en del av en uttänkt antagonistisk strategi. Hoten kan uppfattas som att de är konturlösa och otillgängliga och närmast kan liknas vid ett mystiskt och avlägset väsen, samtidigt som det är fråga om allomfattande och överhängande hot med global räckvidd. Samtidigt ska det sägas att det förvisso existerar hot som på något sätt motsvarar ovan luddiga beskrivning, inte minst gäller det cyberangreppen där både anstiftare och gärningsmän agerar på en global arena och sällan identifieras till fullo. Det är alltså per definition inte fel att ta fram övergripande hotbildsbedömningar, men det är långt ifrån tillräckligt.

”Hoten kan uppfattas som att de är konturlösa och otillgängliga och närmast kan liknas vid ett mystiskt och avlägset väsen.”

Risken är att läsare som får till sig ovan nämnda typ av luddiga hotbilder känner sig klämda mellan alla hot som kryper allt närmare, alternativt kan de uppleva det som att de befinner på en ö i en ocean där havsnivån sakta men säkert höjs. Vi känner att vi snabbt måste stärka vårt yttre försvar för att kunna hävda vår nationella suveränitet, samtidigt som vi behöver motverka en negativ samhällsutveckling internt och dessutom skydda oss mot både cyberangrepp och sabotagehandlingar, med mera.

Således kan det uppstå känslor av att vi måste vidta åtgärder här och nu (panik), medan det i andra fall kan leda till dystopiska sinnesstämningar (uppgivenhet). Vi kan alltså uppleva att det är så mycket och så omfattande att vi behöver agera omgående, samtidigt som vi kan känna att det inte spelar någon roll vad vi gör just på grund av det är så mycket. En tredje reaktion kan vara att vi drar i gång aktiviteter där vi söker ta fram riskbilder och riskmatriser för att identifiera sårbarheter och prioriteringar, vilket i och för sig kan anses vara motiverat, men inte sällan resulterar i segdragna processer med oändliga workshops och fullspäckade PowerPoints som inte tillför något större mervärde (paralyserande planering). Ytterligare en reaktion som kan framkallas är att vi låtsas som att hoten inte finns och drabbas av dåligt samvete för allt vi egentligen borde ta tag i men inte gör på grund av brist på tid, resurser, kunskap, erfarenhet eller olika kombinationer därav (förnekelse).

Sammantaget kan detta leda till att den upplevda otryggheten ökar och att vi dessutom inte vet inte var vi ska vända oss för att få hjälp, bland annat på grund av tidigare nämnda beskrivningar av en ”alltmer avancerad organiserad brottslighet” som infiltrerar inte bara kommunal och statlig verksamhet utan även näringslivet. I en sådan världsomspännande och mångfacetterad hotbildsmiljö är det förståeligt att fler och fler lockas av tanken att plocka ut sina pengar i kontanter och bygga sig en stuga i en avlägsen vildmark, att rent fysiskt avlägsna sig från alla hot och därmed öka den upplevda tryggheten. Det blir helt enkelt för mycket att ta in på en gång, vilket som bekant triggar i gång vårt flyktbeteende. Ett mindre drastiskt sätt att stilla sin oro på är att införskaffa en så kallad krislåda, bunkra upp med vatten i sitt förråd eller att köpa en massa toalettpapper, ett beteende vi minns från Coronapandemin. Om krisen eller kriget kommer, som det numera heter.

”Oaktat hur det nu blir med framtida hotbildsbedömningar kvarstår de praktiska utmaningarna för alla som bedriver någon form av verksamhet.”

Mot bakgrund av det ovanstående kan det hävdas att övergripande och allmänt hållna hotbildsbedömningar kan behöva mötas med ett större mått av kritisk granskning än vad som är fallet idag. Utmaningen är ju när allt kommer omkring inte att identifiera vad som kan anses vara samhällsfarligt och som skulle kunna inträffa, utan snarare att prioritera rätt i förhållande till vilka angrepp som är realistiska att drabba oss och vad konsekvenserna skulle bli om det som inte får hända faktiskt inträffar. Exempelvis bedömningen att det är låg sannolikhet att det inträffar men att det blir allvarliga konsekvenser om det mot förmodan skulle inträffa.

Och för att kunna prioritera rätt är det nödvändigt att anlägga ett mer faktabaserat och empiriskt förhållningssätt som alltså når bortom att rada upp alla teoretiskt möjliga hot och som dessutom särskiljer på överhängande och latenta hot, direkta och överförda risker samt lärdomar om vad som gjorts och inte har gjorts i form av motåtgärder. Vidare efterlyses mer klassisk vetenskaplig transparens gällande metodik och processer i hotbildsarbetet, samtidigt som det skulle vara önskvärt med en upprensning i djungeln av alla mer eller mindre luddiga begrepp.

Oaktat hur det nu blir med framtida hotbildsbedömningar kvarstår de praktiska utmaningarna för alla som bedriver någon form av verksamhet med risk att drabbas av de hot och faror som bevisligen finns. Den klassiska trestegsraketen identifiera hot (1), bedöm riskerna (2), åtgärda identifierade risker (3), kan därmed behöva kompletteras med ett fjärde steg nämligen ifrågasätt och diskutera relevansen i befintliga hotbildsbedömningar innan innehållet tas för givet. När allt kommer omkring är vi oss själva närmast och det kan därför vara en god idé att inte bara använda sifg av en klassisk SWOT-analys utan även komplettera med en So What-analys. Ryska drönare har synts i Danmark – So what? Vad betyder det för oss i vår verksamhet? Är det ett hot mot oss här och nu, eller kan det kanske bli ett hot längre fram? Och i detta ligger förstås utmaningen att navigera sig fram i hotlandskapet utan att drabbas av förvirrande försvarsmekanismer, paralyserande planering eller fördröjande förnekelse.

”Att ha koll på läget är alltså inte bara en säkerhetsmässig utan även en affärsmässig nödvändighet.”

Avslutningsvis kan tre allmänt hållna rekommendationer föras fram. För det första bör man ta ägarskap och sätta sig själv i förarsätet för sin egen hotbildsbedömning och efterföljande risk- och sårbarhetsanalyser, snarare än att slaviskt acceptera och följa andras bedömningar och rekommendationer. Övergripande och luddigt formulerade hot behöver brytas ner och konkretiseras med fokus på relevansen för den egna verksamheten. Tillvägagångssättet är ett konstruktivt ifrågasättande av befintliga hot och hotbilder.

För det andra bör man hålla i minnetatt beslutsunderlag som inte är baserade på fakta och kunskap riskerar att leda en organisation i fel riktning, vilket därmed också riskerar att bli ett hot mot verksamheten. Här behöver man särskilja fakta från hypoteser, bedömningar och uppskattningar, samtidigt som någon behöver avgöra inte bara relevansen utan även prioritera mellan olika identifierade risker. Det gäller att vaska fram vad vi faktiskt vet snarare än vad vi tror oss veta och att baserat på det komma med handfasta rekommendationer anpassade för den egna organisationen. Vad vi vill ha är faktabaserade beslutsunderlag som vi kan agera på, inte bara bocka av att vi har gjort.

För det tredje bör man, i samband med att ovan nämnda steg vidtas och utifrån ett långsiktigt perspektiv, fundera kring vilka oanade möjligheter som kan finnas genom att applicera ett mer proaktivt och dynamiskt säkerhetsarbete, i motsats till att bara agera här och nu eller att följa andra. För den som sköter sina kort rätt finns här möjligheter att långsiktigt stärka sin marknadsposition genom det egna hotbildsarbetet då det skapar förtroende hos medarbetare, kunder och marknad. Att ha koll på läget är alltså inte bara en säkerhetsmässig utan även en affärsmässig nödvändighet i en hotfull värld där förtroendekapital blir allt viktigare. Men det kräver som sagt att man börjar med att ställa frågan; So What?

---

Text: Johan Tegle, Business Manager, Advisory – Screening & Investigations/Nordic LEVEL Advisory