Det här är första delen i en artikelserie i tre delar varför posthot ska vara en del av det systematiska säkerhetsarbetet i alla svenska företag, myndigheter och kommuner.
I denna första del beskrivs hur och varför post- och paketflöden används för att hota, skada och påverka en organisation.
Inledning
Varje dag i Sverige undersöks brev och paket med misstänkt farligt innehåll. Från att tidigare varit tomma hot ser vi allt fler skarpa hot i brev och paket. I kontrollerna upptäcks pulver, vätskor, droger och explosiva ämnen. Trots detta är det många organisationer som saknar relevanta handlingsplaner och åtgärder för att minska riskerna i post- och pakethanteringen.
Problemen som posthoten skapar för många företag, myndigheter och kommuner gör att allt fler verksamheter ser posthot som en faktor att ta hänsyn till i sin risk- och sårbarhetsanalys.
Målet med den här artikelserien är att att skapa ett bra underlag för diskussionen kring postala hot i det systematiska säkerhetsarbetet.
Bakgrund
Hur vanligt är det med postala hot?
Media har uppmärksammat ett antal allvarliga incidenter de senaste åren i Europa, bland annat har det skrivits om serier av brevbomber i Tyskland, Italien och Holland. Vi har även sett fall med skarpa brevbomber i svensk media, exempelvis när en (för tidigt utlöst) brevbomb detonerade i PostNords sorteringsterminal i Årsta. I vissa fall har det rört sig om utpressning, likt ransomware, där förövaren hotat skicka fler försändelser om inte en utbetalning i kryptovaluta sker (https://www.svd.se/brevbomb-borjade-brinna-pa-bank, https://www.svt.se/nyheter/lokalt/stockholm/explosion-pa-postterminal-var-bomb).
När ämnet posthot diskuteras tenderar många att dra paralleller till just brevbomber, men i själva verket är det idag betydligt vanligare att posthoten kommer i form av farligt pulver som fentanyl, metaamfetamin eller andra olagliga droger. Pulverbrev skapar stor oro och otrygghet på många arbetsplatser.
I Sverige saknas det officiell statistik kring postala hot, dels för att det saknas relevanta brottskoder, men också för att hoten sällan leder till förundersökning eller fällande domar.
Polisen misstänker att mörkertalet är stort. Skälen till detta är flera, bland annat att företagen inte vill dra negativ publicitet till sig då det kan påverka uppfattningen om företaget och försäljningen negativt. En annan anledning kan vara att då farliga ämnen skickats till organisationer i utpressningssyfte hotar förövaren att skicka (ytterligare) farliga försändelser om polisen kontaktas.
Raysecur, ett amerikanskt företag, har sammanställt officiell statistik från USPIS (US Postal Inspection Service) och ATF (Beurau of Alcohol, Tobacco, Firearms and Explosives) som visar att under förra året analyserades 262 000 brev av myndigheternas laboratorium och att 6 300 incidenter kopplades till misstänkta brev och paket i samband med dessa analyser. Mer än var femte insats från amerikanska motsvarigheten till den svenska bombskyddet var brev- eller paketrelaterat. Även de amerikanska myndigheterna bedömer att mörkertalet för postrelaterade incidenter är högt.
Varför just brev- och paketflöden?
Att just post- och paketflöden utnyttjas i allt högre grad för att störa, hota eller skada mottagaren har många orsaker. Nedan listas några av de generella faktorerna som påverkar den generella postala hotbilden:
Anonymitet, brev saknar helt spårbarhet och paket/bud levereras idag direkt till mottagaren utan krav på legitimation eller spårbarhet.
Tillgänglighet och enkelhet. Den här något speciella meningen talar sitt tydliga språk: ”Vem som helst kan när som helst skicka vad som helst till vem som helst!”. Alla har närhet till en av PostNords gula brevlådor, det är oftast enkelt att få tag på namn och adress till beslutsfattare och tjänstemän i Sverige. Även organisationer som hanterar relativt få inkommande försändelser har normalt ett öppet flöde in. Till och med personer med skyddad identitet får normalt post förmedlad till sig idag på ett eller annat sätt.
Lägre tröskel hos förövaren; Att skicka farliga preparat via posten är en lägre tröskel att kliva över än att utföra ett hot via en personlig konfrontation. Experter menar att det är samma psykologi som ligger bakom dom senaste årens ökning av hot och hat mot politiker/ förtroendevalda.
Tillgång till farliga preparat. Det är idag enkelt att få tag på farliga preparat och anordningar via nätet. Leveranser sker från både svenska och utländska leverantörer, både öppet och anonymt.
Låg risk för upptäckt. Risken att dömas kan anses låg då möjligheten för polisen att säkra teknisk bevisning eller att spåra en försändelse är starkt begränsad. Det finns dock sett fall i Sverige där en person dömdes till ett långtsfängelsestraff efter att DNA-spår säkrats på en skarp brevbomb.
Vanligast är brev innehållandes ofarligt pulver. Ett stort problem är att varje fall måste hanteras som om det vore skarpt till dess innehållet bekräftats ofarligt. Det innebär att den som vill påverka eller visa missnöje genom att skicka den här typen av försändelse ofta uppnår sitt syfte genom att skapa stor otrygghet, oreda och uppmärksamhet. Kostnaden för den här typen av incident, trots ofarligt innehåll, kan uppgå till betydande summor, såväl för samhället som mottagande organisation.
Bristen på effektiva lösningar och svårigheter att hantera den komplexa hotbilden gör att många organisationer anser posthanteringen vara en sårbarhet, och många gånger ett ohanterat säkerhetsgap.
Nästkommande delar i artikelserien
I nästkommande artikel (del 2) kommer vi fokusera på framtiden, och varför experter bedömer att den postala hotbilden ökar de kommande åren. Efter följer tips om vad ni ska tänka på i riskbedömningar och åtgärdsförslag i er risk- och sårbarhetsanalys (RSA)
Har du frågor eller fungeringar om postsäkerhet, tveka inte att kontakta oss på CIP Checkport.