Posthot i risk- och sårbarhetsanalysen (del 3)

Här kommer tredje delen i artikelserien om Posthot i risk- och sårbarhetsanalysen. Den här artikeln fokuserar på hur du kan tänka i uformningen av din hotbild, samt vad som är viktigt att tänka på vid utformningen av åtgärdsplanen för att minimera riskerna för verksamhet och personal.


Hotbilden

Erfarenheterna kring incidenter i post- och pakethanteringen och framtidsutsikterna sammanfattades i förra artikeln i följande punkter:

  • Allmänna säkerhetspolitiska läget har kraftigt försämrats senaste tiden vilket medför att vissa organisationer ser ett behov att höja det fysiska skyddet i post- och godshanteringen

  • Hot och hat på sociala medier ökar, stor spridning av våldsbejakande budskap ökar riskerna för mottagaren

  • Farliga ämnen och anordningar är lätta att införskaffa på nätet

  • Vem som helst kan skicka vad som helst via postflödet

  • Även bluffpost (ex. ofarliga pulverbrev) får stora negativa konsekvenser hos mottagaren

Citat från FOI:s rapport CBRN-hot från icke-statliga aktörer – Årsrapport 2020 (FOI-R—5136—SE)

Vi kan även konstatera att giftiga ämnen tämligen regelbundet används för att hota, skrämma och skada andra personer även utanför extremistmiljöerna. Ofta görs detta i syfte att skada någon som står i nära relation med attentatspersonen.


Hot som anspelar på giftiga och smittsamma ämnen förekommer också typiskt sett i finansiella opportunistiska syften eller för att manifestera sitt missnöje mot företag, myndigheter eller andra offentliga funktioner och personer. "


Texten ovan sammanfattar hotbilden på ett tydligt sätt varför just postala hot ska vara föremål för diskussion och fördjupning i det systematiska säkerhetsarbetet (inklusive arbetsmijöperspektivet) och i säkerhetsansvarigas inspel i organisationens risk- och sårbarhetsanalys.


Vissa postala hot faller under kategorin låg sannoliket/ hög konsekvens. Men det räcker med att en förövare/ antagonist vill just er något illa för att konsekvenserna ska bli stora både vad avser kostnad, arbetsmiljö och risken för liv och hälsa. Det spelar dessutom ingen roll om hotet är skarpt eller en bluff. Kostnaden och den mediala uppmärksamheten blir många gånger ändå densamma. Riskerna varierar så klart. Det finns ett antal branscher som är mer exponerade än andra. Exempel är offentliga personer och organisationer, myndigheter, kommunal verksamhet, bank och finans, media, transport samt företag med många anställda. Men det vet man såklart när man gjort sin säkerhetsanalys.


Säkerhetskänslig verksamhet måste beakta hoten utifrån sin specifika situation. Exempelvis om brev och paket (inklusive emballage) kan innehålla dold teknisk anslutnings-, avlyssnings-, eller spårningsutrustning. IT-säkerhetsansvarig bör vara delaktig i den här delen av riskbedömningen. Fenomenet är relativt nytt och benämns warshipping (forbes.com). IBM:s X-Red Team föreslår att inkommande försändelser kontrolleras (och röntgas) för att minimera riskerna att dold teknisk utrustning förblir oupptäckt.


Normalt hanteras kemiska, biologiska, nukleära, radiologiska och explosiva hot (förkortas CBRNE) inom risk- och sårbarhetsanalysen. CBRNE innefattar således farliga droger, toxiner, giftiga gaser, syror, explosiva och brandfarliga ämnen mm.

Vidare kan dold anslutnings-, avlyssnings-, och spårningsutrustning identifieras som ett hot för verksamheten.


Utöver ovan nämnda hot bör organisationen bedöma riskerna av försändelser som innehåller exempelvis ofarligt pulver, blod, avföring, kanyler, gasbehållare eller annat stötande eller avvikande innehåll. Dessa stötande och störande brev får ofta stor påverkan på arbetsmiljön hos personal som tar emot, öppnar eller på annat sätt hanterar brev och paket.




Åtgärder för att minska riskerna i brev- och pakethanteringen


Proaktiv eller reaktiv hantering av posthot

En proaktiv hantering avser dom åtgärdena som vidtas för att hitta och hantera en försändelse med potentiellt farlig eller oönskat innehåll innan den når mottagagande person/verksamhet.


En reaktiv hantering innebär att man hanterar risken där den uppstår, oftast i posthanteringen eller i händerna hos mottagaren.


Den vanligaste proaktiva åtgärden är att etablera en extern brev- och godsmottagning med säkerhetskontroll och förmåga att hantera eventuella hot som en naturlig del i den ordinarie posthanteringsprocessen. Antingen gör man detta i egen regi eller så köper man in tjänsten från en leverantör, exempelvis CIP Checkport.


Bestämmer man sig för en reaktiv hantering, det vill säga att acceptera risken att öppna okontrollerad post bör det ske på noga utvald plats och av personal med kompetens, utbildning och verktyg att hantera den osäkerheten och situationer som kan tänkas uppstå. Att tillkalla polis- och räddningstjänst varje gång man får in en avvikande försändelse är inte ett hållbart alternativ på sikt vilket gör att egen förmåga att fatta beslut och hantera misstänkta försändelser behöver finnas för posthanteringsprocessen.



Viktigt att tänka på

Reaktiv hantering av postala hot

Ofta blir konsekvenserna stora och kostnaderna höga när verksamheten tvingas hantera en misstänkt försändelse. Efter att analyserat sin verksamhet, infrastruktur och interna förmågor att hantera en incident kan rutiner uppdateras, personalen utbildas och infrastrukturen anpassa