Det är en skarp och akut varning som kommer från Henrik Thernlund, säkerhetsskyddschef på Fortifikationsverket.

– Företagsledningarna har ingen aning om hur illa de hanterar sin affärskritiska data, de är blåögda och förlorar affärer på det, säger han.

Myndigheten gör närmare 2000 säkerhetsskyddade upphandlingar per år. I praktiken innebär det att man genomlyser flera hundra företag för att se om de kan hantera den säkerhetsklassade information som de kan komma att ta del av.

Enligt Fortifikationsverket eskalerar just nu de risker som företagen utsätter sig för. Inte minst genom användandet av så kallade molntjänster, det vill säga it-tjänster där program och filer – istället för ligga på företagens egna datorer – placeras i stora datacenter som nås via internet.

– Vi ser att det finns både utländska stater och utländska industriföretag som har starka kopplingar till företag som erbjuder olika typer av outsourcing- och molntjänster. Vi har till och med indikationer på att dessa startar upp företag för att komma över företagshemligheter i samband med stora upphandlingar. De slipper ägna sig åt aktivt företagsspionage och att hacka sig in i system. Istället får de till och med betalt för att komma över informationen, säger Henrik Thernlund.

De länder som ofta lyfts fram för att mer eller mindre öppet ägna sig åt statsfinansierat företagsspionage är Ryssland, Kina och Iran. Men även England är en nation som sägs satsa alltmer resurser på informationsinhämtning i ekonomiska och kommersiella syften.

Bland annat skriver den brittiska underrättelsetjänsten MI6 i sin senaste strategiformulering att man ska ”agera i hemlighet utomlands för att göra landet säkrare och mer välmående”.

Vid sidan av dessa nationer menar bedömare att såväl Frankrike och Tyskland ”utan tvekan gör offensiver på detta område”. Även Indien och Nordkorea nämns i sammanhanget.

Fortifikationsverket ser cirka 20 fall årligen där det finns en direkt hotbild mot svenska företag och dess affärskritiska information. I ytterligare ett 50-tal fall utsätts företag för ”betydande och allvarliga” risker. De drabbade är både stora börsbolag och mindre företag.

Enligt Fortifikationsverket är det ofta ett strukturellt problem i företagen. Företagsledningen tror att informationen ligger på en dator i företagets källare.

It-direktören i sin tur tror att viss information är outsourcad medan it-personalen är väl medveten om att en stor del av företagets affärskritiska information i själva verket ligger on-line hos olika tjänsteleverantörer. Det gäller exempelvis faktura- och lönehantering, materielbeställningar och rapportering till branschorganisationer. Men även känsligare information.

– Det är vanligt att företag lägger ut registervård och back-up-körning på utländska företag. Och här är det viktigt att vara tydlig. Vi har sett exempel där det är uppenbart att företagen inte har en aning om var deras information hamnar. De kan köpa en tjänst av ett företag som är verksamt i Sverige men i praktiken hamnar företagets data på server som står i exempelvis Kazakstan eller något annat lågkostnadsland, säger Henrik Thernlund.

Och där menar Thernlund att oklarheterna i princip blir oändliga. Vilken juridik gäller? Vem äger informationen? Vem ligger egentligen bakom företaget? Vad händer om det blir ägarbyte? Vad händer med informationen om företaget går i konkurs?

– Ingen på företaget vet och ingen följer upp. Men man skickar glatt iväg sina uppgifter för att priset är 30 procent lägre, säger Henrik Thernlund.

Fortifikationsverkets syn delas av säkerhetsföretaget Symantec. Enligt bolaget blir det ”alltmer statligt som ligger och lyssnar i nätet” i syfte att hjälpa inhemska företag.

Detta, i kombination med att molntjänsterna gör att mycket företagsintern data regelmässigt skyfflas fram och tillbaka på nätet, gör att företagen exponeras mot konkurrenter.

– Alla ska in och sälja molntjänster just nu. Som köpare av molntjänster är det viktigt att veta vem som ligger bakom företaget och vad som händer med din information. Kan du få tillbaka dina företagsuppgifter som exempelvis kundregister och andra databaser i oskadat skick? Raderas uppgifterna från molnbolagets servrar när avtalet avslutas? Det är många frågeställningar och oerhört viktigt att ha bilden klar för sig när man köper in molntjänsten, säger Per Hellqvist, säkerhetsspecialist på Symantec.

Enligt Hellqvist är det också viktigt att informationen som skickas till och från molnservrarna är krypterad. Men inte ens då är det säkert om molnbolagets datorer står placerade i fel land.

– Det finns nationer som kräver kopior på kryptonycklarna och då spelar det ju ingen roll, säger Per Hellqvist.