-
Emil Nordström, chef för Nordic forensics team på Cybercom, leder en grupp med digitala detektiver som kallas in när ett företag upptäcker att de blivit utsatta för ett intrång.
Foto: DAVID MAGNUSSON
-
Wilhelm Unge på Säkerhetspolisen, Säpo, menar att det finns en större naivitet i dag än under kalla kriget.
Foto: DAVID MAGNUSSON
-
Med några enkla handgrepp så är företagets internettrafik, e-post och telefon avlyssnad. Utrustningsväska för en digital detektiv.
Foto: DAVID MAGNUSSON
Männen var trevliga, kostymerna prydliga och deras affärsförslag intressant. Efter det timslånga mötet där visitkort och artigheter utbyttes beslutades om ett uppföljningsmöte några veckor senare. Det ingen i ledningen lade märke till var det lilla usb-minne som en av männen medvetet råkade lägga ifrån sig på bordet vid toaletterna. Den gula markeringen ”Q4-confidential” fick en nyfiken medarbetare på företaget att plocka upp det någon timme senare och stoppa in det i sin dator för att kolla. Därmed var intrånget fullbordat.
På minnet fanns ingenting – utom ett diskret dataprogram, en så kallad trojan som omärkligt tog sig in i datorn. Väl inne i datorn stod dörren öppen till det interna nätverket och ledningens datorer och e-posttrafik. Samma natt började information tankas ned till en server någonstans i Asien. På företaget anade ingen något och affärsmännen som varit på besök syntes aldrig till igen. Deras visitkort var falska, företaget de sade sig representera existerade inte. Ett halvår senare besökte företagsledningen en branschmässa i Europa. När de passerade en av konkurrenternas montrar hajade de till. Det såg nästan exakt ut som deras egen flaggskeppsmodell! Hur var det möjligt? Ytterligare ett år senare hade bolaget gått omkull.
Scenariot ovan är fiktivt – men händelseutvecklingen fullt verklighetstrogen – och vanlig. Men det når aldrig offentlighetens ljus.
– Den här typen av intrång sker hela tiden, men 95 procent av dem blir aldrig kända utåt eller hamnar i en rättssal. Mörkertalet är oerhört stort, säger Emil Nordström.
Han är chef för avdelningen Nordic forensic team – ett slags digitala dektektiver på it-konsultföretaget Cybercom Group. Hans grupp av utredare kallas ofta in när ett företag märker att de blivit utsatta för ett angrepp. Väldigt sällan går företagen till polisen.
– Många av de företag som drabbas är börsnoterade. Det vore väldigt allvarligt för deras förtroende på marknaden och hos kunder om det kom ut, därför väljer man att lösa det privat, säger Emil Nordström.
Vi talar om industrispionage – ett uttryck som bär en doft av stormakt och kalla kriget över sig. Men it-utvecklingen och globaliseringen har gjort det till ett hot som är verkligare än någonsin här i Sverige.
– It-intrång är ett stort problem. Vi vet att det förekommer incidenter hela tiden – en del allvarliga. Men omfattningen kan vi bara gissa oss till. I USA finns uppskattningar om att bara en hundradel av alla intrång rapporteras. Översatt till svenska fall skulle det betyda att det sker i tusental. Det är förfärande tal, säger Wilhelm Unge, chefsanalytiker för kontraspionaget på Säkerhetspolisen. Hans arbete är att hålla koll på spioner som är aktiva i Sverige. Och medan de under kalla krigets dagar var på jakt efter försvarshemligheter är det andra saker som lockar idag.
– Det har skett en allt större glidning mot ekonomisk, politisk och teknisk information. Tidigare skedde den hemligaste utvecklingen inom försvarsindustrin för att sedan bli spin-offer i civila verksamheter. Idag är det tvärtom – de underrättelsetjänster som är ute efter teknologi har mycket att hämta i företag och i forskarvärlden, säger Wilhelm Unge.
Han säger att flera av de cirka femton utländska underrättelsetjänster som man vet är verksamma i Sverige är aktiva inom olika former av företagsspioneri.
De länder som pekas ut internationellt är framför allt Kina. När den indiska teleoperatören BSNL som ägs av den indiska staten nyligen skulle göra en jättelik upphandling av system fick de kinesiska tillverkarna Huawei och ZTE inte vara med. Orsak: de misstänks ha nära kopplingar till den kinesiska underrättelsetjänsten och smyger in hemlig avlyssningsutrustning i sina mobilsystem.
Det är inte första gången just Kina och Huawei varit i hetluften. För några år sedan ertappades Ericsson-konkurrenten med att stjäla kod från Cisco och företagets framfart på marknaden har väckt misstankar, som de själva ständigt förnekat.
Men att just Kina står i fokus för misstankar om industrispionage är ingen tillfällighet, menar Tomas Djurling, säkerhetskonsult med ett förflutet på Försvarets radioanstalt, FRA.
– De kinesiska företagen backas upp av landets underrättelsetjänst som satsar enorma resurser på industrispionage. Även Ryssland och Indien är väldigt aktiva. Det här är verklighet och det gäller att inte Sverige och svenska företag är naiva, vilket de tyvärr ofta är, säger Tomas Djurling.
I USA finns uppskattningar att skadorna av industrispionage uppgår till svindlande 200 miljarder dollar om året. Säkerhetsföretaget Symantec gör årligen en undersökning som omfattar 2100 företag och myndigheter i 27 länder. Den senaste visar att samtliga hade blivit bestulna på elektronisk information. 75 procent hade blivit utsatta för intrångsförsök. I snitt kostade varje informationsstöld 14 miljoner kronor. De stora pengarna gör att det är betydligt fler än underrättelsetjänster som lockas.
–Den stora trenden är att antalet kriminella aktörer som bedriver industrispionage har ökat kraftigt. De agerar både uppdragsgivare och hälare av informationen. Den infrastruktur som den organiserade kriminaliteten använder för att tvätta pengar från knarkhandel används också nu för att tvätta pengar från informationsstölder, säger Emil Nordström.
Kriminella grupper med it-brott som specialitet har dykt upp. De kallas för RWG – Real world gangs – och är mer eller mindre lösa sammanslutningar av cybertjuvar. I Ryssland finns Russian business network som anses vara en av de största aktörerna i världen på området.
–Det är inga tonåriga hackers som döljer sig bakom brotten, snarare 38-åriga civilingenjörer som gått över till andra sidan, enligt Emil Nordström.
Idag finns en etablerad digital världsmarknad för stulen affärsinformation där den både kan köpas och säljas. Ofta är olika grupper specialiserade på vissa områden – till exempel att stjäla information från banker i Norden eller tyska biltillverkare.
Vilken typ av information är då mest stöldbegärlig?
Enligt Emil Nordström sådant som har stort värde och går lätt att omsätta i konkurrerande verksamhet. Det kan till exempel vara forskningsresultat i läkemedelsbranschen. Tusentals forskares arbete i flera år kan ofta sammanfattas med en enda molekyl. Det kan också vara insiderinformation i finansvärlden – sådant som går snabbt att omsätta i pengar. Privata aktörer kan agera på uppdrag åt underättelsetjänster. Just forskningsmiljöer är högintressant för utländska spioner.
–En metod som används är att placera gästforskare här. Ett annat att närma sig personer i den akademiska världen, säger Wilhelm Unge.
Hur går modernt industrispionage till? Rena it-attacker förekommer naturligtvis – men det vanliga är att använda sig av en insider.
–Kombinationen av fysisk närvaro och it är en stark trend. Det är mycket enklare att komma åt nätverken via en person på insidan än att ta sig in bara på elektronisk väg, säger Emil Nordström som uppskattar att 70 procent av de fall hans grupp av utredare tar sig an har inslag av insiderjobb. En annan riskfaktor är verksamheter som är outsourcade till andra länder.
–Allt som man lägger ut driften av får man räkna med blir stulet, säger Tomas Djurling.
Svenska företag är generellt sett dåligt rustade för industrispionage, enligt flera säkerhetsexperter och även Säpo.
–Det finns en större naivitet idag än under kalla kriget, säger Wilhelm Unge.
Ett annat problem är lagen. Lagstiftningen har inte hängt med i utvecklingen. Hur kommer man åt en organisation som arbetar via anonyma servrar i Panama? Dataintrång är väldigt svårt att utreda och ofta kräver samarbete över nationsgränser.
–Chansen att åka dit är väldigt liten baserad på den lagstiftning som finns idag, säger Emil Nordström.
För Säpo betyder lagen också en svår sits. Idag är utgångspunkten att det är bara försvarshemligheter som är skyddade och som gör att säkerhetspolisen kan gripa in. När det gäller industrispionage mot företag kan Säpo bara ge råd, om det inte finns direkt misstanke och det sker på uppdrag av främmande makt.
–Som ett exempel kan man nämna att om någon stjäl all politisk och ekonomisk information som finns i regeringskansliet skulle det inte betraktas som ett brott eftersom det inte går att visa att det är till skada för totalförsvaret. Det är inte rimligt, säger Wilhelm Unge.
Efter förslag från Säpo ser nu justitiedepartementet över lagen för att utvidga definitionen av vad som anses utgöra brott på rikets säkerhet. En offentlig utredning väntas inledas senare i år.
Idag gör lagen det också det svårt att komma åt läckor på insidan av bolaget. Det är något som som bekymrar näringslivet.
Dick Malmlund, säkerhetsansvarig på organisationen Svensk Handel nämner ett färskt fall där en anställd sålde sitt företags alla hemligheter för pengar. Det gick aldrig ens till åtal eftersom brott inte kunde styrkas.
–Han hade ju kommit över informationen som en del av sitt jobb och alltså inte tagit den olovligen, enligt lagens sätt att se det. Det här är ett jättebekymmer för svenska företag, säger Dick Malmlund.
–Det handlar om bilden av Sverige som investeringsland. Ingen vill satsa på utveckling här om risken är stor att det stjäls, säger Dick Malmlund.
