Våren 2014 anskaffet Sveriges Radio (SR) et nytt tekstsystem som skulle forbedre det redaksjonelle arbeidet. Vinneren ble det multinasjonale selskapet Dalet – med kunder som Euronews og HBO – som tilbød programvare som ble vurdert til å være både bedre og billigere enn konkurrentene.
En gjennomgang av interne dokument, foretatt av Dagens Nyheter, viser imidlertid at Dalet ikke kunne levere det som ble lovet og at teknikerne som fikk tilgang til både de fysiske lokalene og de tekniske systemene aldri ble sikkerhetstestet. Totalt deltok 27 teknikere fra blant annet Russland, Israel og Frankrike i prosjektet.
Sveriges Radios bygninger er klassifisert som verneobjekt, da SR er en del av det svenske totalforsvaret og spiller en sentral rolle for landets evne til å håndtere kriser i samfunnet. Det har lenge vært en bevissthet om at Sveriges Radio er et mulig mål for hackerangrep og spionasje, men til tross for dette ble de utenlandske IT-teknikerne plassert i en bygning innenfor den såkalte skallbeskyttelsen, som hindrer uvedkommende i å få tilgang til lokaler. Dalets teknikere fikk også adgangskort som gjorde det mulig for dem å bevege seg fritt i store deler av Sveriges Radio og de hadde også tilgang til SRs lokalnett.
Muliggjør sabotasje og spionasje
Ifølge Robert Malmgren, som er en av landets fremste eksperter på IT-sikkerhet, gir fysisk tilstedeværelse gode muligheter til både å få tilgang til sensitiv informasjon og gjennomføre sabotasje. For eksempel kan du få tilgang til dokumenter og lydopptak ved å installere et nettverksavlyttingsprogram.
– Du kan ansluta utrustning till nätverket, få åtkomst till nät som inte är åtkomliga utifrån eller ändra rättigheter och behörigheter. Det kan vara tillräckligt intressant och du behöver inte ta dig igenom brandväggen om du redan är innanför, sier Malmgren til DN.
Konkret har Sveriges Radio dermed muliggjort spionasje mot Sverige, en risiko som fremstår som betydelig fordi gjennomgangen også viste at en av IT-teknikerne har jobbet for regimelojale russiske medier. Ifølge teknikerens egen side på LinkedIn har han jobbet både for det russiske forsvarsdepartementets eget TV-nettverk Zvezda og for den statskontrollerte TV-kanalen RT. Deretter ble han ansatt i Dalet, for å jobbe for russiske medier som brukte selskapets system.
Teknikeren jobbet i Sveriges Radio i nesten to år, før han i 2017 i stedet begynte i jobb hos medienettverket National Media Group, som kontrolleres av oligarken Yury Kovalchuk, som av DN blir presentert som «en nær venn av president Vladimir Putin».
På et fotografi publisert i russiske sosiale medier sitter den russiske IT-teknikeren inne i et studio i Radiohuset, med en stasjonær datamaskin slått på. Teksten lyder: «Sveriges Radio. Breaking News. =)».
Til DN hevder Sveriges Radio at teknikeren «bare har vært i testmiljøer», men Sveriges Radio får sterk kritikk fra sikkerhetseksperter som sier at mannens bakgrunn skulle ha fått statskringkasteren til å reagere og stoppe konsulenten. Gjennomgangen viser at Sveriges Radio helt avsto fra å foreta egne undersøkelser av konsulentene som fikk tilgang til sensitive systemer og sensitiv informasjon. I stedet stolte de helt på den interne «bakgrunnssjekken» som Dalet selv hevdet å ha gjort av sine ansatte.
«Ingen anelse om hvilken tilgang de hadde»
Ifølge interne dokumenter som DN har mottatt, var SRs administrerende direktør Cilla Benkö i siste instans ansvarlig for prosjektet og samtidig den som var pådriver for å gjennomføre det. Benkö hadde flere møter med Dalets ledelse og underveis i prosjektet kritiserte hun selskapet da det ikke kunne leve opp til kravene.
Verken Cilla Benkö eller programdirektør Björn Löfdahl sier de kjenner IT-teknikerens bakgrunn i de russiske medieselskapene, og Benkö mener hun «ikke er komfortabel med» resultatene av undersøkelsen. Hun påpeker imidlertid at spørsmålet om de utenlandske teknikerne aldri nådde opp til henne, fordi de etter SRs vurdering ikke skulle håndtere gradert informasjon. Det var også basert på denne vurderingen at beslutningen om ikke å teste sikkerheten til IT-teknikerne ble tatt. Men de trengte, ifølge Cilla Benkö, «en viss tilgang» for å kunne implementere tekstsystemet.
– Jag har ingen aning om vad de hade för access, mer än att de inte hade access till det som jag tyckte var viktigast att vi skyddar, sier Benkö, som også understreker at sikkerhetsklassifisert informasjon ikke er digitalisert, og at gjennomførte tester ikke har antydet at de utenlandske IT-teknikerne har gjort noe skade.
Wilhelm Agrell, seniorprofessor i etterretningsanalyse ved Lunds universitet, sier at sensitiv og beskyttet informasjon ikke automatisk må klassifiseres, men at medieselskaper er svært interessante for utenlandsk maktpåvirkningsoperasjoner.
– Mycket av informationen, särskilt i en medieverksamhet som SR, är av stor känslighet. Det kan handla om personinformation, som i fel händer kan vara känslig men där informationsdelarna i sig inte är sekretessbelagda. Den som kan förstå hur ett stort medieföretag fungerar inifrån och även ha kontakter och personinformation som kan utnyttjas har ett avgörande försteg i en påverkansoperation, sier Agrell.
Stillte spørsmål ved sikkerhet
Sikkerhet innen Sveriges Radio har vært avhørt tidligere. I 2015 ble en ansatt ved Sverigedemokraternas kontor, under pseudonymet Egor Putilov, tatt opp til Sveriges Radios interne opplæring og fikk adgangsbevis til SR. I fjor avslørte Stiftelsen Doku at en reporter ved Ekot hadde innledet et forhold til en islamist som Säpo anser som en trussel mot nasjonal sikkerhet.
Cilla Benkö mener det «alltid er mulig å være selvkritisk», men sier at de ikke så noen grunn til å handle annerledes:
– Borde vi på Sveriges Radio generellt sett ha resonerat på ett annat sätt kring Ryssland? Ja, men det är jättesvårt att svara på den frågan. Vi gjorde inte det. Jag tror att väldigt många andra bolag inte heller gjorde det.
Til tross for at prosjektet ble anskaffet i 2014, etter Russlands annektering av Krim, og til tross for den sterke kritikken som Sveriges Radio nå normalt viser mot Russland, ønsker Cilla Benkö å legge til at «det er mange russere som faktisk har gode intensjoner også».
– På något sätt vill jag ändå få det sagt, att det inte i sig, för att man har en ryss inne som har jobbat inom rysk media, är ett kvitto på att det har varit en person som hade onda avsikter.
Kjøp «Et varslet energisjokk» her!