Igår avslöjande DN att Sveriges Radio hyrt in en extern konsult för att bygga upp deras hemliga sändningsplats. Nu avslöjar även DN att Sveriges Radio hyrt in externa konsulter för att bygga upp det digitala VMA-systemet. Instruktionerna för systemet laddades upp på en utländsk molntjänst.
Igår rapporterade Bulletin att DN avslöjat att Sveriges Radio brister i sina säkerhetsrutiner.
Sveriges Radio hyrde in extern konsult för att bygga upp den hemliga sändningsplats som i händelse av kris eller fara används som en back-up. Konsulten spred sedan känsliga uppgifter om sändningsplatsen på den sociala medieplattformen Linkedin.
Nu avslöjar DN att Sveriges Radio hyrt in externa konsulter, utan säkerhetsprövning, för att bygga upp det digitala VMA-systemet. Instruktioner för VMA-systemet laddades dessutom upp på en utländsk molntjänst.
VMA är det varningsmeddelande som går ut till andra medier och samhällsaktörer i händelse av krig eller kris. Till exempel stora bränder, olyckor och gasläckor. Sveriges Radio har sedan 1930 sänt VMA analogt via FM-sändningar. ”Syftet är att informera alla som vistas i Sverige så att de har förutsättningar att agera för att exempelvis rädda sig själva, sin egendom eller andra”, skriver SR på sin hemsida.
Ingen upphandling gjordes
DN:s granskning visar även på att SR valde att hyra in konsultbolag utan att göra någon upphandling. Därmed gjordes heller inga säkerhetskontroller. Projektet startade 2013 och konsulterna involverades tidigt i processen. Fram till 2019 hade minst åtta konsulter från tre olika konsultbolag involverats i projektet. VMA-projektet laddades upp på en amerikansk molntjänst. Konsulterna hade inlog och använde molntjänsten där en stor del av drift- och systemdokumentation laddades upp.
I dokumentationen fanns tillgång till kod, databaser, ip-nummer, och gränssnitt. Robert Malmgren är it-konsult och it-säkerhetsexpert.
– Det här riskerar i förlängningen att skada förtroendet för VMA-funktionen, som är central för allmänheten. Det är mycket allvarligt.
Han tillägger:
– Om källornas uppgifter stämmer övergår det mitt förstånd att det inte har gjorts ett säkerhetstest av ett sådant system. Det är standardförfarande i mindre viktiga system än ett sådant här, säger han.
Vill inte kommentera
Sveriges radios vd, Cilla Bänkö, har inte velat kommetera avslöjandet utan hänvisar till säkerhetschefen Anna Svedberg.
Hon svarar till DN att att SR idag har riktlinjer angående molntjänster – och att information rutinmässigt inte ”sparas genom molntjänster”.
Bolaget skriver vidare att ”Sveriges Radio nyttjar aldrig molntjänster för säkerhetsskyddsklassad information”.
Robert Malmgren gör en annan bedömning av Svedbergs uttalanden.
– För ett system som uppenbarligen är felbedömt och som sitter på internet, som man heller inte gjort penetrationstester på, går det inte att komma med sådana utfästelser som säkerhetschefen gör, säger han.
Läs även: DN:s granskning om Sveriges Radio kritiseras – hotar med Säpo
