Sveriges Radios (SR) uppgift är att bedriva radioverksamhet i allmänhetens tjänst och erbjuda rikstäckande och lokala nyheter samt informativa och underhållande program. Utöver detta har Sveriges Radio i uppdrag att förmedla viktiga meddelande till allmänheten, eller VMA, till exempel vid stora bränder, olyckor eller större krissituationer.
I en artikelserie från Dagens Nyheter möter SR:s verksamhet hård kritik till följd av bristande säkerhetsrutiner. I en ny artikel beskriver DN hur Sveriges Radio anlitat externa IT-konsulter för att arbeta med att bygga upp systemet för digitala varningsmeddelanden, som ska gå ut parallellt med FM-sändningar. Arbetet startade internt år 2013, men enligt källor till DN gick arbetet inte som planerat och SR valde att anlita ett externt konsultbolag – utan någon form av upphandling eller säkerhetsprövning.
Hanteringen av det digitala VMA-projektet ska även den varit bristfällig, då dokumentation och kommunikation skett via en amerikansk molntjänst. Projektet färdigställdes i september 2019 och stora delar av dokumentationen hade laddats upp på molntjänsten. I dokumentationen fanns bland annat detaljerad information om bland annat systemets uppbyggnad, kod och databaser. I ett uttalande till Dagens Nyheter påpekar Robert Malmgren, IT-konsult och säkerhetsexpert, att det inte är kunden som bestämmer vad som händer med informationen som laddas upp på tjänsten, utan det ansvaret ligger hos tjänsteleverantören.
Med den här detaljkunskapen förstår man hur det funkar under ”skalet”. Det öppnar upp för olika attackmöjligheter mot systemet, som tekniskt kunniga angripare kan störa eller slå ut. – Robert Malmgren.
Projektet möter därtill ytterligare kritik på säkerhetsfronten. Enligt DN:s källor har det aldrig utförts något omfattande test av systemets säkerhet, trots att det fortfarande är i drift. Sveriges Radios säkerhetschef Anna Svedberg kommer till tals i artikeln och hävdar att även om konsulter har arbetat med systemet, finns det ingen möjlighet att övermanna eller ta över det. IT-säkerhetsexperten Robert Malmgren hävdar motsatsen.
Vidare i artikelserien avslöjas det att Sveriges Radio tillåtit extern konsult, även den utan någon form av säkerhetsprövning, att ta del av SR:s skyddade produktionsplats. Det är den plats som kan komma till användning vid krissituationer, om Radiohuset behöver evakueras. I samband med DN:s granskning har Sveriges Radios säkerhetschef påpekat att tidskriften kan anmälas till Säkerhetspolisen.
I samband med artikelseriens publicering har SR gett svar på tal och skriver bland annat att DN sägs utelämna väsentlig fakta som SR gett DN innan publicering.
Källa: Dagens Nyheter
