Myndigheten för samhällsskydd och beredskap ”för en dialog” med SR efter DN:s avslöjande om säkerhetsbrister.
”MSB ser allvarligt på det inträffade”, skriver myndighetens presstjänst.
Till DN säger it-säkerhetsexperten Robert Malmgren att uppgifterna som laddats upp på molntjänsten skulle kunna användas för att skicka ut falska VMA-meddelanden.
På tisdagen kunde DN avslöja att externa konsulter, utan säkerhetsprövning, fick uppdraget att utforma Sveriges Radios digitala VMA-funktion. Arbetet, och detaljerad information om systemet, laddades upp på en utländsk molntjänst.
Det digitala VMA-systemet vidareförmedlar de Viktiga meddelanden till allmänheten som Sveriges Radios sändningsledning formulerar i ett ”trepartssamtal”. De två andra parterna är SOS alarm och den aktör som har begärt ett VMA, till exempel räddningstjänsten.
De samhällsaktörer som har valt att ta emot digitala VMA via Sveriges Radios så kallade ”öppna API” får meddelandet automatiskt vidareförmedlat till sig.
Detta ska inte blandas ihop med att sändningsledningen läser upp ett VMA i FM-radio – och via Ekot publicerar meddelandet på Sveriges Radios sajt och mobilapp.
MSB är den myndighet som ansvarar för VMA-systemet och utvecklingen av det. Myndigheten reagerar på uppgifterna i DN:s granskning.
”MSB ser allvarligt på det inträffade och kommer att följa upp och föra dialog med SR om hur detta åtgärdas, så att inte falska VMA-meddelanden kan förmedlas i framtiden”, skriver presstjänsten i ett uttalande och bekräftar att man har tagit kontakt med SR.
Kulturminister Jeanette Gustafsdotter (S), skriver i en kommentar att regeringen ”alltid ser allvarligt på eventuella säkerhetsrisker inom det viktiga VMA-systemet”.
Gustafsdotter ”utgår från att SR, om det behövs, vidtar åtgärder för att avhjälpa eventuella brister i sitt säkerhetsarbete.”
It-säkerhetsexperten Robert Malmgren har via DN fått en muntlig beskrivning av innehållet i dokumentationen och har även kunnat ställa följdfrågor.
Han anser att SR har utsatt VMA-funktionen för stora risker, genom att ladda upp ”drift och systemdokumentationen” för digitalt VMA i en utländsk molntjänst.
Det innebär att den kan hamna i fel händer, enligt Robert Malmgren.
Dokumentationen, som DN har sett, innehåller bland annat detaljerade uppgifter om systemets uppbyggnad, kod, databaser, ip-nummer och gränssnitt.
Robert Malmgren bedömer att en illasinnad aktör som kommit åt drift- och systemdokumentationen på egen hand kan ”efterapa” delar av systemet och skicka ut ett digitalt VMA med desinformation – och därmed runda sändningsledningen.
– Det är ytterst allvarligt, särskilt i tider som dessa, säger han.
I och med Sveriges Radios beredskapsuppdrag är public service-bolaget också en del av det skyddade kommunikationsverktyget Rakel. Det är bland annat via Rakel som SR ges möjlighet att förmedla digitalt VMA till viktiga samhällsaktörer.
En illasinnad aktör kan vid ett intrång i systemet, enligt Robert Malmgren, skicka digitala VMA via Rakel. Det går då till de samhällsaktörer som har valt att få VMA via Rakel, till exempel centrala aktörer som Försvarsmakten och regeringen – med Sveriges Radio som avsändare.
– Om någon med den här dokumentationen och detaljkunskapen kan bryta sig in i det här systemet, så finns det ingenting som säger att man inte kan skicka felaktiga och falska digitala VMA, säger Robert Malmgren.
I dokumentationen finns även tekniska detaljer som ”API-nycklar” och adresser till en extern sms-sändningstjänst.
– Med denna kunskap kan man skicka sms i SR:s namn, utan att den manuella VMA-processen på SR någonsin blir inblandad, säger Robert Malmgren.
SR hänvisade under tisdagen frågor till Annsofi Eriksson, chef för teknikenheten.
Eriksson ger inget rakt svar på DN:s frågor och den analys it-säkerhetsexperten Robert Malmgren gör.
I ett mejl skriver hon:
”Falska textmeddelanden är tyvärr vanligt förekommande i samhället i dag, baserar sig inte på SR:s systemdokumentation. SR:s VMA-system bygger på en komplex kedja där mycket utgår ifrån manuell hantering inom Sveriges Radio som utomstående inte kan ta kontroll över.”
Gällande DN:s frågor om kommunikationsverktyget Rakel svarar Annsofi Eriksson:
”VMA-systemet bygger på en komplex kedja där mycket utgår ifrån manuell hantering inom Sveriges Radio som utomstående inte kan ta kontroll över. För Rakelkedjan krävs särskild utrustning och tillgång lista över mottagare. Detta sammantaget gör oss mycket robusta mot illasinnade aktörer och systemintrång.”
Hon skriver även:
”Falska textmeddelanden, som t.ex. sms, är tyvärr vanligt förekommande i samhället i dag, men baserar sig inte på SR:s systemdokumentation.”
DN har bett om kompletterande uppgifter via mejl. SR har inte återkommit.
