Se upp, du är avlyssnad!

Den lilla handburna datorn med antenn piper nästan oavbrutet. Vi står på Stureplan mitt i hjärtat av Stockholm.

Varje pip signalerar att vi hittar ännu ett aktivt trådlöst nätverk som kopplar ihop ett företags datorer och där mängder av intern information är lagrad.

SE UPP FÖR DEN HÄR KILLEN: Stig Wennerström, dömd spion.

På skärmen visas hur många som är helt oskyddade och därmed åtkomliga för utomstående. Det visar sig vara mer än hälften, förvånansvärt med tanke på att riskerna med trådlösa nätverk har varit kända under en längre tid.

När vi vandrar vidare till Norrmalmstorg fortsätter handdatorn att pipa. I området ligger några av Sveriges mest kända banker, mäklare, fondbolag, konsultbolag som advokater och revisorer.

Flera nätverk med välkända företagsnamn dyker upp på skärmen. Odin fonder, Brummer & Partners, Redeye och IT-Provider är några av dessa.

Under vår halvtimmeslånga promenad samlar vi in information om över 250 trådlösa nätverk. 50 till 60 procent av dessa är helt oskyddade och öppna för intrång. Om vi ville skulle vi snabbt kunna samla på oss information som sedan kan fungera som en sorts nyckelknippa att använda vid intrång. Med en sådan kan vem som helst öppna dörren till företagens hemligheter.

Det går till exempel att avlyssna trafik som skickas mellan datorer, exempelvis intern e-post, där affärsplaner, känslig kundinformation, kvartalsrapporter eller andra hemligheter kan snappas upp. Allt utan att man lämnar några spår.

Företagen förstår aldrig vad som drabbat dem.
Innanför kontorsfönstren anar de inte faran där vi står på gatan bara ett stenkast bort.

Det går också att fånga upp användarnamn och lösenord som kan användas vid regelrätta intrång. Den målmedvetne företagsspionen stannar sannolikt inte vid den öppna dörren utan väljer att gå vidare, ofta i jakt på centrala servrar där högintressant information finns lagrad.

Även om antalet okrypterade trådlösa nätverk sakta minskar i takt med att riskerna blir kända ute på företagen är det långt ifrån omöjligt att ta sig förbi standardskyddet i trådlösa nätverk.

Krypteringen kan knäckas med en vanlig dator.

Många företag använder i stället andra typer av kryptering eller har helt enkelt valt att förbjuda trådlösa nätverk för att riskerna är så stora. Det är dock svårt att övervaka att reglerna följs.

– Ofta är det anställda som sätter upp ett eget trådlöst nätverk utan att tänka på vad de gör och utan att it-avdelningen känner till det. De glömmer oftast att slå på krypteringen vilket gör nätverket helt öppet, säger Jimmy Spets, säkerhetskonsult och specialist på trådlösa nätverk på företaget Trust-IT.

Affärsvärldens test visar hur vanligt det är att företag låter dörren till det interna nätverket stå på vid gavel. Eftersom datorutrustningen och programvaran kan köpas helt öppet, eller till och med är gratis åtkomlig på internet, är tröskeln låg för den som vill ta klivet in genom dörren.

Amerikanska analysföretaget Gartner varnade förra veckan för att trådlösa nätverk är det största hotet mot företagssäkerhet under de kommande åren.

…OCH DEN HÄR: Stig Bergling, dömd spion.

Värdet av ett informationsövertag mot konkurrenterna har varit väl känt både i krig och affärer genom historien. När det gäller företagsspionage har det skett en accelererande utveckling under det senaste decenniet.

Den allt tuffare globala konkurrensen gör att många företag inte drar sig för att ta till allt smutsigare metoder för att nå framgång på marknaden. Det finns en tydlig trend att företagen på egen hand spionerar på konkurrenterna, men inte sällan får de hjälp av sina egna nationers underrättelsetjänster.

Underrättelsetjänsternas prioriteringar har ändrats efter det kalla krigets slut. Den framväxande globala marknaden där konkurrensen mellan olika nationers företag har blivit allt hårdare är en ny spelplan för den klassiska spionen. Det är inte bara USA och Ryssland som hjälper sina företag med hemlig information, utan även mindre länder i exempelvis Asien och Europa får hjälp.

– Statligt understött företagsspionage bedrivs systematiskt i Sverige. Syftet med verksamheten kan vara att undvika kostsamma forsknings- och utvecklingskostnader och att förse det inhemska näringslivet med konkurrensfördelar. Men verksamheten kan också initieras av ett behov av att skaffa sig kunskap om ett annat lands utvecklingsnivå beträffande civil eller militär teknologi, säger Nils Kärrlander, chef för kontraspionage- och säkerhetsskyddsenheten på Säkerhetspolisen, (Säpo).

Utländska företag arbetar också på egen hand med spioneri mot svenska företag. Samtidigt blir det också allt vanligare att enskilda personer försöker göra intrång i företagens datasystem, exempelvis för att komma över ekonomisk information som kvartalsrapporter som ännu inte publicerats.

Som Affärsvärldens test visar krävs varken större kapital eller kunskap för att på ett otillbörligt sätt komma över intern information.

De svenska företag som ligger i farozonen för att bli utsatta för intrångsförsök är främst forsknings- och kunskapsintensiva bolag.

De finns i Sverige bland annat inom läkemedel, bioteknik, telekommunikation och it. Det är inte bara de stora bolagen som Astra Zeneca och Ericsson som är heta byten för konkurrenterna, utan också mindre spjutspetsföretag, exempelvis bolag knutna till universitetens forskningsbyar.

– Företagen måste ta den här utvecklingen på största allvar. Fler och fler utländska bolag blir intresserade av svenska företag i och med att de är så framgångsrika. I många fall kan det för ett utländskt företag vara lättare att ge sig på mindre bolag än de etablerade storföretagen, säger Tommy Svensson, säkerhetsexpert på Svenskt Näringsliv.

Den tekniska utvecklingen gör att det klassiska företagsspioneriet, som främst inriktade sig på företag med militära produkter, är ett minne blott. I dag sker företagsspioneri på ett mycket bredare plan. En förklaring är den omfattande it-utbyggnaden i samhället. Det visar inte minst internationella undersökningar på området.

Den internationella revisionsjätten Deloitte presenterade nyligen en undersökning bland internationella storföretag som visar att hela 83 procent av de svarande under det senaste året hade upptäckt intrångsförsök i deras datasystem. I många fall rör det sig om olika slags virus men det kan också röra sig om exempelvis hackers som söker hemlig information för sitt nöjes skull eller på uppdrag av andra.

Amerikanska säkerhetstjänsten FBI rapporterar liknande uppgifter i en undersökning från förra året, där amerikanska företag berättar att 56 procent av dem hade upplevt någon form av otillbörligt dataintrång.

– Om någon är verkligt intresserad av din information och du är kopplad till internet så kan de komma åt den. Hemlig information ska inte finnas på datorer som är kopplade till nätet, säger André Rickardsson, säkerhetsexpert på säkerhetsföretaget Ekelöw Infosecurity.

Facit visar att det är ytterst få som åker fast för företagsspioneri, exempelvis i form av datorintrång. Även om straffen kan bli hårda, som i exemplet med Ericssonspionerna förra året, så har lagarna liten effekt. Ett lyckat spionage är det perfekta brottet som inte lämnar några spår.

– Förklaringen till att företagsspioneri är så pass vanligt är att riskerna är små medan de potentiella vinsterna är betydligt större, säger Joakim von Braun, säkerhetsexpert på Symantec som utvecklar och säljer it-säkerhetsprodukter.

Företagsspioneri handlar naturligtvis inte enbart om dataintrång utan är ett väsentligt bredare problem. Bara fantasin sätter gränser. Avlyssning av olika slag är ett växande område. I dag går det exempelvis att lyssna på samtal både i det fasta telefonnätet och via mobiltelefoner. Ett annat sätt att få tag på hemlig företags-information är att köpa en redan anställd person som lämnar ut viktig information. Ett liknande tillvägagångssätt är att låta en person ta anställning hos ett konkurrerande företag med syfte att länsa företaget på uppgifter.

– Det mest effektiva sättet att få den rätta informationen är att kombinera dataintrång eller annan teknisk inhämtning med en insiderperson som arbetar på företaget. Denne kan lätt sålla vad som är viktigt och inte, säger Mats Paulsson chef för säkerhetsskyddet på Säpo.

Flera av de experter som Affärsvärlden talat med vittnar om att svenska företag i många fall inte tar hoten på det allvar som egentligen krävs.

– Svenskt näringsliv är som ett såll, det läcker på alla ledder, säger Jan Freese, vd för it-säkerhetsbolaget Brainwave.

– Ett företag som blir angripet av en konkurrent med både resurser och målmedvetenhet har svårt att skydda sig. I slutändan är det inte så svårt att bryta sig in i ett annat företags datorsystem, säger Pär Ström, it-strateg och författare.

Sårbarheten verkar inte minska i framtiden, snarare tvärtom. Varken konkurrensen eller teknikutvecklingen stannar av vilket betyder att företagsspioneriet är här för att stanna.
Svenska företag har inte gjort sig kända för att spionera på konkurrenterna och den officiella hållningen är att den svenska traditionen är att det inte förekommer.

Men det är givetvis naivt att tro att svenska företag aldrig skulle ha sysslat med oetisk på gränsen till olaglig informationsinhämtning om konkurrenterna. Kanske är det en svensk företagsspion som åker fast i utlandet nästa gång.

—

Företagsspioneri – uppmärksammade fall i Sverige och internationellt

Sverige

Tre personer greps i slutet av 2002 misstänkta för grovt spioneri alternativt grovt företagsspioneri riktat mot Ericsson.

Tingsrätten ansåg att männen lämnat ut högteknologisk information till Ryssland, något som kunde vålla skador för totalförsvaret och därmed rikets säkerhet. Hovrätten dömde senare huvudmannen till åtta års fängelse för grovt spioneri, en av de två medåtalade fick straffet höjt från tre till fyra år medan den andre frikändes helt.

Huvudmannen ska ha överlämnat hemlig information om de mobilsystem Ericsson tillverkar till två ryska ambassadtjänstemän som senare utvisades.

Finland
Det finländska företaget Wärtsilä, leverantör av drivsystem för fartyg och offshore-installationer, blev utsatt för ett företagsspionage av två anställda. En av de två dömdes förra året för anstiftan till grov stöld, yrkesmässigt häleri och missbruk av företagshemligheter till två år och två månaders fängelse. Medarbetaren, som utfört stölderna, dömdes för grov stöld och företagsspioneri till ett år och åtta månader villkorligt.

Fram till maj 2001 hade det försvunnit motordelar för cirka en halv miljon euro samt 1 465 ritningar och andra dokument. Ritningarna hade gärningsmannen spridit ut till sammanlagt 17 olika företag i Europa.

USA
Den amerikanska flygkoncernen Boeing omgärdades under förra året av en rad företagsskandaler gällande företagsspionage och mutor. Boeing misstänks bland annat olagligen ha kommit över och använt sig av hemlig företagsinformation från konkurrenten Lockheed Martin.

En ingenjör som fick anställning vid Boeing ska vid anställningsintervjun ha visat upp hemliga dokument från den före detta arbetsgivaren. Företaget anklagades också för att ha letat efter och använt sig av hemligheter om andra företag.

Källa: Säkerhetspolisen,
tidningsartiklar Så hittade vi de trådlösa nätverken

Affärsvärlden sökning efter öppna trådlösa nätverk gjordes med en vanlig handdator utrustad med extern riktantenn och programvaran Airmagnet.

Utrustningen används normalt till installation och felsökning av trådlösa nätverk. Prislappen för antenn och programvara ligger på cirka 38 000 kronor.

Sökningen kan också göras med en vanlig bärbar dator utrustad med ett kort för trådlöst nätverk som kostar ett par hundralappar.

På internet finns en omfattande mängd information i ämnet, bland annat hur man bygger egna riktantenner till låg kostnad. Olika typer av programvara för att hitta trådlösa nätverk och analysera trafiken kan också laddas hem gratis från internet.

Enligt lagen om elektronisk kommunikation är det tillåtet att lyssna på trafik i trådlösa nätverk.

Däremot är det inte tillåtet att föra informationen vidare.

Att utnyttja informationen och försöka knäcka lösenord och kryptering eller att göra intrång i nätverk eller datorer är inte heller tilllåtet.