Det var tisdag den 26 februari 2019. Kvällen var ovanligt varm: termometern visade strax över sju plusgrader. Vid ett bord på restaurang Kristall på Kungsgatan i Stockholm satt två män och pratade hjärtligt på engelska. En av dem var en då 46-årig konsult på lastbils- och busstillverkaren Scania, den andra en rysk underrättelseofficer.
Tid och plats hade de bestämt vid sitt förra möte. På så sätt kunde de undvika att lämna spår bland sms eller mejl. Och när 46-åringen en stund tidigare hade promenerat mot restaurangen tog han omvägar för att skaka av sig eventuella förföljare.
Försiktighetsåtgärderna hade dock inte varit tillräckliga. På restaurangen fanns poliser från Säpo som under lång tid hade spanat på 46-åringen. De såg hur männen bytte något med varandra och hörde dem skoja om att februari varit en bra månad.
Männen greps inne på restaurangen. I 46-åringens innerficka hittade polisen ett kuvert instoppat i en påse från Kicks. I kuvertet fanns 27 800 kronor. Den ryska underrättelseofficeren släpptes kort därpå eftersom han var anställd på ryska ambassaden och hade diplomatisk immunitet.
Under den efterföljande utredningen visade det sig att 46-åringen haft kontakt med underrättelseofficeren sedan 2016. Mellan åren 2016 och 2019 arbetade 46-åringen som konsult, först på biltillverkaren Volvo Cars i Göteborg och sedan på Scania i Södertälje.
Spioneridomen: tre års fängelse
Polisen upptäckte att han från juli 2017 till februari 2019 på olika sätt sparat uppgifter från arbetsplatserna och sedan lämnat dem till ryssen vid åtminstone fyra tillfällen. Uppgifterna hade han ibland tankat över till USB-minnen, ibland fotat med en kamera för att undvika att lämna digitala spår efter sig.
Exakt hur mycket pengar han fick gick inte att slå fast, men utredningen visade att 46-åringen haft ekonomiska svårigheter och var i stort behov av pengar.
Han dömdes – först i tingsrätten och sedan hovrätten – för spioneri till fängelse i tre år. Den ryska underrättelseofficeren lämnade Sverige och Rysslands ambassadör kallades till Utrikesdepartementet, UD. Där framförde Sverige en protest mot att personal på ambassaden utnyttjat sin diplomatstatus för spioneri.
Domen är i det närmaste unik. Enligt Göteborgs tingsrätt är åtal för spioneri ”utomordentligt ovanliga”. Men det betyder inte att det är ovanligt att andra länder spionerar på svenska företag för att komma över företagshemligheter. Tvärtom.
15-tal länder spionerar på Sverige
Enligt Säpo och organisationen Svenskt Näringsliv kostar spioneri mot svenska företag flera miljarder varje år – och omfattningen växer. Enligt Säpo är Ryssland, Kina och Iran de största hoten. Dessa länder kännetecknas av att de lägger ner stora summor pengar, har stora personalresurser och är uthålliga. Totalt bedriver ett 15-tal länder säkerhetshotande verksamhet och spionage mot Sverige, enligt Säpo.
Trots omfattningen går företag sällan ut med uppgifter om att de utsatts för spioneri. Ulv Rohdin är före detta kriminalkommissarie vid Säpo och driver nu säkerhetsbolaget Greybone Consulting. Han bekräftar att företagsspionage kostar miljardbelopp.
– Att någon kommit åt företagens information är inget de vill skylta med, det vore dålig publicitet. Samtidigt åker de bästa spionerna inte fast, så omfattningen är troligtvis ännu större i verkligheten. De här brotten är svåra att utreda och det är få som åker fast med fingrarna i syltburken, säger han.
Ulv Rohdin anser att svenska företag är naiva när det kommer till att möta säkerhetshoten.
– Många tänker att spionage inte händer oss, att det är något som säkerhetstjänsten ska ägna sig åt. I många andra länder i västvärlden är bolagen betydligt mer försiktiga. Min teori är att det beror på att Sverige varit förskonat från krig i modern tid. Straffsatserna för de här brotten måste skärpas, det är ganska magra straff i Sverige om man jämför med exempelvis USA.
Främmande makt vill åt spetsforskning
Enligt Säpo har hotet från främmande makt breddats och fördjupats under senare år. Andra länder är inte längre enbart intresserade av försvarshemligheter. Spioner vill också åt information om forskning, innovationer och ny teknik:
”Det bedrivs inhämtning bland annat mot teknisk och militär forskning och mot produkter med dubbla användningsområden. Även mot svenska högskolor och universitet bedrivs inhämtning från främmande makt”, skriver Fredrik Hultgren-Friberg, pressekreterare på Säpo, i ett mejl till Kollega.
Ulv Rohdin håller med.
– Forskning inom grön teknik är superhett just nu och genom att komma över kommersiellt värdefull information slipper dessa företag finansiera egen grundforskning som kostar mycket pengar.
Enligt Säpo behöver säkerhetsskyddet i Sverige stärkas. Risken är annars att svensk tillväxt påverkas: ”Gapet mellan ett växande hot och de sårbarheter som finns behöver minska. Säkerhetspolisen ser brister i verksamheter bland annat avseende säkerhetsskyddsanalyser, it-säkerhet och personalsäkerhet.”
Ett företag som inte är naivt i sin inställning till säkerhet är försvarstillverkaren Saab. Företaget utvecklar och tillverkar bland annat vapen för markstrid, ubåtar och stridsflygplanet Gripen.
Enligt Kennet Alexandersson, senior säkerhetsanalytiker på företaget, finns flera länder som försöker stjäla information från svensk industri.
– De har personal, så kallade underrättelseofficerare, vars enda uppgift är att stjäla information eller rekrytera människor som vill göra det åt dem. Sådan personal finns i Sverige och är något vi på Saab måste vara uppmärksamma på.
För att skydda sig arbetar Saab med informationssäkerhet, it-säkerhet, fysisk säkerhet och personalsäkerhet. All personal utbildas vid rekrytering och kontinuerligt under anställningen.
Är det läskigt att jobba på ett företag där man vet att det kan finnas personer som vill åt ens information?
– Nej, givet att vi satsar mycket på utbildning och träning och berättar hur hotet faktiskt ser ut. Det är när man är oinsatt eller inte har fått tillräckligt mycket träning som det blir läskigt.
Företag som sysslar med verksamhet av betydelse för Sveriges säkerhet omfattas av säkerhetsskyddslagen. Enligt den måste sådana företag vidta åtgärder för att skydda känsliga uppgifter. Lagen säger också att personal som arbetar med säkerhetskänslig verksamhet ska säkerhetsprövas.
Vid en prövning görs en registerkontroll och en personutredning. Syftet är att ta reda på om en person är lojal, pålitlig och vilka sårbarheter en person har.
Den som utreds kan till exempel få frågor om alkohol- och drogvanor och privatekonomi. Andra sårbarheter är missnöje med arbetsgivaren, att man inte får tillräckligt med uppmärksamhet eller har en narcissistisk eller antisocial personlighetsstörning, enligt en vägledning från Säpo.
För att personalen på Saab inte ska uppleva att arbetsgivaren kränker deras integritet är det viktigt att förklara syftet med åtgärderna, säger Kennet Alexandersson.
– Att ha hög säkerhet är inget självändamål utan har ett syfte. Om vi inte förklarar blir åtgärderna svåra att förstå och skulle kunna uppfattas som kränkande.
Checklista mot företagsspionage
- Skydda all digital information.
- Var försiktig med hur du delar information digitalt.
- Förhindra nätfiskeattacker.
- Etablera ett säkerhetsmedvetande i hela organisationen.
- Genomför kommunikationsinsatser och utbildning
- Genomför personkontroll.
Källa: Teknikföretagen & SOFF (Säkerhets- och försvarsföretagen)
De senaste åren har spioner i högre grad börjat använda sig av datorer för att komma över information. Men Annika Liljemark, säkerhetschef på Saab, tycker att alla delar i säkerhetsskyddet är viktiga.
– Ser man till samhället i stort är hotet till stor del kopplat till informations- och it-säkerhet. Men ju svårare det är för någon att komma över information den vägen, desto större är risken att någon försöker ta sig in fysiskt. Det blir som samverkande kärl.
Vilken information vill spionerna åt?
– Detaljer kring det kan vi inte gå in på. Vi måste identifiera vilka skyddsvärden vi har och bygga vårt skydd utifrån det.
Ulv Rohdin säger att det är svårt för utomstående att komma åt värdefull information via it-systemen. Dock är de största hoten fortfarande kopplade till cyberhot och insiderverksamhet.
– Vi lever i en digital värld så visst förekommer det, men för att lyckas ta ut riktigt bra information från ett företag krävs det en person på insidan. Om man tittar på de fall av spionage som uppdagats de senaste åren så är de insiderrelaterade. Det är ett större hot än hackerattacker. Företagen bygger upp sitt skydd för en yttre fiende, men många gånger handlar det om att det finns en person på insidan.
Fokuserar på skuldsatta
Främmande makt riktar ofta in sig på personer med stora skulder eller som hyser agg mot företaget. Som medarbetare bör man, enligt Ulv Rohdin, alltid vara uppmärksam på om någon i ens närhet börjar fråga vad man gör på jobbet.
– Främmande makt är proffs på att värva folk. Det är oftast oskyldiga frågor i början, man bygger upp förtroende över tid. Alla bör ställa sig själva frågan vad man egentligen kan berätta om sitt jobb ur ett säkerhetsperspektiv. När det gäller insider finns det ofta små signaler som tyder på att något inte stämmer som att kollegan överträder policys, tar in obehöriga på företaget eller uppträder psykiskt instabilt eller pratar illa om arbetsgivaren.
Kollega har varit i kontakt med Scania och Volvo Cars för en intervju om hur de arbetar mot spioneri, men båda företagen har avböjt att medverka. Säpo har valt att svara på Kollegas frågor via mejl.
Fem kända spionaffärer
Stig Bergling (1937-2015)
Arbetade vid Försvarsstabens säkerhetsavdelning. Greps 1979 för spionage åt Sovjetunionen. Sålde förteckningar över Sveriges hemligaste försvarsanläggningar. I förhören uppgav Bergling att gjort det som hämnd mot otrevliga kollegor inom militären. Dömdes till livstidsfängelse men rymde under en permission 1987.
Stig Wennerström (1906-2006)
Överste i flygvapnet. Greps 1963 efter många års spaningsarbete. Spioneriet för Sovjetunionens räkning kunde avslöjas tack vare Wennerströms städerska Carin Rosén som hittade filmrullar i en taklucka på övervåningen i bostaden. Dömdes till livstids straffarbete, frigavs 1974.
Bertil Ströberg (1932-2012)
Chef för flygstabens sambandsavdelning. Greps 1983. Skickade brev med hemliga uppgifter till polska ambassaden och en begäran om 25 000 kronor, om man ville ha mer information. Nekade till spionanklagelserna fram till sin död. Dömde till sex års fängelse.
Fritiof Enbom (1918-1974)
Kommunistisk järnvägsarbetare. Greps 1951 och erkände omedelbart att han spionerat för Sovjets räkning genom att ha avslöjat viktiga militära anläggningar. Dömdes till livstids straffarbete men i efterhand anser många bedömare att Enbom var mytoman.
Hans Melin (1916-1996)
Kriminalkommissarie vid utlänningsroteln. Greps 1979. Lämnade ut hemliga handlingar till irakiska ambassaden, bland annat upplysningar om irakiska medborgare som sökt asyl i Sverige. Dömdes till fyra års fängelse.
Säkerhetsskyddslagen
- Ett företag som har verksamhet som kan påverka rikets säkerhet omfattas av säkerhetsskyddslagen. Den säger bland annat att företagen måste göra en analys av vilka uppgifter som kan vara känsliga och hur de ska skyddas.
- Lagen kan till exempel omfatta företag som levererar varor och tjänster till försvaret, kärnkraftverk, banker och företag inom telekomsektorn.
- Även företag som inte omfattas av säkerhetsskyddslagen kan vara intressanta för spioner. Det kan till exempel handla om företag som utvecklar ny teknik.