Mängder med ritningar över bankvalv, larmsystem och känsliga anläggningar har läckts på nätet efter dataintrång mot ett svenskt företag, kan DN avslöja.
Uppgifter om skyddet av Sveriges Riksdag finns med. Läckan är enorm – 38.000 filer, många belagda med sekretess, har laddats upp helt öppet på nätet.
Börsnoterade Gunnebokoncernen är en stor aktör inom fysisk säkerhet, så som skalskydd, kontanthantering, larm och övervakning. Bland kunderna märks banker, myndigheter – till och med riksdagsförvaltningen har anlitat Gunnebo för att hålla lokaler och egendom säker. Bolaget beskriver sig som världsledande, med dotterbolag och omsätter över fem miljarder kronor årligen. Verksamheten är global, med kunder över hela världen.
Nu kan DN berätta om en mycket omfattande dataläcka från företagets servrar och datorer. Där finns offerter, kontoutdrag och intern redovisning. Men också mängder med ritningar över känsliga anläggningar. I många fall med exakta placeringar för övervakningskameror, larm, valv och skyddade rum.
Hela läckan har publicerats öppet på nätet av angriparna och kan på så sätt ha kommit händerna på kriminella. Sammanlagt rör det sig om 19 gigabyte information och över 38.000 filer.
Tillsammans med it-säkerhetsexperten Leif Nixon på Sectra Communications har DN tagit del av materialet.
Vissa delar sticker ut:
● Ritningar som visar larmsystem och övervakningskameror på ett SEB-kontor i en svensk stad. En ritning visar exakt var kameror är placerade och vilken del av kontoret de täcker, samt var övervakningssystemets datorutrustning står placerad. En annan visar var larmknappar och rörelsedetektorer finns. Båda ritningarna är daterade till hösten 2019.
● Sekretessbelagda ritningar för Skatteverkets nya kontor i Sundbyberg, med våning efter våning beskriven i detalj. Ritningarna har en tydlig markering om sekretess och vilken del av offentlighets- och sekretesslagen som skyddar dem.
● Ett avtal mellan Gunnebo och Riksdagsförvaltningen avslöjar detaljer om riksdagens skalskydd. När DN kontaktar riksdagens säkerhetsavdelning blir svaret att denna information är sekretessbelagd och inte får finnas i offentliga handlingar.
● Ritningar för en av Stockholms mest exklusiva smyckesbutiker, med tydlig markering var säkerhetsvalvet är beläget. Ett rum är markerat CCTV, det engelska uttrycket för kameraövervakning. Läckan innehåller också offerter där det framgår exakt vilken modell av kassaskåp butiken har erbjudits.
● Ritningar till bankvalv för minst två tyska banker. Valven är byggda för att rymma värdefack som levereras av Gunnebo, och ritningarna ger en detaljerad bild av konstruktionen. Motsvarande ritningar finns även för svenska banker, men de är äldre och åtminstone vissa av bankerna har slutat erbjuda bankfack.
● Fotografier som visar installationen av bankomater i ett annat europeiskt land, samt säkerhetsfunktioner kring dem. Ett dokument innehåller Nordeas svenska föreskrifter för hur bankomater ska byggas in, vilka dörrar som skydda rummet och liknande. Nordeadokumentet är dock äldre, daterat till 2010.
Leif Nixon säger att en läcka om byggnader är extra problematiska. När ett lösenord läcker kan det bytas ut, men fysiska anläggningar kan inte förändras i en handvändning.
– Det här är svårt att återhämta sig från, det handlar om så många fysiska byggnader som skulle behöva byggas om.
Filerna kommer från ett dataintrång i augusti. Gunnebo beskrev det då i ett pressmeddelande som en ”organiserad it-attack” och meddelade att den hade anmälts till Säpo som misstänkt industrispionage. Samtidigt beskriver Gunnebo hur framgångsrikt man hanterade intrånget: ”Bolaget stängde då omedelbart ner servrarna för att isolera attacken. På grund av det snabba ingripandet blev driftpåverkan minimal och verksamheten kunde snabbt återupptas”, skrev Gunnebo.
I uttalandet nämns däremot ingenting om läckt information.
Men redan innan hade gruppen bakom attacken kontaktat Gunnebo. DN har tagit del av meddelandet, där angriparna beskriver hur de har stulit enorma mängder data: Finansiell information, kunddata, uppgifter om anställda, källkod till mjukvara, lösenord och annat. ”Er tid rinner ut”, skriver hackarna. I meddelandet hotar gruppen också att släppa informationen öppet på nätet om inte Gunnebo tar kontakt, precis vad som sedan hände.
Enligt Stefan Syrén, vd på Gunnebo, upptäcktes inte detta förrän långt senare.
Liknande utpressningsattacker har drabbat många företag på senare tid, där hackare både stjäl data och krypterar företagens datorer och servrar. Sedan krävs företaget på en lösensumma för att krypterade data ska låsas upp och stulen information inte ska läckas på nätet. Storviltsjakt, eller ”big game hunting” har det kommit att kallas i it-säkerhetskretsar.
Det hackade materialet laddades upp på en offentlig server under andra halvan av september. Hur många som i dag har tillgång till det är inte känt.
Gunnebos vd Stefan Syrén säger till DN att företaget aldrig övervägde att betala pengar till angriparna, eller ens att ha kontakt med dem.
– Att betala var aldrig på tapeten. Det här är kriminella element. Om man betalar dem så hjälper man dem att fortsätta sin verksamhet, säger han.
För att undersöka själva läckan, med dess tusentals filer, har Gunnebo tagit hjälp av externa it-säkerhetsföretag.
– Det är självklart olyckligt att vi har haft en stöld av data. Vi går igenom materialet nu och i de fall det är känslig information så kontaktar vi kunden.
– Jag har förståelse för att man kan se ritningar som känsliga, men vi betraktar dem inte som känsliga per automatik. När det gäller kameror i offentlig miljö, till exempel, är halva poängen att de ska synas därför är en ritning med kameraplaceringar i sig inte särskilt känslig. Men det är generellt sett mycket olyckligt att information kommer ut.
Att pressmeddelandet i augusti inte nämnde något om läckt information förklarar han med att Gunnebo inte kände till den då, utan fokuserade helt på angriparnas försök att låsa företagets hårddiskar med så kallat utpressningsvirus, vilket beskrevs som framgångsrikt.
– Med det vi visste då så var det framgångsrikt. Vi undvek en nedstängning. Men man lär sig mer hela tiden. Nu vet vi att vi blev bestulna på data och försöker hantera stölden på ett professionellt sätt.
It-säkerhetsexperten Leif Nixon är dock kritisk:
– Gunnebo har fått förtroendet att hantera stora mängder känsliga data, från detaljerad information om bankers säkerhetssystem till uppgifter om inpasseringssystem för skyddsobjekt, säger han.
– Ett sånt förtroende kräver att man har koll på sin säkerhet. Att bli hackad är en sak, det kan man aldrig skydda sig hundraprocentigt från. Men det är under all kritik att hantera en incident så här dåligt. A och O när ett intrång inträffat är att fastställa vad som faktiskt hänt, och här hade tio minuters efterforskning räckt för att förstå risken för att kritiska data blivit stulna. Jag tror att Gunnebo har en lång resa framför sig för att återupprätta sitt rykte.
DN har ställt frågor om läckan till Riksdagsförvaltningen, som återkommer med en skriftlig kommentar: ”Gunnebo har inte informerat Riksdagsförvaltningen om den incident du beskrev i telefon. Orsaken till det får företaget svara på. Vi har ingen närmare kommentar kring det”, skriver Carina Larsson, pressekreterare på Riksdagsförvaltningen.
Skatteverket har fått information om läckan från Gunnebo, bekräftar Johan Lönnqvist, tillförordnad säkerhetschef.
– Informationen är sekretessmarkerad, säger Johan Lönnqvist.
Han gör ändå bedömningen att den inte kommer skada Skatteverket eftersom ritningarna har skickats ut som grund för en offert och därför inte visar några färdiga säkerhetsfunktioner.
– Det är känslig information när de beskriver tjocklek på ett våningsplan och liknande, men det finns inga färdiga säkerhetslösningar på de ritningar vi skickar ut.
Hur reagerar du på att ett företag som ni anförtror sekretessklassad information till råkar ut för något sådant här?
– Det är alltid tråkigt när sådant händer. Vi lever i en förändrad värld, det finns ett större cyberhot. Det är något myndigheter måste jobba med.
Johan Lönnqvist vill i övrigt inte kommentera Gunnebos hantering av händelsen.
SEB vill inte ge någon intervju om händelsen men skriver i en kommentar till DN: ”Vi hade kontakt med Gunnebo i samband med IT-attacken mot bolaget i augusti, och har en löpande dialog med företaget. Vi tar alltid de åtgärder som krävs för att värna vår, våra kunders och våra medarbetares säkerhet. Övriga frågor om den IT-attack som Gunnebo utsattes för i augusti hänvisar vi till Gunnebo.”
Även Nordea har blivit informerade, uppger presstjänsten. I ett skriftligt uttalande uppger banken att händelsen har fått ”marginella konsekvenser”, men avböjer att lämna ut några detaljer.
Artikeln är producerad och publicerad i DN och kan läsas i sin helhet hos DN här