Homeland Security varnar:

Säkerhetsriskerna kopplade till Nuctech har varit välkända innan upphandlingen med Swedavia blev klar. Företaget har enligt nyhetsbyrån AP nära band till det kinesiska kommunistpartiet och Kinas försvarsmakt, ”Folkets befrielsearmé”. Enligt Totalförsvarets forskningsinstitut, FOI, är kinesiska företag, oavsett var de verkar i världen, enligt en lag från 2017 skyldiga att samarbeta med kinesisk underrättelseinhämtning.

Martin Waern på säkerhetsbolaget SRS, som har en bakgrund på Must, och arbetade med eftergranskningen av Transportstyrelsen-skandalen, säger att Swedavia mot bakgrund av att Huawei stoppades från att köpa in sig på det svenska 5G-nätet, borde ha undersökt leverantörens kopplingar till kinesiska staten innan man avslutade upphandlingen.

– Det är mycket som tyder på att man inte har gjort de här åtgärderna som man borde ha gjort, det vill säga en särskild säkerhetsskyddsbedömning och en lämplighetsprövning.

I lämplighetsprövningen så ska man just fundera kring utländska leverantörer och de sårbarheter som det kan innebära mot de här skyddsvärdena, i det här fallet skyddet för flygtrafiken och mot terrorism.

Här varnar USA för Swedavias kinesiska säkerhetskontroll på Arlanda

Här varnar amerikanska säkerhetstjänsten för Arlandas kommande säkerhetskontroll.

I ett PM från Homeland Security står det att maskinerna från Nuctech kan ha bakdörrar – som möjliggör fjärrstyrning från Kina.

– Det här är ett dokument som man inte hade kunnat bortse från i en säkerhetsbedömning, säger Martin Waern på SRS Security som tidigare jobbat på Must.

Den nya säkerhetskontrollen på Arlanda som ska bli klar i maj 2023 beskrivs som enorm – och toppmodern.

I upp till 24 linjer ska passagerarna få sitt bagage röntgat – av maskiner från det kinesiska bolaget Nuctech. Enligt uppgifter till Aftonbladet ska varje enhet från Nuctech vara direkt uppkopplad mot Swedavias it-nätverk. Nuctech ska lösa hur systemen ska kopplas upp och hur de ska kunna kopplas samman till andra flygplatser.

Detta öppnar upp för stora säkerhetsrisker.

– Det finns inget som förhindrar att de skickar informationen till Kina. Har de ett uppsåt kommer de exfiltrera informationen genom det här nätet, säger Jakob Schylter, säkerhetsexpert på Kirei AB.

Han tillägger att Swedavia har hundratals, kanske tusentals kunder som är uppkopplade till deras nät, allt från bagagehantering, kaffemaskiner och säkerhetssystem och att de inte kan ha kontroll över vad Nuctech för vidare för information. Arlanda är dessutom klassat som en skyddsobjekt.

– Det finns inget som hindrar att systemen har ett 4G-modem som sitter där och exfiltrerar data.

Homeland Security varnar

Säkerhetsriskerna kopplade till Nuctech har varit välkända innan upphandlingen med Swedavia blev klar. Företaget har enligt nyhetsbyrån AP nära band till det kinesiska kommunistpartiet och Kinas försvarsmakt, ”Folkets befrielsearmé”. Enligt Totalförsvarets forskningsinstitut, FOI, är kinesiska företag, oavsett var de verkar i världen, enligt en lag från 2017 skyldiga att samarbeta med kinesisk underrättelseinhämtning.

I handlingar från den amerikanska säkerhetstjänsten Office of Intelligence and Analysis, I&A, som är en del av inrikesdepartementet Homeland Security, ges en fördjupad bild av de frågetecken kring säkerheten som har fått amerikanska myndigheter att svartlista bolaget i hela USA.

Aftonbladet har tagit del av handlingen från oktober 2020 som skickats till en rad partnerländer i Europa där underrättelsetjänsten slår fast att:

Det är väldigt troligt att Nuctech har en nära och pågående relation med den kinesiska staten för att främja Nuctechs affärsintressen.

Att Nuctech använder sig av affärsmetoder som korruption, mutor och prisdumpning för att skaffa sig marknadsfördelar.

Att Nuctechs system för röntgen och screening troligen har brister i sina skyddsmekanismer som skapar möjligheter för den kinesiska staten att exploatera.

Misstänker bakdörrar för fjärrstyrning

I handlingen så skriver I&A att man inte har definitiva bevis för att det finns några bakdörrar eller sårbarheter i Nuctechs system, men att de ”misstänker att om det finns bakdörrar eller sårbarheter så kommer fjärrstyrning att kunna möjliggöras för att få tillgång till Nuctechs system och annan nätverksinfrastruktur”.

Martin Waern på säkerhetsbolaget SRS, som har en bakgrund på Must, och arbetade med eftergranskningen av Transportstyrelsen-skandalen, säger att Swedavia mot bakgrund av att Huawei stoppades från att köpa in sig på det svenska 5G-nätet, borde ha undersökt leverantörens kopplingar till kinesiska staten innan man avslutade upphandlingen.

– Det är mycket som tyder på att man inte har gjort de här åtgärderna som man borde ha gjort, det vill säga en särskild säkerhetsskyddsbedömning och en lämplighetsprövning. I lämplighetsprövningen så ska man just fundera kring utländska leverantörer och de sårbarheter som det kan innebära mot de här skyddsvärdena, i det här fallet skyddet för flygtrafiken och mot terrorism.

Borde ha påverkat bedömningen

Martin Waern har tagit del av handlingen från I&A och han bedömer att ”det finns inget som tyder på att dokumentet inte är äkta.”

Han säger att dokumentet ska värderas utifrån vem som är avsändare, i det här fallet amerikanska staten som har egna intressen, men att det ändå hade varit värdefullt att ha med i en lämplighetsprövning enligt säkerhetsskyddslagen.

– Ett sådant dokument med substantiellt innehåll om en leverantör borde ha tagits med i lämplighetsbedömningen. Det är naturligtvis viktigt att få med uppgifter om sårbarheter i en sådan bedömning.

Hade Swedavia kunnat gå vidare med Nuctech med vetskap om det här dokumentet?

– Hade man haft tillgång till det här dokumentet inför upphandlingen så borde det naturligtvis ha påverkat bedömningen. Man hade varit tvungen att gå vidare med den här informationen och man hade inte bara kunnat avfärda den. Framför allt hade det varit en viktig del av helheten där man måste fråga sig om om det är bra att vi lägger säkerhetskänslig verksamhet hos kinesiska leverantörer med kopplingar till kommunistpartiet och den kinesiska armén. Den frågan måste man svara på innan upphandlingen.

Andra länder har köpt utrustningen

Swedavia försvarar upphandlingen med att flera andra länder köpt utrustning från Nuctech, att man har följt upphandlingsregler samt att ett säkerhetsskyddsavtal ska tecknas i efterhand. Aftonbladet har ställt flera frågor till Swedavia, bland annat hur cybersäkerhetskraven vid upphandlingen såg ut och om den amerikanska varningen togs i beaktande.

Presschef Robert Pletzin svarar i ett skriftligt uttalande: ”IT-säkerhetsaspekten har självfallet varit en viktig del av upphandlingen. Det framgår också i kravspecifikationen i upphandlingen att man ska följa de IT-säkerhetskrav som Swedavia ställer. Nuctech måste också teckna ett säkerhetsskyddsavtal, så kallat SUA-avtal, där bla informationssäkerheten regleras.”

Aftonbladet har utan framgång sökt Nuctech.