Den här artikeln fungerar inte med mobiler i strömsparläge. Stäng av strömsparläget om det är på, och ladda om sidan!

Svenska censurfabriken blev diktaturernas hovleverantör

Flera diktaturer använder teknik utvecklad i Sverige för att censurera internet. Utrustningen har sålts till bland annat Egypten, Belarus och Uzbekistan. 

Spår i internettrafik från flera länder pekar mot ett bolag i en oansenlig byggnad i Varberg. Affärerna med auktoritära stater har skapat oro ända upp på regeringskansliet, enligt mejl DN har tagit del av.

– I händerna på en skurkstat kan tekniken göra så att folk blir kidnappade eller torterade, säger en tidigare anställd.

Detta är en låst artikel. Logga in som prenumerant för att fortsätta läsa. Logga in

Oktober 2020, någonstans i Egypten.

En man knappar in ett kommando i sin dator, ansluten via ett vanligt egyptiskt bredbandsnät. Kommandot börjar spara ner detaljer om internettrafiken på hans hårddisk, sådana som är dolda för vanliga användare. Sedan försöker han gå in på hemsidan för en människorättsorganisation. 

Mannen är teknisk analytiker och samarbetar med aktivister mot censur i landet. Det han gjorde nu var ett experiment, med syfte att identifiera vilken utrustning som användes för att stoppa åtkomst till vissa webbplatser. 

När han försöker gå in på människorättsorganisationens sajt tar det stopp. Som väntat, eftersom den har blockerats i landets internetcensur.

Men det viktiga här är vad som syns i den sparade internettrafiken. Fem små siffror som leder spåren från diktaturen till Sverige. 

För ett otränat öga är loggfilen obegriplig – rad efter rad om ip-adresser och nätverkskopplingar.
Men mannen vet vad han ska leta efter: Ett speciellt nummer, unikt som ett fingeravtryck.
Samma nummer dyker upp varje gång censuren blockerar en sajt.
Sifferkombinationen ska visa sig viktig: 13330.
Faktum är att den bevisar en hel del om Sverige, en ljusskygg sida av teknikvärlden och dess relation till förtryckande regimer runt om i världen.

DN inleder i dag en granskning av hur svenskutvecklad internetteknik har blivit ett verktyg för diktaturer runt om i världen. I fokus står bolaget Sandvine, tidigare känt som Procera Networks. Det är okänt för de flesta, men i två decennier har företaget förfinat sina metoder för att kartlägga internettrafik.

Granskningen bygger på vittnesmål från tidigare anställda, läckta interna dokument och sparad internettrafik från diktaturer. Den svenska tekniken har sålts till flera länder som kränker mänskliga rättigheter, där den har använts för att censurera internet. Det framgår av både teknisk bevisning och från samtal med fler än tio tidigare anställda som arbetade på företaget någon gång mellan 2008 och 2020.

– Tekniken behöver inte vara farlig i sig. Men i händerna på en skurkstat kan tekniken göra så att folk blir kidnappade eller torterade, säger en tidigare anställd.

Flera av källorna vittnar om att de anställda reagerade kraftigt när de fick krav om att utveckla rena censur- och övervakningsfunktioner.

– Ägarna räknade med att folk bara skulle vika sig, säger en annan tidigare anställd.

Källorna vittnar även om specifika tillfällen där företaget gick hänsynslösa regimer till mötes. Mer om det senare.

•••

Allt började med ett litet teknikbolag i Varberg, som genom flera uppköp har blivit en del av det internationella storföretaget Sandvine. Det säljer den kontroversiella tekniken för mångmiljonbelopp till myndigheter och internetoperatörer över hela världen. 

Tekniken som Sandvine säljer är ett tveeggat svärd: Den bygger på mycket detaljerad analys av internettrafik, som gör det möjligt att identifiera dels vilka sajter som användarna besöker, dels se om de använder särskilda appar, krypterade meddelandetjänster och verktyg för att kommunicera säkert och ta sig förbi blockeringar. 

Metoden brukar kallas deep packet inspection eftersom den blickar djupt in i nätverkstrafiken. I grunden är den utvecklad för att operatörer ska få nätet att fungera bättre. Genom att skilja på exempelvis videosamtal och nedladdning av filer kan man få allt att flyta smidigare. Men i händerna på en auktoritär regim blir den ett verktyg för både övervakning och censur.

Sandvines produkter har sålts till diktaturer och auktoritära stater, såsom Azerbajdzjan, Jordanien, Belarus, Egypten, Förenade arabemiraten, Kazakstan, Ryssland och Saudiarabien. Det visar både företagsdokument och andra källor. 

Genom åren har Sandvine, även under det tidigare namnet Procera Networks, fått kritik vid flera tillfällen. Affärstidningen Forbes skrev 2016 om hur anställda sade upp sig i protest mot ett kontroversiellt avtal med Turkiet. Bloomberg avslöjade nyligen hur Sandvine har hjälpt flera diktaturer. Bland annat användes företagets produkter i Belarus för censur i samband med presidentvalet i fjol, något som Sandvine då till slut bekräftade även för DN.

Tekniska spår, exempelvis de som mannen i Egypten hittade i oktober 2020, visar att Sandvines produkter har använts i flera av länderna för att kväsa demokratisk opposition – åtminstone fram till för bara några månader sedan.

Belarus. Europas sista diktatur höll sommaren 2020 presidentval. Ett val präglat av fusk och manipulation.
Enorma demonstrationer mot diktatorn Aleksandr Lukasjenko intog gatorna i Minsk och andra städer. Polisen slog brutalt mot demonstrationerna. Tusentals greps.
Samtidigt blockerades internet. En efter en blev nyhetssajter, sociala medier och meddelandetjänster omöjliga att nå.
”Syftet är utan tvekan att minska folks möjlighetet att organisera sig och demonstrera. Det gör det också mycket svårare att få ut information och bilder från övergreppen”, rapporterade Human Rights Watchs utsända strax efter valet.
Belarus är ett sällsynt exempel på där Sandvine har bekräftat att dess utrustning har använts för censur.
Egypten. Den arabiska våren och protesterna på Befrielsetorget i Kairo gav inget demokratiskt Egypten. I dag är landet en hårdför diktatur efter en kupp 2013.
Oppositionella förföljs. Men även sociala medier-användare som bara anses för utmanande, som Sama el-Masri som greps för sina inlägg på Tiktok och dömdes till tre års fängelse.
Filmskaparen Shady Habash greps för att ha gjort en satirisk musikvideo. Han hittades död i sin cell våren 2020.
Hundratals webbplatser censureras i Egypten, inte minst sådana som är kritiska mot regeringen.
Internettrafik från så sent som 2020 visar att Sandvines utrustning har använts för censuren.

Att censurera, eller helt stänga ner, internet i samband med val eller proteströrelser har blivit en vanlig metod för diktaturer och auktoritära stater över hela världen att kväsa uppror.

Bland de sajter som blockerats i dessa länder märks Wikipedia, nyhetssajter, samlingssajter för oppositionella och communities för HBTQ-personer. Även en rad tjänster som används för att surfa anonymt och kringgå censur blockeras.

I flera av länderna som Sandvine har sålt utrustning till finns konkreta tekniska spår som visar att den har använts för internetcensur.

Tack vare nätaktivister i länderna finns data från så kallade sniffers, ett särskilt datorprogram som används för att visa hur internettrafiken ser ut under huven. Den har samlats in mellan 2018 och 2020 och innehåller mycket starka bevis för att det är Sandvines utrustning som används för censuren.

Det är här mannen i Egypten, hans experiment och sifferkombinationen 13330 kommer in i bilden.

Numret finns inte i någon officiell dokumentation av Sandvines produkter. Inte heller har företaget någonsin offentligt bekräftat dess betydelse. Men år 2018 gjorde en organisation i Kanada ett genombrott som kom att bli nyckeln till att spåra Sandvines roll i internetcensuren. Gruppen lyckades köpa ett begagnat exemplar av företagets viktigaste produkt: maskinen Packetlogic. 

Det är en produkt med djupa svenska rötter. Det var den som började utvecklas i Varberg för nästan 20 år sedan, medan företaget fortfarande var helsvenskt. Sedan dess har det köpts upp två gånger, och hela tiden har Packetlogic följt med. Den ser ut som mycket annan nätverksutrustning, en svart låda med flera kontakter och lysdioder. Men den innehåller bland världens mest avancerade funktioner för att analysera, behandla och manipulera internettrafik. 

DN
Exemplar av den produkt från företaget som Citizen Lab kommit över – en äldre modell. Foto: Citizen Lab

Den kanadensiska gruppen heter Citizen Lab och är kopplad till universitetet i Toronto. När dess tekniker kom över ett exemplar av Packetlogic genomförde de ett experiment. De monterade upp maskinen, startade den och kunde se att den fungerade. Men också att den lämnade spår efter sig i den internettrafik den hanterade.

Bland annat syntes det helt unika numret 13330 i varje så kallat ”paket”, den minsta beståndsdelen i nätverkstrafik. Det är mycket udda – i all vanlig nätverkstrafik skulle en sifferkombination slumpas fram på nytt och skilja sig från paket till paket. Även andra detaljer i trafiken är unika för Sandvines utrustning.

Det gör det möjligt att se när det är just Sandvines maskin som används för att censurera en sajt, eftersom ledtrådarna dyker upp i internettrafiken. Flera tidigare anställda har bekräftat för DN att metoden är tillförlitlig. 

Och 13330 var alltså exakt vad mannen i Egypten kunde se varje gång han försökte besöka en censurerad sajt. Därmed är det så gott som bevisat att Sandvines teknik användes för internetcensur även i Egypten, så sent som i höstas.

DN
Koden 13330 som syntes varje gång en blockerad sajt besöktes är som ett fingeravtryck för Sandvine.

En annan grupp som har bidragit med att kartlägga var Sandvines utrustning används är Qurium, en internationell organisation som upplåter serverplats åt hotade mediesajter.

– Sandvines tekniska plattform motverkar aktivt vårt arbete, säger en person på Qurium, specialiserad på att analysera internettrafik i repressiva stater.

Förutom i Egypten har spår från Sandvines utrustning hittats i internettrafik från Turkiet, Jordanien och Uzbekistan mellan 2018 och 2020. I övriga länder är det svårare att säga exakt hur Sandvines produkter har använts. I exempelvis Belarus har vi inte kunnat hitta de tekniska bevisen, men där har företaget ändå tvingats medge att utrustningen har använts för censur. 

De senaste spåren syns alltså i loggfiler från andra halvåret i fjol. Sedan upphör de, vilket betyder att maskinen nu är svårare att spåra. Enligt uppgift till DN beror det på en mjukvaruuppdatering som Sandvine har skickat ut till sina kunder.

•••

Spåren från diktaturernas grymheter leder oss till en medelstor svensk stad.
Den här oansenliga byggnaden i Varberg hyser Sandvines svenska huvudkontor.
DN:s intervjuer med tidigare anställda ger en samstämmig bild: företaget har varit väl medvetet om att produkterna använts i diktaturer för internetcensur och i vissa fall ren övervakning.
”Vid ett tillfälle begärde en operatör i Turkiet att vi skulle bygga en funktion för att sniffa upp lösenord till servrar. Det kom in som en beställning från kunden. Och det finns verkligen ingen bra anledning till att göra det. Ingen alls”, säger en källa.

Just Turkietaffären fick år 2016 flera anställda att säga upp sig i protest. Att fånga upp lösenord var ett klart etiskt övertramp, ansåg flera anställda.

Sandvines kunder är främst stora internetoperatörer. Dessa bolag har i sin tur krav på sig från myndigheterna i de aktuella länderna. Flera gånger har anställda reagerat på kundernas förfrågningar, som verkade skräddarsydda för rent internetspionage mot medborgarna.

Vid ett tillfälle kom en operatör i Kazakstan, enligt DN:s källor, med en förfrågan till företaget: att spara ner så kallade webbkakor. Även denna funktion är svår att tolka på något annat sätt än att kunden vill ta del av uppgifter som går bortom vad som är rimlig nätverkshantering. Webbkakor är en typ av textfil som exempelvis hanterar inloggningen på lösenordsskyddade webbplatser. Med hjälp av dessa kan det till exempel gå att kapa inloggningen.

– Jag visste ju att de utvecklade produkter för deep packet inspection. Men det var betydligt mer specifikt än jag kunnat ana. På min anställningsintervju sa de att de inte sålde till diktaturer, men det visade ju sig sedan inte stämma. Det blev tydligt att vi sysslade med ”shady stuff”, berättar en källa.

DN
Kazakstan – ett land som av Freedom house betecknas som ofritt, saknar demokratiska val och har stora inskränkningar i yttrandefrihet – har enligt DN:s källor gjort förfrågningar hos Sandvine om att spara ner webbkakor. Foto: Alamy

DN har även sett intern dokumentation över hur bolagets system fungerar. Handlingarna visar att till och med anställda på Sverigekontoret kunde få mycket detaljerad information om människor i flera länder, bland annat i Mellanöstern. Det kunde röra sig om både realtidsdata och historiska data över en specifik mobiltelefons geografiska position baserat på vilken mobilmast den är uppkopplad mot. Eller hur mycket en viss internetanslutning använde sig av Facebook, Youtube, Snapchat, Whatsapp, och så vidare.

•••

DN kan även berätta att Sandvines samröre med auktoritära stater har fått larmklockorna att ljuda på Regeringskansliet.

Den omstridda Turkietaffären 2016 fick viss uppmärksamhet, även i svensk media. Det gjorde att en tjänsteman på näringsdepartementet fick upp ögonen för frågan och tipsade ISP, Inspektionen för strategiska produkter, som reglerar export av vapen och annan känslig utrustning.

ISP inledde en granskning, där även Försvarets radioanstalt kopplades in.  

Frågan som myndigheterna ställdes inför var denna: Skulle Sandvines produkt, om den hamnar i fel händer, kunna göra sådan skada att den måste omfattas av särskilda exportregler? 

Sådant kallas PDA, ”produkter med dubbla användningsområden”. Vissa kemikalier omfattas om de kan användas dels civilt, dels för att tillverka kemiska stridsmedel. Eller mekaniska komponenter som kan utgöra en liten del av en kärnvapenmissil. Men efter tipset från Regeringskansliet behövde ISP nu ta ställning till om Sandvines utrustning också skulle omfattas.

DN
Christer Ahlström är tidigare generaldirektör för ISP. Myndigheten har utrett om Sandvines produkter är av sådan känslig art att de ska beläggas med särskilda villkor för export. Foto: Pontus Lundahl/TT

Christer Ahlström är tidigare generaldirektör för ISP, i dag chef för Utrikespolitiska institutet. Han vill inte kommentera det specifika fallet men säger generellt om IT-produkter och exportkontroll:

– En produkt blir PDA-klassad när tekniken bedöms vara så känslig att man måste ha kontroll över exporten av den.

I nästan ett år korresponderade ISP med företaget. Delar av brevväxlingen är belagd med sekretess. Men i stort ser inte Sandvine ut att ha några invändningar mot att få sin utrustning PDA-klassad, även om en ISP-tjänsteman vid ett tillfälle antecknar att ”företaget verkar ovilligt att lämna ifrån sig detaljerade produktbeskrivningar”. I september 2017 skrev ISP ett mejl till Försvarets radioanstalt: ”Hur som helst verkar nu iaf ISP, FRA och företaget eniga om att företaget exporterar PDA-produkter”.

I slutet av 2017 fick Sandvines utrustning PDA-klassning. Men alla detaljer om beslutet är sekretessbelagda: Exakt vilken del av tekniken, varför den ses som känslig och om det är direkt kopplat till dess potential för digital övervakning.

Dokumenten visar att Sandvines svenska bolag bara registrerades för export till de länder som anses minst kontroversiella: EU och ytterligare några västerländska demokratier. Där finns inget tillstånd att exportera till länder som Egypten eller Turkiet, trots att den alltså har identifierats i censursammanhang där. Det behöver inte betyda att några svenska exportregler har brutits. En tänkbar förklaring är att exporten går via det USA-baserade ägarbolaget. Huruvida Sandvines teknik är exportreglerad även i USA enligt samma princip om dubbla användningsområden är hemligt. USA:s handelsdepartement redovisar inte ens om någon ansökan har lämnats in, meddelar departementet när DN frågar.

Klart är dock att Sandvine i mer slutna sammanhang har lyft fram affärer med diktaturer som en merit.

Vid en kundkonferens i Dubai 2018 listades både turkiska Turkcell och Egyptens myndighet som reglerar internet bland kunderna.
Detta framgick av en bild som Sandvine twittrade från sitt officiella konto. Den raderades snabbt, men inte snabbare än att kritiker hann inse vad den visade.

Dagens Nyheter har sökt Sandvine, både via bolagets amerikanska presstjänst och Sverigekontoret. De bekräftar att de tagit emot intervjuförfrågan men vill inte svara på frågor eller ge någon intervju, trots upprepade försök. I stället hänvisar företaget till en policy, där det står att dess ”blockerings- och filtreringsteknik” är skapad för att skydda användare och stoppa kriminalitet. ”Dessa trafikhanteringsprodukter är inte avsedda att kränka mänskliga rättigheter eller blockera ett fritt informationsflöde.” 

DN har även varit i kontakt med Sandvines ägarbolag Francisco Partners. Företaget har fått samma frågor men har inte heller ställt upp på någon intervju. I ett generellt uttalande skriver Francisco Partners att Sandvines utrustning syftar till att stoppa barnpornografiskt material, skadlig kod och annan kriminalitet. ”Faktum är att denna typ av teknik används över hela världen och säljs av dussintals stora företag”, skriver Francisco Partners. Bolaget skriver också att koncernen har ”ett affärsetiskt ramverk” som vid minst ett tillfälle har stoppat försäljning till ett land som är föremål för sanktioner. 

Det rimmar illa med att företaget i fjol faktiskt medgav att utrustningen hade missbrukats i en diktatur – efter valet i Belarus. I ett mejl till DN i september skrev företaget att tekniken hade utnyttjats för att ”hindra fritt informationsflöde under valet” och lovade att sluta göra affärer med landet. 

Detta dock en dryg månad efter det manipulerade valet i Belarus, som ledde till att diktatorn Aleksandr Lukasjenko behöll makten.