Webperf
Skrivet av Pierre Mesure.
Jag har precis klickat mig in på en annons för rollen som Gruppchef inom kontraspionage cyber på en av Säkerhetspolisens rekryteringssidor. Uppmaningen är tydlig och rimlig: vi letar efter personer som ska hantera Sveriges säkerhet, och då är diskretion en dygd.
Men den allvarsamma texten hämtas inte från Säpos svenska servrar. Annonsen levereras istället från USA:s västkust, av det amerikanska företaget Cloudflare.
Säkerhetspolisen ansvarar för vårt kontraspionage. Ändå skickar de information om varje besökare rakt in i infrastrukturen hos en amerikansk teknikjätte, inklusive de som söker jobbet att leda arbetet mot kontraspionage.
Det här är inte bara en fråga om GDPR eller juridisk regelefterlevnad. I en tid av geopolitisk osäkerhet, där Trump skapar tvivel kring transatlantiska samarbeten och där vi redan har fått många bevis och varningssignaler om vår största allierades spionage, är det en strategisk säkerhetslucka.
I den här artikeln har jag analyserat hur Säpo, MUST, FRA men också Försvarsmaktens cyberförband och Polisens nationella insatsstyrka behandlar känsliga uppgifter om de som söker sig till dem. Svensk underrättelsetjänst ber oss hålla tyst, men själva har de svårt att inte läcka.
Intressesignaler – guld för en underrättelsetjänst
När du besöker en specifik webbsida, t.ex. Gruppchef inom kontraspionage cyber (archive.org), avslöjar du något om dig själv. Du visar att du har en specifik kompetensprofil och ett intresse för att arbeta med säkerhetsskyddade uppgifter. Kanske får du jobbet, eller så går det till någon annan. Men en sak är säker: alla som rekryteras har besökt annonssidan.
När webbplatsen du besöker använder tredjepartstjänster – som ett DDoS-skydd från Cloudflare eller ett analysverktyg från Google – kopplar din webbläsare upp sig direkt mot dessa företags servrar. De får din IP-adress, din enhets information, och framför allt: de ser exakt vilken sida du är på. De kan också koppla det till många besök på andra webbplatser och kan därmed utan tvekan identifiera dig.
För en aktör som NSA, som har laglig rätt att begära ut data från amerikanska företag genom lagar som FISA 702, är detta ovärderligt. Genom att aggregera alla dessa signaler kan man kartlägga Sveriges framtida försvars- och underrättelseanställda innan de ens har varit på intervju.
Vilka myndigheter läcker?
Jag bestämde mig för att granska hur det egentligen ser ut hos de myndigheter som erbjuder Sveriges känsligaste anställningar. Resultatet är tyvärr nedslående. Med allt från slarviga nybörjarmisstag till systematiska säkerhetsrisker.
Säpo
Säkerhetspolisen är Sveriges nationella säkerhetstjänst och har i uppdrag att förebygga och avslöja brott mot Sveriges säkerhet, bekämpa terrorism och skydda den centrala statsledningen. Man skulle kunna tro att deras kompetens att skydda viktiga uppgifter är på högsta nivån men 2025 kunde DN avslöja att många av deras anställda bryter mot myndighetens egna riktlinjer och läcker platsinformation på träningsappar. Lika slarvigt är det att använda Cloudflare och riskera att avslöja sina framtida anställdas identitet till USA.
Värt att notera är att själva ansökningsformuläret ligger på en annan domän (rekrytering.sakerhetspolisen.se) som inte använder Cloudflare, vilket pekar på att man delvis förstår problemet. Men skadan kan redan vara skedd när kandidaten läser annonsen.
MUST & Cyberförsvarsförbandet (Försvarsmakten)
"En stor del av Must verksamhet omfattas av sekretess och vi ber dig därför att inte berätta att du sökt jobb hos Must för andra personer än dina närmaste."
Så står det på en annons för en IT-säkerhetsspecialist till Försvarsmaktens hemligaste avdelning MUST (Militära underrättelse- och säkerhetstjänsten), och även på annonser till deras cyberförsvarsförband. Men forsvarsmakten.se använder Google Analytics vilket myndigheten själv medger. Verktyget skapar en direktlänk till Googles servrar, som pingar tillbaka varje gång någon besöker sidor som handlar om topphemliga tjänster.
Att Försvarsmaktens webbsida fortfarande använder Google Analytics när så många slutade med det av integritetsskäl för över 5 år sedan är mycket märkligt, och tyder på en extrem nonchalans kring säkerhets- och integritetsfrågor. 2021 granskade Sveriges radio många myndigheter och de flesta agerade fort för att ta bort Googles spårningsteknik. Detta skrev de om i sin kontakt med Försvarsmaktens systermyndighet Försvarets materielverk:
"Den som under det senaste året har läst om ett ledigt jobb på FMV.se har fått sin ip-adress och information om besöket vidarebefordrad till företaget. Detta trots att myndigheten själv sagt att ingen personlig information sparas.
– Det var inte bra. Det var bra att ni har uppmärksammat så ska jag se till så att vi agerar på det, säger Mats Pettersson som är tillförordnad it-chef på FMV.
Kort efter Ekots intervju försvinner Googles analystjänst från FMV:s webbplats."
Som tur är används inte Cloudflare för DDoS-skydd utan svenska företaget Baffin Bay Networks. Tyvärr köptes det 2023 av amerikanska Mastercard, vilket blir ännu en säkerhetsrisk och väcker frågan: finns det idag säkra alternativ för myndigheter som behöver skydd mot överbelastningsattacker?
OBS: Precis innan den här artikeln publicerades uppdaterade Försvarsmakten sina rekryteringssidor. De nya nämner inte att MUSTs tjänster omfattas av sekretess även om de har såklart inte blivit mindre känsliga. Och de använder fortfarande Google Analytics.
FRA
"Får jag berätta att jag sökt jobb hos er?
Vi rekommenderar att du bara berättar det för dina närmaste. Anledningen är att det finns ett visst skyddsvärde i att du har sökt jobb hos oss. Dessutom omfattas vissa delar av FRA:s verksamhet av sekretess."
Försvarets radioanstalt (FRA) signalspanar mot omvärlden för att skydda Sverige. Men på deras rekryteringssida (fra.easycruit.com) verkar man ha glömt bort att skydda sig själv.
Så fort man laddar sidan hämtas typsnitt och Javascript från amerikanska tjänster som FontAwesome, JQuery CDN och OneTrust. En liten Youtube-video har bäddats in i en kant och pingar direkt tillbaka till Googles servrar i USA. År 2026 är detta nybörjarmisstag som en personuppgiftsansvarig inte bör göra, det är extremt enkelt att erbjuda samma funktioner utan att exponera data till omvärlden. Men i FRA:s fall kan man undra vad det säger om deras kompetenser inom signalspaning, och som beställare.
Jag säger beställare
för att rekryteringssidan köptes från Visma Easycruit. Det är oklart hur mycket bolaget utvecklar sin produkt sedan den köptes av Visma. Sidan använder till exempel en 10 år gammal version av jQuery (2.2.4) och Bootstrap (3.3.7) som lider av 3 respektive 8 allvarliga CVE-sårbarheter. På Vismas webbsida kan man också se att Easycruit säger sig använda servrar från Amazon Europe, något som räcker för att alla kandidaters uppgifter hamnar i räckhåll för amerikanska underrättelsemyndigheter. Men FRA verkar inte bry sig, de har upphandlat produkten sedan åtminstone 2011 och FRA:s integritetspolicy nämner fortfarande "Visma Comenius AB" trots att bolaget har bytt namn 2022 och igen 2025.
Polismyndigheten visar att det är möjligt och enkelt att skydda sig
"Du bör inte berätta att du sökt tjänst hos Polismyndigheten för andra personer än dina närmast berörda."
Så lyder det under en annons för en roll hos den nationella insatsstyrkan (NIS), som alltid står redo att agera ifall Sverige utsätts för en storskalig terrorattack.
Den här annonsen, och Polisens webbplats i stort, är det bästa beviset på att det går att bygga en rekryteringssida utan att läcka kandidaters uppgifter till främmande makt. Polisen driver sin webbsida på egen infrastruktur och följer sina besökare med Matomo i egen regi. När du söker en tjänst hos NIS är det bara du och de som vet det.
För många vanliga annonser (som passhandläggare) används systemet Visma Recruit, som också ägs av Visma men inte körs hos Amazon AWS. I Polisens fall verkar de till och med köra det i egen regi. Men för de känsliga annonserna ber de bara kandidater att skicka sitt CV till en e-postadress. Ingen mellanhand och på ett sätt mindre risk för läckor.
Om Polisen kan bygga en säker rekryteringsprocess utan att läcka data till USA, varför klarar inte våra underrättelsetjänster av det?
Bonus
Av ren nyfikenhet granskade jag även försvarsmyndigheter som inte uppmanar att hålla tyst när man söker deras jobb. De arbetar ändå också med känslig verksamhet:
- Kustbevakningen använder en captcha från Cloudflare
- Försvarets materielverk (FMV) skickar data tillbaka till Google genom funktionen Google Translate
- Fortifikationsverket använder BrowseAloud vilket ligger på Amazon SE
- Försvarshögskolan använder Google Analytics och amerikanska CookieHub
- Enbart Plikt- och prövningsverket använder inga amerikanska underleverantörer. De har Matomo i egen drift för webbanalys och webbsidan driftas av Sitevision AB. Heja!
Varför spelar det någon roll?
Google vet redan allt om oss
, brukar man höra när man pekar på amerikanska tjänster och risken för personlig integritet. Men i den här artikeln vill jag prata om något helt annat: Sveriges säkerhet.
Vi lever i en tid där USA:s politik är mer oförutsägbar än på länge. Med Trump vid makten är den transatlantiska länken inte lika självklar. Den danska underrättelsetjänsten pekade ut USA som ett hot för första gången i december 2025.
Vi vet också att USA använder alla möjliga metoder för att spionera på sina allierade. Det avslöjades till exempel 2020 att den svenska försvarsindustrin hade avlyssnats med hjälp av Danmark.
Att i det läget servera USA en lista på potentiella svenska underrättelseagenter via slarviga webbsidor är i bästa fall naivt, i sämsta fall inkompetent.
Vilka risker finns när våra underrättelsemyndigheter blir ännu mer digitala
Ett annat problem är att de ovannämnda myndigheterna också är de som har uppdrag att bearbeta ofantliga mängder data om våra liv. Tack vare Dagens ETCs Eigil Söderin vet vi redan att både Försvarmakten och Polismyndigheten använder sig av lösningar som Palantir. Samma lösning som försvarsmakten i Schweiz vägrade upphandla och som Danmark funderar på att sluta använda på grund av risken att uppgifter skickas vidare till NSA eller CIA. I statliga utredningen En reformerad underrättelseverksamhet
som Carl Bildt lämnade till regeringen juni 2025 förespråkar man att ge underrättelsemyndigheter möjligheter att använda kommersiella molnlösningar i ännu större grad.
Jag tänker inte ge mig in i debatten om denna massövervakning är nödvändig och proportionerlig. Men om våra myndigheter inte ens klarar av den digitala bashygienen
(att drifta sina egna typsnitt eller välja ett europeiskt analysverktyg) för att skydda sina kandidaters uppgifter, hur ska vi då våga lita på dem med system som Palantir?
Det är dags för dem att täppa till läckan.
