Börsbolagens hantering av finansiell information är noga reglerad. Hela marknaden ska nås av rapporterna samtidigt så inte någon aktör får en fördel framför en annan. Men även om säkerheten är rigorös just när rapporterna släpps utsätter sig företagen ofta för stora risker dessförinnan.

– Det är ett ofantligt stort och generellt problem, säger Ulf Löfven, vd på säkerhetsföretaget Ekelöw.

Han beskriver en verklighet där majoriteten av börsbolagen skickar runt förarbeten till de kommande rapporterna utan särskilda säkerhetsåtgärder.

– Utkasten kan gå runt flera varv på vanlig mejl, helt utan kryptering. Jag skulle säga att huvuddelen av företagen, säkert 90 procent, skickar runt sådan här information i klartext, säger han.

– Men ingen vet exakt hur det ser ut.

Det kan exempelvis handla om information till styrelseledamöter runt om i landet. Och ju fler mejl som går runt desto större är risken att någon obehörig kommer över informationen.

– Det kan hända precis när som helst. Det kan mycket väl ha gjort det fast det inte blivit känt.

– Att komma åt informationen är enkelt. Till exempel kan personer som har administratörsrättigheter till företagens mejlserver följa trafik som skickas och tas emot där. De behöver inte alls ha avancerade kunskaper, säger Ulf Löfven.


Varnar. ”Företagen skickar utkast till rapporter som vanliga mejl”, säger Ulf Löfven, vd på säkerhetsföretaget Ekelöw.

Men det är inte bara folk inne på företaget som kan komma åt informationen. Om mejl skickas i klartext kan de också läsas på vägen av till exempel personer på den internetleverantör som företaget använder.

– De som arbetar där vet vilka företag som anlitar dem och kan följa deras trafik – då är det inte svårt att gå in och läsa mejlen.

Samtidigt påpekar Ulf Löfven att det finns många säkra sätt att kommunicera. Mejlen kan krypteras och det finns också möjligheter att skapa tittfönster in i en gemensam databas där allt material finns.

– Det blir som skyddade tunnlar in för dem som är behöriga. Och sedan har man löst problemet.

Är det så att bolagen inte förstår riskerna med att mejla?

– Jo, det tror jag. Det är nog snarare så att de inte orkar bry sig. Det är så mycket regleringar runt rapporterna att de ignorerar det. Och så länge det inte går att peka på ett enskilt fall där informationen läckt just den här vägen så struntar bolagen i det.

Fakta

2002: En kvartalsrapport från Intentia läcker ut en timme innan den ska publiceras. En journalist på Reuters tar länken till en tidigare kvartalsrapport men byter ut slutet från ”q2.pdf”, för kvartal två, till ”q3-pdf” och får då upp rapporten för kvartal tre. Reuters publicerar omedelbart rapporten.

2003: Nordea och Sweco varnas av Stockholmsbörsen för att även de råkat ut för samma trick som Intentia.

2006:
Favorit i repris. En anställd i bankteamet på mäklarfirman ABG Sundal Collier gör exakt samma manöver som Reutersjournalisten och byter kvartal på en gammal länk och får då upp Handelsbankens kvartalsrapport. Innan mäklarfirman inser att rapporten inte är offentlig hinner den skicka ut informationen.

2006: En pressrelease med Sony Ericssons opublicerade kvartalsrapport skickas fel och mejlet hamnar hos en journalist på nyhetsbyrån Dow Jones i Stockholm. Dow Jones publicerar rapporten en halvtimme innan Sony Ericsson hinner göra det själva.

2007: En kvartalssiffra byts åter i en gammal länk och stålbolaget SSABs rapport läcker ut sex minuter för tidigt till nyhetsbyrån Six.