Rapport: Manglende IT-sikkerhet muliggjorde millionsvindel i Norfund

Det viser en uavhengig gjennomgang fra rådgivningsselskapet PwC. De mener at en profesjonell kriminell gruppe med betydelige ressurser trolig sto bak bedrageriet. Det er ingen mistanker om at noen internt i Norfund har vært involvert.

– Hendelsen har tydeliggjort at rutinene ikke har vært robuste nok til å stå imot denne form for svindel, skriver Norfund i en pressemelding.

PwC mener gjerningspersonene fikk tilgang til epostkorrespondanser gjennom såkalt phishing, der avsender fremstår som en reell virksomhet, men i realiteten er en svindler.

– De manipulerte og forfalsket deretter informasjonsutveksling mellom Norfund og låntaker over tid på en måte som var realistisk i utforming, innhold og språkdrakt, heter det.

I mai ble det kjent at det statlige Norfund, som investerer i utviklingsland, var blitt svindlet for 100 millioner kroner. I forkant hadde gjerningspersonene gjennomført et datainnbrudd som ga dem innsyn i eposter mellom Norfunds ansatte og deres samarbeidspartnere.

Hendelsen skjedde 16. mars, men ble ikke oppdaget før 30. april.

Norfund har satt i verk en rekke tiltak, blant annet å øve på IT-sikkerhet.