Alarm om nettsvindel: Bistandsaktører skjerper rutinene

Norfunds administrerende direktør Tellef Thorleifsson (midten), styreleder Olaug Svarva og leder for krisestab Thomas Fjell Heltne på pressemøte i forbindelse med at de fortalte at det statlige investeringsfondet var blitt svindlet for 100 millioner kroner gjennom et digitalt angrep. Foto: Vidar Ruud / NTB scanpix.
Norfunds administrerende direktør Tellef Thorleifsson (midten), styreleder Olaug Svarva og leder for krisestab Thomas Fjell Heltne på pressemøte i forbindelse med at de fortalte at det statlige investeringsfondet var blitt svindlet for 100 millioner kroner gjennom et digitalt angrep. Foto: Vidar Ruud / NTB scanpix.
Artikkelen fortsetter under annonsen

Bistands-Norge skjerper rutinene mot nettsvindel. Det skjer etter at investeringsfondet Norfund i mars ble utsatt for den hittil største bistandssvindelen i Norge noensinne. Utenriksdepartementet vil at alle skal trekke lærdom av gigantsvindelen.

Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

Artikkelen fortsetter under annonsen

Investeringsfondet Norfund ble svindlet for 100 millioner kroner ved at tyver klarte å hacke seg inn på deres epostsystemer og deretter manipulerte en pengeoverføring slik at den havnet på en falsk konto i Mexico.

Utviklingsminister Dag-Inge Ulstein ser alvorlig på saken.

Denne saken har gjort at vi på ny har satt faren for svindel på dagsorden for våre kollegaer i Norad og i utenrikstjenesten. Det er aldri noen garanti mot misligheter, men vi har omfattende rutiner og regelverk for håndteringen av utbetalinger for å unngå at bistandspenger går tapt på grunn av kriminalitet eller svikt, sier Ulstein til Bistandsaktuelt.

Like over sommeren vil Ulstein invitere hjelpeorganisasjonene til et møte for å skape økt bevissthet rundt it-kriminalitet og svindel.

Ulike tiltak mot nettsvindel

  • Forhåndsgodkjenning og verifisering av mottakerkonti før transaksjon finner sted, samt strenge godkjenningsrutiner.
  • Utbetalinger leveres på et bestemt skjema som skal signeres av 2 personer med riktig fullmakt
  • Digital signatur
  • Teknologiverktøy for å beskytte epostsystem og domener mot svindelforsøk.
  • Innføring av et to-faktor system for innlogging
  • Regelmessige opplysnings- og holdningskampanjer blant ansatte om informasjonssikkerhet.

– Ikke minst må vi lære av hverandre og forebygge nye tilfeller. Teknologien endrer seg og vi må hele tiden oppdatere eget planverk og treffe gode tiltak for å redusere risiko. Dette forventer vi også av våre partnere, sier Ulstein.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

Norfunds ledelse har uttalt at de i forbindelse med svindelsaken ønsker å være åpne slik at andre virksomheter kan lære av saken og ta sine forholdsregler.

Norad, Flyktninghjelpen, Norges Røde Kors og flere andre i bistandsmiljøet har opplevd forsøk fra kriminelle på å manipulere epost for å kunne stjele penger – men uten at svindlerne har lyktes.

Røde Kors ble forsøkt nettsvindlet i 2018, for fem millioner kroner. Noen hadde hacket seg inn i epost-kontoen til Norges Røde Kors’ regionalkontor i Latin-Amerika, og i tillegg opprettet falske kontoer som var til forveksling lik kontoene til andre kollegaer i regionen.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

– De hadde åpenbart overvåket mail-strømmen en stund og skjønt hvordan betalingsanmodningene, såkalte «cash requests», gikk fra feltkontoret i Colombia, via regionkontoret i Panama og til hovedkontoret, forteller Marte Kristin Fremstedal i internasjonal avdeling i Røde Kors.

Artikkelen fortsetter under annonsen

Svindlerne hadde lært seg språk og kommunikasjons-formen. De benyttet seg av en gammel utbetalingsanmodning, manipulerte innholdet og skrev et nytt bankkontonummer, også det i Colombia.

– De gjorde noen feil som gjorde at vi ganske lett oppdaget det. De hadde blant annet latt min signatur fra den gamle «cash request’en» stå igjen. Regnskapsavdelingen hadde nok også stoppet overføringen siden det var en ukjent konto. Men det var en vekker, sier Fremstedal.

Røde Kors hadde allerede før dette skjedde begynt å utvikle egne, ikke-epost-baserte rutiner for betalingsanmodninger.

– Vi sjekker nå også alle utbetalingsforespørsler via flere kanaler, ikke bare på email, sier hun.

Les også: Politiet: Lite trolig at Norfund får igjen svindelpenger

Svindelforsøk mot Norad

Norad ble forsøkt svindlet for 36 millioner kroner i april i år. Saken er politianmeldt.

Artikkelen fortsetter under annonsen

– Metoden de benyttet virker svært lik den Norfund ble utsatt for. Angrepene ble stoppet i Norads interne kontroll, og ingen penger ble tapt, sier Svend T. Skjønsberg, teamleder for Varslingsteamet i Norad til Bistandsaktuelt.

Han forteller at en samarbeidspartner i fjor ble utsatt for «phishing». I god tro overførte partneren midler til en konto som viste seg å være falsk, men en bankforbindelse i utlandet stoppet transaksjonen og ingen tap fant sted.

Artikkelen fortsetter under annonsen

– Vi ser at svindlerne blir mer og mer avanserte. Dette er et område vi hele tiden må utvikle oss på, sier Skjønsberg.

Les også: Norad utsatt for forsøk på nettsvindel: – Faren for svindel har økt

Gjentatte forsøk

Flyktninghjelpen er jevnlig mål for forsøk på nettsvindel, både forsøk på phishing, «email scams» og direktørsvindel («CEO fraud»).

– Vi har så langt ikke tapt penger eller foretatt utbetalinger til urettmessige mottakere, sier Tuva Raanes Bogsnes i Flyktninghjelpen.

Artikkelen fortsetter under annonsen

Hun opplyser at Flyktninghjelpen jevnlig oppdaterer rutiner og verktøy for å avdekke og forhindre denne typen svindel.

Norsk Folkehjelp har ikke vært utsatt for den samme type epostsvindel som Norfund.

Økt svindelrisiko etter Norfund-svindelen

– Det som nylig ble offentlig kjent om svindelen som Norfund ble utsatt for, øker faren for at andre norske virksomheter vil bli utsatt for forsøk på nettsvindel, sier advokat Erling Grimstad til Bistandsaktuelt.

Han har holdt en rekke seminarer for bistandsbransjen om korrupsjon og misligheter og har bakgrunn som førstestatsadvokat i Økokrim, politietterforsker og etterforsker i FN.

Grimstad mener at Norfund-svindelen vil oppmuntre kriminelle til å forsøke seg igjen på andre aktører.

– Jeg er dessverre redd for at Norge kan bli en slags «honningkrukke» der svindlere ser at andre har lykkes, og tro at det i Norge er gode muligheter til å gjennomføre tilsvarende forsøk, sier han.

– Vi blir som alle andre internasjonale aktører, til stadighet utsatt for svindelforsøk. Det er som oftest via e-post, sier Håkon Ødegaard, kommunikasjonssjef i Norsk Folkehjelp.

Organisasjonen har tatt grep og tiltak som for eksempel innføring av et to-faktor-system for innlogging. Folkehjelpen gjennomfører også kontinuerlig kursing av ansatte om hvordan de skal oppføre seg ved bruk av epost og innlogging på datasystemer.

Strømmestiftelsen på sin side ikke vært rammet av nettsvindel.

– Etter avsløringene knyttet til blant annet Norfund, har vi vært i ny dialog med Norad og andre aktører for å øke vår oppmerksomhet og kunnskap på området ytterligere. Vi har derfor også gjennomgått våre kontrolltiltak og rutiner på nytt for å sikre oss at vi har de nødvendige godkjenningsprosedyrene internt for å hindre nettsvindel, sier generalsekretær i Strømmestiftelsen, Kristine Storesletten Sødal

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

Redd Barna er opptatt av opplæring for å avverge nettangrep.

– Det var en periode for et par år siden med ganske mange «spoofingmail», altså falske e-poster, som ser ut som om de er sendt fra ansatte. Vi har ikke gått på svindelforsøk som har fått økonomiske konsekvenser, sier Marta Haraldsen, leder for Transformasjon og Teknologi i Redd Barna.

Redd Barna har også sett en del forsøk på at noen utgir seg for å være «Daglig leder» og samtidig krever utbetaling av et større beløp.

– Her forhindrer våre interne rutiner at dette er mulig. For eksempel så må beløpet som skal utbetales være kjent og i linje med en eller annen budsjettpost. I tillegg må utbetalinger leveres på et bestemt skjema som skal signeres av 2 personer med riktig fullmakt, sier Haraldsen.

Redd Barna kjører it-sikkerhetskurs for alle nyansatte.

Artikkelen fortsetter under annonsen

Anders Østby, økonomisjef i Kirkens Nødhjelp, forteller at organisasjonen ikke har opplevd forsøk på nettsvindel, slik Norfund var utsatt for.

– Vi er hele tiden oppmerksom på utviklingen og innretter oss for å forebygge og hindre slik svindel. Dette er en stadig større utfordring for alle virksomheter, særlig for mindre lokale partnere, sier Østby.

Elizabeth Walmann i Digni forteller at de har vært utsatt for phishing/CEO-fraud, men det ble stoppet og svindlerne fikk ingen penger.

- Etter denne hendelsen har vi strammet opp interne rutiner og økt bevisstheten om svindelmetoder blant de som sitter på økonomiforvaltning. I tillegg har vi hatt sikkerhetskurs med vår IT-leverandør og justert sikkerhetsnivået på IT-systemene sier Walmann.

Artikkelen fortsetter under annonsen

Les også: Norfund svindlet for 100 millioner kroner i avansert datainnbrudd

Artikkelen fortsetter under annonsen

Høyt på agenden

Utenriksdepartementet sier at de har risikoen for nettsvindel høyt på agendaen.

– UD har kjennskap til saker med elektronisk svindel eller forsøk på svindel, men i begrenset omfang. Slike saker blir håndtert i samarbeid med politiet, og vi har gjort tiltak for å lukke potensielle avvik i rutiner, sier pressetalsperson Siri R. Svendsen.

Hun understreker at temaet er sentralt i interninformasjon og opplæring, slik at rutinene er kjent og følges i samsvar med kravene.

– I tillegg jobber flere enheter i departementet tett sammen for å styrke det samlede forsvaret mot slike uønskede hendelser. Det jobbes også tett med bankene om disse problemstillingene, sier Svendsen til Bistandsaktuelt.

Artikkelen er opprinnelig publisert hos Bistandsaktuelt