Sikkerhetsekspert om Norfund-svindelen: – Disse pengene er ikke lenger i Mexico

100 millioner kroner skulle til Kambodsja. Nå er de søkk vekk. – Må ha rutiner som funker i et trusselmiljø i 2020, ikke 2010, sier sikkerhetsekspert.

Norfund har blitt svindlet til å gi fra seg 100 millioner kroner. Her fra pressekonferansen om svindelen onsdag, fra venstre styreleder Olaug Svarva, administrerende direktør Tellef Thorleifsson og juridisk direktør Thomas Fjeld Heltne.

Vidar Ruud
  • David Bach
Publisert:

Det er som tatt ut av en digital versjon av Hollywoods «Oceans Eleven»: Den 30. april oppdaget statlige Norfund at de for to måneder siden hadde overført 100 millioner kroner til feil mottager.

I stedet for en mikrofinansinstitusjon i Kambodsja, var millionene gått til et kontonummer i Mexico, og til en gruppe organiserte, høyt sofistikerte svindlere, som etter alt å dømme sitter på «hjemmekontorer» verden rundt og gnir seg i hendene.

– De greide å komme på innsiden av våre systemer over lang tid. De gjorde seg godt kjent med hvordan vi kommuniserte. De manipulerte og forfalsket informasjonsutvekslingen, sa Norfund-direktør Tellef Thorleifsson på en pressekonferanse onsdag ettermiddag.

– Det var sinnrikt gjort, la han til.

Sikkerhetsekspert: – Ikke så vanskelig

Norfund, som er statens investeringsfond for næringsvirksomhet i utviklingsland, bruker DNB som bankforbindelse, og deres bedragerijeger Terje Fjeldvær var også på pressekonferansen. Han minnet de fremmøtte om at utbyttet fra svindelen var dobbelt så stort som fra Nokas-ranet.

– Så må vi samtidig huske at det var veldig mye mindre risiko for de som utfører noe sånt som dette enn det var for Nokas-ranerne, sier sikkerhetsekspert Kai Roer til E24 torsdag.

– Det er ikke så utrolig vanskelig å få til dette.

Roer er daglig leder i sikkerhetsselskapet CTRLe, og driver daglig med opplæring i sikkerhetsrutinene som han mener må ha sviktet hos Norfund denne gangen.

– For å minske sannsynligheten for å bli rammet av et slikt angrep, trenger man typisk å revidere rutinene sine, og få på plass rutiner som funker i trusselmiljøet i 2020, og ikke 2010.

– For det andre må man måle tilstanden hos de ansatte og trene inn den atferden man trenger. Hos Norfund ser man her en tydelig indikator på at man ikke har gjort en god nok jobb med å kartlegge og gjennomføre gode opplæringstiltak, sier Roer.

Gründer og daglig leder Kai Roer i CTRLe.

Foto: CTRLe

Mener eieren har ansvar

Roer retter pekefingeren mot både styre, ledelse og til og med eierne av Norfund, som ifølge hans syn ikke kan ha vært tydelige nok i sine krav til kontroll.

– La oss si at dette var et privat selskap. Aksjonærene hadde blitt ordentlig sure på styret, som hadde tatt dette til ledelsen. Ansvaret for gjennomføringen ligger jo hos ledelsen, mens oppfølgingen av det ligger hos styret. Selve retningen ligger hos eier, altså det å kreve at styret har kontroll.

I dette tilfellet er det staten og Utenriksdepartementet, ved bistandsminister Dag-Inge Ulstein, som er Norfunds eier.

– Er det rutinesvikt eller menneskelig svikt som har forekommet her?

– Definitivt begge deler. Her er det rutiner som ikke er blitt informert om godt nok, eller fulgt opp godt nok gjennom tekniske kontroller, men også opplæringen, ellers er den jo bare der for papirets skyld.

Les også

3 av 10 tilbøyelige til å klikke på phishing-e-poster

Organiserte og rutinerte

Ifølge Roer er bakmennene bak denne typen svindler typisk godt organiserte, og ironisk nok er de avhengig av selv å ha gode rutiner.

– Hvis vi ser på omfanget generelt, så så vi bare i fjor, og bare i USA, hele 24.000 slike svindeltilfeller.

Da er det to ting det er nyttig å huske, mener Roer:

– Det ene er at dette er svært. Det er en profesjonell organisasjon og helt sikkert mange ulike grupper. Og det andre er at når man opererer i en sånn skala, er man helt avhengig av å ha gode rutiner også på den siden.

Operasjoner som dette er normalt nøye planlagt, og det er lagt opp en plan allerede fra start.

– De kriminelle har en playbook, og den har de brukt på å komme frem til resultatet. Dette er en forholdsvis avansert svindel, du skal overbevise minimum 4–6 ulike personer på ulike steder i ulike organisasjoner, noen ganger inklusive banken, om at du er noen andre enn du er.

– Det betyr at du må ha gode script, gode svar og gode stories som fungerer på hvert av disse ulike stegene. Det er det vi kaller «playbook», eller prosedyre på norsk.

Ikke lenger i Mexico

Svindlerne utnytter deretter menneskelige faktorer, og bruker manipulasjon i kommunikasjonen til å overbevise alle motpartene. Når pengene først er i havn, er de nok også mistet for alltid.

– Pengene er sporet til Mexico, men de vet ikke hvor det har gått siden da. Det vi har sett er at disse organisasjonene typisk er globale, sier Roer.

– Lenge før det var «populært» i resten av verden satt disse typisk på hjemmekontor ulike steder i verden. En slik organisasjon kan ha medlemmer rundt hele verden, og i praksis betyr det at selv om pengene er sporet tilbake til Mexico, så er de ikke lenger der.

Nå er pengene spredt rundt hele planeten, tipper Roer.

– Poenget er at dette handler om å kartlegge virksomheten sin. Finne ut hvor de svake områdene er. Helst uten å måtte betale 100 millioner kroner.

Norfund: – En kjede av hendelser

Leder Ylva Lindberg i strategi- og kommunikasjonsavdelingen i Norfund har fått oversendt kritikken fra Roer, og sier som Thorleifsson sa under onsdagens pressekonferanse.

–Det faktum at dette har skjedd viser at våre systemer og rutiner ikke er gode nok. Det har vi umiddelbart tatt tak i.

– Av hensyn til både sikkerhet og den pågående politietterforskningen er det begrenset hva vi kan vi kan dele av informasjon om våre systemer og rutiner. Det er også slik at detaljert informasjon om organisasjoners IT-sikkerhet og systemer kan utnyttes av svindlere som utfører slike dataangrep, sier Lindberg.

Norfunds styre har engasjert PWC for å gjøre en ekstern, uavhengig gjennomgang av selskapets rutiner og sikkerhetssystemer, opplyser hun.

– Hvilke rutiner er det som har sviktet i dette tilfellet? Er det snakk om rutinesvikt eller menneskelig svikt?

– Per i dag kan vi si at der er en kjede av hendelser som har gjort denne svindelen mulig. Vi jobber nå for å kartlegge hendelsesforløpet i detalj.

– Har ledelsen vært opptatte nok av en god sikkerhetskultur i Norfund?

– Alle organisasjoner, også Norfund, er avhengig av at samspillet mellom systemer, rutiner og mennesker fungerer godt, ikke minst for å forebygge denne type svindel. Per i dag kan vi si at der er en kjede av hendelser som har gjort denne svindelen mulig. Den interne og eksterne gjennomgangen vil gi oss mer informasjon om dette, sier Lindberg.

Utenriksdepartementet er også blitt forelagt kritikken fra Roer torsdag ettermiddag, men har så langt ikke kommentert uttalelsene.

I en uttalelse til NRK onsdag sa bistandsminister Dag-Inge Ulstein at saken er alvorlig.

– Jeg har bedt styreleder Olaug Svarva om en gjennomgang for å klargjøre hvordan dette kunne skje og hva som gjøres for å sikre Norfund mot denne typen kriminalitet. Norge er en stor bidragsyter til utvikling av næringsvirksomhet i fattige land, og det er helt avgjørende at sikkerheten rundt disse midlene er god, sa Ulstein.

Her kan du lese mer om

  1. Norfund
  2. Kambodsja
  3. Mexico

Flere artikler

  1. Norfund ble svindlet for 100 millioner: – Dette er dobbelt så stort som Nokas-ranet

  2. Fiskeindustrien i Lofoten holder pusten

  3. Hurtigruten vil ikke seile før tidligst midten av juni

  4. Annonsørinnhold

  5. Staten med låneordning for pakkereiseselskapene for å sikre refusjon av nordmenns avbestilte ferier

  6. Tradisjonsrikt Stavanger-selskap flytter hovedkontoret til Bergen