Riksrevisjonen finner Norfunds IT-sikkerhet sterkt kritikkverdig: Hadde fortsatt svakheter i august i år

Norfund har undervurdert informasjonssikkerhet som en risiko, viser Riksrevisjonens undersøkelser.

Det skriver revisjonen i tirsdagens rapport om informasjonssikkerheten i det statseide fondet.

Riksrevisjonen oppsummerer sine funn slik:

Norfunds risikovurderinger har hovedsakelig vært rettet mot risiko ved selskapets kjernevirksomhet og de sektorpolitiske målene som er satt for Norfund.

Norfund har ikke hatt mål eller strategier for informasjonssikkerhet.

Norfund har ikke gjennomført en systematisk vurdering av hvilken informasjon de bør prioritere å beskytte.

I 2018 ble Norfund gjort bevisst på risikoen for å bli utsatt for dataangrep. Likevel tok Norfund ikke informasjonssikkerhet inn i sine overordnede risikovurderinger.

Norfund har selv sendt ut en pressemelding etter publiseringen av rapporten.

«Vi tar Riksrevisjonens funn alvorlig og vil bruke denne grundige gjennomgangen i vårt videre arbeid med å styrke Norfunds informasjonssikkerhet,» sier Norfunds styreleder Olaug Svarva i meldingen.

100-millionerskupp

Norfund ble i mars i år svindlet for 100 millioner kroner da de skulle overføre et lån til en mikrofinansinstitusjon i Kambodsja. Kriminelle hadde fått tilgang til e-post-systemene til de to aktørene, og pengene gikk i stedet til en bankkonto i Mexico.

Bedrageriet fant sted halvannet år etter at en samarbeidspartner av Norfund, Alios, hadde blitt lurt til å betale et låneavdrag på 7 millioner kroner til en norsk forretningsmann i Trøndelag i stedet for Norfund.

«Saken førte til at Norfund økte sin oppmerksomhet rundt IT-sikkerhet. Norfund mente at bedrageriet var en påminnelse om at de måtte være på vakt, og at det var behov for å øke bevisstheten om denne type kriminalitet i selskapet», skriver Riksrevisjonen.

Norfund besluttet å innføre flere sikkerhetstiltak etter Alios-svindelen i 2018, men disse ble av ulike årsaker utsatt i tid. Norfund har vist til stor arbeidsbelastning, utskiftning av en prosjektleder og en terrorhendelse i Nairobi som årsaker til forsinkelsen.

Riksrevisjonen kommer frem til at bedrageriet på 100 millioner kroner kunne vært unngått dersom Norfund hadde innført såkalt multifaktor-autentisering (MFA) for sikker identifisering av brukere, og dersom de hadde hatt gode rutiner for behandling av varsler om sikkerhetshendelser.

«Etter vår vurdering var det ikke tekniske årsaker til at implementeringen av MFA tok lang tid. Innføring av skytjenester som Microsoft Office 365 gjør en virksomhet utsatt for datainnbrudd dersom det ikke samtidig blir innført MFA. Det ville vært langt vanskeligere for svindlerne å få kontroll over en e-postkonto i Norfund dersom MFA hadde vært innført», skriver Riksrevisjonen.

Fortsatt svakheter i august

Samtidig finner Riksrevisjonen at Norfunds IT-sikkerhet fortsatt hadde svakheter i august i år.

«I august 2020 kontrollerte vi tekniske sikkerhetstiltak i Norfund opp mot Nasjonal sikkerhetsmyndighets anbefalinger om fire effektive tiltak for å stoppe dataangrep,» skriver de i sin oppsummering, og ramser opp at Norfund:

i noen grad benytter systemer som ikke lenger støttes av leverandører

ikke oppdaterer all programvare fortløpende

ikke har kontroll på hvilke programmer som kan kjøres i deres nettverk

har svært mange brukere med rettigheter som gir tilgang til og kontroll over selskapets IKT-systemer.

Med bakgrunn i sine funn skriver Riksrevisjonen at det såkalte kritikknivået ligger på «sterkt kritikkverdig».

Dette angir forhold som har mindre alvorlige konsekvenser, men gjelder saker med prinsipiell eller stor betydning, ifølge Riksrevisjonens veileder.

De anbefaler nå Norfund å gjøre vurderinger av hvilken informasjon selskapet må beskytte, og at informasjonssikkerheten følges opp gjennom selskapets risikostyring og internkontroll.

Samtidig ber de Utenriksdepartementet følge opp at tiltak for å bedre informasjonssikkerheten i Norfund blir gjennomført.

Iverksatt tiltak

Norfund har, både før og etter Riksrevisjonens gjennomgang, iverksatt flere tiltak for å styrke informasjonssikkerheten, skriver de i en pressemelding.

Tiltakene inkluderer:

Styrket systemer, herunder implementering av «SOC» (Security Operations Centre) fra Mnemonic

Kompetansebygging ved å styrke opplæring og bevissthet rundt IT-sikkerhet hos alle ansatte og rekruttering av ny kompetanse

Gjennomgang og bedring av prosesser og rutiner

Styrket arbeid med risiko i ledelse og styre, blant annet gjennom opprettelse av et risiko- og revisjonsutvalg i styret og ansettelse av ekstern internrevisor

«Riksrevisjonens hovedfunn er relevante og viktige for oss å ta tak i og vi har allerede gjort mye for å adressere funnene. Dette er kontinuerlig og hardt arbeid for å møte et trusselbilde i stadig endring,» sier Norfunds administrerende direktør Tellef Thorleifsson i meldingen.

