Bedrifter svindles for hundrevis av millioner: – Bare toppen av et isfjell
Norske bedrifter taper hundrevis av millioner kroner på direktør-svindel, hvor svindlere utgir seg for å være sjefen og lurer dem til å overføre penger. Mørketallene er store, mener Bits-direktør.
– Det er mye penger som går ut av norske bedrifter grunnet direktør-svindel. I 2016 gikk det 294 millioner kroner ut fra norske bedrifter som vi ser i våre systemer, sier direktør Eivind Gjemdal i Bits, bankenes infrastrukturselskap, til E24.
Direktør-svindel (på engelsk: CEO fraud) utføres ved hjelp av e-post eller SMS fra personer som utgir seg for å være i ledelsen i bedriften.
– Men det som rapporteres om er bare toppen av et isfjell. Det er mye som er underrapportert. Og grunnen til at det er underrapportert er at dette er tap som selskapene ikke kan få dekket, fordi det er de som har sendt pengene, sier Gjemdal.
Han mener det er et mye høyere tall reelt sett.
– Man ser også spor av det er en underrapportering av «CEO fraud» i ulike internasjonale undersøkelser, sier Gjemdal.
Falske e-postadresser
I sommer ble for eksempel festspillene i Nord-Norge utsatt for direktør-svindel. Med falske e-postadresser og god norsk klarte svindlere å få festspillene i Nord-Norge til å overføre store summer til kontoer i England og Tyrkia.
Gjemdal peker på at tidligere har hackerne ofte gått via PC-en din og gjort en teknisk jobb for å kontrollere PC-en din, og det har de tjent noe penger på.
– I Norge har tapene vært ganske lave grunnet kortsvindel og hackersvindel i Norge.
Han mener disse ligger på rundt 200 millioner kroner i året.
Samtidig understreker han at det svake punktet er oss mennesker.
– De tekniske forsvarsverkene er rimelig bra i Norge, slik at det koster mye å hacke norske PC-er. Det er lettere å manipulere personer enn PC-er, sier Gjemdal.
– Hvorfor fungerer denne svindelen?
– Hackerne klarer å fremstå som administrerende direktør både på e-post og på SMS, det gjør at det er vanskelig å gjennomskue.
Han viser til at det er teknisk sett relativt enkelt å få en e-post å se ut som om den er fra administrerende direktør. De kan også ringe og sende meldinger til folk med feil telefonnummer.
Seniorrådgiver Bjarte Malmedal i Norsk senter for Informasjonssikring (NorSIS) mener at grunnen til at de lykkes med direktør-svindel, er at det er utført av profesjonelle kriminelle.
Han peker på at de gjerne har undersøkt hva som skjer i firmaet, slik at de skal ramme det på det mest sårbare tidspunkt.
– Direktør-svindel er langt mer målrettet enn det meste av annen type svindel på nettet. De kriminelle har gjort undersøkelser på det firmaet de skal svindle, sier Malmedal til E24.
NorSIS arbeider for økt kunnskap og forståelse for informasjonssikkerhet. De driver blant Slettmeg.no, NettVett.no, Security Divas og Nasjonal sikkerhetsmåned.
Sikkerhetsekspert: Frykter ny bølge med datakriminalitet
Dette er direktør-svindel
Direktør-svindel kalles også ledelsessvindel. Det dreier seg om at svindlere utgir seg for å være sjefen, og lurer bedrifter til å overføre penger. Målet med direktør-svindler er å lure økonomiansatte til å overføre penger til en konto.
Svindlerne bruker litt ulike fremgangsmåter. Et eksempel som Gjemdal peker på, er at en sjef i et selskap skal til Asia og jobbe med et stort verft. Hele bedriften vet det, og noen eksternt finner ut dette.
– De kriminelle bygger et case i en bedrift på at penger må utbetales, sier Gjemdal.
Gjemdal viser til at de driver og etterforsker informasjon som gjør at de fremstår som troverdige.
Han peker samtidig på at de kan begynne de med å sende en mail til regnskapssjefen, og sier at de må betale en tollavgift eller konsulentavgift før vi får lov til å komme inn i dette møte.
Noen overvåker og finner ut når administrerende direktør ikke er tilgjengelig. Og mens administrerende direktør sitter på flyet til Asia, kommer det en sms og det kommer en e-post.
I disse står det for eksempel at den ansatte må utbetale 200.000 dollar til selskap X.
– Og fordi de har bygget casen at dette er så viktig, så går pengene ut, sier Gjemdal.
Han peker på at dersom en regnskapsdirektør får beskjed om at administrerende direktør er på vei til Hong Kong, og at selskapet skal tegne en stor avtale på et skip, da tenker han at dette er viktig.
– Hvis det derimot kommer en henvendelse til en regnskapsdirektør om å betale ut 100.000 dollar til firma X uten noen opplysninger basert på kjennskap, så går ikke de pengene ut. Fordi da vil regnskapssjefen sjekke hva dette er for noe, og finne ut at det er feil, sier Gjemdal.
Telenor advarer i fersk rapport: Slik svindles sjefene
Mener risikobildet forverres av ny teknologi
Assisterende direktør Annette Tjaberg i Nasjonal sikkerhetsmyndighet (NSM) mener at risikobildet forverres som en følge av digitalisering og teknologiutvikling.
– Det er viktig at teknisk kompetanse bringes inn i styrerommene. Det vil bedre sikkerhetsarbeidet, sier Tjaberg til E24.
Hun peker samtidig på at det ofte mangler en rød tråd mellom toppledelsen og lavere nivåer i selskapet, og at dette gapet mellom topp og bunn bidrar til at risikobildet forverres.
I sommer offentliggjorde KPMG en rapport om cybersikkerhet og hvordan toppledere i styrerom forholder seg til dette.
Der fremkommer at syv av ti børsnoterte norske selskaper ikke nevner cybersikkerhet i årsrapporten.
– Toppledere i styrer har en jobb å gjøre når det gjelder cybersikkerhet, sier Arne Blystad Helme, leder for Cyber Security Services i KPMG til E24.
Han mener at bedrifter som tar tak i det å ha god cybersikkerhet, vil ha et konkurransefortrinn.
– De som vil lykkes med sin digitaliseringsstrategi i årene fremover er de som tar tak i området cybersikkerhet, og utfordrer de truslene som er der, sier Blystad Helme.
