Investeringsfondet Norfund ble svindlet for 100 millioner kroner ved at tyver klarte å hacke seg inn på deres epostsystemer og deretter manipulerte en pengeoverføring slik at den havnet på en falsk konto i Mexico.
Utviklingsminister Dag-Inge Ulstein ser alvorlig på saken.
– Denne saken har gjort at vi på ny har satt faren for svindel på dagsorden for våre kollegaer i Norad og i utenrikstjenesten. Det er aldri noen garanti mot misligheter, men vi har omfattende rutiner og regelverk for håndteringen av utbetalinger for å unngå at bistandspenger går tapt på grunn av kriminalitet eller svikt, sier Ulstein til Bistandsaktuelt.
Like over sommeren vil Ulstein invitere hjelpeorganisasjonene til et møte for å skape økt bevissthet rundt it-kriminalitet og svindel.
– Ikke minst må vi lære av hverandre og forebygge nye tilfeller. Teknologien endrer seg og vi må hele tiden oppdatere eget planverk og treffe gode tiltak for å redusere risiko. Dette forventer vi også av våre partnere, sier Ulstein.
Norfunds ledelse har uttalt at de i forbindelse med svindelsaken ønsker å være åpne slik at andre virksomheter kan lære av saken og ta sine forholdsregler.
Norad, Flyktninghjelpen, Norges Røde Kors og flere andre i bistandsmiljøet har opplevd forsøk fra kriminelle på å manipulere epost for å kunne stjele penger – men uten at svindlerne har lyktes.
Røde Kors ble forsøkt nettsvindlet i 2018, for fem millioner kroner. Noen hadde hacket seg inn i epost-kontoen til Norges Røde Kors’ regionalkontor i Latin-Amerika, og i tillegg opprettet falske kontoer som var til forveksling lik kontoene til andre kollegaer i regionen.
– De hadde åpenbart overvåket mail-strømmen en stund og skjønt hvordan betalingsanmodningene, såkalte «cash requests», gikk fra feltkontoret i Colombia, via regionkontoret i Panama og til hovedkontoret, forteller Marte Kristin Fremstedal i internasjonal avdeling i Røde Kors.
Svindlerne hadde lært seg språk og kommunikasjons-formen. De benyttet seg av en gammel utbetalingsanmodning, manipulerte innholdet og skrev et nytt bankkontonummer, også det i Colombia.
– De gjorde noen feil som gjorde at vi ganske lett oppdaget det. De hadde blant annet latt min signatur fra den gamle «cash request’en» stå igjen. Regnskapsavdelingen hadde nok også stoppet overføringen siden det var en ukjent konto. Men det var en vekker, sier Fremstedal.
Røde Kors hadde allerede før dette skjedde begynt å utvikle egne, ikke-epost-baserte rutiner for betalingsanmodninger.
– Vi sjekker nå også alle utbetalingsforespørsler via flere kanaler, ikke bare på email, sier hun.
Svindelforsøk mot Norad
Norad ble forsøkt svindlet for 36 millioner kroner i april i år. Saken er politianmeldt.
– Metoden de benyttet virker svært lik den Norfund ble utsatt for. Angrepene ble stoppet i Norads interne kontroll, og ingen penger ble tapt, sier Svend T. Skjønsberg, teamleder for Varslingsteamet i Norad til Bistandsaktuelt.
Han forteller at en samarbeidspartner i fjor ble utsatt for «phishing». I god tro overførte partneren midler til en konto som viste seg å være falsk, men en bankforbindelse i utlandet stoppet transaksjonen og ingen tap fant sted.
– Vi ser at svindlerne blir mer og mer avanserte. Dette er et område vi hele tiden må utvikle oss på, sier Skjønsberg.
Gjentatte forsøk
Flyktninghjelpen er jevnlig mål for forsøk på nettsvindel, både forsøk på phishing, «email scams» og direktørsvindel («CEO fraud»).
– Vi har så langt ikke tapt penger eller foretatt utbetalinger til urettmessige mottakere, sier Tuva Raanes Bogsnes i Flyktninghjelpen.
Hun opplyser at Flyktninghjelpen jevnlig oppdaterer rutiner og verktøy for å avdekke og forhindre denne typen svindel.
Norsk Folkehjelp har ikke vært utsatt for den samme type epostsvindel som Norfund.
– Vi blir som alle andre internasjonale aktører, til stadighet utsatt for svindelforsøk. Det er som oftest via e-post, sier Håkon Ødegaard, kommunikasjonssjef i Norsk Folkehjelp.
Organisasjonen har tatt grep og tiltak som for eksempel innføring av et to-faktor-system for innlogging. Folkehjelpen gjennomfører også kontinuerlig kursing av ansatte om hvordan de skal oppføre seg ved bruk av epost og innlogging på datasystemer.
Strømmestiftelsen på sin side ikke vært rammet av nettsvindel.
– Etter avsløringene knyttet til blant annet Norfund, har vi vært i ny dialog med Norad og andre aktører for å øke vår oppmerksomhet og kunnskap på området ytterligere. Vi har derfor også gjennomgått våre kontrolltiltak og rutiner på nytt for å sikre oss at vi har de nødvendige godkjenningsprosedyrene internt for å hindre nettsvindel, sier generalsekretær i Strømmestiftelsen, Kristine Storesletten Sødal
Redd Barna er opptatt av opplæring for å avverge nettangrep.
– Det var en periode for et par år siden med ganske mange «spoofingmail», altså falske e-poster, som ser ut som om de er sendt fra ansatte. Vi har ikke gått på svindelforsøk som har fått økonomiske konsekvenser, sier Marta Haraldsen, leder for Transformasjon og Teknologi i Redd Barna.
Redd Barna har også sett en del forsøk på at noen utgir seg for å være «Daglig leder» og samtidig krever utbetaling av et større beløp.
– Her forhindrer våre interne rutiner at dette er mulig. For eksempel så må beløpet som skal utbetales være kjent og i linje med en eller annen budsjettpost. I tillegg må utbetalinger leveres på et bestemt skjema som skal signeres av 2 personer med riktig fullmakt, sier Haraldsen.
Redd Barna kjører it-sikkerhetskurs for alle nyansatte.
Anders Østby, økonomisjef i Kirkens Nødhjelp, forteller at organisasjonen ikke har opplevd forsøk på nettsvindel, slik Norfund var utsatt for.
– Vi er hele tiden oppmerksom på utviklingen og innretter oss for å forebygge og hindre slik svindel. Dette er en stadig større utfordring for alle virksomheter, særlig for mindre lokale partnere, sier Østby.
Elizabeth Walmann i Digni forteller at de har vært utsatt for phishing/CEO-fraud, men det ble stoppet og svindlerne fikk ingen penger.
- Etter denne hendelsen har vi strammet opp interne rutiner og økt bevisstheten om svindelmetoder blant de som sitter på økonomiforvaltning. I tillegg har vi hatt sikkerhetskurs med vår IT-leverandør og justert sikkerhetsnivået på IT-systemene sier Walmann.
Høyt på agenden
Utenriksdepartementet sier at de har risikoen for nettsvindel høyt på agendaen.
– UD har kjennskap til saker med elektronisk svindel eller forsøk på svindel, men i begrenset omfang. Slike saker blir håndtert i samarbeid med politiet, og vi har gjort tiltak for å lukke potensielle avvik i rutiner, sier pressetalsperson Siri R. Svendsen.
Hun understreker at temaet er sentralt i interninformasjon og opplæring, slik at rutinene er kjent og følges i samsvar med kravene.
– I tillegg jobber flere enheter i departementet tett sammen for å styrke det samlede forsvaret mot slike uønskede hendelser. Det jobbes også tett med bankene om disse problemstillingene, sier Svendsen til Bistandsaktuelt.