PWC : Norfund manglet flere tiltak for å hindre 100-million-svindelen

I mai ble det kjent at kriminelle hadde klart å komme innenfor Norfunds epostsystem og fikk omdirigert en førstegangsutbetaling i til en falsk konto i Mexico. Summen var 10 millioner dollar. Styret i Norfund ba rådgivningsselskapet PricewaterhouseCoopers (PWC) om å gjøre en uavhengig granskning. Rapporten foreligger nå og er oversendt til Norfunds «eier», Utenriksdepartementet.

- Det har vært viktig å raskt kartlegge hendelsesforløpet. Vi har nå god oversikt og jobber målrettet videre for å iverksette tiltak tilpasset dagens skjerpede trusselbilde, sier styreleder Olaug Svarva i en pressemelding.

Manglet robuste systemer

Både PWC og politiet tror at en profesjonell kriminell gruppe med betydelige ressurser står bak svindelen. Det er ingen mistanke om at interne har vært involvert. PWC mener bedrageriet var «sofistikert og vanskelig å oppdage».

Gjennomgangen viser at Norfunds rutiner og systemer ikke har vært robuste nok til å stå imot denne type svindel. Samtidig påpeker PwC at det var ingen enkelståene svikt som var hovedårsaken, men at «det var en kombinasjon av flere forhold som gjorde Norfund mer utsatt for bedrageri».

PwC skriver at gjerningspersonene sannsynligvis fikk tilgang til epostkorrespondanse gjennom såkalt nettfisking. De manipulerte og forfalsket deretter informasjonsutveksling mellom Norfund og låntager over tid på en måte som var realistisk i utforming, innhold og språkdrakt.

Eksperter på cyberkriminalitet i PWC mener at Norfund var ikke raske nok til å iverksette tiltak mot et nytt og mer avansert form for datakriminalitet. Hadde de gjort dette hadde nok svindelen vært «mer vanskelige å gjennomføre».

Fondet har også manglet innkjøpskompetanse på IT-sikkerhet. Det er vært en uklar fordeling av roller og ansvarsforhold mellom Norfund og selskapet som driver deres IT-systemer. PWC mener Norfund burde hatt mer fokus på «worst case»-tenkning - forberede seg bedre på det verst tenkelige ved å vurdere alle mulige svakheter i eget system og rutiner. PWC mener det var en rekke sikkerhetssvakheter og manglende fokus blant ansatte.

Nye tiltak

Allerede kort tid etter at svindelen ble oppdaget innførte Norfund nye betalings- og epostrutiner.

- Vi har gjort mye, men ikke nok raskt nok for å styrke våre rutiner og systemer. Fremover vil vi gjennomgå, følge opp og konkretisere tiltakene som anbefales av PwC i rapporten,» sier administrerende direktør Tellef Thorleifsson i pressemeldingen.

Norfund sier at dette er tiltak som vil bli prioritert framover:

• Fortsette arbeidet med å styrke betalingsrutiner og systemer
• Forbedre bevisstgjøring og trening på IT-sikkerhet i organisasjonen
• Styrke intern kompetanse for oppfølging av IT-leverandør
• Styrke håndtering av operasjonell risiko
• Forbedre prosess for innføring av nye rutiner og retningslinjer

Investeringer rammes på lengre sikt

Kort tid etter at svindelen ble kjent ba utviklingsminister Dag-Inge Ulstein om en redegjørelse fra styret, og understreket behovet for å trekke lærdom av det som hadde skjedd, og unngå at det kunne gjenta seg.

I svaret som styreleder Olaug Svarva sendte til Ulstein for noen uker siden, og som Bistandsaktuelt har fått innsyn i, heter det at i en situasjon med korona-krise for mange bedrifter i utviklingsland vil det «være svært skadelig dersom Norfund nå stopper opp eller reduserer sitt aktive engasjement som følge av bedragerisaken.»

Samtidig påpekte hun at:

«Tapet som følge av bedrageriet er betydelig, men det vil ikke svekke Norfunds investeringskapasitet på kort og mellomlang sikt. Over tid vil det likevel være slik at et slikt tap - på linje med tap på investeringer - fører til lavere investeringskapasitet gjennom et lavere bidrag fra reinvestert kapital.»