Det var mikrofinansinstitusjonen LOLC Bank i Kambodsja som skulle ha fått pengene som ble stjålet da Norfund skulle overføre det første bidraget 16. mars i år. Faksimile fra deres websider.

PWC : Norfund manglet flere tiltak for å hindre 100-million-svindelen

En kjede av ulike faktorer gjorde det mulig å svindle Norfund for 100 millioner bistandskroner, konkluderer revisorfirmaet PWC i sin granskning av nettsvindelen Norfund ble utsatt for i mars. Investeringskapasiteten svekkes ikke på kort og mellomlang sikt, men på lengre sikt vil fondet ha mindre penger til å reinvestere i utviklingsland.

Av Jan Speed Sist oppdatert: 09.07.2020 12.28.23

I mai ble det kjent at kriminelle hadde klart å komme innenfor Norfunds epostsystem og fikk omdirigert en førstegangsutbetaling i til en falsk konto i Mexico. Summen var 10 millioner dollar. Styret i Norfund ba rådgivningsselskapet PricewaterhouseCoopers  (PWC) om å gjøre en uavhengig granskning. Rapporten foreligger nå og er oversendt til Norfunds «eier», Utenriksdepartementet.

– Det har vært viktig å raskt kartlegge hendelsesforløpet. Vi har nå god oversikt og jobber målrettet videre for å iverksette tiltak tilpasset dagens skjerpede trusselbilde, sier styreleder Olaug Svarva i en pressemelding.

 

Manglet robuste systemer

Både PWC og politiet tror at en profesjonell kriminell gruppe med betydelige ressurser står bak svindelen. Det er ingen mistanke om at interne har vært involvert. PWC mener bedrageriet var «sofistikert og vanskelig å oppdage».

Gjennomgangen viser at Norfunds rutiner og systemer ikke har vært robuste nok til å stå imot denne type svindel. Samtidig påpeker PwC at det var ingen enkelståene svikt som var hovedårsaken, men at «det var en kombinasjon av flere forhold som gjorde Norfund mer utsatt for bedrageri».

PwC skriver at gjerningspersonene sannsynligvis fikk tilgang til epostkorrespondanse gjennom såkalt nettfisking. De manipulerte og forfalsket deretter informasjonsutveksling mellom Norfund og låntager over tid på en måte som var realistisk i utforming, innhold og språkdrakt.

Eksperter på cyberkriminalitet i PWC mener at Norfund var ikke raske nok til å iverksette tiltak mot et nytt og mer avansert form for datakriminalitet. Hadde de gjort dette hadde nok svindelen vært «mer vanskelige å gjennomføre».

Fondet har også manglet innkjøpskompetanse på IT-sikkerhet. Det er vært en uklar fordeling av roller og ansvarsforhold mellom Norfund og selskapet som driver deres IT-systemer. PWC mener Norfund burde hatt mer fokus på «worst case»-tenkning – forberede seg bedre på det verst tenkelige ved å vurdere alle mulige svakheter i eget system og rutiner. PWC mener det var en rekke sikkerhetssvakheter og manglende fokus blant ansatte.

 

Nye tiltak

Allerede kort tid etter at svindelen ble oppdaget innførte Norfund nye betalings- og epostrutiner.

– Vi har gjort mye, men ikke nok raskt nok for å styrke våre rutiner og systemer. Fremover vil vi gjennomgå, følge opp og konkretisere tiltakene som anbefales av PwC i rapporten,» sier administrerende direktør Tellef Thorleifsson i pressemeldingen.

Norfund sier at dette er tiltak som vil bli prioritert framover:

  • Fortsette arbeidet med å styrke betalingsrutiner og systemer
  • Forbedre bevisstgjøring og trening på IT-sikkerhet i organisasjonen
  • Styrke intern kompetanse for oppfølging av IT-leverandør
  • Styrke håndtering av operasjonell risiko
  • Forbedre prosess for innføring av nye rutiner og retningslinjer

 

Investeringer rammes på lengre sikt

Kort tid etter at svindelen ble kjent ba utviklingsminister Dag-Inge Ulstein om en redegjørelse fra styret, og understreket behovet for å trekke lærdom av det som hadde skjedd, og unngå at det kunne gjenta seg.

I svaret som styreleder Olaug Svarva sendte til Ulstein for noen uker siden, og som Bistandsaktuelt har fått innsyn i, heter det at i en situasjon med korona-krise for mange bedrifter i utviklingsland vil det «være svært skadelig dersom Norfund nå stopper opp eller reduserer sitt aktive engasjement som følge av bedragerisaken.»

Samtidig påpekte hun at:

«Tapet som følge av bedrageriet er betydelig, men det vil ikke svekke Norfunds investeringskapasitet på kort og mellomlang sikt. Over tid vil det likevel være slik at et slikt tap – på linje med tap på investeringer – fører til lavere investeringskapasitet gjennom et lavere bidrag fra reinvestert kapital.»

Om Norfund

  • Norfund forvalter samlede verdier for om lag 30 milliarder kroner.
  • I 2019 ble det avtalefestet nye lån og investeringer på totalt 4 milliarder kroner.
  • Norfund mottok tilbakebetalinger fra investeringene i form av utbytte, renter og avdrag på lån på totalt 2,1 milliarder kroner fordelt i fjor.
  • Omsetning var på 1,3 milliarder kroner, og et positivt årsresultat på 1,1 milliarder i 2019.
  • Norfund har totalt 91 ansatte hvorav 63 i Oslo og 28 fordelt på fem utekontorer.

Kilde: Norfund

 

 

BUS

Styreleder i Norfund, Olaug Svarva. Etter svindelen har styret opprettet  et risiko- og revisjonsutvalg. Foto: NTB scanpix

Meld deg på Bistandsaktuelts nyhetsbrev. Hold deg orientert om det som skjer innen bistand og utviklingspolitikk.
Publisert: 09.07.2020 12.28.23 Sist oppdatert: 09.07.2020 12.28.23