Nettsvindel: Råd til organisasjoner og medarbeidere

Verden digitaliseres i et rasende tempo. Det skaper nye muligheter – og nye fallgruver. Nettkriminalitet er en virkelighet som har kommet for å bli. I løpet av 2020 er Norfund blitt svindlet for 100 millioner kroner i 2020, Norad ble utsatt for et lignende angrep rett etter på og senest i september ble Stortinget utsatt for dataangrep.

Dette er bakgrunnen for at bistands-Norge ble invitert til et læringsseminar med fokus på viktigheten av sikkerhetsrutiner, internkontroll og andre tiltak for å redusere risiko.

• Opptak: Se igjen webinaret om nettsvindel

Norad har samlet en rekke råd og erfaringer fra webinaret. Kilder for rådene er Nasjonal sikkerhetsmyndighet (NSM) og DNB, mens Utenriksdepartementet, Norad og Norfund deler av egne erfaringer.

Det er viktig å presisere at dette kun er en oppsummering av ett seminar om IKT-sikkerhet. Norad viser særlig til råd som fremgår av nettstedene til Nasjonal sikkerhetsmyndighet og DNB for ytterligere råd og veiledning.

Tiltak for organisasjoner

Sikkerhetskultur

• Det er viktig å fostre en IKT-sikkerhetskultur i organisasjonen.
  
  Dette må komme fra toppen, det er altså et lederansvar og innebærer fokus på sikkerhet over tid. Ett enslig krafttak er ikke nok, understreker ekspertene.
  
  
• Ansvaret for IKT-sikkerhet bør være tydelig plassert.
  
  Hvem skal lede arbeidet? På hvilken måte? Dette er noen spørsmål som avklares. Samtidig må det skapes en bevissthet hos hver enkelt ansatt eller medlem om at sikkerhetsarbeidet også angår dem. Ingen er immun mot svindel og svindelforsøk. Derfor er forebyggende arbeid noe av det viktigste en organisasjon kan gjøre.
  
  
• God opplæring til ansatte
  
  Ingen systemer er bedre enn det svakeste ledd. Det er viktig å gi god opplæring til de som gjennomfører arbeidet, og sette dem i stand til å avdekke uregelmessigheter og svindelforsøk.

Trygge systemer

• Sikre e-postsystemene (IT-teknisk)
  
  Ekspertene anbefaler at man sikrer e-postsystemene til organisasjonen. Råd er å ta i bruk Sender Policy Framework (SPF), Domain Keys Identified Mail (DKIM) og Domain-based Message Authentication, Reporting and Conformance (DMARC).
  
  
• Bruk en sikker kanal for å sjekke utbetalinger
  
  Bruk trygge, kjente banker til overføringer der det er mulig, spesielt ved bruk av nettbank.
  
  Man bør bare bruke ukjente, lokale nettbanktjenester dersom disse tilbyr to-trinns autorisering. To-trinns autorisering vil ofte bety at en e-postkonto bekreftes ved hjelp av kommunikasjon (SMS) via en på forhånd bekreftet mobiltelefonkonto. Eks. Det norske «bank-ID»-systemet benytter to-faktor autorisering.

Om det går galt: Ha planene klare

Er man forberedt dersom krisen inntreffer? Hvem tar grep om krisen?

• Fakta må på bordet og dokumenteres, informasjon må behandles og kanaliseres til dem som trenger informasjonen.
• Etablering av en egen krisegruppe eller «task force» vil gjøre det mulig at resten av organisasjonen viderefører vanlig arbeid.

Ekspertene tilrår å lage en plan for systematisk behandling av informasjon. Det er flere behov; vurdér hvilken informasjon som må holdes tilbake, og hva som kan kommuniseres – både internt og eksternt. Opplæring og trening på aktuelle situasjoner vil betale seg på sikt.

Det er en kostnad ved flere av tiltakene foreslått. Men kostnadene knyttet til god digital sikkerhet er lav sammenlignet med potensialet for skade og negative konsekvenser organisasjoner betaler om de utsettes for svindel. Se grunnprinsipper for IKT-sikkerhet fra Nasjonal sikkerhetsmyndighet (NSM).

Tiltak for den enkelte medarbeider

Sunn fornuft er ofte en god praksis for å sikre seg mot bedrageri, og burde være en naturlig del av alle menneskers «førstelinje-forsvar».

Det er svært enkelt å forfalske informasjon, særlig digitalt. Det er derfor ekstra viktig at du tenker deg om før du velger å godta invitasjoner, trykke på lenker eller gjennomføre handlinger du får beskjed om i en e-post. En smart huskeregel er: Aldri klikk på en lenke uten å tenke.

Er du i tvil om noe er ekte? Ring til avsender eller bruk en annen kanal. Kjennskap og nærhet til den du prater med, vil kunne avdekke om stemmen er forfalsket (ja, kriminelle har deep-fake tekonologi). Hvis du tror at e-posten kan være falsk, er det ingen vits å sende en e-post for å spørre. Da kan det være for sent.

Alle ansatte som er involvert i økonomiske transaksjoner må kjenne regelverket. De som er direkte involvert, skal også kjenne rutinebeskrivelser i detalj og følge dem.

Når rutiner ikke kan følges, f.eks. når en ansvarlig ikke er tilstede, øker sårbarheten. Ferie- og vikarperiodene gir økt risiko for såkalt «direktørsvindel». Det kan være tilfelle når en «sjef» ber en medarbeider om å betale en legitim faktura, men til et nytt kontonummer. Dette betyr ikke at man ikke skal ta ferie. I stedet kan det bety at enkelte transaksjoner utsettes til man er sikker.

Covid-19-pandemien har gjort oss alle mer sårbare. Kraftige tiltak i mange land har blitt brukt som begrunnelse for å bytte bank eller å gi nye adresser. Og siden alle mennesker i alle land kjenner til tiltakene har det vært lettere enn vanlig, for svindlere å få «forståelse» for at situasjonen er ekstraordinær.

En ekstraordinær situasjon kan aldri begrunne at man dropper kontroll av mottakerens ID, adresse og autentisitet.

Rådene over er hentet fra webinar om nettsvindel mot norsk bistand fra september 2020, hvor representanter fra NSM, DNB, Norfund, Norad og Utenriksdepartementet delte viktige erfaringer for å hindre nettkriminalitet. Du kan se opptak av alle innledere på Norads youtubekanal.