Et digitalt angrep har tappet det statseide bistandsfondet Norfund for om lag 100 millioner kroner. Det bekrefter Norfund-direktør Tellef Thorleifsson overfor NRK.
– Det jeg kan si, er at det er sterkt beklagelig at Norfund er utsatt for alvorlig svindel. Det er noe som styret og hele Norfund tar på ytterste alvor, sier Thorleifsson til kanalen.
Svindelen skal være knyttet til en låneavtale Norfund har inngått med en mikrofinansinstitusjon i Kambodsja på 10 millioner dollar.
I forkant hadde gjerningspersonene gjennomført et datainnbrudd som ga dem innsyn i epost mellom Norfunds ansatte og deres samarbeidspartnere.
Manipulerte informasjon
På en pressekonferanse utdyper han:
– De greide å komme på innsiden av våre systemer over lang tid. De gjorde seg godt kjent med hvordan vi kommuniserte. De manipulerte og forfalsket informasjonsutvekslingen, sa Norfund-direktør Tellef Thorleifsson på en pressekonferanse onsdag ettermiddag.
– Det var sinnrikt gjort, la han til.
Han opplyser til NTB at gjerningspersonene har hatt tilgang til epostsystemet i flere måneder. De opprettet også en konto i samme navn som de som egentlig skulle hatt pengene. Slik gikk det til at pengene ble sendt til en konto i Mexico, i stedet for til låntakeren – mikrofinansinstitusjonen LOLC i Kambodsja.
Norfund er statens investeringsfond for næringsvirksomhet i utviklingsland. Investeringskapitalen var på 24,9 milliarder kroner ved utgangen av 2019. Thorleifsson startet som sjef for fondet i 2018, etter å ha vært partner i Northzone i over 20 år.
Skyldte på koronakrisen
Det skjedde 16. mars, men svindelen ble først oppdaget 30. april. Svindlerne «informerte» nemlig LOLC om at utbetalingen ville bli forsinket på grunn av koronasituasjonen i Norge, i en epost sendt fra en falsk Norfund-epostadresse. På samme vis mottok Norfund falske eposter fra det de trodde var LOLC. Dermed tok det tid før det ble klart at pengene var på avveie.
– Vi har sett lignende saker hos våre partnere, men i mindre omfang, og har skjerpet våre rutiner. Dessverre ser vi at tiltakene ikke har vært tilstrekkelig, sier Thorleifsson.
Et annet svindelforsøk som skjedde parallelt ble avslørt og stoppet internt, opplyser fondet.
Etter at svindelen ble oppdaget, ble alle større utbetalinger midlertidig stoppet.
Granskes og etterforskes
Verken Thorleifsson eller styreleder Olaug Svarva vil svare på om det var rutinene som var for dårlige, eller om rutinene ikke ble fulgt. De viser til at de nå har satt revisjons- og rådgivningsselskapet PWC til å gjennomføre en ekstern gransking av saken.
– Dette er en svært alvorlig hendelse som vi beklager på det sterkeste. Vi kartlegger nå det komplette hendelsesforløpet for å komme til bunns i saken og iverksetter tiltak for å hindre at tilsvarende skal kunne skje igjen, sier Svarva.
Hun har hatt flere møter med utviklingsminister Dag Inge Ulstein (KrF) om saken.
Politiet har startet etterforskning, men var ikke tilgjengelig for å svare på NTBs spørsmål onsdag ettermiddag.
– Vi gjør alt vi kan for å berge våre verdier, svarer Thorleifsson på spørsmål om han har håp om å få pengene tilbake.
Dobbelt så mye som Nokas
100 millioner kroner er nesten dobbelt så mye som Nokas-ranet, påpeker Terje Aleksander Fjeldvær, som leder DNBs avdeling for bedrageribekjempelse, men tilføyer:
– Disse kriminelle bærer en betydelig lavere risiko enn ved et ran.
DNB er banken Norfund bruker, men Fjeldvær avviser at de har noe ansvar for å ikke ha hindret at pengene havnet hos feil mottaker i denne saken.
Banken visste at pengene ble utbetalt til en mexicansk konto, og ikke en kambodsjansk, men ifølge både ham og Norfund er det ikke uvanlig med mor- og datterselskaper i ulike land, og at penger derfor overføres til konto i andre land enn der mottakeren holder til.
Økende problem
Fjeldvær forteller at DNB har registrert en økning på 32 prosent av denne typen svindelsaker i fjor, men mener likevel at Norfund-saken er spesiell. Han viser til at gjerningspersonene har stått imellom og manipulert eposter både til den som utbetalte pengene, og den som skulle motta dem.
– Det er mange som stoler på epost, men epost er ikke det sikreste. Kompromittering av epost er veldig vanlig, advarer Fjeldvær.
Han råder selskaper til å bruke flere kanaler enn epost for å kontrollere om informasjon er riktig, før de foretar en utbetaling.