Del av Dokument 3:2 (2020–2021) / Offentliggjort Undersøkelse av informasjonssikkerhet i Norfund
Vår undersøkelse viser at Norfund har undervurdert informasjonssikkerhet som en risiko.
-
(PDF, 1,07 MB)
Last ned fullversjon
Kort fortalt
- Våren 2020 ble Statens investeringsfond for næringsvirksomhet i utviklingsland (Norfund) svindlet for om lag 100 millioner kroner etter et målrettet dataangrep.
- En ansatts e-postkonto ble hacket i september 2019. E-postkontoen ble overvåket av svindlerne i flere måneder.
- Gjennom overvåkningen fikk svindlerne informasjon om en forestående transaksjon mellom Norfund og en finansinstitusjon i Kambodsja i mars 2020. Svindlerne infiltrere kommunikasjonen og endret betalingsdetaljene.
- 16. mars 2020 ble 100 millioner kroner overført til svindlernes bankkonto. Norfund oppdaget svindelen 30. april 2020.
Funn
Norfund har vært åpne om svindelhendelsen de har vært utsatt for, og har gjennomført en ekstern granskning av denne.
- Norfunds risikovurderinger har hovedsakelig vært rettet mot risiko ved selskapets kjernevirksomhet og de sektorpolitiske målene som er satt for Norfund.
- Norfund har ikke hatt mål eller strategier for informasjonssikkerhet.
- Norfund har ikke gjennomført en systematisk vurdering av hvilken informasjon de bør prioritere å beskytte.
- I 2018 ble Norfund gjort bevisst på risikoen for å bli utsatt for dataangrep. Likevel tok Norfund ikke informasjonssikkerhet inn i sine overordnede risikovurderinger.
- Norfunds IKT-infrastruktur er satt ut til ekstern leverandør.
- Norfund har ikke hatt tilstrekkelig og dedikert kompetanse til å kunne stille spørsmål og sette krav til tjenesteleverandøren når det gjelder IKT-sikkerhet.
- Norfund har ikke utnyttet mulighetene i avtalen mellom dem og tjenesteleverandøren for å følge opp IKT-sikkerhet.
- Norfund har i for stor grad basert seg på at leverandøren skal ivareta IKT-sikkerheten.
- Etter svindelsaken i 2018, besluttet Norfund å innføre multifaktor-autentisering (MFA) for sikker identifisering av brukere. MFA ble allikevel ikke innført før i april 2020.
- Norfund har ikke hatt skriftlige rutiner eller konsistent praksis for håndtering av varsler om sikkerhetsbrudd.
I august 2020 kontrollerte vi tekniske sikkerhetstiltak i Norfund opp mot Nasjonal sikkerhetsmyndighets anbefalinger om fire effektive tiltak for å stoppe dataangrep. Våre kontrollerviste at Norfund:
- i noen grad benytter systemer som ikke lenger støttes av leverandører
- ikke oppdaterer all programvare fortløpende
- ikke har kontroll på hvilke programmer som kan kjøres i deres nettverk
- har svært mange brukere med rettigheter som gir tilgang til og kontroll over selskapets IKT-systemer.
- Utenriksdepartementet har ikke gitt konkrete føringer knyttet til Norfunds operasjonelle virksomhet.
- God internkontroll og hensiktsmessige systemer for risikostyring er styrets ansvar.
- Informasjonssikkerhet og Norfunds håndtering av IKT-sikkerhet har dermed ikke vært eget tema i dialogen mellom Utenriksdepartementet og Norfund.
Kritikknivå:
Sterkt kritikkverdig
- Norfund har undervurdert informasjonssikkerhet som en risiko. Svindelsaken i 2018 burde gjort at selskapet tok informasjonssikkerhet inn i sine risikovurderinger.
- Norfund har ikke har hatt tilstrekkelig oppfølging av leverandøren av IKT-tjenester. De har i for stor grad basert seg på at leverandøren skal ivareta IKT-sikkerheten.
- Norfund brukte for lang tid på å innføre besluttede tiltak for å styrke informasjonssikkerheten. Enkle tiltak kunne gjort det langt vanskeligere å gjennomføre svindelen.
Anbefalinger
Riksrevisjonen anbefaler
- Norfund å gjøre vurderinger av hvilken informasjon selskapet må beskytte, og at informasjonssikkerheten følges opp gjennom selskapets risikostyring og internkontroll.
- Utenriksdepartementet å følge opp at tiltak for å bedre informasjonssikkerheten i Norfund blir gjennomført.
Bakgrunn
Mange norske virksomheter utsettes hvert år for dataangrep, både med mål om å skade virksomhetens aktivitet og å svindle til seg penger. Rapporterte tall til Finanstilsynet indikerer at det i 2019 ble tapt over 500 millioner kroner i slik svindel. Risikoen datakriminalitet utgjør, stiller økte krav til informasjonssikkerhet i virksomheter som er utsatt, både når det gjelder tekniske sikkerhetsløsninger og interne rutiner. Målet med undersøkelsen har vært å vurdere Norfunds arbeid med risikostyring på informasjonssikkerhetsområdet med utgangspunkt i svindelen selskapet ble utsatt for våren 2020.
Spørsmål?
