Del av Dokument 3:2 (2020–2021) / Offentliggjort Undersøkelse av informasjonssikkerhet i Norfund

Vår undersøkelse viser at Norfund har undervurdert informasjonssikkerhet som en risiko.

Kort fortalt

  • Våren 2020 ble Statens investeringsfond for næringsvirksomhet i utviklingsland (Norfund) svindlet for om lag 100 millioner kroner etter et målrettet dataangrep.
  • En ansatts e-postkonto ble hacket i september 2019. E-postkontoen ble overvåket av svindlerne i flere måneder.
  • Gjennom overvåkningen fikk svindlerne informasjon om en forestående transaksjon mellom Norfund og en finansinstitusjon i Kambodsja i mars 2020. Svindlerne infiltrere kommunikasjonen og endret betalingsdetaljene.
  • 16. mars 2020 ble 100 millioner kroner overført til svindlernes bankkonto. Norfund oppdaget svindelen 30. april 2020.

 

Kritikknivå:

Sterkt kritikkverdig

  • Norfund har undervurdert informasjonssikkerhet som en risiko. Svindelsaken i 2018 burde gjort at selskapet tok informasjonssikkerhet inn i sine risikovurderinger.
  • Norfund har ikke har hatt tilstrekkelig oppfølging av leverandøren av IKT-tjenester. De har i for stor grad basert seg på at leverandøren skal ivareta IKT-sikkerheten.
  • Norfund brukte for lang tid på å innføre besluttede tiltak for å styrke informasjonssikkerheten. Enkle tiltak kunne gjort det langt vanskeligere å gjennomføre svindelen.

Funn

Anbefalinger

Riksrevisjonen anbefaler

  • Norfund å gjøre vurderinger av hvilken informasjon selskapet må beskytte, og at informasjonssikkerheten følges opp gjennom selskapets risikostyring og internkontroll.
  • Utenriksdepartementet å følge opp at tiltak for å bedre informasjonssikkerheten i Norfund blir gjennomført.

Bakgrunn

Mange norske virksomheter utsettes hvert år for dataangrep, både med mål om å skade virksomhetens aktivitet og å svindle til seg penger. Rapporterte tall til Finanstilsynet indikerer at det i 2019 ble tapt over 500 millioner kroner i slik svindel. Risikoen datakriminalitet utgjør, stiller økte krav til informasjonssikkerhet i virksomheter som er utsatt, både når det gjelder tekniske sikkerhetsløsninger og interne rutiner. Målet med undersøkelsen har vært å vurdere Norfunds arbeid med risikostyring på informasjonssikkerhetsområdet med utgangspunkt i svindelen selskapet ble utsatt for våren 2020. 

Kategorier: Digitalisering og ikt Statlig eierskap Utenriks

Spørsmål?

Bilde av Annette Gohn-Hellum

Annette Gohn-Hellum

Ekspedisjonssjef

22 24 12 99 Annette.Gohn-Hellum@riksrevisjonen.no
Bilde av Sissel Elisabet Helminsen

Sissel Elisabet Helminsen

Kommunikasjonsrådgiver

977 27 237 sissel.helminsen@riksrevisjonen.no