Del av Dokument 3:2 (2020–2021) / Offentliggjort Undersøkelse av informasjonssikkerhet i Norfund
Vår undersøkelse viser at Norfund har undervurdert informasjonssikkerhet som en risiko.
- (PDF, 1,07 MB) Last ned fullversjon
Kort fortalt
- Våren 2020 ble Statens investeringsfond for næringsvirksomhet i utviklingsland (Norfund) svindlet for om lag 100 millioner kroner etter et målrettet dataangrep.
- En ansatts e-postkonto ble hacket i september 2019. E-postkontoen ble overvåket av svindlerne i flere måneder.
- Gjennom overvåkningen fikk svindlerne informasjon om en forestående transaksjon mellom Norfund og en finansinstitusjon i Kambodsja i mars 2020. Svindlerne infiltrere kommunikasjonen og endret betalingsdetaljene.
- 16. mars 2020 ble 100 millioner kroner overført til svindlernes bankkonto. Norfund oppdaget svindelen 30. april 2020.
Kritikknivå:
Sterkt kritikkverdig
- Norfund har undervurdert informasjonssikkerhet som en risiko. Svindelsaken i 2018 burde gjort at selskapet tok informasjonssikkerhet inn i sine risikovurderinger.
- Norfund har ikke har hatt tilstrekkelig oppfølging av leverandøren av IKT-tjenester. De har i for stor grad basert seg på at leverandøren skal ivareta IKT-sikkerheten.
- Norfund brukte for lang tid på å innføre besluttede tiltak for å styrke informasjonssikkerheten. Enkle tiltak kunne gjort det langt vanskeligere å gjennomføre svindelen.
Funn
Norfund har vært åpne om svindelhendelsen de har vært utsatt for, og har gjennomført en ekstern granskning av denne.
- Norfunds risikovurderinger har hovedsakelig vært rettet mot risiko ved selskapets kjernevirksomhet og de sektorpolitiske målene som er satt for Norfund.
- Norfund har ikke hatt mål eller strategier for informasjonssikkerhet.
- Norfund har ikke gjennomført en systematisk vurdering av hvilken informasjon de bør prioritere å beskytte.
- I 2018 ble Norfund gjort bevisst på risikoen for å bli utsatt for dataangrep. Likevel tok Norfund ikke informasjonssikkerhet inn i sine overordnede risikovurderinger.
- Norfunds IKT-infrastruktur er satt ut til ekstern leverandør.
- Norfund har ikke hatt tilstrekkelig og dedikert kompetanse til å kunne stille spørsmål og sette krav til tjenesteleverandøren når det gjelder IKT-sikkerhet.
- Norfund har ikke utnyttet mulighetene i avtalen mellom dem og tjenesteleverandøren for å følge opp IKT-sikkerhet.
- Norfund har i for stor grad basert seg på at leverandøren skal ivareta IKT-sikkerheten.
- Etter svindelsaken i 2018, besluttet Norfund å innføre multifaktor-autentisering (MFA) for sikker identifisering av brukere. MFA ble allikevel ikke innført før i april 2020.
- Norfund har ikke hatt skriftlige rutiner eller konsistent praksis for håndtering av varsler om sikkerhetsbrudd.
I august 2020 kontrollerte vi tekniske sikkerhetstiltak i Norfund opp mot Nasjonal sikkerhetsmyndighets anbefalinger om fire effektive tiltak for å stoppe dataangrep. Våre kontrollerviste at Norfund:
- i noen grad benytter systemer som ikke lenger støttes av leverandører
- ikke oppdaterer all programvare fortløpende
- ikke har kontroll på hvilke programmer som kan kjøres i deres nettverk
- har svært mange brukere med rettigheter som gir tilgang til og kontroll over selskapets IKT-systemer.
- Utenriksdepartementet har ikke gitt konkrete føringer knyttet til Norfunds operasjonelle virksomhet.
- God internkontroll og hensiktsmessige systemer for risikostyring er styrets ansvar.
- Informasjonssikkerhet og Norfunds håndtering av IKT-sikkerhet har dermed ikke vært eget tema i dialogen mellom Utenriksdepartementet og Norfund.
Anbefalinger
Riksrevisjonen anbefaler
- Norfund å gjøre vurderinger av hvilken informasjon selskapet må beskytte, og at informasjonssikkerheten følges opp gjennom selskapets risikostyring og internkontroll.
- Utenriksdepartementet å følge opp at tiltak for å bedre informasjonssikkerheten i Norfund blir gjennomført.
Bakgrunn
Mange norske virksomheter utsettes hvert år for dataangrep, både med mål om å skade virksomhetens aktivitet og å svindle til seg penger. Rapporterte tall til Finanstilsynet indikerer at det i 2019 ble tapt over 500 millioner kroner i slik svindel. Risikoen datakriminalitet utgjør, stiller økte krav til informasjonssikkerhet i virksomheter som er utsatt, både når det gjelder tekniske sikkerhetsløsninger og interne rutiner. Målet med undersøkelsen har vært å vurdere Norfunds arbeid med risikostyring på informasjonssikkerhetsområdet med utgangspunkt i svindelen selskapet ble utsatt for våren 2020.