I pressemelding av 13. mai informerte Norfund om at investeringsfondet hadde vært utsatt for alvorlig svindel. En uavhengig gjennomgang fra rådgivningsselskapet PwC viser at det var en kjede av faktorer som til sammen gjorde Norfund utsatt for bedrageri. Norfund har allerede iverksatt en rekke tiltak for å styrke sikkerhet og kompetanse. Styreleder Olaug Svarva uttaler at «det har vært viktig å raskt kartlegge hendelsesforløpet. Vi har nå god oversikt og jobber målrettet videre for å iverksette tiltak tilpasset dagens skjerpede trusselbilde.»
Et samspill av faktorer gjorde Norfund utsatt for bedrageri
Rapporten viser til at det var et samspill av faktorer som gjorde Norfund utsatt for bedrageri. PwC skriver at det er grunn til å tro at en profesjonell kriminell gruppe med betydelige ressurser står bak. Det er ingen mistanker om at interne har vært involvert.
Hendelsen har tydeliggjort at rutiner og systemer ikke har vært robuste nok til å stå imot denne type svindel. PwC skriver at gjerningspersonene sannsynligvis fikk tilgang til e‑postkorrespondanse gjennom såkalt nettfisking. De manipulerte og forfalsket deretter informasjonsutveksling mellom Norfund og låntager over tid på en måte som var realistisk i utforming, innhold og språkdrakt.
Årsakene PwC peker på som medvirkende, handler blant annet om forsinkede tiltak og tilgjengelig innkjøpskompetanse på IT-sikkerhet, operasjonell risikohåndtering tilpasset et nytt, digitalt trusselbilde og intern bevisstgjøring om datakriminalitet.
Tiltak er allerede iverksatt og arbeidet fortsetter
Norfund har de siste to årene iverksatt en rekke tiltak for å styrke arbeidet med sikkerhet og kontroll. Dette inkluderer blant annet innen risikostyring, finansiell styring og kontroll, juridisk kompetanse og systemer innen IT-sikkerhet, samt styrket bemanning innen sentrale støttefunksjoner. Styret besluttet nylig å opprette et risiko- og revisjonsutvalg og engasjere en ekstern internrevisor.
«Vi har gjort mye, men ikke nok raskt nok for å styrke våre rutiner og systemer. Fremover vil vi gjennomgå, følge opp og konkretisere tiltakene som anbefales av PwC i rapporten»
administrerende direktør Tellef Thorleifsson
Viktige tiltak som vil bli prioritert er å
- Fortsette arbeidet med å styrke betalingsrutiner og systemer
- Forbedre bevisstgjøring og trening på IT-sikkerhet i organisasjonen
- Styrke intern kompetanse for oppfølging av IT-leverandør
- Styrke håndtering av operasjonell risiko
- Forbedre prosess for innføring av nye rutiner og retningslinjer
Åpenhet kan forhindre fremtidige hendelser
Dette har vært en svært alvorlig hendelse som vi beklager på det sterkeste. Arbeidet med å avdekke hendelsesforløp, sårbarheter og forstå det digitale trusselbildet bidrar til viktig læring for Norfund, og vi håper at åpenhet kan bidra til læring også for andre, og redusere risikoen for at tilsvarende kan skje igjen.
Styret har oversendt rapporten fra PwC til Norfunds eier, Utenriksdepartementet.
En oppsummering av rapporten med Norfunds respons er tilgjengelig under. Rapporten kan gjøres tilgjengelig ved forespørsel.
Kontakt for mer informasjon:
Per Kristian Sbertoli, leder samfunnskontakt, 930 89 103 / per.kristian@norfund.no