Beskytt virksomheten mot sosial manipulasjon

Varsler fortsatt mye direktørsvindel neste år.

Håkon Lønmo (Foto: BDO)

Håkon Lønmo (Foto: BDO)

Mer enn hver tiende norske virksomhet har opplevd at ansatte er blitt utsatt for såkalt direktørsvindel så langt i år. Ifølge Norsk senter for informasjonssikring (NorSIS) vil svindel med bruk av sosial manipulasjon være en av de største truslene neste år.

I NorSIS rapporten, «Trusler og trender 2017 og 2018», trekkes nettopp sosial manipulasjon frem som en av de ti viktigste truslene i 2018. Trenden med såkalt direktørsvindel, falske fakturaer, ID-tyveri, falske telefonnumre og annen manipulasjon har økt. Det vil den fortsette med, ifølge det delvis offentlig finansierte og uavhengige ekspertorganet NorSIS.

Test din virksomhet: Hvor sårbar er du for dataangrep?

I Næringslivets Sikkerhetsråds ferske rapport, KRISINO 2017, har hele 13 prosent av de mer enn 2500 spurte lederne innenfor offentlig og privat forvaltning blitt utsatt for direktørsvindel (CEO-fraud). Her starter det gjerne med en forfalsket e-post fra en daglig leder eller CFO på et tidspunkt da svindlerne vet at disse er på reisefot. E-posten går til en økonomimedarbeider, som får beskjed om å gjennomføre en hastebetaling til en utenlandsk konto.

Mer fokus mot brukerne enn maskinene

– Dette er et område hvor det er spesielt viktig for virksomhetene å følge nøye med. I BDOs undersøkelse blant 1500 norske ledere er det datavirus de frykter mest. Kanskje kommer det av at datavirus er den mest kjente formen for dataangrep? Realiteten er at det er mye som tyder på at angrepene fremover også vil komme fra helt andre kanter. Mange angrep retter fokuset mot brukerne. Da går de kriminelle på menneskene, ikke teknologien. Direktørsvindel er et eksempel på denne type sosial manipulasjon, sier manager i BDO CERT (Computer Emergency Response Team), Håkon Lønmo.

Les også: 10 spørsmål om IKT-sikkerhet alle toppledere bør stille seg

Ifølge den siste risikoanalysen fra Finanstilsynet ble hele 214 virksomheter svindlet for nesten 300 millioner kroner gjennom direktørsvindel i fjor. Det gjennomsnittlige beløpet per svindel lå på 1,37 millioner kroner. Dette er trolig bare toppen av et stort og skjult isfjell.

Phishing fortsatt et stort problem

En annen form for denne type svindel er når bedriftens nettbank blir tappet for penger. Dette kan skje f.eks. gjennom såkalt phishing, der svindlerne setter opp websider som til forveksling ligner på bedriftens norske nettbank og lurer ansatte til å logge seg inn ved hjelp av sosial manipulasjon. Informasjonen den ansatte legger inn blir så misbrukt av bakmennene til å logge inn og hente ut penger.

Les også: Behov for en nasjonal standard

Slik beskytter du din virksomhet mot sosial manipulasjon:

  • Organisasjon: Avklare roller, ansvar og fullmakter. Denne type svindel berører gjerne både økonomi, IT og sikkerhet. Det er ledelsens ansvar at disse tre områdene jobber sammen om å forebygge hendelser.
  • Mennesker: Sørg for at hendelser og svindelforsøk blir kjent blant økonomimedarbeiderne slik at de kan kjenne igjen «røde flagg» og vet hvordan de skal varsle om mistenkelige fakturaer, telefoner og e-poster.
  • Rutiner: Etabler ekstra kontrollrutiner for utenlandsbetalinger og betalinger over visse beløpsgrenser.
  • Teknologi: De færreste har innført tekniske tiltak mot forfalskning av e-post. Den siste tiden har imidlertid flere i Norge fått øynene opp for DMARC (Domain-based Message Authentication, Reporting & Conformance). Teknologien gjør det mulig både å oppdage og forhindre forfalskning av e-post.

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss