​- Hendelser som dette utfordrer eksisterende systemer og rutiner, sier Bjørn Torsteinsen, sikkerhetsrådgiver i Helse Nord IKT. Læringspunkter fra hendelsen er derfor spesielt nyttig for oss som jobber med informasjonssikkerhet og økonomi.

Faktura- og betalingsbedrageriet i UiT, er en type svindel hvor personer med utbetalingsmyndighet blir lurt til å betale en falsk faktura. Dette skjedde i UiT i forbindelse med mottak og betaling av en faktura på 1,2 millioner euro – 12,5 millioner norske kroner – fra en utenlandsk leverandør.

Målrettet og tålmodig

Ingvild Stock-Jørgensen og Ingeborg Østrem Hellemo, hhv. juridisk seniorrådgiver og senioringeniør i avdeling for IT ved UiT, orienterte om hendelsesforløpet for flere ansatte og ledere i Helse Nord IKT nylig.

- Svindlerne opptrådde målrettet, tålmodig og naturlig som en hvilken som helst ordinær leverandør, forteller Stock-Jørgensen.

Kort oppsummert får UiT en e-post fra en utenlandsk leverandør for delbetaling av en røntgenmaskin. Fakturaen er korrekt og fra riktig leverandør. Få dager senere får UiT en ny melding med ny faktura fra det som tilsynelatende er den ekte leverandøren, med oppdatert betalingsinformasjon og bekreftelse på dette. Endringen blir effektuert og betaling gjennomføres i henhold til UiTs rutiner.

- Forfallsdato har passert og den ekte leverandører tar kontakt og etterlyser betaling. Og alarmen går! UiT er utsatt for svindel, sier Stock-Jørgensen. Samme dag blir svindelen meldt til politiet.

Informasjon fra offentlig database

Svindlerne er ikke i kontakt med den som faktisk jobber med fakturahåndteringen – økonomiarbeideren – men har kartlagt reelle kontaktpersoner.

UiT mener informasjon på Doffin har et misbrukspotensiale, og Ingvild Stock-Jørgensen bekrefter at de følger opp for å avklare hva som må ligge av informasjon i en database for offentlige anbudsprosesser.

- Per e-post og telefon kontakter svindlerne personen, som er oppført som kontakt for anskaffelsen i Doffin, poengterer hun. De var meget korrekte i korrespondansen, samtidig var det ulike personer hos oss som mottok e-post fra svindlerne.

Svindlerne har etablert en ny e-postadresse sendt fra en generisk adresse, og har underskrevet med det som tilsynelatende var signaturen til selgeren hos den ekte leverandøren, fortsetter seniorrådgiveren.

- Hvordan svindlerne visste når fakturen ble sendt til oss fra den ekte leverandøren, er fortsatt et åpent spørsmål, supplerer Ingeborg Østrem Hellemo. Det er imidlertid klart at det ikke har vært innbrudd i UiTs systemer.

Rutiner for å endre bankkonto til en leverandør nasjonalt gir bedre muligheter for sjekk og kvalitetssikring, enn om bankkontoen er utenlandsk, konstaterer hun.

Sosial manipulasjon

- Dette er vel ikke en IT-hendelse i ordets rette forstand, siden det ikke er avdekt sikkerhetsbrudd hos hverken UiT eller den ekte leverandør, sier Bjørn Torsteinsen.

- Det har du rett i, ut fra det vi vet i dag, svarer Ingvild Stock-Jørgensen. Dette er sosial manipulasjon gjennomført av proffe, målrettede og tålmodige svindlere.

Svindlerne har benyttet offentlig informasjon, og fått innsikt i at faktura fra ekte leverandør er sendt til UiT. Hvordan de har fått tak i faktura er fortsatt uavklart, legger hun til.

- Kan det være fakturasystemet hos leverandøren, spør Oddbjørn Schei, administrerende direktør i Helse Nord IKT.

- Leverandøren opplyser at de ikke har hatt sikkerhetsinnbrudd. Og om svindlerne hadde hatt tilgang til e-postkorrespondansen i anbudsprosessen, ville det antageligvis blitt avspeilet i form av rett kontaktperson og rett signatur, poengterer begge fra UiT. Hvordan svindlerne har fått tak i fakturadetaljer er i utgangspunktet ikke kjent per i dag.

Dette er sosial manipulasjon gjennomført av proffe, målrettede og tålmodige svindlere

Ingvild Stock-Jørgensen, juridisk seniorrådgiver i avdeling for IT ved UiT

Viktige læringspunkter

- Vi har lært og igangsatt flere tiltak etter svindelen, dette i tett dialog med politi, bank og andre som har deltatt i etterforskningen, forteller Ingvild Stock-Jørgensen. Noen av læringspunktene som kom fram er:

• Ha særskilt oppmerksomhet knyttet til større transaksjoner, innføring av nye leverandører, endringer i betalingsinfo, etc.
• Gjennomfør nøye kontroll av tilsendt dokumentasjon
• Ved usikkerhet, ha lav terskel for å løfte saker til ledere og kolleger
• Sørg for bedre samhandling mellom ulike deler av organisasjonen, slik at overleveringsprosessen ikke kan utnyttes
• Nasjonalt sikkerhetsmiljø (CERT) i den aktuelle sektoren bør orienteres umiddelbart med en gang alarmen går
• Få på plass så tidlig som mulig ett kontaktpunkt inn til politiet, slik at logistikken og kommunikasjonskanalene fungerer best mulig tidlig i prosessen. Med andre ord, unngå at det blir for mange ledd
• UiT hadde ansatte med personvernkompetanse påkoblet håndteringen av saken fra første stund, og dette er viktig for å sikre at ansattes personvern ivaretas. Håndteringen av sikkerhetshendelser skjer ofte under tidspress. Og har man ikke tenkt på tematikken i forkant, blir det vanskelig å ta de rette vurderingene. Dette gjelder både hva og hvordan man undersøker internt i virksomheten, og hva som kreves for å utlevere visse typer data til politiet
  

- Sammen med sektoren jobber vi for å få til endringer i detaljnivået på informasjon i databasen for offentlige anbudsprosesser, sier Ingvild Stock-Jørgensen.

Vi har erfart at dette spiller en ganske stor rolle i forhold til å legge til rette for svindel. Om definert detaljnivå er et lovkrav, vil vi om mulig jobbe for å få loven endret, avslutter hun.