Knut Steinnes er forbanna og frustrert. Litt over en uke etter han kontaktet politiet har de nå endelig kommet for å bistå.

Dataetterforsker Tom Erik Erlandsen saumfarer datamaskinene etter spor. Hans oppdrag er å hjelpe den 35 år gamle produksjonsbedriften Rufo med å oppklare et tyveri. Et tyveri som har foregått over flere måneder, rett foran nesen på 20 ansatte.

Den daglige lederen følger bekymret med fra sidelinjen. En tanke streifer ham;

«Blir pengene våre brukt på terror og krig nå?».

Det hele startet i februar. Bedriftens økonomiarbeider fikk en e-post fra en leverandør i Tyskland om at de hadde skiftet kontonummer.

Den ansatte syntes dette var merkelig og sendte e-post til leverandørens nordiske kontor i Danmark for å spørre om dette stemte.

Den ansatte fikk svar tilbake – på dansk – at kontonummeret var riktig.

Flere måneder senere oppdaget bedriften at de hadde overført penger til en bank i Østerrike og at leverandøren i Tyskland hadde sendt flere purringer på ubetalte varer.

«Vi har hatt datainnbrudd på Rufo og blitt frastjelt 735 000,-!!» Knut Steinnes / Facebook, 13.06.2018

Hevder de aldri ble advart

E-posten fra Danmark til Rufo var det en svindler som sto bak.

I fire måneder ble bedriftens økonomi styrt parallelt gjennom deres Microsoft Office 365-konto. Til sammen har bedriften sendt 735 000 kroner i lommen til en svindler.

Purringer fra leverandører ble slettet av svindlerne med en gang de kom inn i innboksen. Bedriften kan ha blitt utsatt for det som kalles «Spear phishing» – en målrettet svindel.

– De har hatt full tilgang på innkommende og utgående e-poster, forteller Steinnes.

Når og hvordan svindlerne fikk tilgang til systemet er enda usikkert.

Dette er «Spear phishing» Ekspandér faktaboks I motsetning til de millioner av generiske e-poster som sendes ut av svindlere årlig, er «Spear phishing» et målrettet angrep mot enkeltindivider.

Svindlere bruker utspekulerte fremgangsmåter for å lure målet. De gjør ofte et grundig forarbeid for å forstå hva som skal til for at målet biter på kroken.

Ofte sendes det skreddersydde e-poster fra svindlerne, der de utgir seg for å være noen i enten målets venne- eller forretningskrets, og bruker godt og personlig språk.

En mye brukt metode er å sende målet en lenke til et dokument som målet oppfordres til å lese. Når målet trykker på lenken, blir han sendt til innloggingssiden til det som ser ut som f.eks. Office 365, og må skrive inn brukernavn og passord for å se dokumentet.

Innloggingssiden er selvfølgelig ikke ekte, og når målet skriver inn sitt brukernavn og passord, blir dette sendt til svindleren. Herfra har svindleren total kontroll på målets e-postkonto. Hvorfor er det så vanskelig å oppdage? Siden både e-postadresser og domenenavn ofte er såpass gjennomtenkte og like de reelle e-postadressene og domenene, kan det være vanskelig å forstå at fare er på ferde. Det er derfor viktig å alltid sjekke disse detaljene grundig når du mottar henvendelser der du blir bedt om å oppgi brukernavn og passord. Hva kan man gjøre for å sjekke om man er hacket? Tenk gjennom om du har vært i situasjoner der du har blitt bedt om å åpne eksterne dokumenter, og hvorvidt du har oppgitt kontodetaljer i denne sammenhengen. I mange e-postsystemer kan du også se hvilke IP-adresser som har logget seg på din konto de siste 30 til 90 dager. Hvis du ser uvanlig aktivitet der, er det grunn til å gå en ekstra runde på sikkerheten.

Et svært effektivt grep for å omgå disse svindelangrepene på, er ved å aktivere 2-trinns-pålogging på dine kontoer. Dette gjør at du hver gang må skrive inn en tilleggskode som sendes på SMS når du logger inn på tjenestene dine. Da blokkerer du i stor grad for at andre kan overta kontoen din. Kilde: Intervju gjort med Henrik Lied, data journalist i NRK Beta.

Steinnes reiste til politiet for å anmelde hendelsen, men fikk ikke den responsen han ønsket. Der var lite de kunne gjøre.

– Det opplevdes som om vi hadde blitt frastjålet en sykkel. Her burde politiet ha rykket ut, og startet etterforskning og skadebegrensning samme dag.

Etter at saken var anmeldt, la han i frustrasjon og fortvilelse ut et offentlig innlegg på Facebook for å advare andre.

Vi har hatt datainnbrudd på Rufo og blitt frastjelt 735 000,-!! Spesiellt alle som har Office 365 må lese denne saka... Publisert av Knut Steinnes Onsdag 13. juni 2018

Steinnes kontaktet også Kripos for å fortelle om opplevelsen. Til NRK forteller Kripos at de pr. i dag jobber bare med forebyggende arbeid og at det er de lokale politimyndighetene som har ansvar for slike saker. De kan be Kripos om bistand.

– Når Norge står overfor en så stor trussel og ingen ledd kan hjelpe, da er det en totalkollaps i samfunnet, sier Steinnes, som mener at alle forflytter problemet og ikke har fokus på den kriminelle handlingen.

Den daglige lederen fikk heller ikke hjelp av IT-leverandør eller forsikringsselskap.

Det han opplever som det største sviket skjedde da han fikk vite at Nasjonal sikkerhetsmyndighet advarte om sikkerhetshullene i programvaren allerede i januar.

Knut Steinnes, daglig leder ved Rufo. Foto: Alf-Jørgen Tyssing / NRK

– Om jeg solgte et produkt og Nasjonal sikkerhetsmyndighet hadde offentlig gått ut og advart om et stort problem med produktet, da hadde ikke jeg sovet godt om natten. Jeg hadde sagt fra til mine kunder. Hvorfor gjorde ikke leverandøren vår det når advarselen kom? sier Steinnes til NRK.

«Ingen av dem følte ansvar for å gi beskjed til oss. Vi betaler for et produkt, og nå har det påført oss et stort tap.», skrev han i en e-post til Kripos, som NRK har fått tilgang til.

Steinnes har avsluttet kundeforholdet med sin IT-leverandør, og vil ikke gå ut i media om hvem de er.

– Bedriftene ikke vil investere

En av Norges største IT-leverandører, Atea, mener mye av grunnen for at små og mellomstore bedrifter er utsatt svindel, er pengene de ikke er villige til å bruke.

– At Microsoft er usikkert, er bare tull. Det finnes mange sikkerhetselementer i Microsoft-pakken, men det koster penger. Dessverre er det ikke der mellomstore og små bedrifter investerer, sier Thomas Tømmernes, som er leder for Ateas IT-sikkerhetssatsing.

– Erfaringer er at jo mindre en bedrift er, jo mindre penger ønsker de å bruke på sin IT-sikkerhet. Veldig ofte så har de ikke lokale IT-ansvarlige.

– Når Nasjonal sikkerhetsmyndighet advarer om en programvare på nett, informerer dere kundene deres om dette?

– Det kommer an på kundeforholdet og hvor tett vi er på kunden. Vi har et stort apparat med ca. 1600 ansatte. Av disse er det ca. 150 som helt eller delvis jobber med sikkerhet. Atea har ikke noen som sentralt sitter og ringer hver kunde. Vi har noen titalls tusen kunder, så denne jobben er umulig, sier Tømmernes.

Tømmernes beskriver cyberkriminalitet som en komplisert jungel. Operativsystemer, apper og programmer som til enhver tid er utsatt fører til at det daglig kommer advarsler om kampanjer og mulige angrepsflater.

– Skulle en bedrift daglig motta all denne informasjon om hvilke trusler et eller flere system kan være utsatt for, vil man ikke gjøre annet enn å motta alarmer. Dette føre til en «ulv-ulv-holdning».

– Ingen tar hånd om små og mellomstore bedrifter

– Det finnes ingen lavterskeltilbud for små og mellomstore bedrifter å henvende seg til, i Norge, sier Ole Anders Ulsrud, som er rådgiver for nettsvindel ved NorSIS (Norsk senter for informasjonssikring).

Ulsrud forteller at de hver uke får henvendelser fra norske bedrifter som har blitt forsøkt svindlet for summer mellom 600 000 til 800 000 kroner.

Bare i forrige uke fikk jeg inn 20 varsler om datasvindel. Ole Anders Ulsrud, NorSIS

Ole Anders Ulsrud, rådgiver for nettsvindel ved NorSIS. Foto: Maria Nyheim / NorSIS

Noen har klart å stoppe overføringen via sin bank, men for andre er store summer tapt for alltid.

Norge har en CERT-struktur (Computer Security Incident Response Team), som er enheter som håndterer informasjonssikkerhetshendelser. De hjelper virksomheter innenfor sin egen sektor.

– I dag, så er det ikke en tilsvarende håndteringsenhet som tar hånd om små og mellomstore bedrifter, som det desidert er flest av, forteller Ulsrud.

Fagdirektør Roar Thon ved Nasjonal sikkerhetsmyndighet mener det er et grunnleggende problem at det er et kompetansegap i forskjellige virksomheter.

– Da er de nødt til å lene seg på mer profesjonelle aktører.

Thon mener kritikken fra Steinnes er godt begrunnet.

– Her er det flere aktører som kan komme på banen. At samfunnet kan forbedre seg på det å få ut informasjonen er helt klart, sier Thon.

– Går den digitale utviklingen for fort?

– Uten tvil. Vi er utrolig flinke til å se mulighetene ved ny teknologi, og vi digitaliserer oss i mange forskjellige kanter. Vi er ganske dårlig på å forstå sårbarhetene, som samtidig skapes.

Ingen dekning når du gir fra deg passord

Da Steinnes tok kontakt med forsikringsselskapet sitt, fikk han beskjed om at de ikke kunne hjelpe ham.

Bedriften fikk tilbud om å kjøpe cyberkriminalitets-forsikring i fjor, men det takket de nei til. Grunnen var at de allerede fikk levert sikkerhetsprogrammer fra sin IT-leverandør.

– Men når jeg ser på den forsikringspakken i ettertid, viser det seg at den ikke hadde dekket dette uansett, hevder Steinnes.

Steinnes vil heller ikke gå ut med hvem han har forsikring hos, på grunn av at han ikke vil sette de i et dårlig lys.

– Forsikringsselskapet sier de er enige i at bransjen ikke står klar for slike type hendelser. De sier at de jobber med å utarbeidet en bedre forsikring for slike hendelser. Den pakken har vi takket ja til, forteller Steinnes.

De forsikringsselskapene som NRK har vært i kontakt med sier de har forsikring mot cyberkriminalitet, men at slike forsikringer gjerne dekker de hendelsene som skjer brått.

Noen forteller at store utbetalinger skjer sjeldent eller aldri. En sier at forsikringspakken deres ikke dekker økonomisk tap om man har gitt fra seg passord og svindelen har foregått over lang tid.

– Det er ingen på Rufo som har gitt fra seg passord. Dette har blitt stjålet av de kriminelle, sier Steinnes.

Forteller ikke om svindelen i frykt for å tape ansikt

I ettertid har Steinnes vært i kontakt med andre bedrifter i Norge som har opplevd det samme. Forskjellen er at de ikke har anmeldt hendelsene.

– Flere bedrifter har fortalt meg at de ikke har tatt saken videre. De vil ikke stå frem for de er redd for å tape ansikt, sier Steinnes.

Ifølge Steinnes er de redd det vil skade bedriftens omdømme blant sine kunder og leverandører. Noen føler det er dem selv som har skylden i det som har skjedd.

Det bekymrer fagdirektøren ved Nasjonal sikkerhetsmyndighet.

– Det er en ansatts jobb å ta mot e-poster. Det er deres jobb å trykke på linker og vedlegg, og det er deres jobb å gjøre utbetalinger. Man skal ikke ansvarliggjøre enkelte ansatte av den grunn. Da skaper man en fryktkultur, for det er ikke deres feil, sier Thon.

Skaper en «ond sirkel»

En stor del av slike svindel-saker blir henlagt, men etterforskning blir vanskeligere når de aldri ser dagens lys.

– Når bedrifter ikke informerer politiet om at de har blitt utsatt for slike hendelser, påvirker det arbeidet med cyberkriminalitet?

Økokrim-sjef, Trond Eirik Schea.

– Så klart det påvirker arbeidet vårt. Det skal sies at man ikke skal bygge forventninger om at vi får ryddet opp i slike saker, men vi er avhengig av å vite hvor ofte det skjer og hvem det skjer med, sier Økokrim-sjef Trond Eirik Schea.

Økokrim bistår i slike typer svindler, om politidistriktene ber om hjelp.

At politi ikke har nok kunnskap, er Schea uenig i. Når så mange saker blir henlagt, er det på grunn av landene som svindlerne befinner seg i.

– Norsk politi, skandinavisk politi og Europol har den samme erfaringen. Disse sakene er krevende og vanskelig å komme til bunns i. Det finnes land hvor norsk politi ikke har det mest velutviklede samarbeidet.

«Denne typen bedrageri vurderes nå hovedsakelig utført av aktører med tilknytning til Nigeria.» Økokrim / Trusselvurdering 2018

Fagdirektøren i Nasjonal sikkerhetsmyndighet sier han forstår begge sidene i saken, men når svindelen ikke anmeldes skapes det han kaller en «ond sirkel».

– For tre-fire år siden skrev vi på oppdrag fra Justisdepartementet en oppfordring om at virksomheter skulle være mer åpen om slike hendelser, og dele dem med andre virksomheter, forteller Thon.

– Politianmelder man ikke slike saker – hvordan skal politiet selv da vite hva de skal prioritere og fokusere på, og klare å bidra til å redusere slike hendelser?, sier Thon.

– Mitt samfunnsansvar å si fra

Fingrene til dataetterforsker Tom Erik Erlandsen beveger seg fort på tastaturet. Steinnes følger med på hver bevegelse.

Tom Erik Erlandsen, avsnittsleder for digitalt politiarbeid ved Møre og Romsdal politidistrikt. Foto: Alf-Jørgen Tyssing / NRK

Erlandsen er avsnittsleder for digitalt politiarbeid ved Møre og Romsdal politidistrikt. Han er også en av få som tar en mastergrad i informasjonssikkerhet i norsk politi.

I 10 år har dette vært hans hovedfelt og i dag er han en av veldig få i politidistriktet som har denne kompetansen.

– Det hjelper ikke at vi har så få politi i Norge som jobber med datakriminalitet. Vi trenger en haug med folk.

Den daglige lederen er enig, for han mener at slike saker må være en vekker for hvordan politiet i Norge utdanner og ansetter etterforskere.

– Vi må få en nasjonal holdningsendring, der myndighetene, databransjen og forsikringsselskap samarbeider for å sikre norsk økonomi, sier Steinnes.

– Jeg ser på dette som mitt samfunnsansvar å si fra. Vi i Norge må få øyene opp for kontantene som forsvinner og for at den analoge kriminaliteten nå flytter seg over i ny digital kriminalitet.

Det er viktig at alle norske bedrifter ser hvor alvorlig dette er, og at alle bransjer jobber sammen mot denne trusselen. Knut Steinnes