Foredragsholdere på Næringsforeningens datasikkerhets-seminar. Fra venstre; Kyrre Lindanger, Knut Erik Rame og Sturle Smith,(Sør-Vest Politidistrikt), Stian Lauknes fra (Serit iDrift)

Hun sukker dypt i det hun går ut dørene, kvinnen i et mellomstort haugesundselskap. Skremt av politiet..

Skrevet .

Scenen er kantinen i 24/7-bygget torsdag morgen. Tre politimenn og en IT-leder har fortalt om en verden svært få har kjennskap til. En verden der gammel kriminalitet har fått ny drakt. En verden der smarte skurker gjør alvorlige forsøk på å  loppe bedriften du jobber i for penger.

Datakriminalitet, på godt norsk.

Til og med IT-leder Stian Lauknes har følt problemet på kroppen. For noen år tilbake skulle bedriften han leder på firmatur til Gdansk i Polen. En medarbeider ringer og forteller at hun bare tar en liten sjekk på mailen hun har fått fra Stian om å overføre 10.000 Euro til et østeuropeisk selskap- antagelig i forbindelsemed firmaturen.

Hmm- den mailen har ikke jeg sendt, parerer Lauknes, Alarmen går,  Sparebanken Vest blir umiddelbart oppringt og bedt om å stanse utbetalingen. 11.45- et kvarter før transaksjonen skulle kjøres, blir den stoppet.

-Så nært, så nært,  sier Lauknes til forsamlingen, som han nettopp har gitt gode råd om hvordan de skal håndtere It-sikkerheten rundt omkring i firmaene.

I løpet av de to timene seansen varer, blir vi presentert for flere eksempler. Fem karmøybedrifter ble rundtlurt i 2018 og loppet for tilsammen fem millioner kroner. E-postsvindel; en av de falske epostene var sågar skrevet på karmøydialekt for å lure den som skulle godkjenne utbetalingene.

-Det er ikke bare de store selskapene som blir rammet.  Små og mellomstore bedrifter er ofte utsatt, sier Alf Kenneth Bråthen i Rosberg, som kommer med et krystallklart råd: Ikke betal via SMS og epost!

Bekymret

Tre bekymrede politimenn utfyller bildet og tegner et kart, der kort-og investeringsbedrageri og faktura- og direktørsvindel øker i stort omfang. Gjennomført av organiserte nettverk i inn- og utland, som det er vanskelig å oppdage, identifisere og pågripe

To skremmende eksempler blir presentert:

Oljedirektoratet som fikk en falsk faktura fra et «britisk» selskap, og som utbetalte 17 millioner kroner til en leverandør som ikke har levert en flis til direktoratet.

Og et «anonymt» energiselskap som ble offer for en tilsvarende operasjon og som ser ut til å ha tapt en svimlende  sum på 150 millioner kroner.

-Her har vi spor som leder til Israel, men mangel på utleveringsavtaler og internasjonale relasjoner gjør at vi er veldig usikre på om vi kan få tak i både penger og gjerningsmenn, sier Sturle Smith, leder av  seksjon for økonomisk kriminalitet i Sør-Vest Politidistrikt.

Han snakker om «Dyret»- monsteret som er der ute og som er begrepet på den kriminelle aktivitet som i økende grad opptar politiets dyrebare tid.

«Dyret»

Knut Erik Rame, seksjon for digitalt politiarbeid forteller at dette «Dyret» angriper svake punkt i utplukkede selskaper, bruker tid på å analysere roller og viktig navn, bruker like domener, manipulerer gjennom å sende forvirrende eposter (90 prosent av bedrageriene skjer via epost) bl.a. om bytte av betalingskilder. De har god tid og tilegner seg verdifull kunskap før de slår til.

Hva kan vi så gjøre for å sikre oss?

Her er Rames todo-liste:

Vær ¨årvåken. Forvent angrep!

Lag gode rutiner

Lag beredskapsplan

Tren på mulige hendelser

Skjerp kultur og holdning

Vær åpen

Ivareta ansatte- det er menneskelig å gjøre feil.

Sjekk nøye

Kyrre Lindanger er  næringslivskontakt i politidistriktet, og opptatt av at politiet tidlig blir informert dersom bedrifter blir angrepet. Han rår bedriftene til å få  en fast kontakt i banken, og understeker  sterkt at det må lages rutiner der et viktig poeng er  aldri  å gi fra seg info om konto, passord eller kortnummer.

-Dobbelsjekk betalingsanmodninger, la to ansatte godkjenne fakturaene og ikke la deg stresse av «hastetransaksjoner» på mailen. Sjekk epostadressene nøye og husk: Har du ikke bestilt skal du heller ikke betale, sier Lindanger.

Stian Lauknes, daglig leder i Serit IDrift, lanserer en liste med enkle, grunnleggende tiltak i bedriftene:

Ledelsen må ta ansvar

Opplæring

Oppgradering og oppdatering av utstyr

Bergren admin-tilgang

«Antivirus»/klientbrannmur

Bruke enkle verktøy og mekanismer du allerede har

Standardisering (av oppsett,verktly etc.)

Bruk nettsidene til NSM og ENISA

Tenk helhetlig

Backup, backup, backup!

Så kommer spørsmålene- og polititjenestemennene og IT-lederen svarer etter beste evne. Og den kvinnelige mellomlederen rusler ut med en dose frustrasjon- men også med en god porsjon nyvunnet kunnskap…