Ble svindlet for 100 mill. – etterforskningen henlagt og gjenåpnet

NorfundNorfundDet statlige investeringsfondet Norfund investerer i utviklingsland for å bidra til økonomisk vekst og skape arbeidsplasser. overførte pengene til kriminelle i 2020. Over fem år senere er etterforskningen fortsatt pågående – men det var så vidt.

Administrerende direktør Tellef Thorleifsson i Norfund, her under en pressekonferanse i annen anledning i 2020. Foto: Terje Pedersen / NTB

En ukjent trusselaktørtrusselaktørTrusselaktør er en person eller organisasjon som har gjennomført eller kan tenkes å gjennomføre et dataangrep. Ofte er den eksakte identiteten ukjent, men det er likevel nyttig å kunne omtale en trusselaktør basert på egenskaper slik som motiv, risikovilje, tilgang og kapasitet. I tilfellet Norfund vet vi fortsatt ikke hvem som stod bak. klarte å infiltrere e-postsystemene til Norfund og en mikrofinansistitusjon i Kambodsja.

Så forsvant de med 100 millioner kroner.

Nå bekrefter politiadvokat Terje Mørner at etterforskningen ble henlagt av Oslo statsadvokatembeter i september 2024.

Norfund klaget på beslutningen noen uker etter. I desember besluttet Riksadvokaten å omgjøre henleggelsen.

Hans kontor beordret samtidig enkelte etterforskningsordre som fortsatt er under arbeid, opplyser Mørner.

– Mye av dette tar tid da det innebærer innhenting av opplysninger fra utenlandske myndigheter, skriver Mørner i en e-post.

– Prinsipielt viktig

Hos Norfund bekrefter samfunnskontakt Per Kristian Sbertoli at de påklaget henleggelsen tilbake i oktober i fjor.

– Norfund mente at det var prinsipielt viktig at en slik sak prioriteres, og at det også var viktig at norske myndigheter fulgte opp av hensyn til prosessen som fortsatt pågår i Mexico, skriver Sbertoli i en e-post.

Norfund eies og finansieres av den norske stat.

– Hvorfor ble ikke noe av dette aktivt meldt til offentligheten?

– Vi anså ikke at henleggelsen var noe vi fra Norfunds side trengte å kommunisere aktivt ut til offentligheten, og når klagen ble tatt til følge, fortsatte prosessen, sier Sbertoli, som legger til at det ikke har vært andre vesentlige gjennomslag siden sist.

Norfund har også vært åpne om status i prosessen på diverse foredrag, opplyser Sbertoli.

E24 skrev i mars i fjor om hvordan Norfund jakter et pengespor i Mexico gjennom et sivilrettslig løp. Der er det foreløpig ikke kommet en konklusjon. Norfund venter dom i et søksmål mot en meksikansk bank først i løpet av 2026.

Inflitrerte e-post

Det var i april 2020 at alarmen gikk hos det statlige investeringsfondet.

100 millioner kroner som skulle til en mikrofinansinstitusjon i Kambodsja, kalt LOLC, var borte.

Kriminelle hadde klart å infiltrere e-postsystemene til både Norfund og LOLC. De lurte LOLC til å endre kontonummer for utbetalingen til en bank i Mexico.

Samtidig utga de seg for å være Norfund i dialog med LOLC, og forklarte at pengene var forsinket på grunn av covid-19-pandemien.

Bedrageriet fant sted 16. mars, men ble oppdaget da gjerningspersonene forsøkte seg med et nytt parallelt svindelforsøk.

– Svindlerne har brukt lang tid i Norfunds e-postsystemer for å slå til på riktig sak og riktig tidspunkt. De har manipulert begge sider, sa hvitvaskingssjef Terje Fjeldvær i DNB under den påfølgende pressekonferansen.

Ekstern gransking

Etter 100-millionersvindelen ble en ekstern gransking bestilt fra PwC. Den avdekket en lang rekke svakheter ved datasikkerheten i fondet, til tross for at flere tiltak skulle gjøres etter et bedrageri med likhetstrekk i 2018.

I PwC-rapporten pekte granskerne på at Norfund ble varslet av Microsoft om mistenkelig aktivitet i e-postsystemet flere ganger i løpet av 2019 og frem til 100-millionerskuppet.

Tre av varslene kan knyttes direkte til e-postkontoen som var målet da de 100 millionene forsvant, ifølge rapporten.

Den interne IT-avdelingen mottok varslene, men de to første ble ikke videresendt til det eksterne selskapet som sto for fondets IT-sikkerhet.

Først i januar 2020, etter det tredje varselet, ble den aktuelle kontoen sperret av Microsoft fra å sende e-poster ut fra Norfund. Få dager senere var kontoen gjenåpnet.

Ingen i Norfund visste hvem som gjenåpnet kontoen. Det var heller ingen som hadde undersøkt årsaken til at den ble stengt, ifølge PwCs rapport.

– Etter svindelsaken har Norfund kontinuerlig jobbet med å bedre våre rutiner og IT-sikkerhet for å hindre at noe liknende kan skje igjen, og vi har delt våre erfaringer i en rekke foredrag for lignende institusjoner og bedrifter, noe som har blitt tatt godt imot, skriver Sbertoli hos Norfund i dag.