FINANS FOKUS Magasin for Finansforbundet
Tema: IT-Kriminalitet
nummer 7 – 2014
Trojanere Id-tyveri Forsikringssvindel Trusler mot ansatte
Hvitvasking Hacking Terror-finansiering
*
H K Reklamebyrå DNBO0614/1014
Søk nå
– få gratis lommebok
Søk om kortet innen 14 dager og få en lekker lommebok i skinn med ditt nye YS Medlemskort.
YS Medlemskort med MasterCard
Kortet som gir deg gode betingelser, både når du sparer og låner 2,8 % sparerente fra første krone (godskrives hver måned) Ingen begrensninger i antall uttak Lav kredittkortrente: 12,25 %
Kortet kan brukes både i Norge og utlandet Egen brukervennlig nettbank
Les mer om medlemsfordeler og rabatter og bestill på www.ysmedlemskort.no
Du kan også kontakte oss på Kundeservice tlf 815 22 040 Nom. rente: 12,25 %. Eff. rente 17,5 %, 15 000,- o/12 mnd. totalt 16 351,- YS Medlemskort – et produkt fra DNB Bank ASA
”
FINANS FOKUS
Forutsetningen for at de kriminelle lykkes, er at folk på innsiden velger å gå bak ryggen på sin egen arbeidsgiver og sine egne kolleger. Forfatter og NRK-journalist Bjørn Olav Nordahl.
INNHOLD
08
17-ÅRING LAMMET FINANSNÆRINGEN
I sommer ble 14 norske bedrifter utsatt for det største dataangrepet noensinne. Et kredittkort og litt over middels datakunnskap var alt som skulle til. Politiet satte inn store ressurser og fant raskt gjerningsmannen en 17-åring fra Bergen.
18 22 26 HVOR SIKKER ER NETTSKYEN?
Dataløsninger i nettskyen byr på enorme muligheter for å effektivisere og utvikle nye tjenester, men byr også på utfordringer.
DU ER IT-TRUSSELEN
90 prosent av alle dataangrep kan avverges ved å ha oppdaterte programmer og en bevisst holdning til hva du klikker på.
32
PASS DEG FOR DISSE TYPENE
Ulike kriminelle typer og miljøer utgjør hver dag en trussel for ansatte i finansnæringen. Finansfokus gir deg oversikten.
34 38
FLERE MÅLRETTEDE ANGREP
MANNEN SOM FØLGER PENGENE
Nasjonal sikkerhetsmyndighet forventer flere målrettede angrep mot finansnæringen fra store kriminelle organisasjoner.
Forfatter og NRK-journalist Bjørn Olav Nordahl har fulgt spillet om pengene og makten i Norge og har avdekket en lang rekke kriminelle forhold.
TING SOM TRUER
Stadig flere enheter i hjemmet ditt blir koplet opp mot internett. Nå kan kjøleskapet ditt hackes og brukes i dataangrep.
FINANSFOKUS 07/14. MAGASIN FOR FINANSFORBUNDET. 15. ÅRGANG. ISSN 1502-0053. Merkur-Trykk er godkjent som svanemerket bedrift.
colorlab.no The Norwegian Color Research Laboratory
Merkur-Trykk er PSO-sertifisert Vi tar kvalitet på alvor!
Ansvarlig redaktør: Svein Åge Eriksen
Kontaktinformasjon: Postboks 9234
Trykk: Merkur-Trykk AS.
Journalister: Sjur Frimand-Anda og Mona Sæther Evensen
Grønland, 0134 Oslo
Annonser: AdApt Media – Eva Kristine Wiik
Gateadresse: Dronning Eufemias gate 16
eva.kristine.wiik@adaptmedia.no
Utgiver: Finansforbundet
Internett: www.finansforbundet.no
Tlf: + 47 934 51 491
Forbundsleder: Pål Adrian Hellman
Tlf: 03040, faks: 947 63 419
Godkjent opplag: 38 813
Direktør: Runar Wilhelm Henriksen
Design/redigering:
Redaksjonen avsluttet 21. oktober 2014.
Mediamania.no
3
FINANS FOKUS
leder
Kreative kriminelle
D
et blir stadig mer utfordrende for Kripos å holde tritt med datakriminaliteten. Utviklingen skjer raskt, metodene blir mer avanserte og angrepene øker i omfang. Kriminelle finner hele tiden nye og komplekse måter å angripe teknologien på. Kreativiteten for å utnytte teknologien for å gjennomføre nye typer lovbrudd, er stor. Dette rammer også finansnæringen. Statistikk fra Nasjonal Sikkerhetsmyndighet forteller at det i 2013 ble varslet 16 000 datakrimhendelser mot næringslivet. Av disse ble 51 hendelser definert som alvorlige. Mørketallsundersøkelsen 2014 forteller at så mye som halvparten av de store virksomhetene i Norge er blitt utsatt for datainnbrudd i en eller annen form i 2013. Bare et fåtall av bedriftene rapporterer eller anmelder datainnbrudd. Derfor er mørketallene store. Årsaken til at så få bedrifter velger å anmelde datakriminalitet, er frykten for å avsløre sårbarhet og å svekke omdømmet. Dermed er det neste fritt frem for kriminelle å begå datakriminalitet mot norske bedrifter, finansnæringen inkludert. Ifølge Kripos er gapet mellom trusler og sikkerhetstiltak i norske bedrifter økende. Kunnskapen rundt informasjonssikkerhet er lav. Dette skjer i en tid da stadige flere finansieringssystemer går online og mer sensitiv informasjon digitaliseres. De teknologiske metodene er attraktive for kriminelle fordi nærheten mellom gjerningsperson og offer reduseres. Fortjenestepotensialet er stort, faren for å bli tatt er liten og strafferammen er lav. Heldigvis er det lys i den mørke tunnelen. Kripos ansetter i disse dager 13 nye medarbeidere som settes inn i krigen mot datakriminalitet. I tillegg samarbeider Kripos både med næringslivet her hjemme og politiet både nasjonalt og internasjonalt. Dermed er ikke slaget mot de kreative datakriminelle tapt, men krigen er heller ikke vunnet.
Leserinnlegg
Vil du anbefale dine barn å
F
inansforbundet har som visjon sammen med arbeidsgiverne å skape Norges mest attraktive arbeidsplasser til beste for ansatte og finansnæringen. Velger vi å se på krav til endringsevne og arbeidspress i næringen vår, lurer jeg på om vi har glemt vår visjon? Etter snart 30 år i finansnæringen har jeg sett mange eksempler på at barn av kolleger søker seg til næringen vår. Dette ser jeg som et sunnhetstegn. For noen dager siden deltok jeg på en tillitsvalgtkonferanse med nærmere 30 deltagere. Jeg stilte dem dette spørsmålet: «Vil du anbefale dine barn å jobbe i finansnæringen?». En tredjedel svarte Ja, mens to tredjedeler svarte Nei. De ble også bedt om å begrunne sitt svar og under har jeg listet opp noen av svarene. Finansnæringen inneholder så mange ulike arbeidsoppgaver at det er helt naturlig at vi som medarbeidere, ser ulikt på hvor attraktivt det er å jobbe i næringen. Mitt poeng med å skrive om dette, er å få oss ansatte til å si fra hvis vi mener at næringen styres og ledes
JA
Argumenter
▲ Spennende utviklingsmuligheter både faglig og personlig. ▲ Rammebetingelser som «stadig» endres og som gjør at man ikke er på stedet hvil. ▲ Interessante og meningsfylte oppgaver. ▲ Gode kolleger. ▲ Regulerte arbeidsforhold – familievennlige arbeidstider.
SVEIN ÅGE ERIKSEN
Ansvarlig redaktør sae@finansforbundet.no twitter: @finansfokus Facebook: Finansforbundet Tips: 900 79 547
▲ Gode pensjons- og forsikringsordninger. ▲ Mange ulike oppgaver – noe for alle typer mennesker.
Nei
▼ Utrygt – redsel for å være den neste som blir tvunget til å velge «frivillig» sluttpakke. ▼ For mange målinger og får mye fokus på målkort – næringen må se menneskene! ▼ Lite rettferdighet når det gjelder avlønning - liten/ingen belønning for å være lojal og dyktig medarbeider over tid. ▼ Lønnsutviklingen står stille sammenlignet med mange andre yrker og sett i forhold til kompetansekrav og ansvar.
Ditt leserinnlegg her? Finansfokus er medlem av Fagpressen og opplagskontrolleres årlig. Finansfokus redigeres etter Redaktørplakaten og pressens etiske rammeverk av en selvstendig og uavhengig redaktør, og i tråd med Finansforbundets grunnsyn og formål. Artikler og synspunkter i Finansfokus uttrykker derfor ikke nødvendigvis Finansforbundets syn i enkelte spørsmål. Pressens Faglige Utvalg (PFU) er et klageorgan oppnevnt av Norsk Presseforbund som behandler klager mot pressen i presseetiske spørsmål.
4
Hva engasjerer deg? Hva blir du irritert over? Hva gleder deg? Hva synes du er urettferdig? Kort sagt, vi vil gjerne vite hva du som leser er opptatt av. Derfor tilbyr vi deg Finansfokus’ beste spalteplass på våre meningssider. Her er du i godt selskap med redaktøren og forbundslederen. Men du må skrive kort og presist, og lengden bør ikke
forbundsleder
jobbe i finansnæringen? i en retning som gjør at vi ikke vil anbefale våre barn å jobbe her. Vi ansatte må sammen «framsnakke» næringen. Avslutningsvis ber jeg alle reflektere rundt en e-post jeg fikk fra ett av våre medlemmer: «Jeg ser, til min forbauselse at det fokuseres svært mye på ledelsen og deres jobb for å få «spiriten» opp. Hvilket er svært nødvendig. Men her føler jeg også at vi medarbeidere har en oppgave å gjøre. Vi må ha fokus på samhold, samarbeid og det å jobbe for samme mål. Videre må vi ha fokus på arbeidsmiljø og det å glede seg til å gå på jobb med artige og koselige kolleger/venner. Er det ikke viktig at vi for det første tenker på: «Hva kan jeg gjøre i dag for at arbeidsdagen på min avdeling blir fin?» Vi tillitsvalgte må sette arbeidsmiljøspørsmål på agendaen. Husk at også du kan bidra til at vi igjen kan anbefale våre barn å jobbe i finansnæringen. Ingar Brotnov, forbundsstyremedlem og hovedtillitsvalgt i If Skadeforsikring Nuf.
overstige 2 500 tegn inkludert mellomrom. Skriver du enda kortere, øker sjansen ytterligere for å komme på trykk. Alle leserinnlegg bør undertegnes med fullt navn. Send ditt leserinnlegg til: sae@finansforbundet.no Siste frist for leserinnlegg til neste utgave er 10. november 2014.
Cybersjef
V
i lever i en stadig mer digital verden. Nysgjerrige som vi er, kaster vi oss over mange nye måter å forenkle alle små og store prosesser. Nettbanken er banken vår, flyselskapenes nettsider er reisebyrået vårt, hoteller bestiller vi selv, selvangivelsen sendes via Altinn og noen bestiller maten for levering på døren. Alt i alt vurderer vi digitale løsninger som enkle og tidsbesparende. Siv Jensen har varslet at produktiviteten i offentlig sektor må øke og peker på økt digitalisering som én av løsningene videre. Bort fra skjemaveldet, over til enklere språk og raskere behandling. Dette er det vel ingen som er uenige i? Vi fra finans og it har vært med å legge grunnlaget for aktiv digitalisering av tjenester. BankID er ett eksempel på hvordan næringens erfaring og innovasjonskraft brukes til samfunnets nytte. Det er imidlertid sider ved digitaliseringen som er mer utfordrende. La meg først slå fast at for mange er det slik at arbeidsplassen i utgangspunktet kan følge den enkelte , uavhengig av hvor denne fysisk befinner seg. Mail, telefon- og cybermøter samt sharepoint er verktøy for å kunne jobbe fra hvorsomhelst. Det er vel og bra. Utfordringen ligger i at den menneskelige natur krever sosiale arenaer, verbale uttrykk, kroppsspråk og andre praktiskemosjonelle måter å møtes - for å kunne utvikle gode resultater og å utvikle seg som person. Her har relasjonen mellom leder og ansatt en nøkkelrolle. Å se og bli sett er viktig, å bli korrigert og oppmuntret likeså. Og ikke minst: En ansatt kan få mulighet til å utvikle sin kompetanse når lederen kjenner ham eller henne. Det ene utelukker ikke det andre. Arbeidsgivere etterlyser fleksibilitet av sine ansatte. Fleksibiliteten er der. Møter mellom leder og ansatte gir muligheter. Da bør lederen ikke kun være å se på digitale flater. Vi pynter på sannheter om oss selv i digitale rom. Vi kan ikke lyve når vi treffer sjefen. Hvis han er i samme rom, da…
PÅL ADRIAN HELLMAN
Forbundsleder Twitter: @Pahfinans Mobil: 938 33 550 pah@finansforbundet.no
Finansfokus 6-14
Siden sist TEKST: SVEIN ÅGE ERIKSEN
55 færre i sparebanken Vest Sparebanken Vest kutter ni filialer og 55 årsverk. De ansatte tilbys opptil to årslønner for å slutte, skriver Bergens Tidende. FOTO: DAG IVARSØY
Hovedtillitsvalgt Anne-Marit Hope mener ansatte med lengst ansiennitet i banken får et godt tilbud. Hun er mer kritisk til det de ansatte over 62 år tilbys. – Jeg hadde håpet å slippe disse nedbemanningene. Det skaper stor usikkerhet blant de ansatte og mye uro i organisasjonen. Vår holdning
har hele tiden vært at vi ikke aksepterer oppsigelser. Da er alternativet sluttpakker, sier Hope. Den beste sluttpakken en ansatt kan få med seg ut av banken, er to årslønner. Da må vedkommende være under 62 år å ha vært ansatt i 23 år. Sluttpakketilbudet blir lavere med kortere ansettelsestid. I gjennomsnitt får de som slutter, 15 månedslønner. STYRTE SLUTTPAKKER
De som får tilbud om slike avtaler, får såkalte styrte sluttpakker. I realiteten betyr det at de får et tilbud de ikke kan si nei til. I tillegg tilbyr banken åpne slutt-
Gode resultater første halvår Gode resultater for bankene gir godt grunnlag for fortsatt styrking av soliditeten. Alle norske banker hadde ren kjernekapitaldekning som ligger over kravene som gjelder fra 1. juli 2014. Oppgang i aksjemarkedene i første halvår bidro til god avkastning for livsforsikringsselskapene og pensjonskassene. Samlet oppnådde norske banker et resultat før skatt på 27 milliarder kroner i første halvår 2014, som er 7 milliarder kroner mer enn første halvår 2013. (Finanstilsynet 28. august 2014)
Økning i antall inkassosaker I første halvår 2014 mottok inkassoforetakene 3,8 millioner nye saker. I løpet av samme periode ble nærmere 3,7 millioner saker avsluttet. 38 prosent av de nye sakene ble avsluttet ved at skyldner betalte etter mottatt purring/ inkassovarsel, og dermed unngikk å bli påført omkostninger utover purregebyr. (Finanstilsynet 19. september 2014)
6
pakker til samtlige ansatte over 62 år. Jo eldre en arbeidstaker er, jo lavere blir sluttpakken. De som er 62 år får 510 000 kroner. Sparebanken Vest har vært gjennom flere runder med nedbemanning de siste årene. I 2012 hadde banken 860 ansatte. Når Sparebanken denne høsten har kuttet 55 årsverk, er 695 ansatte igjen. Nedbemanningen skal etter planen være gjennomført innen 1. november. – De ansatte utsettes for en voldsom belastning, men vi kommer ikke utenom dette. Da er det viktige er å finne løsninger alle kan leve med, sier Hope til Bergens Tidende.
TØFF SITUASJON: – De ansatte opplever situasjonen i banken som tøff, sier hovedtillitsvalgt Anne Marit Hope.
Kriminalitet i arbeidslivet Regjeringen styrker kampen mot arbeidslivskriminalitet og sosial dumping, og foreslår i statsbudsjettet 25 millioner kroner til samarbeid mellom Arbeidstilsynet, Politiet og Skatteetaten for å styrke arbeidet mot useriøse aktører. Samtidig styrkes Arbeidstilsynet med 19,5 millioner kroner til utvikling og modernisering av IKT. (Arbeids- og sosialdepartementet 8. oktober)
Fleksible arbeidstidsregler Finans Norge støtter forslaget om at det innføres mer fleksible regler om arbeidstid. – Kundeadferden har endret seg vesentlig de senere årene ved at det forventes at finanstjenester er tilgjengelig via nett og kundeservice større deler av døgnet, sier direktør Jan S. Asker i Finans Norge. Han mener dagens arbeidstidsregler legger for stramme rammer for lengde og plassering av arbeidstiden. Finans Norge støtter derfor Arbeids- og sosialdepartementets forslag om et mer fleksibelt regelverk. (Finans Norge 9. oktober 2014)
Dårlig informasjon om gode kredittkortrettigheter I en stikkprøveundersøkelse Forbrukerrådet har gjort hos åtte store banker som opererer i Norge, er det kun Sparebanken Vest som gir god informasjon om din mulighet til å fremme krav mot banken dersom du har handlet på kreditt, og selger ikke ivaretar sine forpliktelser. Det er derfor ikke rart at de fleste forbrukere ikke har god nok kunnskap om fordelene med å bruke kredittkort når selger ikke gjør opp for seg. Kjøper du en vare eller tjeneste med kredittkort, kan du klage til kredittyter og få pengene tilbake, om du ikke får det som avtalt.
FINANS
FOKUS
To NOKAS-dømte prøveløslates
MAGASIN FOR FINANSFO RBUNDET
NUMMER 6 – 2014
Høyesterett opphever lagmannsrettens dom og tillater prøveløslating av Nokas-raner Kjell Alrich Schumann. Høyesterett har også bestemte at Metkel Betew kan prøveløslates. – De ansatte synes det er for tidlig med prøveløslatelse nå. Det kommer for brått på, de er ikke forberedt, og ønsker ikke å møte disse ute i frihet, sier advokat Pål Behrens i Finansforbundet til NRK. Han var advokat for de som var på jobb under Nokas-ranet i Stavanger for ti år siden. Schumann og Betew var de eneste to som ble dømt til forvaring i 16 år med en minstetid på 10 år etter Nokas-ranet i Stavanger for ti år siden. Høyesterett mener det ikke lenger er nærliggende gjentakelsesfare når det gjelder Schumann og Betew, og at vilkåret for fortsatt forvaring ikke er oppfylt. – I denne saken, så synes jeg det ville vært riktig å vente noe lenger med prøveløslatelse. Dette på grunn av det store og grove omfanget, og de konsekvensene dette har hatt for de ansatte, som har slitt med svært alvorlige følgeskader. Dette synes jeg burde veid tyngre, sier Behrens. (NRK 16. oktober)
TEMA:
KRIMINALITET
TURID (71) OM
PÅ
FORSIDEN: I forrige utgave hadde Finansfokus hovedopps lag på NOKAS-saken. Nå er det klart at to Nokas-d ømte prøveløslates.
Et lykkelig valg i pensjons-jungelen Aldri har så mange forstått så lite av noe som er så viktig for dem: Når forbrukerne skal orientere seg i pensjonsjungelen, kommer informasjonen fra bransjen til kort. Forbrukerrådet har derfor nå fått penger for å lage en pensjonsportal. (Forbrukerrådet 10. oktober 2014)
Åpner nye kontorer Når andre legger ned kontorer, åpner Handelsbanken sitt 51. bankkontor i Norge. - Kundene vil ha personlig rådgivning. Vårt mål er å gi dem Norges beste bankopplevelse, sier banksjef Ole-Martin Smedseng. På seks år er hvert femte bankkontor i Norge lagt ned. Handelsbanken går mot strømmen og åpner nå sitt andre kontor hittil i år. Det skjer i Trondheim. Kontoret på Leangen i Trondheim åpnet offisielt 30. september og blir bankens tredje kontor i byen. Fra før har Handelsbanken kontor i Søndre gate i sentrum og på Heimdal. Dermed er Handelsbanken den banken med flest fullservice-kontorer i trønderhovedstaden. Alle tre kontorer håndterer både personkunder og bedriftskunder. (Handelsbanken 29. september 2014)
Finansfokus 6-14
Økonomisk
kriminalitet Hackere
17-åring lammet finansnæringen I sommer ble 14 norske bedrifter utsatt for et av de største dataangrepene noensinne. Et kredittkort og litt over middels datakunnskap var alt som skulle til. TEKST: SJUR FRIMAND-ANDA FOTO: JOHN NORDAHL og shutterstock
8
Finansfokus 6-14
Ă˜konomisk
kriminalitet Hackere
10
STYRKER SIKKERHETEN: – Alle må være med å ta sin del av ansvaret for å styrke sikkerheten slik at vi kan stå rustet mot alle typer angrep, enten det er DDoS eller andre typer, sier sikkerhetssjef Sverre Olesen.
T
irsdag 8. juli. Det er midt på sommeren. Norge halter seg frem på en fjerdedels fart. Det er feriemodus over hele linja. Sikkerhetssjef Sverre Olesen i EVRY har nettopp operert skulderen og skal bare jobbe noen timer hver dag. Men slik blir det ikke. Isteden blir det 60 timers uke og fullt kjør. Klokken kvart på 10 kommer de første meldingene: DDoS-angrep. Ikke lenge etter kommer meldingene en etter en om at en rekke viktige og samfunnskritiske kunder i Norge er berørt. Gjennom å spamme nettsidene med forespørsler om visning, tettes linjene igjen. Noen virksomheter klarer seg godt og i løpet av få minutter demper automatiske forsvarsverk effekten av angrepene. Andre virksomheter er hardere rammet, og det tar litt lengre tid å få tjenestene opp igjen. De største angrepene stenger tjenestene i overkant av en time. Mediene rapporterer om et massivt dataangrep fra utlandet. Mange kunder kommer ikke inn i nettbanken, mens andre sliter med å få bestilt flybilletter. Det blir en hektisk dag for Olesen og hans kollegaer i sikkerhetsstaben hos EVRY som har ansvaret for å stoppene angrepene hos flere av de virksomhetene som er berørt. – Vi lærte en del av de første angrepene. Det gjorde at
Finansfokus 6-14
Økonomisk
kriminalitet Hackere
TRUSLENE ØKER: – Sikkerhetstruslene øker og det understreker viktigheten av økt samspill mellom ulike sikkerhetsaktører, sier sikkerhetssjef Sverre Olesen i EYRY.
det tok kortere og kortere tid å få kontroll på situasjonen. Vi var også i god dialog med NorCERT og de andre sikkerhetsmiljøene i Norge. Vi prøver å hjelpe hverandre når slike ting skjer, sier Sverre Olesen til Finansfokus dagen etter angrepet. Han forsøker å forklare på legmann vis hvordan det var mulig å senke så mange store nettsider samtidig. – Det som skjedde i går var et kombinasjonsangrep. Det traff kundenes nettsteder med stort volum på lag tre og fire, volumetriske. Dette kunne vi håndtert greit i seg selv, men i tillegg angrep de også på lag sju, der applikasjonstjenestene ligger. Det er et mer komplekst angrep, sier Olesen, som beskriver hendelsene som et målrettet og alvorlig angrep på flere kunder samtidig. Datatrafikk skjer i syv lag i henhold til OSI-
12
modellen, der lag to sørger for nettverk, lag tre tar hånd om transport, lag 4 tar integritet/konfidensialitet mens lag sju er applikasjonslaget, der selve applikasjonene ligger. Det vanligste ved DDoS-angrep er å gå på lag tre og fire. Angrep i lag syv er mer sårbart når det treffer korrekt. ALVORLIG HÆRVERK
Et DDoS angrep kan sammenlignes med sabotasje. Angriperne får nettsidene i kne, man får ikke tilgang til data. Men ingen klarte å trenge seg på innsiden av systemene. – Enkelte hackere bruker DDoS-angrep for kamuflasje. Når alle ressursene er rettet mot å stoppe flodbølgen av forespørsler prøver de stille og rolig å bryte seg inn på mer sensitive områder. Det var vi klar over, og hadde et ekstra øye også på dette, forteller Olesen.
DDoS-angrep har vært et økende problem de siste årene. I fjor ble kunder av EVRY utsatt for over 80 DDoS-angrep, hvorav de aller fleste ble automatisk redusert som et resultat av forsvarsverket. Bare fire angrep kom igjennom, men ble stoppet etter kort tid. EVRY har styrket forsvarsverkene for å begrense skadene for kunder. AVSLØRT DIGITALT
Tilbake til angrepet 8. juli 2014 – en av de varmeste dagene i Norge på lang tid. Politiet setter inn store ressurser, og finner raskt gjerningsmannen. En 17-åring fra Bergen. Olesen er overrasket over at han ble tatt så fort. (Se egen sak: Slik ble han avslørt). – Det er positivt at politiet prioriterte saken og fulgte alle spor, ikke minst digitale. Det kan
Politiet setter inn store ressurser, og finner raskt gjerningsmannen. En 17-åring fra Bergen.
Fakta DDOS-ANGREP Utføres ved at det sendes så mye data til servere hos de som rammes, at legitim trafikk ikke kommer gjennom. Dette kan resultere i at servere og nettsider settes ut av drift. Det er ikke nødvendig med spesialkompetanse for å utføre et DDoSangrep. Dette er en tjeneste som kan kjøpes på nettet, der man oppgir IP-adressen man vil angripe. Disse ble angrepet: SpareBank 1, DNB, Storebrand, Gjensidige, Nordea, Danske Bank, Norges Bank, Telenor, Netcom, Telia Sonera, SAS, Norwegian, Widerøe og Supersaver.
synes som hans angrepsmåte og opptreden på nettet gav etterforskerne et slags digitalt DNA som ledet til avsløringen. Samtidig viser hendelsene i sommer at samarbeidet mellom aktører som NorCERT, politi og Norsk sikkerhetsmyndighet fungerer, sier sikkerhetssjefen. SIKKERHET KOSTER
Faktum er at det er utrolig enkelt å skaffe seg programvare og utstyr for å gjennomføre slike angrep, dersom man har den teknologiske innsikten til å sette komponentene sammen. At en nettside er nede noen timer, kan det virkelig være så alvorlig da? Den største skaden er at brukere av viktige tjenester ikke får tilgang. I tillegg hadde flere leverandører, kunder og myndigheter en mengde folk opptatt med å håndtere angrepet.
Det førte til at flere gikk i ekstra beredskap de påfølgende dagene. – Vi som samfunn må ta avstand fra denne type skadeverk på linje med annen type kriminalitet. Samtidig må det jobbes mer aktivt med holdningsskapende arbeid. En tredje observasjon er at sikkerhetstruslene øker, og det understreker viktigheten av økt samspill mellom ulike sikkerhetsaktører. Alle må være med å ta sin del av kostnadene for å styrke sikkerheten slik at vi kan stå rustet mot alle typer angrep, enten det er DDoS eller annet, avslutter sikkerhetssjef Sverre Olesen i EYRY.
Slik skjer det Faktum er at det er utrolig enkelt å gjennomføre slike angrep. Alt du trenger er et kredittkort med noen dollar på. 10 maskiner som pumper ut forespørsler i en time koster 50 kroner. 100 maskiner i 24 timer, et par tre hundrelapper. Angrep på lag syv er dyrere, men allikevel handler det ikke om mer enn noen få tusenlapper. Samtidig har de store it-selskapene investert for millioner i forsvarsverk. Og på mange måter er det et paradoks at en 17-åring med litt kunnskap og et kredittkort kan sette utstyr for millioner ut av spill.
Finansfokus 6-14
Økonomisk
kriminalitet Hackere
Slik ble ha 17-åringen kunne sannsynligvis ha kommet unna med sommerens angrep. Men en for høy medieprofil felte ham. TEKST: SJUR FRIMAND-ANDA illustrasjon: Shutterstock
G
MASKENS SANNE ANSIKT: Guy Fawkes-masken er blitt et symbol for hackergruppen Anonomys. Gruppen bidro til det bare tok et par dager før politiet fant 17-åringen.
14
jennom ettermiddagen og kvelden tirsdag 8. juli holder angriperen kontakt med norske medier. Han hevder han er del av den hackergruppen Anonymous Norway. Personen ønsker å være anonym. I meldingen under varsler han et dataangrep mot Norges Bank: http://www.norges-bank.no | Tango Down | Status OFFLINE. “We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us.” Med vennlig hilsen, Anonymous Norway Og faktum er at Norges Banks side ligger nede. Utover kvelden fortsetter kommunikasjonen fra personen som har tatt på seg ansvaret for angrepene. «Motivasjonene bak dagens angrep og de neste angrepene fremover er å få samfunnet til å våkne opp. Antall store ITsikkerhetsangrep øker og det er ingenting som blir gjort for å forhindre slike hendelser. Vi mener Norge burde ha bedre fokus på sikkerhet. Løsningene vi har i dag er rett og slett for dårlig. Dette er en politisk sak og vår måte å protestere på. Med vennlig hilsen, Anonymous Norway». I 2230-tiden tar han også kontakt med journalist Marius Jørgenrud i it-nettstedet Digi.no etter at han også har angrepet nettsidene til flere norske teleselskaper og flyselskaper. De har en chat på nesten en time. Under chatten hevder gjerningsmannen, som går under kallenavnet «Jamie» at han er en del av Anonymous og at de er flere som står bak angrepet.
Videre skriver han blant annet: «Motivasjonene bak dagens angrep og de neste angrepene fremover er å få samfunnet til å våkne opp. Antall store ITsikkerhetsangrep øker og det er ingenting som blir gjort for å forhindre slike hendelser.» «Vi beklager på det dypeste at det går utover ganske mange. For å få samfunnet til å lytte, er vi nødt til å få oppmerksomhet. Vi ser ingen andre alternativer enn dette.» «Fra og med dette øyeblikket er alle domener og bedrifter et potensielt mål.» Han hevder også at angrepsmetoden er helt ny, og utviklet av Anonymous. Og nettopp dette er det som feller ham. Selve angrepene ville ikke identifisert ham. Men kallenavnet «Jamie» har han brukt andre steder på nettet. Steder der han ikke har gjemt seg like godt. I tillegg tar Anonymous Norway avstand fra angrepene og sier det ikke er de som står bak. I en melding på Twitter skriver de: «det er ikke oss, og det er skids som står bak. De har ingen ‘avanserte’ tools». «Skids» er kortformen av «scriptkids», en betegnelse som brukes om unge mennesker som gjerne utfører datakriminalitet rett og slett ved å kjøpe seg tilgang til et verktøy som utfører angrepet for dem. Faktum er at Anonymous Norway ga tydelige hint til politiet om hvem han var og hvor de kunne finne ham. Noe de også gjorde under en lignende sak i 2012. FRA GUTTEROMMET
Onsdag 9. juli får politiet i Bergen melding fra Kripos. De har sporet gjerningsmannen til byen mellom de sju fjell. Hordaland Politidistrikt beslutter raskt at det
an avslørt skal gjennomføres pågripelse og ransaking. Og rundt klokka 1000 torsdag morgen tropper de opp på den mistenktes dør. Han viser seg å være en 17 år gammel gutt, som har utført angrepene fra gutterommet. Hele familien er hjemme under pågripelsen, og sjokket er stort. Verken foreldre eller søsken visste hva han drev med. – Han tilsto raskt, og la alle kortene på bordet, forteller spesialetterforsker Ronny Haldorsen ved Hordaland Politidistrikt. Som motiv har 17-åringen oppgitt at han vil sette søkelyset på manglende datasikkerhet i Norge. – Men de fleste innser vel at dette er feil fremgangsmåte, sier Haldorsen. KOSTBART ANGREP
Saken ligger nå litt i bero, da politiet venter på erstatningskravene fra de rammede. Foreløpig ligger kravene på 200 000, men dette forventes å øke kraftig. Under en lignende sak fra 2012, anslo DNB sine tap til 1 280 000 kroner. – Dette kan få store konsekvenser for siktede. Hvis bankene vinner gjennom med sine erstatningskrav vil det kunne ødelegge hele hans økonomi, for mange år fremover, sier Haldorsen, og sukker litt før han fortsetter. – Ungdom som driver med dette ser ikke konsekvensene: En dom vil kunne få stor betydning for yrkeskarrieren. Det er først når politiet kommer og erstatningskravene tikker inn, de forstår at dette ikke er rampestreker, sier spesialetterforskeren, som forventer rettssak og dom i løpet av høsten. Ut fra skadene ved sommerens angrep vil nok 17-åringen møte erstatningskrav i millionklassen for det som for mange kan fremstå som guttestreker. DNB var en av de som ble hardest rammet. Og der er tydelige på at alle slike angrep anmeldes og at de søker erstatning for tapene. – Vi ser svært alvorlig på slike saker. Nå regner vi på skadeomfanget. Men slike angrep er kostbare. Nettbanken er vår fremste salgskanal, så da tikker takstame-
teret fort, sier Vidar Korsberg Dalsbø, kommunikasjonsrådgiver i DNB. I fjor ble tre tenåringer dømt for lignende forhold i Romerike tingrett. Våren 2012 rettet de en rekke angrep på norske nettsider. I retten ble de to eldste dømt til samfunnsstraff på 85 og 87 timer. Den yngste fikk 14 dagers betinget dom, med en prøvetid på to år. Finansfokus har forsøkt å nå 17-åringen som sto bak Ddos-angrepet på 14 norske bedrifter 8. juli. Men han har, via sin advokat, valgt å ikke kommentere saken.
I TRØBBEL: I følge spesialetterforsker Ronny Haldorsen kan 17-åringen forvente seg store erstatningskrav.
VIL ANMELDE: DNB anmelder alle slike forhold, og vil også kreve erstatning for tapene vi er påført, sier informasjonsrådgiver Vidar Korsberg Dalsbø.
Anonymous Norway Anonymous er et internett-samfunn bestående av et ukjent antall aktivister og hackere fra hele verden. Anonymous’ formål er å kjempe for ytringsfrihet og mot det de anser som sensur og misbruk. Anonymous Norway er nettsamfunnets norske del.
Finansfokus 6-14
Økonomisk
kriminalitet Teknologi
D
e fleste tror vi bytter fordi Java er usikkert. Det er faktisk ikke tilfelle. Java har noen sikkerhetsproblemer i seg selv, men det utgjør ikke noe sikkerhetsproblem for BankID- løsningen. Den er godt beskyttet uansett, sier Frode Beckmann Nilsen, utviklings- og driftssjef hos BankID. De økonomiske tapene gjennom nettbankene er svært lave. I 2013 forsvant det ifølge Finanstilsynets statistikk 1,3 millioner kroner. Dette kan eksempelvis sammenlignes med kortsvindel, der tapene var omkring 140 millioner. Det varierer hvor hissige de kriminelle er, 2011 var et toppår. Nå registrerer BankID bare noen få angrep i uka. Og ytterst få kommer gjennom sikkerhetsmuren.
16
– Med tanke på hvor mange milliarder kroner som går gjennom nettbankene årlig, er de økonomiske tapene svært lave. Men vi skal ikke ha mange episoder der BankID er angrepspunktet, før det gjør noe med vårt omdømme og tillit. Vi kan ikke risikere at folk blir i tvil om sikkerheten i systemene våre, sier Nilsen. Angrepene kommer stort sett fra utlandet, særlig Russland fremheves. Allikevel vet man lite eller ingenting om hvem som faktisk står bak. – Det er nærmest umulig å rettsforfølge dem som gjennomfører selve angrepene. Man kan derimot ta tak i muldyrene i Norge, de som stiller opp med en norsk konto for å få penger
ut av landet. Å prøve å ta noen i Russland vil være enormt ressurskrevende, sier Nilsen. Evig oppdatering
Alle kjenner maset fra pc-en om at Java må oppdateres. Media følger opp. Oppdatér nå, ellers står datamaskinen vidåpen for angrep fra internasjonale datakriminelle. Og faktum er at Java er en av veiene inn. Via såkalte trojanerangrep kan andre ta over kontrollen på pc-en din. Nettopp derfor er det viktig at Java alltid er oppdatert. Her ligger også BankIDs javaproblem. De er avhengig av en tredjeparts programvare. Den oppleves som tungvinn og tildels usikker. – Vi ønsker ikke å levere et produkt som
r e k k lu a for r ø d a v a J I løpet av høsten forsvinner den forhatte javaløsningen for innlogging i nettbank. Men i motsetning til hva mange tror: Det er ikke sikkerhetsaspektet som er avgjørende i byttet. BankID-løsningen har hatt svært lave tap. Tekst og foto: Sjur Frimand-Anda
SVÆRT TRYGG: Med tap på kun 1,3 millioner kroner i fjor, er BankIDs nettbankløsning svært trygg. Men nå ser Frode Beckmann Nilsen fram til å slippe Java-problematikken.
indirekte bidrar til at folks maskiner angripes og infiseres, sier Beckmann Nilsen, som igjen understreker at deres egen javaløsning er trygg. For hver gang Java skal oppdateres blir det problemer. Oppdateringene oppleves som kronglete. Mange kunder sliter med å få det til. – Bankenes kundesentre får mange henvendelser på dette, sier Frode Beckmann Nilsen Nå blir det BankID 2.0
I tillegg var det et ønske at BankID 2.0 skulle fungere på smarttelefoner og nettbrett, forteller Beckmann Nilsen. I 2013 bestemte man seg for å lage en ny løsning, basert på standard web-teknologi.
Skiftet av teknologi gjør at deler av sikkerheten i BankID må sees i nytt lys. – Nå håndteres sikkerheten i større grad av nettleseren. Trojanerne ligger som regel nettopp der. Vi måtte lage et produkt som er sikkert selv om brukerens maskin er infisert, sier utviklings- og driftssjefen. – Vi har testet dette skikkelig. Samtidig er vi forberedt på nye typer angrep. Dette er en følge av å endre teknologi. Vi skal følge utviklingen tett, særlig det første halve året, for å ta tak i eventuelle problemer, sier Beckmann Nilsen. Den nye løsningen er basert på responsivt design. Den fungerer på alle skjermstørrelser. Det innebærer at nettbankbruken blir raskere
og smidigere. BankID leverte sitt produkt til banker og forsikringsselskap ved utgangen av september. Nå tilbyr de fleste banker BankID uten Java. – Det blir spennende å se hvem som først tar det i bruk. Jeg regner med at de første er i gang i god tid før jul, avslutter Nilsen.
Finansfokus 6-14
Økonomisk
kriminalitet Teknologi
Hvor sikker er nettskyen? Nettskyer kan forenkle arbeidet. Nye tjenester og mer effektiv håndtering av nær sagt alt har samtidig en bakside: Mye mer utrygghet hvis ting først går galt. TEKST: MONA EVENSEN FOTO: SHUTTERSTOCK
C
– Støttetjenester går raskere over i offentlige skytjenester – transaksjon og forretningskritiske systemer driftes i private skyer, sier Flem. – Min erfaring er at vi teknologisk kan få til det meste for å sikre oss. Organisatorisk og menneskelig er det derimot kjempeutfordrende å få til bra sikkerhet. Gode prosesser og sterk bevisstgjøring må til, med vekt på hva dette vil si for organisasjonen, fra ledelsen til gulvet. Et godt eksempel på en slik sikkerhetsutfordring er «Skygge-IT», som er når hver enkelt ansatt eller avdeling går ut og bruker skytjenester som Dropbox eller Gmail, uten å klarere med sikkerhets- eller IT-avdelingen. Men det er vel som med alt som er nytt, det trengs modningstid, tror Flem.
loud Computing – omtalt som nettsky på norsk – kalles ofte det største paradigmeskiftet i IKT noensinne. Dataløsninger i skyen byr på enorme muligheter for å effektivisere og utvikle nye tjenester. Ikke nye problemer, men nye dimensjoner Svakhetene som nevnes er sikkerhet og trygghet. Ikke Banker har på ganske kort tid gått fra svært lukkede systeuviktige felt for finansnæringen. Så hvordan kan dette mer til åpne, som mobilbank og apper som kommuniserer påvirke trusselbildet for næringen framover? med internettet. – Det er klart det er en stor endring, også for ansatte, – En skyløsning kan være vel så sikkert som lokal promener Martin Gilje Jaatun. Han gramvare, gitt at man har ekspertisen og mannskapet, mener ser også en sikkerhetsrisiko i at ” Martin Gilje Jaatun. Han er seniormange brukere leier i samme sky. forsker ved Sintef. Jaatun har sikHan har lansert uttrykket «trangkerhet i nettskyer som spesialfelt. boddhet» om problemet. Han jobber med EU-prosjektet – En teknisk feil, som å konfiA4Cloud. gurere dataene som lastes opp feil, For mange mindre aktører kan kan gjøre at dine data blir tilgjengedet være mye tryggere å bruke lige for tredjepart. Det har vi sett nettskyløsninger enn å ha en ITflere eksempler på i andre bransjer. ansvarlig som skal stå for alt fra Og skyen som system har en helt drift til sikkerhet. Men man må annen skala enn vi er vant til. Evenstole 100 prosent på underleverandøren. Det må man for tuelle feil kan multipliseres opp. så vidt uansett, men nettskyen har den utfordringen at det – Kan vi vente nye typer kriminalitet i skyen? ofte er mange leverandører med i bildet. Det gjør det mer – “Ny kriminalitet” er et underlig uttrykk, men det kan komme nye måter å utføre det på. Ta DDoS-angrepet i komplekst. sommer. Det var sannsynligvis utført med botnet, et ondIkke “billig løsning” artet virus som tar over andres maskiner og bruker de i et De fleste selskaper i finansbransjen vurderer skyløsninger. DDoS. I teorien kan man kjøpe skytjenester og utføre DDoS– Men de selges altfor ofte inn som noe man sparer angrep derfra, i stedet for å bruke botnet. Det er altså ikke penger på. Virkeligheten er ikke alltid så enkel, sier Peter et nytt problem, men en ny dimensjon ved problemet. Men Flem, systemarkitekt i Steria og leder for faggruppen Cloud det kan også gjøre det enklere å avsløre, avslutter Jaatun. Computing i Dataforeningen. Hos Steria ser de en todeling i hvordan finans tenker nettsky.
De selges altfor ofte inn som noe man sparer penger på. Virkeligheten er ikke alltid så enkel.
18
Risiko ved nettskytjeneste Ikke bare solskinn og glede, bruken av nettskyer byr på store sikkerhetsutfordringer. Her er noen av dem:
Flere oppkoblingspunkter
Drift av skyen
Flere abstraksjonslag (hypervisoren)
Innsyn og kontroll Finanstilsynet ser i RoS-2013 på risiko ved skytjenester.
Flere meter med linje som kan gå ned
Mindre skreddersøm
«minste felles sikkerhet»
Mer data i bevegelse
Mer fremmed lovgivning Finansfokus 6-14
Økonomisk
kriminalitet Teknologi
Nyvinninger kan ska
NYE SIKKERHETSPROBLEMER: – Vi forventer at foretakene gjør risikoanalyser og luker ut feilkildene i nye løsninger, sier Olav Johannessen. Han er seksjonssjef for IT og betalingstjenester i Finanstilsynet.
Finanstilsynet advarer: Den stadige jakten på nyvinninger kan gå utover sikkerheten. TEKST: MONA EVENSEN FOTO: finanstilsynet
F
or å komme inn i Finanstilsynets lokaler ved Bankplassen i Oslo må du identifisere deg hos en vakt. Så sluses du gjennom skuddsikkert glass inn til selve lokalene. Om bare internettet hadde vært like oversiktlig. – IKT-landskapet i finans har absolutt blitt mer komplekst. Det krever at vi må utvikle kompetansen vår i takt med endringene, sier Olav Johannessen, seksjonssjef for IT og betalingstjenester i Finanstilsynet. Han har jobbet i Finanstilsynet i ett år, men har holdt på med fagfeltet «siden vi kalte det EDB». – Aldri før har vel næringen sett så store og raske endringer. Innføring av ny teknologi er alltid forbundet med risiko, og høy endringstakt øker den risikoen, sier Johannessen.
20
BETALINGSLØSNINGER VIKTIGST
Finanstilsynet gir årlig ut risiko- og sårbarhetsanalyser. Der ser de på finansforetakenes bruk av informasjons- og kommunikasjonsteknologi. Rapporten for 2014 konkluderer med at selv om næringen håndterer økende grad av elektronisk basert kriminalitet bra, er det viktig å fortsatt være årvåkne på området. Tap ved bruk av nettbank går ned, men det har vært en økning i svindel uten kort. – Vi ser få direkte angrep mot mobil. Men etter hvert som mobilen blir vanligere som betalingsløsning vil vi nok se en økning, mener Johannessen. Finanstilsynet er særlig opptatt av nye betalingsløsninger. Selv om de vurderer betalingstjenestene som stabile og gode nok, inntreffer alvorlige hendelser. – I fjor testet “superhacker” Einar Otto Stangvik og Din Side 10 apper fra de største bankene. De fant hull – til dels alvorlige – i åtte. Er det bra nok? – Absolutt ikke. Dette er ett av feltene vi er særskilt opptatt
ade sikkerheten av. Det er et jag i bransjen etter å «henge med» som kan gå spørsmål rundt ansvar i det kommende betalingstjenesteutover sikkerheten. Sikkerhet kan ikke ofres på brukervenn- direktivet. Det vil føre til endringer både i IT-løsninger, og i forhold som angår ansvar og risiko mellighetens alter. Vi vil ikke stå i veien for innovasjon. Men vi forventer at foretaklom aktørene i verdikjeden innenfor ” ene gjør risikoanalyser og luker ut feilbetalingsformidling. Endringene er kildene. Det skal og må gjøres. Vi vil omfattende. Samlet utfordrer de finansfølge dette nøye framover. foretakene og næringen, særlig i innføringsperioden, advarer Finanstilsynet. STORE ENDRINGER RASKT – Store endringer raskt. Bør vi være Finansnæringen har blitt global. Finansbekymret? tilsynet jobber mer internasjonalt. For – Vi må huske vi mennesker har lett tiden er det mye vekt på nytt EU-regelfor å være skeptiske til det som kommer. Det nye som kommer blir ikke nødvenverk. Målet er å utvikle et mer enhetlig marked, med felles rammeverk for digvis mindre trygt enn løsningene vi elektroniske betalinger i EU. har i dag. Vi må kunne se nye mulig– Slike felles guidelines vil være viktige for næringen heter, samtidig som eksisterende svak-heter må forbedres, framover, sier Johannessen. konkluderer Johannessen. Samtidig oppstår det en rekke sikkerhetsproblemer og
Innføring av ny teknologi er alltid forbundet med risiko, og høy endringstakt øker den risikoen.
Moderne familie med «mine, dine og våre barn»? Ved uførhet kan det bli vanskelig å betjene gjeld. Ved død må den gjenlevende betale ut straksarv til den avdødes egne barn, i tillegg til at det mangler en inntekt til å betale ned på gjeld. Med YS Dødsfallsforsikring kan du sikre deg en engangsutbetaling helt opp til 2 millioner kroner ved død. Og ikke er det dyrt: Du betaler fra 718 kroner i året for å være sikret en utbetaling på 2 millioner kroner ved dødsfall. Medlemmer i Finansforbundet kan også kjøpe rimelig uføreforsikring. Kom innom ditt nærmeste Gjensidige kontor, ring oss på 03100 eller gå inn på gjensidige.no/ys for mer informasjon. (Pris og forsikringssummer er per 15. april 2014.)
Finansfokus 6-14
Ă˜konomisk
kriminalitet Sikkerhet
Du er ittrusselen Brukeren er i dag den største trusselen mot datasikkerhet. 90 prosent av alle angrep kan avverges med enkle midler. TEKST OG FOTO: SJUR FRIMAND-ANDA
22
ENKEL HACKING: Vidar Sandland ser at det blir stadig enklere å drive hacking. Tjenestene kan kjøpes på nett og man trenger ingen programmeringskunnskap.
Finansfokus 6-14
Økonomisk
kriminalitet Sikkerhet
D
et er tidlig i oktober. Vi befinner oss i en liten sidegate ved Spikersuppa i Oslo. Høstsola varmer godt. Noen steinkast unna skal Kongen åpne høstens Storting om en liten stund. Men her er det kickoff for Nasjonal sikkerhetsmåned. Høye herrer og damer er til stede for å fortelle om tingenes tilstand. Justisminister Anders Anundsen meddeler at hele livet vårt ligger inne på en eller annen teknologisk enhet, og at det kan være ganske skummelt. Politidirektør Odd Reidar Humlegård forteller at guttene på hjørnet, de som tidligere hadde motorsykkel og rullings, har flyttet inn i det digitale rommet. Vi må passe oss, nettet er skummelt og farlig, er budskapet. Bak i lokalet surrer spesialrådgiver Vidar Sandland i Norsk senter for informasjonssikkerhet (Norsis) og sjekker at arrangementet går prikkfritt. En utvidet time senere har de høye herrer og damer forlatt lokalet og vi setter oss for en prat. – Den farligste på nettet er deg selv, sier Sandland, og fortsetter: – I utgangspunktet er de tekniske sikkerhetstiltakene blitt bra. Har du oppdaterte programmer, operativsystem, antivirus og brannmur bør alt være greit. For det er nesten slutt på at hackerne skanner nettet og angriper porter. Nå går de rett på brukeren og får dem til å gjøre ting for seg. Og de spiller på basale følelser som frykt, fristelser og tillit. Et popupvindu på nettleseren forteller at PC-en er sårbar. Du klikker på lenken og hackeren får full kontroll. En tilsynelatende korrekt epost fra Skatteetaten informerer om at du har penger til gode. Et klikk på lenken og hackeren får den informasjonen han trenger. En deilig mann på datingside flørter og prater, men han trenger penger. Noen klikk, og du er lurt. VÆR SKEPTISK
Det er mange som har gått i baret. Folk lar seg lure hele tiden. Ellers hadde ikke de kriminelle holdt på med dette. Og budskapet fra Sandland er klart. – Stopp, tenk, klikk. Eller ikke klikk. Ved å bruke hodet litt og tenke «er dette for godt til å være sant?», unngår du mye trøbbel. Også for bedrifter er ubevisste ansatte en av de største truslene. Det samme passordet
24
brukes på facebook, epost, jobbserver og alle andre steder de registrerer seg. Det er farlig. – Du må forutsette at passordet kommer på avveie. Bytt passord ofte og ha forskjellig passord på forskjellige steder, sier Sandland. GODE RÅD
Norsis omtales gjerne som IT-verdens Trygg Trafikk. Med gode råd om nettvett og sikkerhet gjøres netthverdagen tryggere, både for privatpersoner og bedrifter. – 90 prosent av alle angrep fra kriminelle kan unngås ved å ha oppdaterte program-
mer og en bevisst holdning til hva du klikker på, sier Sandland. Norsis har utviklet et eget sikkerhetskurs for bedrifter. Dette er gratis for selskaper med under 20 ansatte. – Det er et svært varierende kunnskapsnivå blant de ansatte. Vi anbefaler at det kjøres internopplæring innen informasjonssikkerhet. Kunnskap om trusler og trender er viktig for at folk skal vite hva de skal se etter, sier Sandland, som ser på de ansatte som bedriftens fremste ressurs i bekjempelsen av ikt-angrep.
5Slikgodesikrer råd du deg 1 Sikre deg selv. Den enkleste veien inn for angripere er ofte å lure brukeren.
2 Oppdater programmer og operativsystem. Alle enheter har programvare som må oppdateres. Dette må gjøres jevnlig.
3 FIRE MOTIVER: Ifølge Vidar Sandland deles hackere inn i fire grupper: Statsmakter, vinningsforbrytere, hacktivister med et politisk budskap og Ola Nordmann.
Velg sterke og unike passord. Dette er ofte det eneste som beskytter informasjonen og identiteten din.
4 – Det er de ansatte som oftest oppdager hvis noe er galt, sier han. TI PROSENT
De aller fleste angrep er enkle å verne seg mot. Men de siste 10 prosentene, utført av målrettede, dyktige hackere, er vanskeligere. De finner sikkerhetshullene, hacker seg inn, og legger seg i dvale og venter. Gjerne opp til tre måneder, slik at den skadelige programkoden er med på alle backup´er. – For å avdekke dette må man ha gode systemer og analyseverktøy. Men ofte er det
ikke før de ansatte ser at noe er merkelig, at man blir klar over angrepet. Og da kan det allerede være for sent. Hackerne har fått tak i det de ville, sier Sandland. I etterkant handler det som regel om å opprette normaltilstanden. En politianmeldelse vil medføre mye merarbeid, med beslaglagt utstyr og forholdsvis liten sjanse for at de skyldige blir tatt. – De kriminelle ligger hele tiden steget foran. Det er de som setter premissene for sikkerhetsarbeidet, sier seniorrådgiveren.
Vurder kryptering av sensitiv informasjon. Kryptering gir betydelig bedre sikkerhet og sørger for at informasjonen er hemmelig for folk som ikke skal se den.
5 Ta sikkerhetskopier. Hendelser vil før eller senere oppstå. Da er en backup gull verdt.
Finansfokus 6-14
Økonomisk
kriminalitet Profilene
pass deg for disse typene
De kriminelle aktørene utgjør en stadig større trussel for ansatte i finansnæringen. Finansfokus gir deg oversikten over hvilke kriminelle du bør være spesielt oppmerksom på og hvordan du kan stoppe dem. TEKST: SVEIN ÅGE ERIKSEN illustrasjon: Kenneth Lauveng
26
Finansfokus 6-14
Økonomisk
kriminalitet Profilene
De ensomme
H
Forsikringssvindleren Kjennetegn: Omfatter alle former for forsikringsbedragerier både innen liv- og skadeforsikring. Metoder: Gir uriktige opplysninger ved tegning av forsikring eller krever urettmessig erstatning. Skjer ved å fabrikkere eller fremme fiktive krav.
Slik kan de stoppes: Informasjonsutveksling mellom forsikringsselskapene og NAV ved mistanke om svindel.
28
vert år utgir Finans Norge en trendrapport som viser hvilke trusler og sikkerhetsutfordringer finansnæringen står overfor. Årets rapport konkluderer med at utviklingen innen den organiserte kriminaliteten i Norge er bekymringsfull. Utenlandske organiserte miljøer, spesielt fra Øst-Europa, utgjør nå en økt trussel mot Norge.
- Vi ser at de kriminelle miljøene blir stadig mer profesjonelle og målrettede i sitt arbeid. Det er ikke lenger en ustabil person fra gata som gjør et impulsran i en bank. Nå er de kriminelle ofte høyt utdannede ingeniører og akademikere som leier inn spesialkompetanse til ulike kriminelle handlinger. De arbeider i bakgrunnen og lever et normalt liv og er derfor
Raneren
Hacktivisten
Kjennetegn: Forvirret person
Kjennetegn: Gjerne yngre
Metoder: Ranet er ofte en
Metoder: Angriperen sender
Slik kan han stoppes:
Slik kan han stoppes:
Sikre håndtering, lagring og transport av kontanter og andre verdier.
Sikre tidsriktig og dekkende IKT sikkerhet på samtlige plan i egen organisasjon.
som kan være påvirket og som får et umiddelbart behov for kontanter.
impulshandling som ikke er planlagt. I to av tre ran i 2013 flyktet raneren på en lilla damesykkel!
aktivister som benytter tjenestenektangrep for å ytre sine meninger.
store mengder trafikk mot serveren til en finansinstitusjon som blir overbelastet. Kan også benytte seg av trojanere og phishing.
Store verdier står på spill når finansnæringen hver dag utsettes for angrep fra kriminelle typer og miljøer. Selv om det er begått tre bankran i år av ensomme kriminelle, er det andre typer miljøer som utgjør den største trusselen. vanskelig å avsløre, sier Frode Bjeglerud, som er fagdirektør i Enhet for økonomisk kriminalitet i Finans Norge. Trusselbildet mot finansnæringen er i endring. Den grensekryssende kriminaliteten øker i omfang. Det kriminelle samarbeidet på tvers av landegrensene er utbredt og effektivt. En annen nyhet er at avansert
teknologi er hyllevare for kriminelle. Tradisjonell kriminalitet utføres på nye måter, blant annet ved bruk av Internett. De siste årene er det registrert flere og mer avanserte former for nettbank-bedragerier. Nå øker datainnbruddene.
Den utro tjeneren
Forfalskeren
Kjennetegn: Interne mis-
Kjennetegn: Her forfalskes
Kjennetegn: Kan være en
Metoder: Metodene her kan være alt fra å benytte tilganger og fullmakter til å oppnå økonomisk vinning til å systematisk stjele og misbruke sensitive opplysninger / industrispionasje.
Metoder: Forfalsker lånedokumenter, takster, lønnsslipper ved søknad om lån.
Metoder: Omfatter alle for-
Slik kan han stoppes:
Slik kan han stoppes:
Gode transparente interne rutiner kombinert med et kontiunerlig fokus på denne typen kriminalitet.
Sikre en generell bevissthet hos førstelinje og etabler rutiner samt krav til reel dokumentkontroll og verifisering.
all form for dokumentasjon fra identitet, til lønnspapirer og falsk dokumentasjon på eiendeler.
narkoman som forsøker å heve penger med hjelp av et stjålet bankkort.
mer for misbruk av personopplysninger og identitetstyveri, fiktiv identitet og falsk identitet.
Slik kan han stoppes: Kjenn din kunde. Ha gode rutiner for verifisering av rett identitet på dine kunder.
Kilde: Finans Norge.
ligheter omfatter straffbare forhold som bedrageri, underslag, økonomisk utroskap og korrupsjon.
ID-tyven
Finansfokus 6-14
Økonomisk
kriminalitet Profilene
De organiserte Schengen-samarbeidet har åpnet grensene for organiserte kriminelle. Alle former for identitetsmisbruk utgjør en stor og økende trussel mot finansnæringen i Norge.
I
dentitetstyveri, misbruk, falske takst- og lånedokumenter ser vi stadig mer av, sier fagsjef bank i Enhet for økonomisk kriminalitet i Finans Norge, Jan Daniel Juniszewski. – Den negative utviklingen innen ID-området er en stor utfordring for finansnæringen. Økte krav til effektivitet i næringen gjør
det ikke enklere å avsløre denne formen for kriminalitet. - Vi er bekymret for utviklingen når det gjelder identitetsmisbruk. Utfordringen er at falsk eller stjålet ID gir full immunitet for gjerningspersonen. Det er vanskelig å avsløre falske EU-pass når for eksempel en person ønsker å få utstedt et norsk bankkort med
BILSVINDLERNE
FORFALSKERNE
Kjennetegn: Organiserte miljøer som misbruker personopplysninger, identitetstyveri, fiktiv eller falsk identitet.
Kjennetegn: Organiserte
Kjennetegn: Kriminelle
Metoder: Samler systematisk
Metoder: Bilsvindlerne justerer ned kilometerstanden på kjøretøy og bruker forfalsket dokumentasjon når lån søkes. Bilene forsvinner og det er også forsikringsbedragerier.
Metoder: Med avansert data-
Slik kan de stoppes:
Slik kan de stoppes:
Bedre rutiner for kontroll av dokumentasjon ved bilfinansiering.
Bruk QR-kode for verifisering av boligtakst. Bedre kontrollrutiner.
ID-MISBRUKERNE
inn personinformasjon spesielt via nettet. Bruker falsk dokumentasjon til svindel.
Slik kan de stoppes: Kartlegging av trender og omfang. Informasjonsutveksling mellom forsikring og NAV ved mistanke om svindel.
30
kriminelle som i samarbeid med bilforhandlere driver storstilt svindel ved salg og kjøp av bruktbiler.
bander, gjerne Øst-Europeiske som benytter falske dokumenter til bedragerier.
utstyr produseres fiktive fakturaer, takster, bankkort og lønnsslipper.
bankkort med bilde er best mulig. Saksbehandlerne må også få tilgang til all informasjon de trenger for å gjøre dette viktige arbeidet. Snakk med kunden og forsikre deg om at han er den han utgir seg for å være, sier Jan Daniel Juniszewski.
ANALYTIKERNE
Utro tjenere
Kjennetegn: Organiserte
Kjennetegn: Ansatte som
miljøer med høyt utdannede ressurssterke og analytiske personer.
Metoder: Det samles inn
samarbeider med kriminelle for å begå svindel mot egen arbeidsgiver. Kan også være korrupt.
Metoder: Kan være infiltras-
informasjon om finansnæringens rutiner og produkter for å se etter mulige svakheter som kan misbrukes. "Nyttige idioter" brukes her.
jon, men også ansatte som av andre årsaker begår interne misligheter.
Slik kan de stoppes:
Slik kan de stoppes:
Grundig verifisering av fremlagt dokumentasjon og årvåkenhet i forhold til lansering av nye produkter.
Gode kontrollrutiner og fullmaktsstruktur. Anti-korrupsjonsprogram.
HVITVASKERNE Kjennetegn: Bruker finansnæringen til å hvitvaske utbytte fra kriminell virksomhet. Metoder: Sender penger via omveier gjennom stråmenn eller selskaper for å tilsløre hvor pengene kommer fra. Til dels meget avanserte lovbrudd.
Slik kan de stoppes: Meld i fra om mistenkelige transaksjoner. Opplæring i terrorfinansiering og risikovurdering.
Kilde: Finans Norge.
bilde. Finansnæringen samarbeider med flere myndigheter for å forebygge denne formen for kriminalitet. Et ønske er et sterkere samarbeid for å begrense identitetsmisbruk. Nå er næringen i dialog med myndighetene for å etablere et nasjonalt ID-kort.- Fra vår side er det viktig at førstegangskontrollen ved utstedelse av
Finansfokus 6-14
Økonomisk
flere målrettede Angrep
kriminalitet Sikkerhet
Store profesjonelle organisasjoner angriper norske interesser. De sniker seg inn under radaren, planter skadevare og stjeler informasjon, før de til slutt trekker seg tilbake. Slike angrep blir stadig vanligere. Finansbransjen har så langt vært skånet. TEKST OG FOTO: SJUR FRIMAND-ANDA
I
august gikk Nasjonal sikkerhetsmyndighet (NSM) ut og advarte mot et crackerangrep mot energisektoren. Rundt 600 håndplukkede mottakere fikk en epost med et infisert Et crackerangrep er pdf-vedlegg. Dersom vedlegget ble åpnet, et målrettet angrep, ville det forsøke å utnytte flere kjente siksom forsøker å kerhetshull. utnytte svakheter i – Vedleggene er blitt klikket på, det vet vi. programvaren for å Men angrepene er i stor grad blitt stoppet av bryte seg inn i ulike systemer. andre sikkerhetsmekanismer. Vi har ikke fått bekreftet at noen datamaskiner er infisert, men antar, med stor sannsynlighet, at så har skjedd, sier Hans Christian Pretoruis, avdelingsdirektør ved operativ avdeling i NSM. Han treffer oss i en anonym bygning ved et veikryss på østkanten av Oslo. En kald høstvind drar gjennom gatene og sladrer om at vinteren snart er i anmarsj. Ringeklokken ved døren har intet navn. Skal du hit, vet du hvor du skal. Angrepet i slutten av august er et eksempel på hva som kan skje når det står store ressurser bak et dataangrep. Det er målrettet, godt utført og man vet ikke hvem som står bak. TRUSSELAKTØRENE
– De største trusselaktørene har store ressurser. Dette er folk som har fått i oppgave å bryte seg inn, folk som jobber ni til fire, med lunsj i kantina, pensjon og sosiale goder. Det er rett og slett jobben til noen, og de er ekstremt flinke med det de driver med, sier Pretorius, som heller ikke stikker under stol at det mest sannsynlig er fremmed makt som står bak. - E-tjenesten har sett økt aktivitet fra Kina og Russland. Likevel er det vanskelig å være bastant om hvor angrepene egentlig kommer fra. – Vi ser indiser som peker i én retning, men de dyktigste folkene er flinke til å peke i feil retning. Da blir det vanskelig å dra noen
32
konklusjoner. På mange måter er det underordnet å vite hvor angrepene kommer fra. Men vi ser at trusselaktørene er store og har mye kompetanse og store ressurser, sier avdelingsdirektøren. STJELER INFORMASJON
Slike angrep kan brukes til to ting: henting av informasjon og sabotasje. Hittil er vi i Norge blitt spart for sabotasjedelen. – Det handler om industrispionasje, som å skaffe seg informasjon til forhandlinger og teknologi til egne bedrifter. Andre europeiske land rapporterer også at skadevaren sjekker om den identifiserte datamaskinen kommuniserer med styringssystemer. Her kommer også sabotasjedimensjonen inn, sier Pretorius. Slike målrettede angrep mot norsk næringsliv skjer hele tiden. At NSM gikk ut og advarte mot angrepet i august, betyr at det var stort. Mens andre typer angrep har som mål å skaffe mye oppmerksomhet, sniker disse seg under radaren. Hackerne vil inn og ut uten at noen merker det. Dette bidrar til store mørketall om hvor utsatt næringslivet er. Både Telenor og verftsindustrien har mistet data under slike angrep. FLINKESTE GUTTEN
Også finansbransjen er blitt angrepet på denne måten, selv om høyteknologibransjen er mest utsatt. – Vi har ingen konkrete eksempler på vellykkede angrep mot finans. Finansbransjen var tidlig ute med digitale tjenester. Sikkerheten ligger i ryggraden, i alle fall når det gjelder sluttkundens data. Bransjen har rigget seg for å håndtere mye, sier Pretorius, som tror at bransjens historiske sikkerhetstenking kombinert med et mye og godt samarbeid har gitt god datasikkerhet. – Finans er den flinkeste gutten i klassen, konkluderer han. MÅLRETTEDE ANGREP
Sluttbruker og hjemmemarkedet blir stadig flinkere på sikkerhet. Dette bidrar til en stor økning i mer målrettede angrep. For nå har også de store kriminelle organisasjonene sett at internettkriminalitet er inntekstbringende og forholdvis risikofritt. Pretorius forventer flere angrep - også mot finans. – Pilene peker verken opp eller ned. Jeg kan vanskelig se at finans slipper unna. Det er en attraktiv bransje med mange verdier i omløp. Men angrepene kommer nok først og fremst hos sluttbruker, via hjemmeklientene. Det er her den store sårbarheten ligger, sier Pretorius.
HACKERE INN: Finansbransjen må vente seg økt interesse fra hackere. Veien inn er først og fremst via kunden, sier Hans Christian Pretorius.
Et hjem å vokse opp i Skulle en av dere foreldre bli ufør, kan utbetalingene fra NAV utgjøre så lite som halvparten av opprinnelig inntekt. Ved dødsfall forsvinner inntekten helt. I verste fall kan det bli for dyrt å bli boende i barnas barndomshjem. YS Dødsfallsforsikring gir en engangsutbetaling som kan brukes til å betale ned på gjeld. Du kan velge mellom en engangsutbetaling på 1 eller 2 millioner kroner ved dødsfall. Og det er ikke dyrt: Du betaler fra 718 kroner i året for å være sikret en utbetaling på 2 millioner kroner ved dødsfall. Medlemmer i Finansforbundet kan også kjøpe rimelig uføreforsikring. Kom innom ditt nærmeste Gjensidige kontor, ring oss på 03100 eller gå inn på gjensidige.no/ys for mer informasjon. (Pris og forsikringssummer er per 15. april 2014.)
Finansfokus 6-14
Økonomisk
kriminalitet Intervjuet
Mannen som
Følger pengene – Den evige jakten på raske penger gjør at finansnæringen blir et attraktivt mål for organisert kriminalitet. Forfatter og NRK-journalist Bjørn Olav Nordahl utfordrer næringen, eierne og de ansatte til å tenke nytt. TEKST: SVEIN ÅGE ERIKSEN FOTO: THOMAS KLEIVEN
S
iden slutten av 1990-tallet har den prisbelønte journalisten fulgt pengestrømmene i ulike miljøer. Funnene er blitt til én dokumentar og to romaner om baksiden av det nye Norge, der kontanter på ulike hender finner nye veier på uærlig vis. Hovedbudskapet er at drømmen om raske penger utfordrer hele grunnlaget for vår velferdsmodell. Bjørn Olav Nordahl har solid bakgrunn for sine meninger. I løpet av de 22 årene han var gravejournalist i Vårt Land, Dagens Næringsliv og NRK Brennpunkt, har han avslørt en lang rekke kriminelle pengestrømmer. Triksing med eiendomssalg i Smiths Venner, rot i platebransjen, trusler og smøring i dagligvarebransjen, de skjulte pengestrømmene hos B-gjengen og i torpedomiljøet, er noen eksempler. Resultatet ble politiaksjoner, domfellelser og fengslinger. Nordahl har mottatt fem diplomer fra Stiftelsen for en Kritisk og Undersøkende Presse, SKUP,
34
for sitt arbeid. I 2005 fikk han også Den store journalistprisen for sine avsløringer. De siste årene har han sett nærmere på hvordan finansnæringen blir utnyttet av kriminelle. TIPS MOT NARKO
– Hvordan mener du finansnæringen blir utnyttet av kriminelle? – Det mest alvorlige er at kriminelle bytter narkotika for å få tips om gode plasseringer i verdipapirer. Det som faktisk skjer, er at ansatte i finansnæringen finansierer narkotika til eget, venners og kollegers forbruk ved å tipse om fornuftige plasseringer i verdipapirmarkedet og utfører transaksjonene for kriminelle miljøer. Noen ganger er det også snakk om ulovlig innsidehandel i tillegg til selve narkotikakriminaliteten. – Hvordan kan du dokumentere at ansatte blir brukt på denne måten? – Jeg vet det fordi jeg kjenner folk som har
MER ORGANISERT:
- Kriminaliteten mot finansnæringen går fra individbasert kriminalitet til mer organisert kriminalitet, sier Bjørn Olav Nordahl.
BJØRN OLAV NORDAHL Journalist og forfatter. Debuterte med dokumentarboka Ran i 2007 sammen med Knut Gjernes. Har siden utgitt romanene Nesten til stede i 2010, Skyggeland i 2012 og Nullpunkt i 2014. Nordahl er i dag ansatt som gravejournalist i NRK Brennpunkt og har mottatt fem SKUP-diplom og Den store journalistprisen for sine avsløringer.
Finansfokus 6-14
Økonomisk
kriminalitet intervjuet
vært med på det, og fordi jeg har lest aksjonærlister, transportlogger og sluttsedler som dokumenterer forholdene. Denne utfordringen tror jeg finansnæringen har prøvd å feie under teppet. Holdningen synes å være at så lenge du ikke blir tatt, er det greit, sier Bjørn Olav Nordahl. Han mener også at næringen har en utfordring når det gjelder å avsløre falske identiteter. – Utviklingen innen ID-tyveri er skremmende, og dette er et stadig økende problem for næringen. Fem prosent av befolkningen i Norge har vært utsatt for identitetstyveri. Det er ikke tilfeldig. Nå er det ikke lenger enkeltpersoner som stjeler et pass eller bankkort på gata. I dag er mesteparten av kriminaliteten som utøves mot finansnæringen, organisert og satt i system. Det er lett å skaffe seg falske identitetspapirer. I neste omgang blir det enkelt å skaffe seg bankkort, pinkoder og arbeidstillatelser. På den måten kommer penger og folk i omløp som ikke burde vært det. Kriminelle spaserer rett inn i velrennomerte finansinstitusjoner og oppretter kundeforhold. Dermed er ballet i gang. KONTANT TRUSSEL
– I miljøer som har en viss kontantstrøm, er det utfordringer både for finansnæringen og hver enkelt av oss. Det gjelder spesielt bygg- og anlegg, utelivs-, taxi- og landbruksnæringen. Her er vi i ferd med å få et todelt samfunn. De som befinner seg på det ene laget, aksepterer lave lønninger, kontant betaling og at pengene skal fraktes ut av landet. Disse folkene har behov for finansielle tjenester fra det andre laget, som en bankkonto eller klientkonto. Spørsmålet for finansnæringen blir da: Hvordan kvalitetssikres denne kundemassen? Tilfredsstiller de helt alminnelige krav som stilles til å etablere et kundeforhold? – Mener du at norske finansinstitusjoner bevisst aksepterer kriminelle pengestrømmer? – Nei, ikke bevisst, men kanskje de burde utfordre seg selv på sine egne systemer og rutiner og stille noen flere kritiske spørsmål som kanskje gjør at du mister en deal, en transaksjon eller et kundeforhold. – Hva mener du finansnæringen og de ansatte bør gjøre for best mulig å forhindre og begrense kriminelle anslag mot næringen?
36
– Utgangspunktet er hva slags holdninger og kultur som utvikles internt i bedriften. Trendrapportene fra næringen og politiet peker på at utro tjenere nærmest er en forutsetning for å lykkes for en del av de kriminelle elementene. Noen blir utro tjenere fordi de blir fristet til å bli rike raskt, andre på grunn av at de blir presset fordi de står i gjeld til noen. Forutsetningen for at de kriminelle lykkes, er uansett at folk på innsiden velger å gå bak ryggen på sin egen arbeidsgiver og sine egne kolleger. Derfor er det selvsagt viktig å bygge opp gode rutiner innen sikkerhetsarbeidet i hver enkelt bedrift, men først og fremst handler det om å utvikle de ansattes moralske ryggmargsreflekser. STORT DILEMMA
– På mange måter står finansnæringen overfor et stort dilemma. På den ene siden skal den jage profitt. På den andre siden skal næringen bygge en kultur mot de som jager profitt urettmessig. Dette reiser noen viktige og prinsipielle spørs-
mål. På hvilke premisser skal næringen tjene penger? Er det en kultur for å gi slipp på den siste marginen og være fornøyd med litt dårligere bunnlinje? – Men er det ikke slik at institusjonene må tjene penger både for å gi en fornuftig avkastning til eierne og å skape trygge arbeidsplasser? – Alt dette er veldig bra, men hva skjer når risikovillighet går over til å bli hasard? Ingen er uenige i at det er viktig med kapital, nyskaping, arbeidsplasser og innovasjon. Vi trenger investorer som tar risiko og virkelig hiver seg ut i det. Men kontrollspørsmålet vil alltid være: Risiko på bekostning av hva? Nordahl håper at finansnæringen har et ønske om å ha en etisk ryggrad. Det er ikke nok at dette er formuleringer i en policyhåndbok. Den etiske grunnholdningen må være implementert i hele organisasjonen. Alle må stille de kritiske spørsmålene til nye kunder som det er nødvendig å stille, og det må være klima for de ubehagelige spørsmålene. Det finnes en rekke porteføljer i
her er bøkene ”
Den kjappe gevinsten er motbydelig.
MANGE REISER: Forfatter og journalist Bjørn Olav Nordahl har hentet inspirasjon til sine bøker på mange av sine utenlandsreiser blant annet til Islamabad og Peshawar.
den etablerte kundemassen det er nyttig å gå gjennom. Det er jo først når de innerste krokene i skapet sjekkes, at noe guffent kan ramle ut. INGEN QUICKFIX
– Hvordan påvirker eiernes krav til avkastning resultatjaget i finansnæringen? – Det er all grunn til å stille et stort spørsmål ved eiernes rolle. Det er slik at ethvert finanskonsern verken er bedre eller dårligere enn det eierne forventer at det skal være. Når kravet til avkastning og utbytte hele tiden øker, blir de ansatte og næringen satt under et voldsomt press. Da kan det være fristende å gå lenger enn det man burde i jakten på den kjappe gevinsten, sier Nordahl. – Verken i finansnæringen eller i landet for øvrig finnes det noen quickfix til raske penger. Livet er ikke Idol der du blir berømt over natta. Det er ikke Lotto hvor du får det ene loddet som gjør deg til millionær eller mangemillionær i løpet av noen sekunder. Grunnen til at vi er der
vi er i dag, er langsiktighet. Derfor har jeg utrolig respekt for næringslivsledere som har det langsiktige perspektivet. De bygger og bygger, og kapper ikke svinger. De lar seg ikke tyrannisere av kvartalsresultatene, men sier at jeg er her fordi jeg skal være her om 20 og 30 år også. Jeg tror faktisk du finner en sunnere forretningsmoral utenfor Oslo, i distriktene, langs kysten. Skipsbyggingsindustrien på Sunnmøre er et godt eksempel på dette. Jeg har sansen for det bondske, langsiktige og trauste. – Hvordan har oljen påvirket utviklingen i Norge? – I løpet av de siste 40 årene har hele samfunnet blitt snudd på hodet. Vi er verdens rikeste land. Oljen er jo også en slags quickfix sett i et litt lengre perspektiv. Men er det slik verdiene skapes? Vi har jo ikke fortjent denne rikdommen i det hele tatt. Det er jo bare flaks. Vi vet at oljen tar slutt, at det er andre ting vi må leve av. Men dessverre har denne nyrikdommen bidratt til en ukultur der alt handler om at det viktigste i livet er kjapp rikdom og berømmelse. TV-programmene Idol og Vil du bli millionær nører opp under dette uvesenet. – Er du ute etter folk som tjener penger? – Nei, jeg har ikke noe imot at folk tjener penger, men det handler om hvilke holdninger folk har til det de holder på med. Selvsagt skal alle ha en rimelig avkastning av arbeidet og investeringene sine. Det trenger landet. Men troen på den kjappe gevinsten synes jeg til tider er ganske kvalmende. Aktørene i verdipapirmarkedet har støttet oppunder dette, og spesielt meglerbransjen har bidratt mer til en grådighetskultur enn reell verdiskapning. Det er for eksempel lite sjarmerende å se hvordan partnerne i store meglerhus har forsøkt å snike seg unna skatteforpliktelsene sine ved å opprette såkalte indre selskaper. Det gjorde ingen verdens ting om denne gjengen tapte så det sang i alle runder i rettsapparatet. Alle må bidra til fellesskapet, selv aksjemeglere, avslutter Nordahl.
RAN (2007) I 10 år fulgte journalistene Knut Gjernes og Bjørn Olav Nordahl pengemakten i Norge på nært hold. Her dokumenterer de ukjente sider av verdens rikeste land. I denne boka møter du mennesker som har latt seg friste av utsikten til rask rikdom. Dette er historien om det nye Norge fortalt gjennom artikler i Dagens Næringsliv.
SKYGGELAND (2010) Skyggeland handler om pengeflyttere, skatteparadiser, bloddiamanter og muskelmenn. Alle drives de av det samme: Frykt og grådighet. Alle har noe på alle. Ulovlig innsidehandel er den store, smittsomme sykdommen der de rike blir enda rikere, og idiotene enda blakkere. Hovedpersonene er to gravejournalister i Dagens Økonomi.
NULLPUNKT (2014) Boka Nullpunkt er en levende innføring i børsens bakgård. Den handler om et lukrativt afrikansk oljeeventyr, en gigantisk hvitvaskingsmaskin drevet av pakistansk mafia i Norge og en finsk torpedo på frifot i Oslos gater. Det er også et spørsmål om hevn, og om den vanskelige kjærligheten. Dette er finanskrim i toppsjiktet.
Finansfokus 6-14
Økonomisk
kriminalitet Teknologi
HACKBART KJØLESKAP: Et kjøleskap var blant 100 000 gjenstander som ble brukt i et massivt spamangrep i USA i vinter. Dårlig sikkerhet ga hackerne enkel tilgang.
Printer med nettilgang: Har du husket å sikkerhetsoppdatere printeren? Passordbeskytte ruteren? Sikre pulsklokken? Kontormiljøet er fullt av ting som er på Internett.
TING SOM TRUER Du tenker datasikkerhet på PC-en og mobilen. Men hva med printeren? Pulsklokken? Kjøleskapet? TV-en? Stadig flere hverdagsobjekter kobles på nett og kan utgjøre en sikkerhetsrisiko. TEKST: MONA EVENSEN ILLUSTRASJON: SHUTTERSTOCK
”
Denne type angrep vil øke.
38
V
ar det en mørk og stormfull aften da kjøleskapet gikk til angrep? Kanskje. Vi vet ikke akkurat hvor og når det skjedde. I vinter avdekket det amerikanske sikkerhetsselskapet Proofpoint at et kjøleskap hadde blitt brukt i et botnett. Botnett er et nettverk av datamaskiner infisert av virus eller trojanske hester som brukes til ulike typer angrep, som DDoS angrep. Det er langt fra uvanlig. Men i dette angrepet var cirka en tredjedel av maskinene som ble brukt, ikke PC-er men “ting” som TV-er eller kjøleskap. Det er nytt. Tingenes internett kalles fenomenet der hverdagslige objekter er koblet på nett, og utviklingen går rivende fort. Det gir store muligheter, men også store sikkerhetsutfordringer. I år kom altså det Proofpoint kaller det første cyberangrepet fra Tingenes Internett.
HACKERE TAR KONTROLL
– Den største risikoen ligger i at mange ikke skjønner risikoen, mener Inger Anne Tøndel, som forsker på informasjonssikkerhet i SINTEF. – Det har vært snakket om Tingenes internett forholdsvis lenge, sier Tøndel. – Vi snakker om smarte hjem, smart infrastruktur og smarte kontorer. I “smart” legger vi at ting er tilkoblet nett. Tilbudet øker raskt, men mange er nok lite bevisste på hvor mye som er tilkoblet nett, og det er en sikkerhetsrisiko. – De fleste oppdaterer jo PC-en, men hva med kjøleskapet, kameraet eller printeren på kontoret? – Hackerne i USA kunne enkelt ta kontroll over tingene, enten fordi de var for dårlig sikret, satt opp feil eller uten bruk av passord. Det er jo bare et kjøleskap eller en ruter. Tøndel tror det er et problem i Norge også. - Vi får håpe bedrifter vet de må
sikre riktig og oppdatere. Dersom for eksempel en printer ikke blir oppdatert, kan den utgjøre en betydelig sikkerhetsrisiko. Da kan det være lettere å bryte seg inn via en printer enn en kontormaskin. I tillegg sendes det mye informasjon til printeren. Hun kjenner ikke til konkrete tilfeller av slike angrep i Norge, men det betyr ikke at det ikke har skjedd. - Svært mange angrep oppdages aldri. I fjor klarte Dagbladet å hacke seg inn og ta kontrollen over sikkerhetskameraer i både bedrifter og private hjem. Det viser at mange ikke har sikret seg godt nok. VIL VOKSE - VÆR OBS
– Hva kan gjøres? – Det er et spørsmål om kunnskap og kapasitet. Brukerne må være bevisste, men leverandørene bør ta mer ansvar for sikkerheten, svarer Tøndel. – Det er et problem at en del leveran-
Åpen dør: Hvis kjøleskapet kobles på internett kan det utgjøre en sikkerhetsrisiko. Både leverandører og brukere må bli mer bevisste, mener ekspert.
dører av “ting”, er lite vant til å tenke IT-sikkerhet. Konsekvensen kan være dårlig sikkerhet, for eksempel svak kode. Virksomheter må være bevisste på dette og inkludere sikkerhetsaspektet i avtaler. Får man hjelp til å sette opp og til å oppdatere for eksempel? – Tror du fenomenet Tingenes internett
- og dermed risikoen - kommer til å vokse? – Jeg vil helst ikke spå om fremtiden, men det er jo vanskelig å se for seg at dette ikke vokser. Et scenario er at man ikke tar sikkerhet på alvor, slik at smarte ting blir et enkelt mål for kriminelle. Da vil nok denne typen angrep øke. Tingenes internett gjør trusselbildet mer
komplekst. Det er viktig med gode systemer og riktig kompetanse på sikkerhet. Samtidig åpner det også mange muligheter.
Finansfokus 6-14
Økonomisk
kriminalitet Teknologi
KREVENDE, MEN VIKTIG Om iPhonen er koblet til PayPalen, og PayPalen er koblet til bankkontoen og PayPalen ikke er sikker, hvem har ansvaret?
INFORMASJON, VÆR Så GOD: En app som forteller deg hvem du er i Friends og gir muligheten for å vinne en iPad? Så gøy. Og alt som kreves er tilgang til telefon og kontroll over kontoen?
Finanstilsynet er tydelig på at sikkerhet i nettbank er bankenes ansvar, men det er viktig å bevisstgjøre brukerne. – Når stadig mer av bankens betalingsformidling og øvrige virksomhet skjer digitalt og elektronisk, er det viktig at finansforetakene har relevant og oppdatert “vett”: Informasjonen om sin tjenesteyting må være lett synlig og tilgjengelig for både kort, nettbank og mobil, mener Finanstilsynet i sin RoS-rapport. De har sjekket flere foretak, og ser at graden av dekning, samlet informasjon og synlighet varierer. – Det kan være krevende å etablere uttømmende informasjonssider og holde disse oppdatert, men samtidig vil det være et viktig supplement som del av tjenesteytingen, ifølge RoS-rapporten.
Det Svakeste leddet Selv ikke de beste sikkerhetsløsninger kan stå imot menneskelig svikt. Kundenes nettvett blir stadig viktigere.
Arne Krokan. - Brukere overleverer villig masse informasjon til tilbydere på nett. Informasjonen inkluderer betalingsinformasjon, som kortnummer og utløpsdato, og vi stoler på at de som får den ikke misbruker den, eller at en tredje-part tar ansvaret.
TEKST: MONA EVENSEN Foto: shutterstock
FLESTE BEVISSTE
IT
-sikkerhet er bare så sterk som det svakeste leddet. Men hva om det svakeste leddet ikke har nettvett nok til å si nei til Nigeriabrev og phishing? Enkelte sier ja til å utlevere sensitiv informasjon mot sjansen til å vinne en iPad, og laster ned malware gjennom applikasjoner som kan fortelle deg hvem du er i Friends. Mange brukere har et lemfeldig forhold til å gi ut informasjon i bytte mot gøyale og nyttige greier på nett. Det er en sikkerhetsrisiko. – Det vokser frem en tillitsøkonomi, sier professor ved NTNU og forfatter av boken “Digital Økonomi”,
40
Krokan har selv opplevd å bli svindlet på nett. - Jeg bestilte leiebil i Italia på nett. Da jeg ankom, hadde ikke utleiefirmaet flere igjen av bilene jeg hadde bestilt, og jeg fikk tilbud om en annen. Men én uke etter hadde de trukket kortet mitt for dobbelt beløp av det jeg hadde godkjent, fordi den andre bilen var dyrere. Jeg klaget selvfølgelig, men pengene fikk jeg aldri igjen. Om det kan skje en professor i digital økonomi, kan det vel skje den beste. – Jeg tror mange kunder er bevisste brukere, men ikke alle. De som er blitt “dyttet” over på digitale tjenester, vil nok ha mer behov for oppfølging. I tillegg blir svindelforsøkene stadig mer sofistikerte, hevder Krokan.
NYE LEVERANDØRER
Finansnæringen har vært tidlig ute med å digitalisere tjenestene. Men systemene de har i bunn, er gammeldagse, mener Krokan. – Bankenes rolle som trygg tredjepart utfordres. Amazon og Ebay er eksempler på tjenester som tar tillitt veldig alvorlig og stiller som garantist mellom selger og kjøper. Bankene lever av tillit og sikkerhet, men om andre leverer bedre kan bankene tape på dette området. Finansbransjen vil se store endringer fremover, eksempelvis mobil betaling. Krokan har, som mange andre teknologientusiaster, bestilt iPhone 6, som kommer med NFC-teknologi. - Da kan man betale direkte med mobilen fra PayPalkontoen, som er koblet til bankkontoen. Dette kan bli en disruptiv innovasjon, og bankene må forholde seg til dette. Men PayPal er ikke veldig sikkert. Spørsmålet blir hvilken sikkerhet vi skal kreve på telefonen: Holder pinkoden, eller skal vi bruke telefonens innebygde fingeravtrykksteknologi?
Slik jobber bankene Nettvett er høyt prioritert, men bankene har ulike metoder for å ivareta et godt nettvett. Vi spurte tre av Norges største banker om hvordan de jobber med kunnskaps- og holdningsformidlende tiltak, internt og eksternt.
LEKSJONER FOR ANSATTE – Vi har til enhver tid informasjon om nettvett/ sikkerhet på forsiden av våre nettsider. Vi varsler om spesifikke hendelser på både nettsider og på Facebook. Vi produserer også egne nyhetssaker knyttet til ulike problemstillinger ved nettvett, sier Lars Ove Breivik, informasjonssjef i Sparebanken Vest. – Vel så viktig som den direkte informasjonen til kunder, er bevisstgjøringen internt. Hvis alle våre ansatte kan være gode ambassadører for nettvett, vil dette også komme kundene til gode. Derfor har vi i år holdt et eget kurs i informasjonssikkerhet der alle ansatte mottar en «leksjon» annenhver uke. Det er obligatorisk å gjennomføre disse minikursene som vi startet med i mars og som vil gå ut 2014. Temaene varierer fra gang til gang, og inkluderer alt fra passord til hva man bør være obs på i med hensyn til hva man skriver om seg selv i sosiale medier. Denne type jevnlig bevisstgjøring er noe vi vil fortsette å jobbe med, både internt og eksternt, forteller Breivik.
UNDERVISER UNGDOM
ET SAMFUNNSANSVAR
– Dette området er veldig viktig for oss. Flere og flere tjenester blir nettbaserte og våre kunder skal føle seg trygge på at Nordea tar deres utfordringer på alvor. Vi informerer om nettvett på nettsidene våre og bruker andre kanaler som Facebook, Twitter og nyhetssidene. Kundene kan når som helst på døgnet ringe eller chatte med oss for råd og hjelp, forteller Johannes Stenwig, assisterende informasjonssjef i Nordea Norge – Vi har nylig hatt fokus på dette internt, hva våre medarbeidere må huske på i arbeidshverdagen som gode tips og hvor de kan finne relevant informasjon. I samarbeid med Ungt Entreprenørskap underviser våre ansatte ungdomsskoleelever om økonomi og karriere. Da står også nettvett og sunn bruk av betalingsløsninger på timeplanen.
– DNB har nettsiden «Trygg bank» hvor kunder finner gode tips og råd om trygg bruk av nettbank, mobil, kort og andre tjenester. Vi tilbyr kundene våre gratis antivirusprogram i nettbanken, og har døgnåpen kundeservice for å hjelpe kunder som har spørsmål om nettsikkerhet eller opplever at de har vært utsatt for svindel, forteller informasjonsdirektør i DNB Bank, Even Westerveld. I tillegg fokuserer DNB på sikkerhetspørsmål i mediene, eksempelvis hvis det kommer nye svindeltrender. – I perioder hvor Norge og norsk banknæring opplever et økt trusselbilde, følges dette opp med artikler på nettsiden, gjerne med eksempler på hvordan forsøk på svindel ser ut og hvordan kunder skal forholde seg om de mottar slike svindelforsøk. Oktober er nasjonal sikkerhetsmåned, og i den forbindelse har banken en rekke tiltak, både eksternt og internt. – Dette er et viktig tema, og finansnæringen har et ansvar sammen med samfunnet for øvrig. Vi vil fortsette å jobbe målrettet med å sikre god informasjon knyttet til egne tjenester og generell bruk av internett. Dette gjøres både gjennom sterk fokus på informasjonssikkerhet, samt gjennom samarbeid med andre banker og Finans Norge , sier Westerveld.
Finansfokus 6-14
Økonomisk
kriminalitet Politiet
13 nye til Kripos for å st Kripos skjerper kampen mot organisert datakriminalitet. I disse dager blir det ansatt 13 nye etterforskere og elektroniske sporeksperter. TEKST: SVEIN ÅGE ERIKSEN FOTO: POLITIET
R
undt 50 ansatte i Kripos arbeider med å avdekke, bekjempe og begrense alle former for datakriminalitet som rammer både enkeltpersoner og næringslivet med stadig større tyngde. Nå trappes innsatsen ytterligere opp. – I statsbudsjettet i 2013 fikk vi en klar tilbakemelding fra politikerne på Stortinget om at Politiet skal være langt sterkere tilstede på internett og bedre rustet til å opptre i det digitale rom. Med
42
ekstra ressurser har vi fått en helt annen slagkraft og tyngde i etterforskningen av slike saker. Det er vi meget godt fornøyd med, sier politioverbetjent Håvard Andre Aalmo som leder seksjon for datakriminalitet i Kripos. Etter styrkingen blir Kripos ett av landets største ressurssentre i kampen mot datakriminalitet, men etaten kjemper på ingen måte kampen alene. Landets 27 politidistrikt har også et ansvar for å ta tak i denne type saker og å følge sporene til en IPadresse. FÅ ANMELDELSER
– Er det ikke et tankekors at bare en halv prosent av all datakriminalitet mot norske bedrifter blir anmeldt? – Det er en stor utfordring. For at vi skal kunne gjøre en god innsats for å avdekke datakriminalitet rettet mot bedriftene, er vi helt avhengige av å få oversikt over hva som egentlig skjer av slike hendelser. Derfor er det helt avgjørende at ledelsen i bedriftene tar kontakt og gir oss informasjon. Da
får vi et langt bedre grunnlag til å spore opp og straffeforfølge de miljøene som driver med dette, sier Aalmo. – Er det ikke slik at det er altfor mange datakriminelle som aldri blir tatt? – Det er utfordrende å ta bakmenn siden datakriminalitet oftest går over landegrenser. Det betyr at serveren, eieren av serveren, brukerne og etterforskningsledelsen kan ha opprinnelse i ulike land. Det krever et langt større internasjonalt samarbeid for å avdekke datakriminalitet enn det som det i mange tilfeller er tilrettelagt for. En annen utfordring knyttet til politiets etterforskning av internettrelatert kriminalitet, er den såkalte sletteplikten. Datatilsynet har bestemt at kobling mellom IP-adresse og abonnent etter loven ikke kan lagres lenger enn 21 dager. Det fører i praksis til at det er svært vanskelig å identifisere personer bak kriminell aktivitet på Internett, men likevel er det mulig å få oppklart denne type saker også. Innsamling av alle typer bevis og indisier,
VÆR OBS: – Skadelig programvare kan brukes til en rekke kriminelle handlinger. De mest alvorlige er dataspionasje, infiltrering, bedrageri, kortsvindel og sabotasje, advarer politioverbetjent Håvard Andre Aalmo i Kripos. Snart er 13 nye ansatte på plass.
stoppe datakrim analyse og tradisjonell politietterforskning gjør at mistenkte blir identifisert og kan forfølges videre i rettssystemet. 20 DOMFELTE
– Hvor mange dommer har Kripos fått avsagt mot datakriminelle de siste fem årene? – Kripos har hatt dom i totalt ni saker, hvorav to av sakene ennå ikke er rettskraftige. I de sakene hvor det foreligger endelig dom er det 12 domfelte, mens det i de ikke rettskraftige dommene er totalt åtte domfelte. – Hvordan skal Kripos og politiet vinne kampen mot datakriminalitet i Norge? - Kripos er langt fremme på datakrimfeltet både når det gjelder sikring av elektroniske spor, analyse og etterforskning. Et utstrakt internasjonalt samarbeid bidrar også til at siste utvikling innenfor feltet deles mellom de ulike land, spesielt via Europol- og Interpolsamarbeidet. I tillegg har vi et godt samarbeid med næringslivet, finansnæringen, Finans Norge og FinansCERT.
SKUMMEL UTVIKLING
– Hva er siste nytt når det gjelder utvikling innen datakriminalitet? - Det er spesielt tre forhold som gir grunn til bekymring. For det første selger kriminelle alle mulige tjenester via internett. Det er enkelt å kjøpe hva det skulle være av virusprogrammer og andre ondsinnede tjenester som i neste omgang bruker til å begå datakriminalitet. En annen utfordring er mobile plattformer og alt som etter hvert blir koblet opp mot internett. (Se egen artikkel). Vi er spesielt bekymret for sikkerheten på mobiltelefonene og at kriminelle hacker seg inn og tar over for eksempel applikasjonene til mobilbankene. Til slutt ser vi at Dark web med kryptert informasjon brer om seg. Det samme er tilfelle med det vi kaller Deep web, som er det uregistrerte undergrunnsinternettet som ikke vises offentlig, avslutter politioverbetjent Håvard Andre Aalmo i Kripos.
KRIPOS Kripos er den nasjonale enhet for bekjempelse av organisert og annen alvorlig kriminalitet. Opprettet i 1959 og er et kompetansesenter for norsk politi. Kripos har om lag 500 ansatte. Halvparten er politiutdannet, mens de øvrige er sivilt ansatte. (Kilde: kripos.no)
Finansfokus 6-14
Økonomisk
kriminalitet Politiet
Økt risiko for finans – Det er stor forskjell på hvilke ressurser bedriftene i finansnæringen bruker på risikovurdering knyttet til hvitvasking. TEKST: SVEIN ÅGE ERIKSEN FOTO: POLITIET
D
et sier Sven Arild Damslora som er førstestatsadvokat og avdelingsleder i Økokrim. Han har jobbet i Økokrim siden 2001 og har ansvaret for enhet for finansiell etterretning. – Hvordan vurderer Økokrim trusselbildet for finansinstitusjonene? – I dag ser vi et mer komplekst trusselbilde. Kriminelle miljøer som ønsker å misbruke tjenester i finansinstitusjonene, er bedre organisert, og de har et mer langsiktig perspektiv. De bygger opp en ramme av legitimitet rundt sine selskaper før de misbruker næringens tjenester. De bruker profesjonelle rådgivere, advokater, regnskapsførere og lignende. Samtidig sørger de for at riktige typer dokumenter sendes til myndighetene og bankene. Slik får bankene inntrykk av at her står det seriøse virksomheter bak. Det er den nye utfordringen. – Hva er mottiltaket mot denne utviklingen? – Det beste tiltaket mot hvitvasking er å ha god informasjon om kunden. Du skal vite hvem kunden er og hvilke tjenester han skal ha. I de bedriftene som er gode på nettopp dette, er det skapt en helt annen forståelse for hvilke trusler som foreligger. – Mange finansinstitusjoner har begynt å jobbe godt opp mot det vi kaller for risikoperspektivet i hvitvaskingsloven. Nå skal bankene og forsikringsselskapene risikovurdere sine kunder og produkter
44
opp mot trusselen om å bli misbrukt til hvitvasking og terrorfinansiering. Hvis bedriftene gjør dette på en ryddig og god måte, vil de både avdekke trusler, hvitvasking og terrorfinansiering – og også finne andre sårbarheter i virksomhetene. Vi i Økokrim har hatt mange møter med banker i hele landet om dette.
”
Bankene får inntrykk av at her står det seriøse virksomheter bak. Det er den nye utfordringen. ENORME BELØP
Utbytte fra kriminell virksomhet i Norge beløper seg til mellom fire og åtte prosent av bruttonasjonalproduktet. Det betyr at milliarder av kroner blir forsøkt hvitvasket hvert år. Ingen har full oversikt over utbytte fra økonomisk kriminalitet i Norge, men det kan ifølge Damslora være snakk om flere hundre milliarder kroner hvert år. – Er omfanget av hvitvaskingstruslene større enn tidligere? – Behovet for å hvitvaske og legitimere utbytte fra økonomisk kriminalitet, er
minst like stort i dag som tidligere. Rapporteringsplikten som er innført, er et godt verktøy for å avgrense dette. Finansinstitusjonene er blitt bedre til å rapportere mistenkelige transaksjoner og gjennomfører i større grad risikovurdering og klassifisering av kunder og produkter. Når dette systemet virker, er det mulig å sikre utbytte fra kriminelle mens pengene fortsatt er til stede. Dermed blir inndragningen av kriminelt utbytte en realitet. VAG MISTANKE
– Hva er ditt budskap til ansatte i banker og forsikringsselskaper ved mistenkelige transaksjoner? – Det skal ikke mye til for å rapportere en mistenkelig transaksjon. Terskelen for å rapportere er lav, og det er ingen beløpsgrense. En vag mistanke om at noe ikke stemmer, er godt nok. Kjenner du kunden din og kjenner du midlenes opprinnelse, kan du sove godt om natten. Men Økokrim skulle gjerne sett at flere ansatte i finans gjør noen undersøkelser rundt akkurat disse spørsmålene. – I bedriftsmarkedet har de fleste finansinstitusjoner en vei å gå når det gjelder å ha en god risikovurdering og risikostyring. Institusjonene må rette større oppmerksomhet mot næringslivskundene og de finansielle tjenestene som kundene bruker. Det kan være vanskelig å fange opp de transaksjonene som skjer, men likevel bør det settes inn en ekstra innsats på dette området.
ALLE UTSATT: – Alle typer næringer er utsatt for hvitvasking. Dette gjelder også kjøp og salg av bank- og forsikringstjenester, sier førstestatsadvokat Sven Arild Damslora i Økokrim.
Finansfokus 6-14
Økonomisk
kriminalitet Politiet
ET SAMFUNNSANSVAR
”
– Finansinstitusjonene måles på kvartalsresultatene. Hvilken risiko innebærer dette? – Økokrim blir møtt med at det koster mye penger å iverksette dette regimet. Vårt svar til finansinstitusjonene er at også de har et samfunnsansvar. De har fått anledning til å utføre viktige og legitime tjenester. Med dette følger også et ansvar for å forebygge kriminalitet. Det kan være en god investering å bruke noen millioner for å etablere et godt hvitvaskingsregime. Store internasjonale banker har de siste årene måtte betale bøter på flere hundre millioner kroner for brudd på hvitvaskingslovgivningen. – Det er med andre ord fortsatt en del å gå på når det gjelder evnen til å vurdere risiko og hvitvasking i finansnæringen? – Ja, det er det. Noen bruker mye tid og ressurser, mens andre steder er det hull i gjerdet, og der har ledelsen en mer lettvint holdning til hvitvasking. Vår oppfatning er at det er en stor operasjonell risiko å ikke følge regelverket om hvitvasking.
Menneskelig kunnskap og erfaring er viktig for å avdekke økonomisk kriminalitet. – Hva tenker du om de store nedbemanningene i finansnæringen og konsekvensen for arbeidet med hvitvasking i bedriftene? – Et tilstrekkelig antall ansatte er helt avgjørende for å kunne avdekke økonomisk kriminalitet. I det perspektivet er nedbemanning og færre ansatte noe som også vi oppfatter som en utfordring. Å kjøpe en IT-tjeneste og lene seg på dette alene, fungerer ikke. Det må være folk med kompetanse og erfaring som håndterer dette.
Han peker på at i de flinkeste bedriftene brukes det store ressurser. Her er arbeidet med hvitvasking er forankret fra toppledelsen og nedover i organisasjonen. De ansatte blir opplært, trent og belønnet for å håndtere risikoen for hvitvasking. Menneskelig kunnskap og erfaring har mange ganger avdekket alvorlig økonomisk kriminalitet. – Noen ganger har nedbemanningen gått for langt. Vi opplever at den hvitvaskingsansvarlige i bedriften, har så mange andre oppgaver at det ikke er mulig å følge opp alvorlige trusler. Tiden strekker rett og slett ikke til. Slik vi ser det, er hvitvaskingslovgivningen ett av de beste verktøyene for å inndra utbytte fra kriminalitet. Derfor legger Økokrim stor vekt på at finansnæringen også følger opp dette, avslutter førstestatsadvokat Sven Arild Damslora.
Visste du...? ... at Bank2 refinansierer der andre banker ikke har mulighet? ... at Bank2 tilbyr lån til kunder med betalingsanmerkninger? ... at Bank2 tilbyr mellomfinansiering? ... at Bank2 både har privat- og bedriftskunder? Bank2 tilbyr finansielle løsninger som gir den nødvendige fleksibilitet på kort og lang sikt. Lån forutsettes sikret med pant i fast eiendom. Nominell rente fra 6,20 %, etableringsgebyr 2 %, minimum kr 15.000,-. Priseksempel: Eff. rente 7,48 %, 2 mill. over 25 år, totalt kr 4.330.250,-.
Ring oss 46
Be om å få snakke med en av våre rådgivere: Tlf: 24 13 20 60 - bank2.no
inansforbundets sider
London calling
LONDON CITY: Det er god utsikt til London City fra DNBs møtelokaler.
Åtte heldige medlemmer ble trukket ut som vinnere i forbindelse med vårens vervekampanje. Premien var en tur til London. TEKST: TOR ANDRÉ SUNDE FOTO: SOLVEIG BJØRNSTAD
HISTORISK GRUNN: Henrik Molv ær og Espen Risløw fra Gjensidige i nærheten av London Børs
.
Finansfokus 6-14
Fin a n s f o r b u nd e t s s id e r
London calling
LONDON LUNSJ: Lunsj ble inntatt på The Star Tavern, en rotekte britisk pub i Belgrave Mews. For spesielt interesserte kan det nevnes at det var her Biggs & Co planla det store togrøveriet i 1963. Fra venstre: Elisabeth Ferber, Nordea, Tor André Sunde, Finansforbundet, Nina Grimwade, guide, Atif Aftab, Nordea, Elisabeth Iversen Brøndbo, DNB, Janne Cecilie Guldahl, DNB, Ole-Martin Solberg, Sparebanken Øst, Bjørn Nordbye, Sparebanken Øst. Henrik Molvær og Espen Risløw fra Gjensidige satt på toget fra Stansted på grunn av forsinkelser da bildet ble tatt.
DE VANT TUR TIL LONDON I forbindelse med vårens vervekampanje ble det trukket ut fire ververe og fire vervede.
Vinnerne er: Ververe: Atif Aftab, Nordea, Henrik Molvær,
Gjensidige, Ole-Martin Solberg, Sparebanken Øst og Janne Cecilie Guldahl, DNB. Vervede: Elisabeth Ferber, Nordea, Espen Risløw, Gjensidige, Bjørn Nordbye, Sparebanken Øst og Elisabeth Iversen Brøndbo, DNB.
48
L
ondon er én av verdens metropoler for kapitalvarer. Det er på noen få kvadratmeter i City det skjer. Det var lagt opp til besøk i DNBs og Nordeas filialer. De ligger begge i hjertet av City. Selv om norske banker og forsikringsselskaper ikke ruver i verdenssammenheng, har de en dominerende rolle og betydelig markedsandel i nisjemarkeder som offshore, shipping og sjømat. DNB og Nordea orienterte om sine satsingsområder, utfordringer og strategi fremover. Det ble også tid til en spasertur langs Londons gater til Den Norske Ambassade. På ambassaden ble den norske delegasjonen vel mottatt av blant andre Marit Randsborg Bækkelund som ga et innblikk i ambassadens mange arbeidsoppgaver og hvilken betydning den har for norsk næringsliv og kultur i Storbritannia og i øyriket. GODE LUNSJER OG MIDDAGER
Det ble lunsjbesøk på The Star Tavern, som er kjent for å ha vært samlingstedet for planleggingen av Det store togrøveriet. Middag på spist på Le Caprice, Arlington Street der
det ble orientert om innsalg av «side dishes» og hvordan fluer i vinglass skal håndteres. Det ble også besøk på en av Jamie Olivers restauranter. I og med at de London-besøkende ble mottatt av utstasjonerte nordmenn, ble det også tid til å høre om hvordan livet - og ikke minst arbeidslivet - skiller seg i de ulike landene. I England er skillet stort mellom rike og ikke de fullt så rike. Høye boligpriser og transportkostnader bidrar til at mange i vanlige stillinger sitter igjen med lite å rutte med. Lange og til tider uforutsigbare arbeidsdager gir utfordringer for familier der begge foreldre ønsker karriere. Turen ble avrundet med musikalen Phantom of the Opera, som er en imponerende forestilling i musikk, dramatisk historiefortelling med spesialeffekter.
Fin a n s f o r b u nd e t s s id e r
Deler ut én million Styret i Finansforbundet har vedtatt å øke rammen for stipendtildeling fra kr 250 000 til kr 1 000 000 i 2015. Søknadsfristen er 1. mars 2015, og tildelingen skjer i mai.
N
estleder Bente Hornsrud Espenes sier dette om bakgrunnen for vedtaket: – Utviklingen i finansnæringen går raskt. Det er viktig at ansatte tar ansvar for egen kompetanse for å tilpasse seg endringene som kommer. Derfor må bedriftene legge til rette for kontinuerlig satsing på kompetanseheving. Finansforbundets stipendordning er et supplement til denne satsingen og rettet mot våre medlemmer. De senere årene har forbundet fått langt flere søknader enn hva det har vært stipendmidler til. Siden kompetanseutvikling er ett av hovedsatsingsområdene, tar forbundet nå et krafttak og firedobler rammen for stipendier. Dermed vil langt flere medlemmer kunne få stipend fra Finansforbundet.
Regjeringen snur om sykelønn – Jeg er svært fornøyd med at regjeringen i dag har varslet at de trekker forslaget om å heve minstegrensen for rett til sykepenger. Det viser at de har valgt å lytte til partene i arbeidslivet, sier YS-leder Jorunn Berland. I dag kom beskjeden om at regjeringen trekker forslaget om å heve minstegrensen for sykepenger. For en uke siden sendte YS, LO og Unio et brev til statsministeren, om at
regjeringen ville bryte IA-avtalen dersom forslaget ble iverksatt. – Å heve minstegrensen for rett til sykepenger ville ha forsterket forskjellene mellom folk. Derfor er jeg svært glad for at regjeringen har snudd i denne saken, sier Berland. – Det lover godt for det videre trepartssamarbeidet at regjeringen velger å lytte til rådene fra oss, sier hun. NYTTIG MØTE: Statsministeren gjestet YS-konferansen. (Foto: Erik Norrud) Finansfokus 6-14
Fin a n s f o r b u nd e t s s id e r
Smånytt fra forbundet TEKST: ALEXANDER HOLØYEN
YS-lederen gjenvalgt
Jorunn Berland ble gjenvalgt som YS-leder. Erik Kollerud, leder i Delta og Hans-Erik Skjæggerud, leder i Parat, ble valgt som henholdsvis 1. og 2. nestleder. – Det er med stor ydmykhet jeg går inn i fire nye år som YS-leder. Vi står foran en spennende tid, sier Berland.
Forbrukerrådet vil fjerne kontanter I dag er det bare kontanter som er obligatorisk betalingsmiddel. Bankkort, betaling med apper og SMS, og snart også kontantfri betaling med mobil, gjør kontanter overflødig. Derfor mener Forbrukerrådet at regjeringen bør vurdere å fjerne kravet til norske bedrifter om å ta imot kontant betaling. Finansforbundet ønsker Forbrukerrådet velkommen etter som en ny og viktig støttespiller, sammen med Virke, NHO Reiseliv og Finans Norge.
Arbeidsmiljøloven fleksibel nok
Fornøyd med kommunikasjonen
Finansforbundet mener at dagens AML er fleksibel nok, men at fleksibiliteten ikke blir godt nok utnyttet – blant annet på grunn av lav kunnskap om regelverket blant ledere på ulike nivåer. Forbundet mener at avtaleverket i finansnæringen gjør de lokale partene i stand til å finne de beste løsningene, både for bedriftene og de ansatte.
Finansforbundets medlemmer er fornøyd med forbundets kommunikasjon, de er lojale til forbundet sitt, opptatt av kollektive rettigheter og mest interessert i informasjon fra tillitsvalgte i egen bedrift. Det er noen av konklusjonene i en fersk medlemsundersøkelse om kommunikasjon i Finansforbundet. Dette er de viktigste funnene: •E-post/nyhetsbrev er en foretrukket kanal. •Nærhet er viktig: Informasjon fra tillitsvalgte blir lest mest. •Finansfokus er godt likt.
50 000 kroner til TV-aksjonen
Finansforbundet gir 50 000 kroner til Kirkens Nødhjelp og årets TV-aksjon i regi av NRK. Årets TV-aksjon skal sikre varig tilgang til rent vann for over en million mennesker. Tilgang til rent vann gjør at mennesker overlever og holder seg friske. Finansforbundet gir sitt bidrag gjennom Yrkesorganisasjonenes Sentralforbund (YS) som samler inn penger fra medlemsforbundene og gir en samlet pott til årets TV-aksjon.
Ung og nyforelsket – med stor gjeld? Blir du ufør, kan det bli vanskelig å betjene gjeld. Utbetalingene fra NAV utgjør ofte halvparten av opprinnelig inntekt. Ved dødsfall forsvinner inntekten helt. YS Dødsfallsforsikring gir en engangsutbetaling som kan brukes til å betale ned på gjeld. Du kan velge mellom en engangsutbetaling på 1 eller 2 millioner kroner ved dødsfall. Og det er ikke dyrt: Du betaler fra 718 kroner i året for å være sikret en utbetaling på 2 millioner kroner ved dødsfall. Medlemmer i Finansforbundet kan også kjøpe rimelig uføreforsikring. Kom innom ditt nærmeste Gjensidige kontor, ring oss på 03100 eller gå inn på gjensidige.no/ys for mer informasjon. (Pris og forsikringssummer er per 15. april 2014.)
50
Fin a n s f o r b u nd e t s s id e r
Arbeidsrett
Kan arbeidsgiver endre arbeidsoppgavene? Hvilke endringer i arbeidsoppgavene kan arbeidsgiver pålegge arbeidstaker? Det beror på en individuell og konkret vurdering.
I
denne artikkelen vil jeg beskrive de generelle ret- avdeling kunne bli overført til assistentsykepleier. ningslinjene som gjelder ved spørsmålet om Sykehuset hadde bestemt å nedlegge fødeavdelingen. arbeidsgivers endringsadgang. Utgangspunktet Sykehuset hadde behov for sykepleiere. Høyesterett etter ulovfestet rett, er at arbeidsgiver har styrings- uttalte at «arbeidet som jordmor ved sykehuset etter rett. Dette innebærer at arbeidsgiver har rett til å lede, den dokumenterte instruks atskilte seg markert fra fordele, organisere og kontrollere arbeidet, samt rett sykepleierarbeidet, slik at det ikke gjaldt overføring til å inngå arbeidsavtaler og bringe disse til opphør. til et likeartet arbeid». Retten kom derfor til at arbeiEtter ulovfestet rett (dvs. rettspraksis) er det imid- det som sykepleier falt utenfor de gjøremål som hun lertid også grenser for hva arbeidsgiver ensidig kan som jordmor etter arbeidsavtalen var forpliktet til å gjøre. Når det gjelder arbeidsgivers adgang til å endre utføre. arbeidsoppgavene, vil endringsadgangen ofte I noen tilfeller vil arbeidstakeren i hovedsak beholde avgjøres på grunnlag av en tolking og utfylling av sine hovedoppgaver, men få en del tilleggsoppgaver. arbeidsavtalen i vid forstand. Selve Ifølge rettspraksis skal det mer til arbeidsavtalen er sentral, men også for at en endring av arbeidsopp” stillingsinstrukser (beskrivelser), gaver er vesentlig (og dermed utlysningstekst, forutsetninger for utenfor styringsretten) når arbeidsavtaleinngåelsen og sedvane har takeren beholder sine hovedoppbetydning. Ligger endringen gaver. En konkret vurdering må imidlertid alltid foretas. innenfor det som er avtalt, kan Dersom endringen arbeidsgiver arbeidsgiver selvfølgelig foreta endringen. vil pålegge deg ligger utenfor styringsrettens grenser, må arbeidsDersom de pålagte endringene ligger utenfor det som er avtalt, giver gi en endringsoppsigelse, det kan det likevel hende at endringen vil si en oppsigelse med tilbud om er innenfor styringsretten. Arbeidsny stilling. Denne endringsoppsigiver kan gjøre endringer så lenge gelsen må være saklig begrunnet det ikke fratar stillingens grunnpreg. Om endringene for at du skal måtte akseptere endringene. Sakligvil frata stillingen dens grunnpreg, må avgjøres ved hetskravet er det samme ved endringsoppsigelser en konkret vurdering. Arbeidsytelsen er en sent-ral som ved andre oppsigelser. del av arbeidsforholdet. Store endringer i arbeidsDersom du blir pålagt å utføre endrede arbeidsoppgaver vil derfor være vesentlig endringer som oppgaver og du ønsker å få vurdert om det er innenfratar stillingens grunnpreg. Hvis for eksempel en for styringsretten, må du innrette deg etter pålegget. saksbehandler blir satt til å vaske lokalene, vil dette Samtidig er det viktig at du skriftlig gjør det klart at åpenbart være en så omfattende endring at det ligger du forbeholder deg retten til å få vurdert om pålegget utenfor styringsretten. Vedkommende vil da ikke få ligger innenfor styringsrettens grenser. Innretter du anledning til å benytte den kompetansen stillingen deg ikke, kan du risikere ordrenekt og oppsigelse/ som saksbehandler forutsetter. Et eksempel fra retts- avskjed dersom det viser seg at endringen er innenpraksis finner vi i Rt.1964 s. 1345. Problemstillingen for styringsrettens grenser. i dommen var om en jordmor ved sykehusets fødeMERETHE BERGGAARD er advokatfullmektig i Finansforbundets sekretariat.
Foto: Ricardofoto
Det er grenser for hva arbeidsgiver ensidig kan gjøre.
Finansfokus 6-14
Returadresse Finansforbundet Boks 9234 Grønland 0134 Oslo
Fri og frank – men med relativt stor gjeld? Skulle du være så uheldig å bli ufør, kan det bli vanskelig å betjene gjelden din. Utbetalingene fra NAV kan utgjøre så lite som halvparten av den opprinnelige inntekten. I aller verste fall kan dette bety at du må flytte fra hjemmet ditt, fordi det blir for dyrt å bo der. Som medlem i Finansforbundet kan du kjøpe rimelig uføreforsikring. Denne forsikringen vil gi deg en engangsutbetaling som kan brukes til å betale ned på gjeld. Kom innom ditt nærmeste Gjensidige kontor, ring oss på 03100 eller gå inn på gjensidige.no/ys for mer informasjon. (Pris og forsikringssummer er per 15. april 2014.)