Hva gjør du når regnskapsforetaket ditt blir hacket for en kvart million kroner?

Alle rutiner ble fulgt da et norsk selskap ba sitt regnskapsforetak om å registrere og betale en faktura på 250 000. Det var først da sjefen for selskapet ringte et kvarter senere og lurte på hva dette var, at alarmen gikk. Da ble tiden plutselig veldig dyrebar.

Del
Hvem er det egentlig du utveksler e-post med? Det kan være lurt å etablere noen sikkerhetsmekanismer for å unngå å bli svindlet. (Illustrasjon produsert med Midjourney)

Dette er en virkelig historie som utspant seg tidlig i februar i år.

Se for deg følgende: På en helt vanlig onsdag formiddag får du e-post fra en ansatt hos en kunde, som legger ved en faktura og skriver «postér denne til godkjenning, den forfaller i dag». Den ansatte har satt daglig leder på cc, og presiserer til og med at sjefen må godkjenne den i regnskapssystemet.

Så mailer du litt frem og tilbake med sjefen om hva dette er og hvordan det skal posteres, og alt er helt vanlig. Fakturaen registreres, sjefen godkjenner utbetalingen i systemet, og du går til lunsj som om ingenting har skjedd.

Alarmen går

Det første hintet om at det så absolutt er noe som har skjedd, får du et kvarter senere. Da ringer den samme daglige lederen deg og spør hvorfor det mangler en kvart million kroner på selskapets konto. Samtalen utspiller seg omtrent slik:

– Dere sendte oss jo e-post for vel en halvtime siden, med den fakturaen som måtte betales i dag. Det er jo du selv som har vært inne i regnskapssystemet og godkjent utbetalingen?

– Nei, ingen hos oss har sendt dere noen faktura i dag. Og jeg har i hvert fall ikke godkjent noe i regnskapssystemet!

Da er det bare å trykke på den store alarmknappen – her hadde noen blitt hacket!

Viktig med kriseberedskap…

Nå er det ikke så mange regnskapsforetak som faktisk har en sånn alarmknapp. Det mange gjerne gjør i stedet, er å ringe Regnskap Norges spesialist på IT-sikkerhet, Bjørn Kienholz Bjercke.

70006838.jpg– Mens jeg hadde daglig leder i regnskapsforetaket på tråden, satt en ansatt i foretaket i telefonen med banken for å prøve å stoppe betalingen, og kunden hadde tydeligvis også kontaktet banken i samme hensikt. Det var da under en halvtime etter at betalingsoppdraget var gjennomført i nettbanken, men daglig leder gjorde seg ingen illusjoner om at de skulle komme noen vei. Samtalen vår gikk derfor mest på hvordan foretaket skulle gå frem overfor bank og forsikringsselskap, sier Bjercke.

Han forteller at det første som må skje i en slik situasjon, er at foretaket setter opp en tidslinje og sikre seg at de har og kan legge ved alt av dokumentasjon – fakturaer, e-poster, skjermdump av godkjenningen i regnskapssystemet og alt annet som kan være av relevans.

– Dette må være på plass når foretaket kontakter forsikringsselskapet, og det er også viktig for politiet å ha denne informasjonen når dette anmeldes. For foretaket er det også viktig at politianmeldelsen skrives fra foretakets perspektiv. Ikke skriv «Kunden ringte banken kl. 10:18 for å stoppe utbetalingen», skriv heller «Kunden informerte oss om at han ringte banken kl. 10.18 i et forsøk på å stoppe utbetalingen», sier Bjercke.

Han medgir at forskjellen på de to setningene kan fremstå som liten og ubetydelig, men nyansen består i at foretaket bare oppgir det de vet helt sikkert. For alt de visste på det tidspunktet, kunne dette ha vært et tilfelle hvor en ansatt hos kunden hadde diktet opp en «hacking-hendelse» for å stikke av med penger. I et slikt tilfelle kunne dette blitt en enda mindre hyggelig opplevelse for regnskapsforetaket hvis politiet kunne tro at noen i foretaket hadde bistått.

…og enda viktigere med sikkerhetsrutiner og godt forarbeid

Selv om det er viktig at alle i foretaket vet hva de skal gjøre når uhellet er ute, er det nok enda viktigere at foretaket gjør mest mulig for å sikre at det ikke skjer til å begynne med. I den sammenheng er det ett forhold som særlig må trekkes frem: Tofaktorautentisering.

– Da foretaket kontaktet leverandøren av regnskapssystemet og fortalte hva som hadde skjedd, var det ikke stort av hverken hjelp eller sympati å få hos dem. «Hadde dere ikke satt opp tofaktorautentisering? Jaja, da får dere ha lykke til!» var liksom tilbakemeldingen derfra, forteller Bjercke.

Dette er naturligvis ikke en type kundebehandling som systemleverandører bør gå for, men det viser tydelig hvorfor det er så viktig at foretaket selv tar ansvar for å utvikle intern bevissthet for IT-sikkerheten.

I dette tilfellet ble saken vanskeligere å gjennomskue fordi kundens e-postsystem også må ha vært kompromittert: De kriminelle kunne tydeligvis både sende og motta e-post uten at de ansatte hos kunden merket hva som skjedde, og da blir det jo ikke akkurat enklere for regnskapsføreren å gjennomskue hva som er på vei til å skje.

– Dette viser at det kan være lurt å etablere noen spilleregler, for eksempel at kunden skal kontaktes pr. telefon hvis det skal hastebehandles utbetalinger over en viss sum. Da kan det dessuten være nyttig å ha avtalt et kodeord som partene kan bruke for å bekrefte hverandres identitet, og det bør endres regelmessig, sier Bjercke.

Når enden er god…

Det hører med til denne historien at alt endte relativt godt. Selv om kunden samme uke fremmet krav om erstatning fra regnskapsforetaket, hadde partene en godt møte og en god tone rundt saken. Og på toppen av det hele, fikk partene like etter det møtet en gladmelding fra banken: Gjennom internasjonale forbindelser hadde de lyktes med å fryse over 90 prosent av pengene før de kriminelle fikk stukket av med mer.

– Dette var et overraskende gledelig utfall. Det er selvsagt ikke greit å bli frastjålet penger i det hele tatt, men min klare tilbakemelding til regnskapsforetaket var at de nå måtte bruke denne nesten-ulykken for alt den er verdt: Få på plass tofaktorautentisering for alle kunder, lag bedre rutiner og ikke minst utarbeid en tydelig beredskapsplan – og øv på den jevnlig for å få den innarbeidet hos alle i foretaket, sier han.

– Og dette er absolutt noe flere bør ta inn over seg. Den best håndterte krisen er den som aldri inntreffer. Den nest beste er der man klarer å avgrense konsekvensene mest mulig, slår Bjercke fast.

 

Tips før uhellet er ute:

  • Sett opp tofaktorautentisering
  • Etabler rutiner med kundene for hastebehandling av fakturaer og avtal gjerne et kodeord til bruk for å bekrefte gitte transaksjoner: For eksempel de som overstiger et visst beløp, en nærmere spesifisert andel av banksaldo eller kontantbeholdning, etc.. Et slikt kodeord bør i så fall endres regelmessig.
  • Beredskapsplanen bør gjennomgås og oppdateres jevnlig – og husk å bevisstgjøre de ansatte samtidig! Hvis ikke alle i foretaket har beredskapsplanen «under huden», vil den ikke fungere etter hensikten.

Tips når uhellet er ute:

  • Kontakt banken så fort som overhodet mulig
  • Sett opp et hendelsesforløp, og sikre dokumentasjon på alt som har inntruffet
  • Anmeld forholdet. Vær konsekvent på å beskrive sakens fakta, og fortell saklig – fra foretakets perspektiv – hva som har skjedd. Ikke ta på dere skyld, politiets etterforskning får vise hvem som skal klandres eller holdes til ansvar.
  • Meld forholdet til forsikringsselskapet, med mye av den samme dokumentasjonen som politiet fikk i anmeldelsen.
  • Ta godt vare på de(n) ansatte som var involvert. Det er naturlig at vedkommende kan føle på skam, skyld eller ansvar etter en slik hendelse, men det er viktig å prøve å snu dette til noe konstruktivt. 
  • Ta gjerne et allmøte i foretaket og gransk saken nærmere sammen – hva gikk galt, hvorfor, hvilke rutiner bør endres eller etableres, og hva kan alle ansatte lære av det.