Kudos
Kunnskapsdokumenter i offentlig sektor

Statusrapport

Bedrageri mot næringslivet Nasjonalt tverretatlig analyse- og etterretningssenter (NTAES)

SAMMENDRAG Bedragerianmeldelser har økt Antall bedragerianmeldelser har økt med 36 prosent i Norge de ti siste årene. I samme periode har antall anmeldte lovbrudd gått ned 20 prosent. I 2018 ble det anmeldt 22 525 bedragerier. I omtrent 10 prosent av disse anmeldelsene er et privat foretak regi- strert som den fornærmede. Høye mørketall, lav anmeldelsestilbøyelighet Det er trolig svært høye mørketall knyttet til økonomisk- og digital kriminalitet rettet mot næringslivet. Lav oppklaringsprosent ved bedragerier, opplevelsen av at det er res- surskrevende å anmelde samt manglende mulighet til å få tilbake det økonomiske ta- pet, medfører at mange ikke anmelder. Frykt for tap av omdømme dersom bedrageriet gjøres kjent, bidrar ytterligere til lav anmeldelsestilbøyelighet. Kortbedrageri og investeringsbedrageri medfører størst potensielt tap Basert på tilgjengelige tall, og målt på estimert angrepssum for 2018, utpeker kort- bedrageri hvor kortet ikke er tilstede og investeringsbedrageri seg som bedrageriforme- ne med størst potensielt tap. Dernest kommer fakturabedrageri og direktørsvindel. Små og mellomstore foretak er særlig utsatt Forsøk på bedrageri og digitale angrep rammer alle typer virksomheter. Hvorvidt forsø- ket lykkes, beror på foretakets håndteringsevne. Store selskap har ressurser og kapasi- tet til å prioritere sikkerhetsarbeidet. Dette bidrar til at bedrageriforsøk og dataangrep avverges. Små og mellomstore foretak mangler ofte kunnskap og kapasitet til å sikre seg mot kriminalitet. Samtidig blir trusselaktører som foretakene står overfor stadig mer profesjonelle og målrettede. Kriminelle manipulerer ansatte for å skaffe seg tilgang til foretakets systemer, verdier eller informasjon Det er estimert at 90 prosent av all hacking som lykkes globalt stammer fra e-poster med formål om å manipulere mottakeren til å utføre en handling, såkalt phishing. Dette foregår ofte ved at en ansatt åpner vedlegg i e-post som er infisert med skadevare, eller følger en lenke til en kompromittert nettside. Slikt datainnbrudd kan gi tilgang til Bedrageri mot næringslivet NTAES Side 4/64 systemer, informasjon og verdier som senere utnyttes i forbindelse med sosial manipu- lasjon, til å gjennomføre databedrageri eller drive utpressing overfor foretaket. Næringslivet utsatt for både massebedrageri og målrettede angrep Phishing-kampanjer og fakturabedrageri med utsendelse av et stort antall likelydende fakturaer er eksempler på massebedragerier. De aller fleste bedrageriformer rettet mot næringslivet er imidlertid mer tilpasset et bestemt mål. Direktørsvindel, kapret faktura og nettbankbedrageri er eksempler på modus som krever særlig tilpasning. Kriminelle kartlegger foretaket digitalt Målrettede angrep fordrer i mange tilfeller at gjerningspersonene gjør seg kjent med foretaket før bedrageriet utføres. Digital kartlegging av foretaket gjøres for eksempel ved besøk på foretakets nettside, kartlegging av ansatte på sosiale medier, eller ved installasjon av skadevare i foretakets e-post-system. Sistnevnte muliggjør overvåking og/eller videresending av e-post til gjerningspersonen. Kriminelle aktører – både enkeltpersoner og organiserte kriminelle Den typiske bedrageren av næringslivet er en mann på 36 år, uten arbeid og uten le- dende rolle i næringslivet. Avhengig av modus er aktørene dels norske statsborgere, dels utenlandske. Sistnevnte er ofte del av en organisert kriminell gruppering, og er i liten grad representert i det norske straffesaksregisteret i forbindelse med bedrageri. Digital utvikling stiller større krav til datasikkerhet Høye forventninger til brukervennlige og raske løsninger gjør at foretak ofte må avveie brukervennlighet mot kontrollmekanismer. Vektes brukervennlighet for høyt i forhold til sikkerhet øker sårbarheten for bedrageri og dataangrep. Samtidig øker forekomsten av digital kriminalitet hvilket medfører økt krav til datasikkerhet hos foretak i norsk næ- ringsliv, både av tekniske sikkerhetsløsninger og interne rutiner. Mange foretak er ikke rustet for å imøtegå den digitale kriminaliteten. Saker sees i varierende grad i sammenheng av politiet Politiet ser i begrenset grad et anmeldt bedrageri i sammenheng med bedrageri- anmeldelser i andre politidistrikt. Konsekvensen kan bli at sakens fulle bredde ikke be- lyses. Å se sakene i sammenheng, både for å avdekke og for å forebygge, er en forut- setning for å bekjempe systematiske bedragerier. Hverken politi eller næringsliv har fullstendig oversikt over omfang og modus Det finnes ingen nasjonal oversikt over antall utførte bedrageri i Norge, eller hvilke mo- dus som til en hver tid er mest fremtredende. Kunnskapen er fragmentert. Politi og næ- ringslivsaktører er gjensidig avhengig av hverandres informasjon for å bekjempe bedra- geri mot næringslivet. Det er behov for samlet kunnskap for å forebygge, se saker i sammenheng og prioritere egnede saker. Forebygging – andre land har flere verktøy enn Norge Som en erkjennelse av at det strafferettslige sporet ikke er tilstrekkelig for å bekjempe bedragerier, har myndighetene både i Sverige og Storbritannia styrket forebyggende innsats og initiert utstrakt samarbeid mellom politi og næringsliv.