Sjømatbedriftene må derfor ha kunnskap om hvordan man sikrer seg mot denne typen kriminalitet og ha interne rutiner og prosesser på plass, slik at man kan raskt kan reagere når det skjer noe mistenkelig. Det kan spare bedriftene for millionbeløp.

De årlige globale kostnadene som følge av nettkriminalitet vil passere 6 000 milliarder amerikanske dollar i 2021, en dobling fra 2015. Cyberangrepet mot AP Møller Maersk i juni 2017 kostet alene selskapet 250 millioner amerikanske dollar. Norske sjømatselskaper er ekstra utsatte fordi bedrifter med internasjonale tilknytninger oftere rammes enn de som kun har lokale kunder og leverandører. Norsk fiskeri- og havbruksnæring eksporterte i fjor sjømat til rundt 150 forskjellige land over hele verden. Likeledes har de minste bedriftene typisk mindre kontroll og fokus på forebygging enn store selskaper. Allikevel tror en av fire bedriftsledere at deres selskap er immune mot cyberkriminalitet.

Svindlerne på nettet har økonomiske motiver og hensikten med den kriminelle aktiviteten er profitt, enten gjennom tilgang til sensitiv informasjon som gjør at de kan ta opp lån eller få bedriftene til å betale falske fakturaer. Angrepene er i stor grad organiserte og følger en normal arbeidsuke med størst aktivitet på mandager. Aktiviteten faller utover i uken og er på sitt laveste lørdag og søndag.

Metoder

Ofte bruker de kriminelle store ressurser på å sette seg inn i bedriften og forstå deres hverdag, slik at svindelforsøkene virker ekte. Typisk brukes en rekke metoder for å få tilgang på sensitiv informasjon. De mest vanlige er phising, smishing og vishing. Phishing er falske e-poster som tilsynelatende ser ut som avsenderen er en viktig aktør. Bedragerne fisker etter personnummer, bankkontoer og brukernavn og passord til nettjenester. Typisk bes man om å logge inn på falske nettsider eller oppgi annen sensitiv informasjon som senere misbrukes. Nærmere 90 prosent av all hacking som lykkes globalt stammer fra e-poster som manipulerer mottakeren til å gjøre en handling innenfor et kort tidsvindu. Hvis disse angrepene kommer via SMS brukes gjerne begrepet smishing.

«Vishing» eller «Voice Phishing» betyr at svindlerne ringer for å fiske etter fortrolig informasjon som kortnummer, kontonummer eller ditt bankID-passord. Bedrageren utgir seg for å ringe fra en finansinstitusjon eller offentlig virksomhet. Svindlerne skaper en situasjon for å stresse kundene og budskapet kan for eksempel være at du har tatt opp et lån som er i ferd med å innvilges i ditt navn eller for din bedrift. Naturligvis er det helt vanlig å benekte dette, taktikken er derfor å sette deg over til sikkerhetsavdelingen eller teknisk support for å stoppe lånet. I virkeligheten settes du over til en annen bedrager som vil forsøke å lure deg til å oppgi BankID-passord eller lignende for å få tilgang til nettbanken din eller bedriftens nettbank.

Sosiale medier er en naturlig plass for å hente informasjon. Både ledelsen og de ansatte må derfor tenke at det ikke er alle kontakter på LinkedIn som har til hensikt å utvide ditt profesjonelle nettverk. Flere er kun ute etter å tilegne seg kunnskap om din bedrift. Likeledes kan oppdateringer på Facebook eller Snapchat brukes for å tilegne seg troverdig informasjon om hvor ansatte befinner seg og at det derfor haster at andre godkjenner en faktura.

Nøkkelord

De kriminelle bruker typisk ord som «payment», «outstanding payment», «notification of payment received» eller «transaction request» i e-postene når de sender falske fakturaer. For å stresse mottaker og skape inntrykk av at det haster brukes i tillegg ord som «urgent», «important», «attention» eller «important update». I tillegg kan man true med at neste leveranse holdes igjen hvis fakturaen ikke betales umiddelbart. Dersom en får informasjon om at en betaling haster mer enn normalt, bør man som ansatt kontakt ledelsen eller banken umiddelbart.

HR-svindel

Politiet går nå ut og advarer mot en ny variant av nettkriminalitet. Fremgangsmåten har mange likhetstrekk med direktørsvindel, hvor målet har vært regnskapsavdelinger. Den nye svindelmetoden retter seg mot HR-ansatte, hvor svindlerne utgir seg for å være ansatte som ønsker å endre kontonummeret de får utbetalt lønnen sin til. Skjerpede rutiner og økt bevissthet hos medarbeiderne på lønnsavdelingen kan forhindre en slik form for svindel.

Forebygging

For å sikre seg mot kriminelle på nett bør det være retningslinjer i selskapet om hvordan man skal håndtere sensitiv informasjon og alle ansatte må være forsiktig med å åpne mistenkelig linker, e-poster og vedlegg, samtidig som en passer på hva som deles på sosiale medier og hvilken kontaktinformasjon som legges på hjemmesiden. Alle ansatte bør trenes i hvordan man skal kjenne igjen svindel og tester bør gjennomføres for å avdekke sårbarheter.

Alle bør ha en fast kontaktperson hos bankforbindelsen og sørge for at betalinger krever flere autoriserte signaturer. Likeledes er det fornuftig å ha rutiner for å dobbeltsjekke når leverandører, kunder eller partnere endrer eksempelvis kontonummer. Ofte kan en falsk faktura være nærmest identiske med en «ekte faktura» med unntak av kontonummeret.

Selskapets håndteringsevne er avgjørende for om et angrep lykkes. Ledelsen i ett hvert sjømatselskap må derfor ta cyber-kriminaliteten på alvor og ikke bare innføre rutiner med bruk av sikker e-post, prosesser ved registrering av nye kunder eller leverandører, men også investere i teknologi som overvåker disse systemene. Når uhellet først er ute må banken kontaktes umiddelbart og forholdet anmeldes. Bankene er profesjonelle, har erfaring med svindel og vet hvordan man kan hjelpe til.

-------------------------------------------

Har du noe på hjertet? Send innlegget ditt til meninger@smp.no.

Her finner du alt meningsstoffet på smp.no!