Hopp til navigasjon Hopp til innhold

Tilfeldigheter avslørte

BERGEN: Mannen som onsdag ble dømt til ni måneders fengsel for å ha svindlet til seg 533.000 kroner gjennom manipulasjon av Vitals utlånssystem, kunne gjøre dette fordi han satt i en nøkkelstilling.

Ingen ansatte i selskapet sitter i dag inne med tilsvarende kunnskapskombinasjon.

Dette sier Rune Frank Hansen, leder for sikkerhet i Vital Forsikring.

Den betrodde IT-koordinatoren i Vital Forsikring klarte, uten å bli oppdaget i nærmere fire år, å manipulere forsikringsselskapets utlånssystem til å redusere sine egne lån til bolig og bil. Han reduserte også sin søsters og svogers lån. Mannen ble i Bergen Byrett onsdag dømt til ni måneders fengsel for forholdet.

Fritt fram
Da svindelen tok til høsten 1990, var det nærmest fritt fram fram for den betrodde medarbeideren å utnytte sine fullmakter til egen vinning.
– 32-åringen kunne gjøre dette bare fordi han satt i en nøkkelstilling som saksbehandler med IT-ansvar, understreker lederen for sikkerhet.

Tilfeldigheter
Det var først tidlig på 90-tallet, altså i den perioden bedrageriet pågikk, at spørsmålet om beskyttelse mot utro tjenere for alvor ble satt på dagsorden i Vital. Det var likevel ikke innskjerpelsene av sikkerhetsrutinene som avslørte svindelen. Bedrageriet ble avslørt ved en tilfeldighet.

Rutinemessig avviksrapport
Det var en rutinemessig avviksrapport i IT-koordinatorens fravær som viste at mannens lån hadde gunstigere vilkår enn de skulle hatt. Ved nærmere kontroll kom det for en dag at han hadde misbrukt sine fullmakter til blant annet å gå inn i datasystemet og endre kodene slik at hans egne lån vanligvis ikke viste på avviksrapporten, sier Hansen.

Oppfinnsom
Innskjerpelsene av den interne sikkerheten tvang imidlertid IT-koordinatoren til å finne på stadig nye måter å utføre svindelen på. I dommen beskrives totalt fem ulike fremgangsmåter:

Gjennom sin adgang til utlånsdatabasen sørget mannen for at det ble registrert fiktive låneinnbetalinger, og for at det ble registrert innebetalinger som var høyere enn det som faktisk var tilfelle. Senere sørget han for at det ble registrert fiktiv oppdekking av utestående lånebeløp tilsvarende differansen mellom skyldig og innbetalt beløp, og at det ble registrert fiktive reduksjoner av restlån/hovedstol. Dessuten gikk han inn i selskapets on-linesystem for utlån og reduserte det rentebeløpet som skulle betales ved forfall.

Har tatt lærdom
Vital har selvsagt tatt lærdom av episoden. Saken er i ettertid blitt bruk som et case i forsikringsselskapets sikkerhetsutvikling. Som et resultat, er medarbeidernes muligheter til å utnytte smutthull i datasystemet i dag sterkt begrenset sammenlignet med hva som var mulig for få år siden, i følge Hansen.

– Betrodde medarbeidere med fullmakt til å gå inn og endre informasjon i det automatiske betalingssystemet er vi fortsatt nødt til å ha. Slike endringer kan de bli nødt til å gjøre for eksempel dersom en av låntakerne skulle komme i betalingsvansker. I slike situasjoner har saksbehandlerne mulighet til f.eks. å stoppe rentene for en periode, sier sikkerhetslederen.

Reduserte kunnskaper
Som et resultat av svindelavsløringen, er det ikke lenger noen enkeltansatt i forsikringsselskapet som sitter i tilsvarende nøkkelposisjon, og med tilsvarende tverrfaglige kunnskapskombinasjon som den som gjorde det mulig for den nå dømte eksmedarbeideren å utnytte sin betrodde stilling. Saksbehandlerne får i dag ikke lenger noen grundig innføring i EDB, og IT-ansatte vil ikke lenger få tilnærmet like inngående detaljkunnskaper om selve saksbehandlingen, sier Hansen.

Skjerpet kontroll
Samtidig som saksbehandlerne har fått redusert sine fullmakter, er kontrollen med at fullmaktene ikke misbrukes skjerpet. Det er for eksempel innført kontrollister for ukurante transaksjoner. Listene sjekkes av andre ansatte.

Begrensningene på hva de enkelte medarbeiderne har adgang til å gjøre i datasystemet er også kraftig innskjerpet. Programvare som en saksbehandler kunne ha benyttet til å gå utenom “sin” del av systemet, er fjernet fra nettverket, i følge sikkerhetslederen.