Ingen ansatte i selskapet sitter i dag inne med tilsvarende kunnskapskombinasjon.
Dette sier Rune Frank Hansen, leder for sikkerhet i Vital Forsikring.Den betrodde IT-koordinatoren i Vital Forsikring klarte, uten å bli oppdaget i nærmere fire år, å manipulere forsikringsselskapets utlånssystem til å redusere sine egne lån til bolig og bil. Han reduserte også sin søsters og svogers lån. Mannen ble i Bergen Byrett onsdag dømt til ni måneders fengsel for forholdet.Fritt framDa svindelen tok til høsten 1990, var det nærmest fritt fram fram for den betrodde medarbeideren å utnytte sine fullmakter til egen vinning.
– 32-åringen kunne gjøre dette bare fordi han satt i en nøkkelstilling som saksbehandler med IT-ansvar, understreker lederen for sikkerhet.Annonse
Det var først tidlig på 90-tallet, altså i den perioden bedrageriet pågikk, at spørsmålet om beskyttelse mot utro tjenere for alvor ble satt på dagsorden i Vital. Det var likevel ikke innskjerpelsene av sikkerhetsrutinene som avslørte svindelen. Bedrageriet ble avslørt ved en tilfeldighet.Rutinemessig avviksrapport
Det var en rutinemessig avviksrapport i IT-koordinatorens fravær som viste at mannens lån hadde gunstigere vilkår enn de skulle hatt. Ved nærmere kontroll kom det for en dag at han hadde misbrukt sine fullmakter til blant annet å gå inn i datasystemet og endre kodene slik at hans egne lån vanligvis ikke viste på avviksrapporten, sier Hansen.Oppfinnsom
Innskjerpelsene av den interne sikkerheten tvang imidlertid IT-koordinatoren til å finne på stadig nye måter å utføre svindelen på. I dommen beskrives totalt fem ulike fremgangsmåter:
Vital har selvsagt tatt lærdom av episoden. Saken er i ettertid blitt bruk som et case i forsikringsselskapets sikkerhetsutvikling. Som et resultat, er medarbeidernes muligheter til å utnytte smutthull i datasystemet i dag sterkt begrenset sammenlignet med hva som var mulig for få år siden, i følge Hansen.– Betrodde medarbeidere med fullmakt til å gå inn og endre informasjon i det automatiske betalingssystemet er vi fortsatt nødt til å ha. Slike endringer kan de bli nødt til å gjøre for eksempel dersom en av låntakerne skulle komme i betalingsvansker. I slike situasjoner har saksbehandlerne mulighet til f.eks. å stoppe rentene for en periode, sier sikkerhetslederen.Reduserte kunnskaper
Som et resultat av svindelavsløringen, er det ikke lenger noen enkeltansatt i forsikringsselskapet som sitter i tilsvarende nøkkelposisjon, og med tilsvarende tverrfaglige kunnskapskombinasjon som den som gjorde det mulig for den nå dømte eksmedarbeideren å utnytte sin betrodde stilling. Saksbehandlerne får i dag ikke lenger noen grundig innføring i EDB, og IT-ansatte vil ikke lenger få tilnærmet like inngående detaljkunnskaper om selve saksbehandlingen, sier Hansen.
Samtidig som saksbehandlerne har fått redusert sine fullmakter, er kontrollen med at fullmaktene ikke misbrukes skjerpet. Det er for eksempel innført kontrollister for ukurante transaksjoner. Listene sjekkes av andre ansatte.Begrensningene på hva de enkelte medarbeiderne har adgang til å gjøre i datasystemet er også kraftig innskjerpet. Programvare som en saksbehandler kunne ha benyttet til å gå utenom “sin” del av systemet, er fjernet fra nettverket, i følge sikkerhetslederen.
Annonse
