Kontakt

Stop direktørsvindel før pengene flytter sig: 4 defensive kontroller, der virker i en dansk SMV

FORFATTER

Alan M. Kristensen

Executive summary

Business Email Compromise og direktørsvindel rammer især mindre og mellemstore virksomheder, fordi angrebene udnytter travlhed og små procesbrist i betalinger. En falsk hastebetaling, et ændret kontonummer eller en leverandørskifte-mail kan flytte hundredtusinder på få minutter.

Løsningen er ikke et stort IT-projekt. I kan skære risikoen markant ned med en enkel baseline, der kombinerer adfærd, økonomiprocesser og få, målrettede systemindstillinger. Denne guide giver jer et konkret setup, som en dansk SMV kan implementere på 2 til 4 uger: 1) besluttet minimumsproces for betalinger, 2) to-kanals-verifikation ved ændringer, 3) klare beløbsgrænser og roller, 4) effektive mail og adgangskontroller.

Guiden er skrevet til økonomi og ledelse. Målet er ro i maven, ikke mere kompleksitet. Vi har linket til relevante kilder fra FBI IC3, CISA, Europol, ENISA og Politiet.

Hvorfor to-kanals betalingskontrol nu

BEC er blandt de mest omkostningstunge svindeltyper globalt, fordi angrebene målretter relationer, ikke firewalls. I en dansk SMV er mønstret ofte det samme: en troværdig mail om et ændret kontonummer, en “hurtig betaling før banken lukker”, eller et leverandørskifte, der ikke bliver valideret. De fleste tab opstår, før nogen når at opdage uregelmæssigheden i banken.

To-kanals betalingskontrol handler om at bekræfte kritiske ændringer gennem en anden kanal end den, der anmoder. Hvis en ændring kommer via mail, valideres den via telefon til en kendt kontaktperson eller via leverandørportalen. Hvis en chef skriver fra sin mail, skal ændringen bekræftes i økonomisystemet af en anden person. Princippet er enkelt: intet enkelt spor må kunne flytte penge alene.

Som led i forretningskontinuitet og NIS2-krav om styring af leverandører og processer er dette en lavthængende frugt. CISA’s anbefalinger om BEC peger specifikt på proceskontroller, totrinsvalidering og bevidsthedstræning, mens FBI’s IC3 årligt beskriver store tab for virksomheder, der ikke havde simple godkendelsesmekanismer på plads. Se CISA’s BEC-guide og IC3-rapporter.

Kontrol 1: Beslut en minimumsproces for betalinger

Målet er en letforståelig standard, som alle kan følge, også når der er travlt. Den skal skrives ned, godkendes i ledelsen og indgå i onboarding af nye kolleger.

Foreslået minimumsproces:

  • Alle betalinger oprettes i økonomisystemet med bilag og reference til indkøb eller kontrakt.
  • Udgående betalinger godkendes altid af en anden person end den, der oprettede dem.
  • Ændringer i leverandørers kontooplysninger behandles som en højrisiko-ændring og valideres via anden kanal end mail.
  • Hastebetalinger kræver dokumenteret forretningsbegrundelse og to godkendere, uanset beløb.
  • Der føres log over afvigelser fra standard, som gennemgås månedligt i økonomifunktionen.

Gør det nemt at gøre det rigtige: indfør faste ugedage for betalinger, og definer en “ro på linjen”-periode på 15 minutter, hvor ingen må afbryde godkenderen. Skab en kultur hvor det er legitimt at stoppe op, ringe tilbage og sige nej til ufuldstændige anmodninger.

Vil I have et hurtigt overblik over jeres nuværende opsætning i M365 og økonomisystemer, så brug et sikkerhedstjek som entry point. Det giver jer en faktabaseret start uden et stort projekt.

Kontrol 2: Indfør to-kanals-verifikation ved ændringer

To-kanals-verifikation betyder, at ændringer i betalingskritiske data skal bekræftes ad en anden vej end mailen, der anmoder. Brug et telefonnummer fra jeres ERP eller en tidligere faktura, ikke det nummer, der står i mailen. Bekræft både kontonummer, ændringsårsag og den person, der anmoder.

Praktisk implementering for leverandørskift og kontonumre:

  • Opret en fast leverandørændringsformular med felter for dato, navn, titel, telefonsamtalelog og bilag.
  • Gem dokumentationen i leverandørmappen i ERP, så revisor kan følge sporet.
  • Indfør et stopord i økonomi: hvis mailen presser på tid, aktiveres to-kanals-verifikation uden diskussion.
  • Brug en kendt kontaktvej: ring til hovednummeret eller brug leverandørportalen. Undgå at svare direkte på mailtråden.
  • Sæt en karensperiode: første betaling til nyt kontonummer frigives først, når en leder har set både dokumentation og match i ERP.

Når ændringen vedrører kunder, kreditnotaer eller tilbagebetalinger, følg samme princip. BEC-angreb rammer ofte også kundesiden med falske kontooplysninger på udsendte fakturaer. Overvej en standardtekst på fakturaer om, at kontoskift aldrig meddeles alene pr. mail.

Europol og ENISA beskriver, hvordan social engineering udnytter tillid og kendte navne. Derfor virker en simpel telefonopringning til en kendt kontakt ofte som den mest effektive bremse. Se Europol og ENISA for baggrund.

Kontrol 3: Fastlæg beløbsgrænser og roller

Adskil rollerne skarpt. Den, der kan oprette, kan ikke godkende. Den, der kan godkende, kan ikke ændre leverandørdata alene. Lav beløbsgrænser, der afspejler jeres risikotolerance og likviditet.

Forslag til rammer i en dansk SMV:

  • Under 25.000 kr.: Oprettes af indkøber, godkendes af nærmeste leder. Hastebetalinger kræver stadig to godkendelser.
  • 25.000 til 100.000 kr.: Oprettes af økonomi, godkendes af både budgetansvarlig og økonomichef.
  • Over 100.000 kr.: Kræver to ledelsesgodkendelser, ingen undtagelser. Hvis chefen er på rejse, udpeges en stedfortræder på forhånd.
  • Leverandørdata: Enhver ændring kræver to-kanals-verifikation og en separat godkender end den, der talte med leverandøren.
  • Bank: Sæt daily transfer limits og beløbsalarmer i netbanken, så utilsigtede store betalinger blokeres eller kræver ekstra godkendelse.

Dokumenter roller og grænser i en kort politik. Gennemgå undtagelser månedligt. Brug jeres revisionsspor aktivt. Når der opstår en afvigelse, skal I kunne forklare hvorfor, uden at det bliver personligt. Det handler om kultur og forudsigelige rammer.

Kontrol 4: Få, men effektive mail og adgangskontroller

De fleste BEC-forløb starter i mail. Her er få, konkrete indstillinger der flytter meget uden at bremse hverdagen. Hvis I bruger Microsoft 365, kan jeres IT sætte dem op hurtigt.

  • MFA til alle, skærpet for økonomi og ledelse: Kræv multifaktor for alle brugere. Brug betinget adgang, så økonomi og ledelse altid kræver stærkere faktor. Supplér med kort livstid på sessioner for disse roller.
  • Deaktiver ekstern auto-forward: Bloker automatisk videresendelse til eksterne domæner. Det stopper mange tyverier af betalingsmails.
  • Vis ekstern afsender: Tilføj et tydeligt “Ekstern” mærke i emnelinjen fra afsendere uden for domænet. Træn økonomi i at reagere på det.
  • Beskyttede godkendelser: Kræv, at godkendelser i økonomisystemet kun kan ske fra managed enheder og fra Danmark, med MFA aktiv.
  • Mailregler og delegering: Opsæt alarmer på nye indbakke-regler, delegeringer og ændringer i videresendelse for økonomi-mailbokse.
  • Domænebeskyttelse: Implementér SPF, DKIM og DMARC i “reject”. Det forhindrer spoofing af jeres domæne i leverandørkæden.

Kombinér tekniske tiltag med træning af adfærd. Økonomifunktionen bør have en årlig microtræning og simulationer målrettet betalingssvindel, så reaktionerne sidder på rygraden. Se vores side om awareness træning for en praktisk tilgang til kultur og adfærd.

30-dages implementeringsplan

Her er en kort plan, som kan eksekveres uden store anskaffelser. Brug den som tjekliste i økonomifunktionen og i samarbejde med IT.

  • Uge 1: Beslut minimumsproces for betalinger. Dokumentér, del i intranettet og gennemgå på et 30 minutters møde.
  • Uge 1: Slå MFA til for alle, og hæv krav for økonomi og ledelse. Deaktiver ekstern auto-forward.
  • Uge 2: Indfør to-kanals-verifikation for leverandørdata. Opret formular og log i ERP.
  • Uge 2: Sæt beløbsgrænser og godkendelsesroller i økonomisystem og bank.
  • Uge 3: Indfør ekstern mærkning i mail, alarmer for mailregler og krav om managed enheder ved godkendelser.
  • Uge 3: Kør en 20 minutters awareness session for økonomi med tre virkelighedsnære cases.
  • Uge 4: Test processen med en intern “red team light” øvelse. Lad en kollega simulere en leverandør, der skifter kontonummer.
  • Uge 4: Gennemgå alle afvigelser og justér beløbsgrænser og stopord.

Hvis I ønsker faste rammer og løbende støtte, kan en abonnementsløsning give jer både drift og dokumentation, som også hjælper på NIS2-krav. Se Forkant for et samlet setup med træning, overvågning og styring.

Typiske faldgruber og hvordan I undgår dem

“Chefen skriver direkte til mig, så jeg tør ikke udfordre”. Aftal på forhånd, at alle må afvise hastebetalinger uden nødvendig dokumentation, også selv om mailen ser ud til at komme fra direktøren.

“Vores ERP kan ikke understøtte to godkendelser”. Flyt godkendelsen til banken på beløb over jeres grænse, eller indfør en manuel sign-off med dokumenteret kontrol i ERP.

“Vi har for mange leverandører til at ringe hver gang”. Brug risikobaseret tilgang. Ring ved kontoskift, nye leverandører og ændringer i kreditvilkår. Brug kendte kontaktveje og skabelon.

“Det er svært at få folk til at huske det”. Gør processen kort, synlig og trænet. Gentag 2 til 3 gange årligt med korte simulationer. Se awareness træning.

“Vi ved ikke, om vores mail er beskyttet”. Start med et sikkerhedstjek af M365. Det afdækker opsætningsfejl, misconfigurations og hurtige gevinster.

Politiet anbefaler at anmelde forsøg og fuldbyrdet svindel hurtigt og kontakte banken med det samme. Læs mere hos Politiet. Brug også vejledningerne fra CISA og cases i IC3-rapporterne til jeres interne læring.

Næste skridt

Book et kort møde for at gennemgå jeres nuværende betalingsproces, få en 30-dages plan og afklare roller. Vi arbejder i øjenhøjde med økonomi og ledelse og fokuserer på at styrke jeres modstandskraft med enkle greb. Start med et sikkerhedstjek, en workshop for ledelsen eller læg en plan for løbende beskyttelse i Forkant. Når I er klar til at tage næste skridt, kan I kontakte os her.