Hva handler artikkelen om?

Artikkelen handler om et nesten vellykket svindelforsøk der styremedlemmer ble kontaktet med en troverdig historie basert på offentlig tilgjengelig informasjon.

Hva gjorde svindelforsøket farlig?

Det var ikke åpenbart falskt. Angriperen brukte riktig timing, kjente navn, reelle hendelser og sosialt press for å gjøre forespørselen troverdig.

Hvorfor er dette relevant for styret?

Fordi moderne svindel ofte retter seg mot beslutninger, signeringer og tillit, ikke bare tekniske systemer.

Hva stoppet angrepet?

Ikke teknologi alene, men kommunikasjon mellom styremedlemmene, skepsis til BankID-forespørselen og verifisering med andre.

Hvilke tiltak bør virksomheter vurdere?

Toveis verifisering, bruk av kjente kanaler, lav terskel for intern avklaring og klare regler for BankID-forespørsler under tidspress.

Hvordan henger dette sammen med NIS2 og digitalsikkerhetsloven?

Artikkelen peker på at styret må forstå digital risiko og bidra til en sikkerhetskultur der ansvar ikke bare ligger hos IT.

Da styret nesten ble svindlet

Det begynte som en helt vanlig ettermiddag. Klokken nærmet seg 17. Møter var ferdige. Tankene på vei over i noe annet.

Telefonen ringte. Et styremedlem tok den.

«Hei, det er Pedersen fra revisjonsselskapet.»

Stemmen var rolig. Profesjonell. Litt travel. Han forklarte at siden selskapet nylig hadde meldt flytting av hovedkontor, måtte noen formelle registreringer fullføres. Han satt og jobbet overtid. Ville egentlig bare bli ferdig og komme seg hjem.

Det hastet litt. Men ikke nok til å virke mistenkelig.

Alt stemte. Nesten.

Pedersen visste hvem som satt i styret, hvem som var styreleder og hvem som var revisor. Han kjente til flyttingen. Han refererte til andre styremedlemmer ved navn. De hadde ikke hatt tid til å signere, sa han. Kunne du hjelpe?

Dette er kjernen i moderne svindel. Det er ikke åpenbart feil. Det er nesten riktig. Nesten profesjonelt. Nesten helt troverdig. Og nettopp derfor farlig.

Hva som egentlig hadde skjedd

Selskapet hadde gjort noe helt normalt: meldt flytting av hovedkontor til Brønnøysundregistrene. Offentlig informasjon, tilgjengelig for alle.

Og noen følger med.

Svindlere overvåker ikke virksomheten din, de overvåker hendelsene dine.

Så snart registreringen var sendt inn, startet arbeidet: kartlegging av styret, innsamling av telefonnumre, identifisering av revisor, og forberedelse av en troverdig historie. Dette var ikke tilfeldig. Det var målrettet.

Timing er et angrepsverktøy

Telefonene kom rundt klokken 17. Når folk er slitne, på vei videre i dagen og mindre skjerpet enn de selv tror.

De beste angrepene skjer ikke når folk mangler kompetanse. De skjer når folk har dårlig tid.

Presset

Pedersen var høflig. Men også lett insisterende. Han jobbet jo overtid. Han ville bare bli ferdig. Kunne man ikke bare signere raskt?

Så kom forespørselen. En digital signering. En BankID-forespørsel.

Det som nesten skjedde

Flere styremedlemmer fikk samme telefon. Alle reagerte litt, noe skurret. Men ikke nok til at noen slo alarm. De fleste sa de ikke hadde tid. Noen henviste videre. Så kom signeringsforespørselen likevel. Det var nære på.

Hva stoppet det?

Ikke teknologi. Ikke sikkerhetssystemer.

Tilfeldigheter, og kommunikasjon. Forespørselen kom fra feil bank. Ingen trykket. Og viktigst: Styremedlemmene begynte å snakke sammen. Felles refleksjon stoppet det som individuell skepsis ikke hadde klart alene.

Individuell skepsis er bra. Felles situasjonsforståelse er bedre.

Hva styret gjorde etterpå

I etterkant ble én ting tydelig: Dette kunne gått veldig galt. Styret innførte derfor noen enkle, men effektive tiltak:

Toveis verifisering med kodeord: Ved uvanlige forespørsler oppgir den ene et avtalt kodeord, den andre må svare riktig. Enkelt og vanskelig å omgå.
Ingen beslutninger under tidspress: Hvis noe haster uvanlig mye, så haster det ikke.
Alltid verifiser via kjent kanal: Ingen handling basert på innkommende telefon, e-post eller melding. Alt bekreftes via kontaktinformasjon du selv har.
Aldri godkjenn BankID-forespørsler uten kontekst: Forventer du det ikke, godkjenn det ikke.
Lav terskel for å snakke sammen: Det som faktisk stoppet angrepet var at styremedlemmene ringte hverandre.

Styrets rolle i 2026

Dette er ikke et IT-problem. Det er et styreansvar. Angrepene treffer ikke primært infrastrukturen din, de treffer beslutningene dine. Med digitalsikkerhetsloven og NIS2 forventes det at styret forstår denne risikoen, tar aktive grep og bidrar til å bygge en kultur der sikkerhet er alles ansvar, ikke bare IT sin.

En sann historie

Dette var ikke en avansert teknisk operasjon. Det var god research, riktig timing, psykologisk press og en troverdig historie. Det holdt nesten. Og det er kanskje det mest urovekkende av alt.

Du trenger ikke være uoppmerksom for å bli lurt. Du trenger bare å ha det litt travelt.