Ingen hadde drømt om at dyktige kriminelle utnyttet et korona-stengt bistands-Norge til å fjerne de siste digitale sporene etter Norges største digitale bankran og historiens mest omfattende svindel av offentlige bistandsmidler.
Men det var akkurat det som skjedde.
Dette er historien om hvordan det kunne skje og hvilke etterdønninger ranet fikk.
Fram til 30. april var det lite aktivitet på Norfunds hovedkontor i 6. etasje tvers over plassen bak Rådhuset i Oslo. I knapt seks uker hadde Norge vært korona-nedstengt. Det gikk mot en kjølig 1. mai-langhelg.
Denne torsdagen satt finansdirektør Cathrine Conradi på et møterom i Norfund med utsikt mot Rådhuset. Norfund er statens investeringsfond for næringsvirksomhet i utviklingsland, og overfører hvert år flere milliarder kroner til partnere over hele verden.
Midt i video-allmøte for Norfunds ansatte rundt om i verden, får Conradi en urovekkende beskjed.
- Asia-teamet kontakter meg og sier at vi har blitt utsatt for en svindel, forteller finansdirektøren.
Kriseberedskaps-treningen slår inn. Hun ringer sjefen.
- Det kom som lyn fra klar himmel. Jeg var selvfølgelig overrasket og sjokkert, medgir administrerende direktør i Norfund, Tellef Thorleifsson, i etterkant.
En utbetaling på 9.888.055 dollar (rundt 100 millioner kroner) som seks uker tidligere skulle ha gått til mikrofinansinstitusjonen LOLC Plc i Kambodsja, har havnet på en falsk konto.
Det er en konto i Mexico, opprettet i navnet til LOLC. Millionene som skulle hjelpe fattige på landsbygda i Kambodsja til å etablere småbedrifter, er trolig blitt stjålet.
Sjokk og handling
Så snart Conradi legger på, drar Thorleifsson til hovedkontoret i Oslo sentrum. Samtidig tar Conradi en telefon til banken og prøver å finne ut hvor pengene er.
- Vi stopper alle utbetalinger fordi vi ennå ikke vet hva dette dreier seg om og hvordan det har skjedd, forteller hun.
DNB, som er Norfunds bankforbindelse, kontakter involverte banker for å forsøke å spore og tilbakekalle betalingen. DBN varsler også om hendelsen gjennom sitt internasjonale meldingssystem.
Norfund setter krisestab med Thorleifsson, Conradi og juridisk direktør Thomas Fjeld Heltne.
- Vi tar selvfølgelig også kontakt med politiet med en uformell anmeldelse for å få bistand til å håndtere situasjonen, sier Conradi.
Møtene varer utover kvelden og natt til 1. mai.
- Styret ble innkalt dagen etter. Det ble full rulle. Vi satte i gang en hel masse, forteller Thorleifsson.
Utenriksdepartementet, som er Norfunds «eier», ble orientert per telefon.
Spørsmålene svirrer: Hvor dypt er vi infiltrert? Har de vært inne på flere kontoer? Hvordan har det skjedd? Er det utro tjenere? Er det svikt hos selskapet som leverer it-tjenester? Kan vi få pengene tilbake? Hvorfor har det tatt 6 uker å oppdage? Er det farlig å sende eposter?
- Det gjør forferdelig vondt. Tanken på at vi skal ha tapt, blitt frastjålet, så mye penger, stikker dypt inn i magen. Jeg tenker på om det er noe vi kunne ha gjort for å forhindre det fra å skje og hvordan kunne dette skje?, sier Thorleifsson.
- Vi forvalter fellesskapets penger, og at så mye blir stjålet er innmari vondt. Jeg lå våken og hadde det vondt veldig lenge. Samtidig forsøkte jeg å tenke på hva må vi gjøre av tiltak, hvem skal være informert og så videre.
Intenst jobbing
I ettertid beskriver finansdirektør Conradi den første perioden i mai som «voldsom».
- Det er massivt. Det er veldig mye informasjon som skal tas inn og verifiseres, og du skal få oversikt over hva som har skjedd. Vi jobbet døgnet rundt, også i ulike tidssoner, fordi vi har å gjøre med både vårt kontor i Bangkok og finansinstitusjonen i Kambodsja. Vi jobber også på spreng for å få inn en formell anmeldelse, og i den må vi ha en oversikt over det vi tror har skjedd.
Disse dagene jobber krisestaben intenst, men de kan samtidig ikke trekke inn for mange mennesker. På dette tidspunktet er det ennå bare noen få i Norfund som vet om svindelen.
- Vi kan ikke informere egen organisasjon før vi har et overblikk over hendelsene selv. Og vi kan heller ikke på det tidspunktet utelukke at Norfund-ansatte var involvert. Det var utrolig ubehagelig, forteller Conradi.
- Jeg var så vidt hjemom for å sove litt, men i hodet mitt var jeg på. Vi startet jo nærmest en etterforskning internt for å forstå dette bildet. Det er intenst, men vi jobbet strukturert, og etter hvert ga det en god følelse av at vi jobber med de riktige tingene, sier hun.
Krisestaben setter opp ulike arbeidsområder: Pengestrømmer, politianmeldelse, og IT-sporet. Arbeidsgruppene som deltar i dette, blir etter hvert supplert med fagfolk fra cyberkrim-teamet i konsulentfirmaet PWC og et advokatkontor.
Behov for hemmelighold
Alt må holdes hemmelig mens politiet nøster i de få nett-trådene som finnes.
- For oss er det er viktig i startfasen at gjerningspersonene ikke er klar over at saken er under etterforskning av politiet. Vi antar at de vil forsøke å komme unna med pengene og begynne å slette spor om de er klar over at saken er anmeldt, forteller politiadvokat Eivind Kluge, i seksjon for finans- og spesiallovgivning ved Oslo politidistrikt.
Kluge og etterforskingsteamet har en god del erfaring fra større svindelsaker tidligere. Det er en del faste spor som er relevant å gå etter. De fulgte pengesporet og IP-sporet - forskjellige måter å identifisere handlinger som har foregått på internett.
- Det viktigste i en sånn sak er å lokalisere og forsøke å identifiser