Lars Lundberg har samlat allt vad svensk fack- och dagspress rapporterat beträffande databrott och datamisstag alltsedan hösten 1976. Samlingen innehåller för närvarande ett tusental urklipp, vilket innebär att ämnesområdet är föremål för publicering åtminstone i någon svensk tidning varje arbetsdag.
Denna artikel behandlar mer allmänt frågan om databrott och ger synpunkter på bl a revisorns ansvar och uppgifter i sammanhanget.
Ett ögonblicks insikt är ibland värt ett helt livs erfarenhet
(Oliver Wendell Holmes)
DATABROTT AKTUELLT
Debatten om databrott – i varje fall den internationella – har kommit att präglas av fantasieggande beskrivningar av hur den geniale, men tyvärr brottslige, datateknikern begår det perfekta brottet. Av beskrivningarna får man intrycket att dessa begåvade brottslingar med undangömda och okända men astronomiska förmögenheter, sedan de avtjänat sitt minimala straff, skall fortsätta att göra stora inkomster men nu på hederliga konsultuppdrag som datasäkerhetsexperter.
Internationellt har debatten om databrott pågått några år. Forskningen har påbörjats, böcker skrivits och viss statistik sammanställts. För närvarande finns åtminstone fem internationella tidskrifter av typen ”Computer Fraud and Security Bulletin”. Nu har debatten tagit FARt i Sverige. Under 1982 har påbörjats flera aktiviteter inom området. Rikspolisstyrelsen har startat en arbetsgrupp, som skall definiera uttrycket databrott och behandla frågan ur juridiska och polisiära synvinklar. Brottsförebyggande Rådet (BRÅ) har startat ett stort forskningsprojekt beträffande databrott. Antalet konferenser och paneldebatter ökar. En ny konsultdisciplin har börjat uppstå – nämligen datasäkerhetsspecialisterna.
DATABROTT OKÄND MARK
Antalet häststölder minskar och antalet databrott ökar. Ett möjligen fyndigt men i övrigt helt självklart påstående, tänker man. Rimligtvis är också tanken riktig, men frågar man polisen får man till svar att antalet registrerade häststölder inte minskat nämnvärt under senare decennier. Inte heller har polisen någon statistik som visar att antalet databrott ökat under de senaste 5-10 åren. Det förstnämnda förhållandet beror förmodligen på att polisens register blivit fullständigare med åren. Det sistnämnda förhållandet beror säkerligen på att polisens register är ofullständiga beträffande databrott. Det är en allmänt accepterad sanning att endast en liten del av alla databrott kommer till polisens kännedom.
Ett faktum är att vi för närvarande vet alldeles för litet om brottsutvecklingen i samband med ADB. Det enda vi vet är att brottsligheten i datorbaserade rutiner rimligtvis inte är mindre än i manuella rutiner.
I amerikansk litteratur lämnas en del ur våra synvinklar otroliga sifferuppgifter beträffande databrott. Den genomsnittliga förlusten per databrott anges till ungefär SEK 3.400.000 (motsvarande uppgift för övriga förskingringar är SEK 140.000). FBI har angett att endast 1% av databrotten upptäcks och att endast 7% av upptäckta databrott polisanmäls.
Antag att antalet polisanmälda databrott i Sverige är 20 per år och att den genomsnittliga förlusten är SEK 100.000:- per brott. En tillbakaräkning enligt ovan refererade amerikanska tal ger en total årlig förlust på grund av databrott i storleksordningen SEK 2.860.000.000:-.
CAC (COMPUTER AIDED CRIME)
Uttrycket databrott innefattar en mångfald olika typer av brott. Som exempel kan nämnas stöld av datautrustning, sabotage i datacentral, stöld av datortid, obehörig kopiering av dataregister eller dataprogram, obehörig avtappning av datakommunikationer, felaktig dokumentation, felaktiga indata, förvanskning av dataprogram och dataintrång. Härtill kommer att pressen idag utnyttjar uttrycket för alla brott som på minsta sätt kan kopplas till en dator eller ett datasystem. Om en bank av misstag betalar ut en mkr till fel bankkonto och kontohavaren faller för frestelsen blir denne idag en databrottsling enligt pressen. Naturligtvis är det missvisande att kalla brottet för databrott – den enda datoranknytningen är en felaktig utbetalning i en datorbaserad rutin.
För att debatten om datorbrott skall kunna föras med framgång krävs att begreppet utnyttjas någorlunda enhetligt. Rikspolisstyrelsens ovan nämnda arbetsgrupp räknar med att lämna sin slutrapport under 1984. Mycket talar för att arbetsgruppen använder termen databrott som ett samlingsbegrepp på ungefär samma sätt som man nu använder uttrycket ekonomisk brottslighet – databrott blir således ingen ny brottsrubricering. Det är enligt min uppfattning också nödvändigt att samlingsbegreppets innebörd begränsas – lämpligen till att avse brott där datasystemet som sådant är ett hjälpmedel, d v s datorstödd brottslighet.
Databrott begränsas alltså till en medveten handling med hjälp av dator eller datasystem, som direkt/indirekt eller omedelbart/latent innebär förlust av tillgångar, döljande av skulder, manipulation med intäkter eller kostnader eller liknande effekter. Det faktum att en rutin är datorbaserad är inte tillräckligt för att en förfalskad indatatransaktion e dyl skall ge ett databrott.
BROTTSBEFRÄMJANDE FAKTORER
Artur Solarz, som är forskare vid Brottsförebyggande Rådet och leder ovannämnda forskningsprojekt beträffande databrott, anser att nya brottsbefrämjande faktorer föreligger i ett datorbaserat system jämfört med ett manuellt system. Han nämner främst sex sådana faktorer. (Se figur 1)
Figur 1. Tillfällesstruktur för datorbrott (Efter figur 6 ”Phenomenological factors of computer criminality”. Compu. Techn. and Comp. Crime; Artur Solarz, s 29).
Dålig kontroll | Datakoncentration | Anonymitet | ||||
? | ||||||
”Super Zapping” | Många fel | Kontanter | ||||
Linjetömning | Datorbrottets omgivn. | Överföring av elektroniska signaler | Stora belopp | |||
”Data diddling” | ||||||
Andra pennigkällor | ||||||
Tillvägagångssätt | Nya faktorer i tillfällesstrukturen för datorbrottslighet | Vinstobjekt | ||||
ADB kunskaper | Rumsfaktorer | |||||
ADB-kunskaper och systeminsyn | Tidsfaktorer | Dator | ||||
Datorns snabbhet | Utstr i tiden | Terminal |
Datorbaserade miljöer präglas av koncentration av information (databaser), bristfällig kontrollstruktur (svårt med arbetsfördelning) och höga felfrekvenser (allt kan inte testas). Ett datasystem upplevs dessutom som abstrakt och anonymt.
Brottsobjekten utgörs endast indirekt av pengar och andra varor. Brottslingen förgriper sig direkt mot elektroniska signaler.
Avståndsfaktorn innebär att brottslingen inte behöver uppträda på platsen för brottet utan kan arbeta från en terminal utan några begränsningar i avstånd.
Tidsfaktorn möjliggör att brottet kan utföras på endast någon bråkdels sekund – varefter också ”spåren” är borta.
ADB kunniga brottslingar innebär förmodligen att de potentiella brottslingarna är förhållandevis välutbildade och kapabla att genomföra sofistikerade brott. Ibland kan datasystemet uppfattas som en intellektuell utmaning, varigenom det blir ”en sport” att begå databrott (jämför studenters knäckande av behörighetssystem).
Tillvägagångssättet (Modi operandi) för brotten påverkas naturligtvis av datasystemets uppbyggnad. Utan ett datasystem vore det omöjligt att stjäla stora summor genom ”avrundningsfel”. Vidare kan instruktioner läggas in i dataprogram och komma till användning först om ett antal år och då endast en gång och sedan försvinna.
I rättvisans namn bör också framhållas att datorbaserade system innebär förbättrad kontroll i flera avseenden. Exempelvis är en dator omutbar och opåverkbar för måndagar så länge som programmet inte ändras. Vidare är databehandlingen i en datorbaserad rutin av nödvändighet logiskt uppbyggd och väl strukturerad. En dator kan utföra kontroller som inte är möjliga i manuella rutiner.
REVISORNS ANSVAR
Enligt god revisionssed skall revisorn granska och bedöma den interna kontrollens ändamålsenlighet. Med intern kontroll avses bl a metoder och åtgärder i organisation och rutiner för att trygga företagets tillgångar och därvid förhindra att bolaget drabbas av förluster på grund av förskingringar och andra oegentligheter eller oavsiktliga fel. Vidare gäller att om revisorn uppmärksammar brister i kontrollsystemet skall dessa rapporteras till företagsledningen så att denna kan åtgärda bristerna och därigenom förhindra väsentliga avsiktliga eller oavsiktliga fel. Det är lämpligt att revisorn särskilt informerar företagsledningen om han inte granskat alla delar av kontrollsystemet.
Av ovanstående referat av god revisionssed framgår klart att till revisorns ansvar hör att granska och bedöma ändamålsenligheten i datasystemets interna kontroll, d v s metoder och åtgärder för att förhindra att företaget drabbas av t ex databrott. Detta ansvar gäller för både ”offentliga” revisorer, som granskar utifrån bokföringsförordningen, och privata företags revisorer, som granskar utifrån bokföringslagen.
Enligt min mening är det viktigt att vi axlar vårt lagpåbjudna ansvar för övervakning av den interna kontrollen också i datorbaserade rutiner. Lika litet som företagsledningarna å sin sida kan överlåta sitt ansvar för den interna kontrollen till revisorerna kan vi å vår sida överlåta vårt ansvar för övervakningen av den interna kontrollen till speciella ADB-revisionsföretag e dyl. Vi revisorer bör acceptera och leva upp till vår roll som företagsledningens rådgivare och externt expertorgan beträffande intern kontroll – oavsett om kontrollmiljön är datorbaserad eller inte. Om vi i revisionsarbetet behöver anlita ADB-specialister bör vi göra detta på samma sätt som vi ibland anlitar skattespecialister, fastighetsvärderare etc.
När revisorns ansvar för att upptäcka oegentligheter tas upp till diskussion nämns ofta förhållandet att revisionen inte har till självständigt syfte att förhindra eller upptäcka oegentligheter. Jag vill dock varna för att detta förhållande tas till intäkt för att underlåta att granska och bedöma riskerna för databrott i datorbaserade rutiner. Skall inte revisionsfunktionen upptäcka databrott som väsentligt påverkar årsredovisningen, som upprepas ofta och då följer samma mönster eller som kan upptäckas med rimliga stickprov (t ex större poster)? Har inte revisorn något ansvar för databrott som inträffar på grund av kontrollbrister, som revisorn har underlåtit att rapportera till företagsledningen för åtgärd?
MÅLINRIKTAT SAMARBETE
Under 70-talet har revisorer och systemutvecklare mer eller mindre talat förbi varandra. Detta har å ena sidan medfört att systemutvecklarna har utvecklat ett eget kontrollangreppssätt för datorbaserade rutiner vid sidan av revisionsbranschens angreppssätt. Å andra sidan har revisorerna fått uppfattningen att frågan om intern kontroll i datorbaserade rutiner fordrat ADB-tekniska kunskaper.
Vid samtal mellan revisorn och systemutvecklaren är det vanligt att revisorn argumenterar för införandet av en kontroll, medan systemutvecklaren försöker undvika den komplikation som en ytterligare kontroll innebär. Denna diskussion beträffande kontrollens införande eller inte är föga givande. Dessutom ger diskussionen näring till missuppfattningen att revisorn är en ”kontrollfanatiker” som tar alla chanser att införa kontroller oavsett nyttan med dem.
Diskussionen borde istället föras beträffande kontrollmålet (t ex målformuleringar av typen: alla prisändringar skall vara attesterade innan de används, alla leveranser från lagret skall bli föremål för fakturering, alla kundfordringar skall betalas i tid, grundlöneuppgifterna på personregister skall vara riktiga och attesterade, o s v). Är man väl ense om kontrollmålet gäller det sedan enbart att finna någon kontrollteknik som så effektivt som möjligt uppfyller kontrollmålet – och i detta arbete kan man hjälpas åt. Givetvis måste hänsyn tagas till relationen mellan kostnaden för att uppnå ett kontrollmål och ”kostnaden” för den felrisk som kontrollmålet avser att eliminera eller minska. Det är oftast omöjligt att kvantifiera ”kostnaden” för fel (en negativ tidningsrubrik kan ha en oändlig felkostnad), men nedanstående optimeringsmodell är ändock nyttig att ha i bakhuvudet.
Den optimala kontrollnivån är omöjlig att finna för ett helt företag. Inte heller för en enskild rutin kan man göra anspråk på att kunna finna den. Men för ett enstaka lämpligt formulerat kontrollmål kanske man kan komma i närheten av den optimala kontrollnivån.
(Figur se Balans 1/1983 sid 33.)
SMÅDATORANVÄNDNINGEN
Den ökande användningen av smådatorer i såväl mindre som större företag innebär ökad kontroll genom större möjligheter till mänsklig övervakning (rimlighetskontroller). Samtidigt är det risk att tekniken ohejdat får utnyttjas – vi har en datavänligare bokföringslag än de flesta tror – och att vi härigenom får praktiskt taget okontrollerbara redovisningsrutiner i många småföretag. Sådana rutiner kommer rimligtvis att fresta många till medvetna datafel av olika slag, t ex skattebesparande sådana. För oss i Sverige är denna utveckling lika intressant att penetrera och försöka påverka som de risker för jättebrott som finns i bankernas internationella valutatransfereringsdatasystem.
Smådatorleverantörerna har här ett stort ansvar för att kontroll- och användarvänliga system utformas och tillhandahålls. Viktigt är att väsentliga program inte kan ändras utan vidare och att innehåll i väsentliga register inte kan ändras utan att normala transaktioner bearbetas och registreras. Några leverantörer – men inte alla – har beaktat frågor av denna typ.
Det är också viktigt att vi revisorer anpassar vår granskning till kontrollförutsättningarna i smådatormiljön och inte okritiskt antar att exempelvis huvudbokslistan överensstämmer med verifikationslistan (som vi kontrollerat mot verifikationsmaterialet).
DATALEVERANTÖRERNA HAR OCKSÅ ETT ANSVAR
Såväl leverantörer av standarddatasystem som leverantörer av maskinutrustning kan medverka till att risken för databrott förebyggs genom att uppmärksamma sina kunder på kontrollbehoven.
Vissa standardsystemleverantörer har vidtagit särskilda åtgärder för att systemen i drift skall beakta användarens kontrollbehov. I något fall förekommer att användaranvisningarna innehåller ett särskilt kontrollkapitel med anvisningar. Det vore naturligtvis önskvärt att fler användaranvisningar innehöll kontrollkapitel.
Nästan alla datamaskintillverkare erbjuder programpaket, som kan taga bort eller modifiera information på dataregister. Dessa program benämns vanligen ”restricted utilities” och används av systemprogrammerare och andra för att snabbt och enkelt rätta felaktigheter i systemet. Normalt finns dessa program i systemens programbibliotek och kallas fram på vanligt vis när de skall användas. I vissa situationer kan dock dessa programprodukter användas utan att användningen lämnar något spår. Detta förhållande tillsammans med on-line programutveckling kan skapa en mångfald tillfällen till databrott för den skicklige brottslingen. Datamaskintillverkarna bör specificera sin programvara av denna typ och uppmärksamma kunderna på behovet av kontroll över programvaran.
FÖRETAGSLEDNINGENS ANSVAR
Företagsledningens ansvar för att förebygga databrott utgår från företagsledningens lagfästa ansvar för en god intern kontroll. En tillräcklig prioritering av kontrollfrågorna i samband med systemutveckling är den effektivaste vägen att fullgöra detta ansvar.
Även om kontrollaspekterna blir tillräckligt tillgodosedda vid systemutvecklingen är det inte säkert att kontrollsystemet fungerar effektivt i driftsituationen. Nedan lämnas en synpunkt på ett förhållande som bidrar till detta.
De senaste årens automatiseringsentusiasm har medfört att arbetsuppgifter av typen avstämningar, differensutredningar och rättelser ofta har delegerats så långt ner i organisationen som möjligt. Arbetsuppgifterna har ansetts både tråkiga och mindre nyttiga och personer i chefsbefattning har därför inte bekymrat sig om dessa arbetsuppgifter. Men för att avstämningar, utredningar av differenser och avvikelserapportering skall kunna fungera som effektiva kontrollinstrument krävs ibland kunskap på en mer övergripande nivå. Om cheferna intresserade sig mer för resultatet och bakomliggande bedömningar skulle kontrollarbetet vinna i både status och effektivitet.
Det finns åtskilliga exempel på väsentliga misstag som föranlett differenser eller avvikelserapportering, men som förblivit oåtgärdade under längre tid därför att den som utfört kontrollen ej haft helhetssynen. Nyligen rapporterades att en utbetalning från en penningförmedlande organisation blev två miljarder för hög och fick ligga oåtgärdad på differenslistan i mer än 10 dagar. Handläggande person bedömde säkerheten av att få den felaktiga utbetalningen återbetald men missade att ränteförlusten uppgick till nästan 1 miljon kronor per dag. Ett gott råd är således att någon tillräckligt ”högt upp” i organisationen löpande tar del av och övervakar utfört kontrollarbete.
DE ANSTÄLLDAS ANSVAR
Det förvånar mig att inte de anställda intresserat sig mer för frågor av detta slag. Om företagen skapar datarutiner som innebär att personalen lätt kan frestas till att begå oegentligheter måste detta skapa en otrygg och påfrestande arbetsmiljö. I olika sammanhang har framskymtat att facket varit tveksamt till införande av kontroller – man har sett dem som ett uttryck för misstro och motverkat införande av kontrollerna med motiveringen att de varit kränkande för personalen. Enligt min uppfattning är det mer kränkande mot personalen att skapa rutiner som obehörigt frestar till oegentligheter – sådana rutiner är inte användarvänliga (personalvänliga). Facket borde därför i de anställdas intresse se positivt på väl utvecklade kontrollsystem i datorbaserade rutiner och verka för att kontrollfrågorna blir tillgodosedda redan i systemutvecklingen.
INVENTERA PROGRAMFÖRÄNDRINGAR
En historisk återblick visar att de stora stegen i revisionens kvalitetsmässiga utveckling har tagits när vi på grund av avslöjade stora oegentligheter väckts till insikt. Jag drar mig till minnes att det var ett stort bedrägeri i USA, som gjorde att fysisk inspektion infördes som en normal verifieringsteknik. Krügerkraschen ledde till krav på saldobekräftelser och koncernredovisning.
Vad behövs för att det skall bli lika vanligt att inventera dataprogramförändringar på överraskningsbasis, som det en gång i tiden var att inventera kassor (innan fixkassorna blev vanliga)? Frågan är om det inte snart är en nödvändighet att på ett effektivt sätt verifiera att inte väsentliga dataprogram ändrats vid sidan av den ordinarie programändringsrutinen, för vilken vi revisorer naturligtvis har bedömt den interna kontrollen. Hjälpmedel finns idag. Är det ”kicken” i form av ett stort databrott som saknas?
Själv är jag alltid redo att lära mig; men jag tycker inte alltid om att bli undervisad
(Winston Churchill).
Lars Lundberg, auktoriserad revisor, Revisionsbyrån Lundberg & Co AB