Svindel er ikke længere enkeltstående hændelser. Den er industrialiseret, professionel og målrettet – og den udnytter både teknologi og mennesker. På konferencen Fraud og IT-relateret økonomisk kriminalitet den 12. marts fører Sune Gabelgård, Fraud Manager hos EPI Company, deltagerne gennem dagen som ordstyrer. Med erfaring fra politiet, finanssektoren og betalingsinfrastruktur bringer han et sjældent indblik i, hvordan svindel faktisk foregår – og hvorfor kampen ikke kan vindes i siloer.
Inden konferencen kan du læse et interview med Sune her.
Vil du ikke starte med at introducere dig selv? Hvad er din baggrund, og hvordan arbejder du med svindelbekæmpelse til dagligt?
Mit navn er Sune Gabelgård, og min baggrund er en hybrid: Jeg er håndværker, udlært tømrer, og har stået i maskinrummet som politibetjent, efterforsker og analytiker i politiet, hvor jeg så både ofrene og gerningspersonerne i øjnene, spiste data til morgenmad og talte med de lokale narkomaner, og nu sidder jeg i maskinrummet hos European Payments Initiative, var tidligere hos Vipps MobilePay, og forsøger at stoppe svindelblødningen teknologisk, kommunikativt og strategisk. Jeg har en akademisk overbygning i form af en Master fra Portsmouth i bekæmpelse af korruption og svindel, men min læring kommer fra at se, hvordan svindlere opererer i praksis, fra den enlige manipulator til de organiserede fabrikker – min hemmelighed er, at jeg er overordentlig godt til at tænke som en kriminel, forstå kommerciel forretning og gennemskue ting og identificere en løsning hurtigt. Svindel bekæmpes ikke med teorier, men med indsigt, samarbejde og modige beslutninger.
Jeg blev politibetjent for at gøre en forskel, uanset hvor fortærsket det lyder, så mente jeg det dengang – og det gør jeg stadig. Jeg har altid villet beskytte samfundet og vores demokrati. Da jeg overvejede at stoppe i politiet, var min største frygt at miste denne mulighed og dermed min mission. Men jeg fandt ud af, at der også nogle steder er plads til ildsjæle i den kommercielle verden. Men ligesom i politiet er der også steder, som får ildsjæle til at brænde ud, og som passioneret menneske skal man passe på sig selv. Det, jeg har set i min tid i den finansielle sektor, provokerede min retfærdighedssans lige så meget som det, jeg så i politiet, svindel er ikke bare tal i et Excel-ark, en statistik eller et tab for et offer eller en bank, det er for mange ofre psykisk vold og en historie, der skal fortælles. Hver dag ser jeg noget nyt eller møder mennesker, der inspirerer mig til at yde mit bedste, det er som en uudtømmelig kilde af inspiration.
Mit daglige drive er, at svindlerne lige nu vinder på “professionalisme”. De driver deres “forretning” bedre, end vi driver vores forsvar. Det driver mig at lukke det gab, og så driver det mig at fjerne skammen fra ofrene, vi skal stoppe udskamningen af ofrene og indse, at der er en svindeltype til os alle sammen – også mig.
Udviklingen i trusselsbilledet
Mest bekymrende lige nu er industrialiseringen. Vi ser ikke længere bare den enlige hacker i en kælder. Vi ser Fraud-as-a-Service, hvor kriminelle netværk rekrutterer “medarbejdere” på Telegram til at udføre specifikt definerede opgaver (fx “callers” eller “muldyr”). De opererer som multinationale selskaber med kundeservice og HR-afdelinger.
Udvikling i metoder: Metoderne er gået fra “teknisk hacking”, udnyttelse af huller i den tekniske sikkerhed, til “human hacking”. De hacker ikke systemerne, de hacker (manipulerer) mennesket bag skærmen (både kunderne og medarbejderne). Det farligste skift er, at de nu kombinerer den tekniske og den menneskelige, eksempelvis spoofing (at se troværdig ud teknisk, med bankens nummer i displayet på din telefon, når den ringer) med ekstrem psykologisk manipulation. De kender bankens procedurer bedre, end bankens egne medarbejdere gør.
De blinde vinkler, jeg ser igen og igen, er manglende samarbejde, samtænkning og samskabelse: Vores største blinde vinkel er vores silo-tænkning. Svindlerne arbejder på tværs af landegrænser og banker på millisekunder. Vi (banker, politi, teleselskaber og mange andre) arbejder stadig isoleret, både internt og på tværs. Derudover foregår det i almindelig “kontortid” og bremses af lovgivning, der forhindrer os i at dele data effektivt. Svindlerne har ikke GDPR, det er en asymmetrisk krig, og her efterlyser jeg altså ikke et masseovervågningssamfund, men pragmatiske løsninger.
Ledelse, samarbejde og formidling
Ledere skal forstå, at svindelbekæmpelse ikke er en “compliance-øvelse” eller en omkostning. Det er et produktkvalitetsproblem og et ledelsesansvar, hvis dine kunder mister penge på din platform, er dit produkt ikke sikkert nok. Vi skal gå fra at sige “kunden godkendte selv” til “kan vi beskytte en kunde, der bliver manipuleret af en kriminel?”
Samarbejde er den eneste vej frem. Et eksempel: Telesektoren skal lukke for spoofing, bankerne skal dele viden i realtid, og politiet skal efterforske. Lige nu er vi for gode til at skubbe aben videre til næste led i kæden, og tit ender den hos ofrene.
Min rolle som formidler består af at oversætte “fraud og bank-lingo” til menneskesprog. I min podcast og i medierne bruger jeg konkrete cases, lydfiler fra svindlere, historier fra ofre. Når man hører en svindler manipulere et offer live, forstår man pludselig kompleksiteten. Det er ikke bare “en dum fejl”, det er professionelt teater. Ligeledes prøver jeg at oversætte viden om svindel, så organisationer og ledere forstår, hvad der er på spil og kan agere, det er ikke bare penge, det handler om tillid, og tillid er en valuta.
Fremtiden
Alle taler om AI og deepfakes, ja, det er her allerede, og det bliver uhyggeligt (fx stemmekloning af direktører eller familiemedlemmer). Men min bekymring er faktisk, at vi stirrer os blinde på AI og glemmer, at svindlerne stadig har succes med helt lavpraktiske sms’er og telefonopkald, fordi vi ikke har lukket de digitale hoveddøre. Lad os fikse fundamentet, før vi panikker over sci-fi-scenarier, sandheden er, at mange af de løsninger, vi mangler i dag, kan løse problemerne i morgen, men vi kommer aldrig frem til dem, fordi vi bliver bange, og frygt leder til dårlige beslutninger.
Ét råd til virksomheder er: Træn jeres mennesker, jeres frontlinje. Jeres medarbejdere er jeres firewall, lyt til dem, mange ved godt, hvad der skal til, fokuser på at fjerne de ting, der står i vejen for dem, så beslutninger kan tages hurtigt og løsningerne implementeres i morgen, uden det er jeres tekniske sikkerhed ligegyldig.
Målet for min deltagelse er at sende deltagerne hjem, fulde af håb, engagement og med ny brugbar viden om, hvad der virker, og hvad der absolut ikke virker.
Vil du høre mere om, hvordan svindel har udviklet sig fra enkeltpersoner til organiserede “forretninger” – og hvad der reelt skal til for at lukke gabet mellem svindlere og forsvar?
Så kom og vær med, når Sune Gabelgård guider os gennem dagen på konferencen Fraud & IT-relateret økonomisk kriminalitet den 12. marts og sætter svindel i øjenhøjde.
