Jest jedna rzecz szczególnie niepokojąca w największym napadzie bankowym w Indiach: cyberprzestępczość nie miała z tym nic wspólnego. Nie ma żadnych bezimiennych, niewidzialnych geniuszy technologicznych włamujących się do systemów komputerowych, za które można winić. Raczej byli to skorumpowani pracownicy jednego oddziału korzystającego z sieci SWIFT (The Society for Worldwide Interbank Financial Telecommunication), którzy przeprowadzali ją przez lata.
Dzisiejsza historia hakowania jest dziwnie pocieszająca. Nie oznacza to, że korupcja sięga aż do szczytu, a przynajmniej oznacza, że nie ma pełnego załamania bezpieczeństwa systemu bankowego. Przestępcy po prostu robili to, co robią przestępcy. Każdy może potrząsnąć pięściami przy technologii zmiany w zawrotnym tempie i iść dalej. (Przeczytaj: Jak działa system SWIFT)
Oszustwo Nirav Modi w wysokości 1, 8 miliarda dolarów od drugiego największego państwowego pożyczkodawcy w Pendżabie National Bank (PNB.BO) jest znacznie mniej eleganckie.
Bank oświadczył w swoim oświadczeniu, że fałszywe akredytywy, które pozwoliły firmom handlującym diamentami skorzystać z pożyczek o wartości 1, 8 miliarda dolarów, „zostały złożone przez urzędników oddziału za pośrednictwem SWIFT bez uzyskania zgody właściwego organu, niezbędnych wniosków od importera, dokumentów importu, dokumentacji prawnej z bankiem, a także bez dokonywania wpisów w module finansowania handlu Banku CBS (podstawowe rozwiązanie bankowe). ”
PNB obwinił dwóch młodszych pracowników w swoim oświadczeniu za wydawanie nielegalnych listów i wysyłanie wiadomości SWIFT, które nie zostały zarejestrowane w systemie wewnętrznym.
Co nasuwa pytanie, czy wszystkie banki korzystające z SWIFT są podatne na tego rodzaju oszustwa, czy też sprawa PNB wiąże się z wyjątkowym poziomem zaniedbania lub zmowy?
SZYBKI
Sieć SWIFT, obsługiwana przez konsorcjum z Brukseli i używana przez ponad 11 000 instytucji finansowych, była wcześniej wykorzystywana podczas napadów na banki.
Rosyjski bank centralny powiedział niedawno, że hakerzy ukradli w zeszłym roku 6 milionów dolarów jednemu z banków tego kraju za pomocą sieci SWIFT. Hakerzy przejęli kontrolę nad komputerem w banku i wykorzystali go do przelania pieniędzy na własne konta. Podobnie w 2016 r. Hakerzy uniknęli oszałamiającego 81 milionów dolarów z banku centralnego Bangladeszu, wykorzystując poświadczenia SWIFT pracowników. Ekwadorski bank powiedział, że stracił 12 milionów dolarów w napadzie w 2015 roku, w którym cyberprzestępcy używali kodów SWIFT.
SWIFT odrzucił wszelką odpowiedzialność za takie incydenty. W liście do klientów bankowych w 2016 r. Grupa powiedziała, że banki ponoszą wyłączną odpowiedzialność za bezpieczeństwo swoich systemów. „Klienci są odpowiedzialni za wszystkie wiadomości podpisane za pomocą swoich certyfikatów i, oczywiście, za ochronę swoich certyfikatów i zapewnienie, że tylko odpowiednio upoważnieni operatorzy mogą ich używać do podpisywania wiadomości”, powiedziała rzeczniczka Reuters w tym czasie. „SWIFT nie jest i nie może być, odpowiedzialny za wiadomości tworzone w nieuczciwy sposób w firmach klientów. ”
Avivah Litan, analityk firmy Gartner i ekspert od oszustw finansowych, powiedziała w przeszłości, że szokujące było dla niej to, że SWIFT polegała tak bardzo na uwierzytelnianiu, a nie na „bardzo podstawowych kontrolach wykrywających oszustwa”, takich jak szukanie nienormalnych odbiorców, szukanie zdalnego przejęcia konta i szukanie nienormalny dostęp.
Ale oszustwo Modi bardzo różni się od tych napadów, ponieważ chociaż codziennie pojawiają się nowe szczegóły, bank nie rzekomo hakował, a skupiono się na informatorach. Tydzień od ujawnienia się oszustwa, sześciu pracowników Narodowego Banku Pendżabu zostało aresztowanych przez federalnych śledczych. Najwyższym z nich jest mężczyzna, który kierował oddziałem Brady House w banku od 2009 do 2011 roku.
Jak zabranie cukierka od dziecka
Wyjaśnienie banku, w jaki sposób listy były przekazywane bez wykrycia przez lata, jest takie, że transakcje nie były rejestrowane w jego wewnętrznym systemie, ponieważ SWIFT nie był z nim zintegrowany.
„O ile środowisko kontrolne nie było zbyt luźne lub nie doszło do zmowy, trudno byłoby przetwarzać transakcje SWIFT, które nie są autoryzowane i nie są objęte podstawową bankowością. Kilka mechanizmów kontrolnych powinno wywołać alarm ”, powiedział Rakesh Asthana, CEO World Informatix Cyber Security, którego firma została zatrudniona do nadzorowania dochodzenia w sprawie napadu w Bangladeszu.
Kontrole te obejmują podział obowiązków - w bankach korzystających z SWIFT zwykle jedna osoba zawiera transakcję, osobna osoba zatwierdzająca transakcję i trzecia osoba weryfikująca wszystkie transakcje. Powiedział również, że PNB mógł również skonfigurować codzienne raporty walidacyjne SWIFT, aby codziennie uzgadniać sumy i transakcje.
Ale co najważniejsze, system bankowy niepowiązany z SWIFT, jak miało to miejsce w PNB, jest bardzo rzadki w globalnym świecie finansowym, według Asthany.
Pozostaje również pytanie, w jaki sposób transakcje przeszły przez audytorów banku.
„Ostatecznie jest to również problem z przepływami pieniężnymi”, powiedziała Asthana w e-mailu do Investopedia. „Nie jest więc dla mnie jasne, co zrobili audytorzy wewnętrzni i zewnętrzni, czy dokładnie przeprowadzili swoje audyty. Gdyby mieli jakiekolwiek zastrzeżenia do audytu, a kierownictwo nie działało, oznaczałoby to znacznie większy spisek w górę łańcucha zarządzania. To wymaga pełnego dochodzenia, aby ustalić, kto wiedział, kiedy. ”
„Każda działalność biznesowa podejmowana przez bank jest kontrolowana nie tylko przez zespół audytu wewnętrznego banku, ale również przez biegłych rewidentów kontrolujących jeden oddział, szokujące jest to, że taki incydent nie został zauważony nie tylko przez audytorów, ale także przez starszy bank także personel ”- powiedział anonimowy bankier w„ Timesie Gospodarczym ”. „Audyty obejmują firmy zatwierdzone do prowadzenia działalności, finansowane rachunki, akredytywy, krótkoterminowe narzędzia finansowania itp.”
Analityk badań Deepak Shenoy z Capital Mind powiedział: „Na pierwszy rzut oka wygląda na to, że byłego pracownika używa się jako kozła ofiarnego. Jest prawdopodobne, że wiele osób było przy tym. I że przez te wszystkie lata generowała ogromne, tłuste opłaty za PNB. ”
Incydent zwrócił także uwagę na różne wcześniejsze oszustwa, które miały miejsce w PNB i innych znacjonalizowanych bankach Indii. Dane Reserve Bank of India uzyskane przez Reuters pokazują, że państwowe banki zgłosiły 8670 przypadków „oszustw kredytowych” w łącznej wysokości 612, 6 mld rupii (9, 58 mld USD) w ciągu ostatnich pięciu lat obrotowych do 31 marca 2017 r. PNB znalazło się na szczycie tej listy z 389 sprawami łącznie 65, 62 mld rupii (1, 03 mld USD) w ciągu ostatnich pięciu lat obrotowych
Czy SWIFT może zrobić więcej?
SWIFT działa jak złożony system przesyłania wiadomości i nie bierze odpowiedzialności za sposób, w jaki klienci wprowadzają kontrole oszustw.
„SWIFT może wprowadzić obowiązkowe niektóre kluczowe elementy zamiast pozostawiać to klientom o różnym stopniu kontroli i wiedzy na temat bezpieczeństwa cybernetycznego”, powiedziała Asthana zapytana, czy sieć mogłaby zrobić więcej, aby zapobiec tak kosztownym incydentom.
SWIFT uznał potrzebę bycia co najmniej demaskatorem w niektórych przypadkach. W kwietniu 2017 r. Wprowadzono ramę kontroli bezpieczeństwa klienta, która opisuje zestaw obowiązkowych i doradczych kontroli bezpieczeństwa dla klientów. Banki zostały poproszone o poświadczenie własnego poziomu zgodności do końca ubiegłego roku, a SWIFT ostrzegł, że zastrzega sobie prawo do poinformowania organów nadzoru finansowego, jeśli tego nie zrobią. Komunikat prasowy informujący, że 89 procent klientów poświadczyło ich zgodność, nie wspomina, czy od początku roku powiadomiono nadzorców finansowych pozostałych 11 procent. Od stycznia 2019 r. Rozszerza swoje prawo do zgłaszania użytkowników, którzy nie zastosowali się do najważniejszych kontroli bezpieczeństwa.
Należy pamiętać, że w styczniu 2018 r. SWIFT rejestrował średnio 30, 32 mln wiadomości dziennie i jest używany w 200 krajach. Jest spółdzielnią należącą do członka i upewnienie się, że banki są bardziej zdyscyplinowane, byłoby herkulesowym, kosztownym zadaniem naprawienia tego, co zasadniczo jest zepsute w administracji poszczególnych banków, z którymi ma niewiele wspólnego, w celu ochrony pieniędzy osób, z którymi nie działa dla.
Reputacja SWIFT jest hitem po każdej cyberprzestępczości, ale jest mnóstwo ludzi, którzy są odpowiedzialni za najnowsze oszustwa związane z PNB. Wydaje się, że śledztwo właśnie ujawniło to, co według ekspertów jest znacznie większym spiskiem, a pytania dotyczące braku nadzoru są ostatecznie odpowiedzią na pytanie Narodowego Banku Pendżabu i rządu Indii. SWIFT dostarczył PNB więcej narzędzi do ochrony, które niestety nie były używane.
We wtorek Bank Rezerw Indii wydał oświadczenie, w którym ostrzegł i ostrzegł banki o potrzebie zapobiegania „potencjalnemu złośliwemu wykorzystaniu infrastruktury SWIFT” co najmniej trzy razy od sierpnia 2016 r. Odtąd upoważnił banki do wdrożenia zalecanych środki przed wyznaczonym terminem. Bank centralny utworzył również komitet, który ma zbadać „przyczyny dużej rozbieżności zaobserwowane w klasyfikacji aktywów i rezerwach przez banki w odniesieniu do oceny nadzorczej RBI oraz kroki niezbędne do jej uniknięcia; czynniki prowadzące do coraz częstszego występowania oszustwa w bankach oraz środki (w tym interwencje informatyczne) potrzebne do ograniczenia i zapobiegania; oraz rola i skuteczność różnego rodzaju audytów przeprowadzanych w bankach w łagodzeniu występowania takich rozbieżności i oszustw. ”
Investopedia skontaktowało się z SWIFT i otrzymało następujące oświadczenie: „SWIFT nie komentuje indywidualnych klientów ani podmiotów. Gdy zgłoszono nam przypadek potencjalnego oszustwa, oferujemy pomoc dotkniętemu użytkownikowi, aby zabezpieczyć jego środowisko. ”Po opublikowaniu przesłał dodatkowe oświadczenie:„ Żeby było jasne, nic nie wskazuje na to, że sieć SWIFT ma kiedykolwiek był narażony na szwank. ”
