Ir viena lieta, kas īpaši satrauc Indijas lielāko banku uzvedību: kibernoziegumiem tam nebija ko darīt. Nav neviena bezvārda, neredzamu tehnoloģiju ģēniju, kas uzlauž datorsistēmas, kur vainot. Drīzāk tas bija korumpēti darbinieki vienā filiālē, izmantojot SWIFT tīklu (Pasaules starpbanku finanšu telekomunikāciju sabiedrība), kurš to veica vairākus gadus.
Šodienas stāstījums par hakeru dīvaini mierina. Tas nenozīmē korupciju, kas iet uz augšu, vai vismaz, tas nozīmē, ka nav pilnīgas banku sistēmas drošības sadalījuma. Noziedznieki vienkārši darīja to, ko noziedznieki. Ikviens var kratīt dūres par tehnoloģijām, kas paredzētas maiņai īsā ātrumā un virzīties tālāk. (Lasīt: Kā darbojas SWIFT sistēma)
Daudz mazāk elegants ir Nirava Modi viltīgais 1, 8 miljardu ASV dolāru lielums no Indijas otrā lielākā valsts pārvaldītā aizdevēja Pendžabas Nacionālās bankas (PNB.BO).
Banka savā paziņojumā apmaiņai bija teikusi, ka krāpnieciskās akreditīvas, kas ļāva dimantu tirgotāju uzņēmumiem izmantot aizdevumus 1, 8 miljardu USD vērtībā, filiāles amatpersonas veica ar SWIFT starpniecību, nesaņemot kompetentās iestādes atļauju, nepieciešamos importētāja pieteikumus, dokumentus importu, juridisko dokumentāciju bankā, kā arī neveicot ierakstus bankas tirdzniecības finansēšanas modulī CBS (bankas pamatrisinājums). ”
PNB savā paziņojumā vainoja divus jaunākā līmeņa darbiniekus par nelikumīgu vēstuļu izdošanu un SWIFT ziņojumu nosūtīšanu, kas nebija ierakstīti iekšējā sistēmā.
Kas rada jautājumu, vai visas bankas, kas izmanto SWIFT, ir neaizsargātas pret šāda veida krāpšanu vai arī PNB lieta ir saistīta ar ārkārtēju nolaidības vai slepenas vienošanās līmeni?
SWIFT
SWIFT tīkls, kuru vada Briselē reģistrēts konsorcijs un kuru izmanto vairāk nekā 11 000 finanšu iestāžu, jau iepriekš tika izmantots banku uzskaitē.
Krievijas centrālā banka nesen paziņoja, ka hakeri pagājušajā gadā no vienas valsts bankas, izmantojot SWIFT tīklu, nozaga 6 miljonus ASV dolāru. Hakeri pārņēma kontroli pār datoru bankā un izmantoja to, lai pārskaitītu naudu uz saviem kontiem. Tāpat 2016. gadā hakeri, izmantojot SWIFT darbinieku akreditācijas datus, no Bangladešas centrālās bankas atvairīja acīmredzamu 81 miljonu ASV dolāru. Ekvadoras banka paziņoja, ka tā zaudēja USD 12 miljonus 2015. gada vēsturē, kad kibernoziedznieki izmantoja SWIFT kodus.
SWIFT noraidīja jebkādas atbildības uzņemšanos par šādiem gadījumiem. Vēstulē banku klientiem 2016. gadā grupa sacīja, ka bankas ir pilnībā atbildīgas par savu sistēmu drošību. "Klienti ir atbildīgi par visiem ziņojumiem, kas parakstīti ar viņu sertifikātiem, un, protams, par viņu sertifikātu aizsardzību un nodrošina, ka tikai attiecīgi pilnvaroti operatori tos var izmantot ziņojumu parakstīšanai, " toreiz aģentūrai Reuters sacīja pārstāve. "SWIFT nav un nevar būt., kas atbild par ziņojumiem, kas klientu uzņēmumos tiek veidoti krāpnieciski. ”
Gartner analītiķe un finanšu krāpšanas eksperte Avivah Litan iepriekš ir teikusi, ka viņai bija šokējoši, ka SWIFT paļaujas uz autentifikāciju, nevis uz “ļoti pamata krāpšanas atklāšanas kontroli”, piemēram, meklējot nenormālus maksājuma saņēmējus, meklējot konta attālinātu pārņemšanu un meklējot neparasta pieeja.
Bet Modi krāpšana ļoti atšķiras no šiem priekšmetiem, jo, lai arī katru dienu parādās jaunas detaļas, banka nav apgalvojusi, ka uzlauzusies, un galvenā uzmanība ir pievērsta iekšējām personām. Nedēļa kopš krāpšanas atklāšanas federālie izmeklētāji arestējuši sešus Pendžabas Nacionālās bankas darbiniekus. Visaugstākais no tiem ir cilvēks, kurš vadīja bankas Brady House filiāli no 2009. līdz 2011. gadam.
Tāpat kā ņemt konfektes no mazuļa
Bankas skaidrojums tam, kā vēstules tika dotas gadiem ilgi neatklājot, ir tāds, ka darījumi netika ierakstīti tās iekšējā sistēmā, jo SWIFT tajā nebija integrēta.
“Ja vien kontroles vide nebūtu ļoti novājināta vai nebūtu slepenas vienošanās, būtu grūti apstrādāt SWIFT darījumus, kuriem nav atļaujas un kuri tiek ievadīti banku pamatbankā. Vairākām kontrolēm vajadzēja izraisīt trauksmi, ”sacīja Rakesh Asthana, World Informatix Cyber Security izpilddirektors, kura uzņēmums tika nolīgts pārraudzīt Bangladešas bankas izmeklēšanas izmeklēšanu.
Šīs kontroles ietver pienākumu nodalīšanu - bankās, kas izmanto SWIFT, parasti ir viena persona, kas veic darījumu, atsevišķa persona, kas apstiprina darījumu, un trešā persona, kas pārbauda visus darījumus. Viņš arī sacīja, ka PNB varēja arī izveidot SWIFT ikdienas apstiprināšanas pārskatus, lai katru rītu saskaņotu kopsummas un darījumus.
Bet vissvarīgākais ir tas, ka bankas sistēma, kas nav saistīta ar SWIFT, kā tas bija PNB gadījumā, pasaules finanšu pasaulē ir ļoti reti sastopama, saka Asthana.
Ir arī jautājums par to, kā darījumi aizgāja garām bankas auditoriem.
“Galu galā tā ir arī naudas plūsmas problēma, ” teica Asthana e-pastā Investopedia. “Tāpēc man nav skaidrs, ko izdarīja iekšējie un ārējie auditori, vai viņi bija rūpīgi veikuši savas revīzijas. Ja viņiem būtu kādi revīzijas iebildumi un vadība nerīkotos, tas nozīmētu daudz lielāku sazvērestību, kas iet augšup vadības ķēdē. Tam nepieciešama pilnīga izmeklēšana, lai noskaidrotu, kurš zināja, kad un kad. ”
“Jebkuru bankas veikto biznesa darbību revidē ne tikai bankas iekšējā audita grupa, bet arī vienlaicīgi auditori, kas revidē atsevišķu filiāli, ir šokējoši, ka šāds notikums nemanīja ne tikai auditorus, bet arī vecāko banku. arī darbinieki, ”laikrakstam“ Economic Times ”sacīja anonīms baņķieris. “Revīzijās tiek apskatīti uzņēmumi, kas apstiprināti uzņēmējdarbībai, finansētie rēķini, izsniegtās akreditīvi, īstermiņa finansēšanas instrumenti utt.”
Pētījuma analītiķis Deepaks Šenojs no Capital Mind sacīja: “Raugoties uz to, izskatās, ka bijušais darbinieks tiek izmantots kā grēkāzis. Visticamāk, ka daudz cilvēku iesaistījās šajā jautājumā. Un ka tas visus šos gadus radīja milzīgas, treknas nodevas PNB. ”
Incidents ir pievērsis uzmanību arī dažādajām iepriekšējām krāpšanām, kas notikušas PNB un citās Indijas nacionalizētajās bankās. Reuters iegūtie Indijas rezerves bankas dati liecina, ka valsts pārvaldītās bankas pēdējos piecos finanšu gados līdz 2017. gada 31. martam ir paziņojušas par 8 670 “aizdevumu krāpšanas” gadījumiem, kuru kopsumma ir 612.6 miljardi rūpiju (9.58 miljardi USD). PNB papildināja šo sarakstu ar 389 gadījumiem, kopā 65, 62 miljardi rūpiju (1, 03 miljardi USD) pēdējos piecos finanšu gados
Vai SWIFT varētu darīt vairāk?
SWIFT darbojas kā sarežģīta ziņojumapmaiņas sistēma un neuzņemas atbildību par veidu, kādā klienti ievieš krāpšanas kontroli.
"SWIFT dažus no galvenajiem elementiem var padarīt obligātus, nevis atstāt to klientu ziņā, kuriem ir dažāda līmeņa kontrole un zināšanas par kiberdrošību, " sacīja Astanā, kad jautāja, vai tīkls varētu darīt vairāk, lai novērstu šādus dārgus incidentus.
SWIFT ir atzinusi, ka dažos gadījumos ir jābūt vismaz ziņotājam. 2017. gada aprīlī tā ieviesa klientu drošības kontroles sistēmu, kurā aprakstīts obligāto un konsultatīvo drošības kontroļu komplekts klientiem. Bankām tika lūgts pašpārliecināties par savu atbilstības līmeni līdz pagājušā gada beigām, un SWIFT brīdināja, ka tā patur tiesības informēt finanšu uzraudzības iestādes, ja tās to nedara. Preses paziņojumā, kurā teikts, ka 89 procenti klientu apliecina savu atbilstību, nav minēts, vai atlikušo 11 procentu finanšu uzraudzītāji ir brīdināti kopš gada sākuma. No 2019. gada janvāra tā paplašina savas tiesības ziņot lietotājiem, kuri nav ievērojuši vissvarīgākās drošības pārbaudes.
Ir svarīgi atcerēties, ka 2018. gada janvārī SWIFT reģistrēja vidēji 30, 32 miljonus ziņojumu dienā, un tas tiek izmantots 200 valstīs. Tas ir kooperatīvs, kas pieder biedriem, un pārliecināties, ka bankas ir disciplinētākas, un tas ir dārgs, dārgs uzdevums, lai salabotu to, kas būtībā ir puvis atsevišķu banku pārvaldē, kam tas ir maz saistīts, lai aizsargātu to cilvēku naudu, kuri nedarbojas priekš.
SWIFT reputācija ietekmē katru kibernoziegumu, taču ir daudz cilvēku, kas vainīgi, ja runa ir par pēdējām PNB krāpšanām. Izskatās, ka izmeklēšana tikko ir saskrāpējusi to, ko eksperti uzskata par daudz sazvērestīgāku, un jautājumi par pārraudzības trūkumu galu galā ir tie, kas Pendžabas Nacionālajai bankai un Indijas valdībai būs jāatbild. SWIFT nodrošināja PNB ar vairāk līdzekļu, lai sevi aizsargātu - rīkus, kas diemžēl netika izmantoti.
Indijas rezervju banka otrdien izplatīja paziņojumu, kurā teikts, ka tā kopš 2016. gada augusta vismaz trīs reizes ir brīdinājusi un brīdinājusi bankas par nepieciešamību vismaz trīs reizes novērst "iespējamu ļaunprātīgu SWIFT infrastruktūras izmantošanu". Tā tagad ir pilnvarojusi bankas īstenot noteiktos. pasākumus pirms noteiktā termiņa. Centrālā banka ir arī izveidojusi komiteju, lai izpētītu "iemeslus lielajām atšķirībām, ko bankas novēro aktīvu klasifikācijā un nodrošinājumos ar RBI uzraudzības novērtējumu, un pasākumus, kas nepieciešami tā novēršanai; faktorus, kas izraisa pieaugošu krāpšanās bankās un pasākumi (ieskaitot IT intervences), kas nepieciešami, lai to ierobežotu un novērstu, kā arī dažāda veida bankās veiktu auditu loma un efektivitāte, lai mazinātu šādas atšķirības un krāpšanu."
Investopedia sazinājās ar SWIFT un saņēma šādu paziņojumu: “SWIFT nekomentē atsevišķus klientus vai organizācijas. Kad mums tiek ziņots par iespējamās krāpšanas gadījumu, mēs piedāvājam palīdzību skartajam lietotājam, lai palīdzētu aizsargāt tā vidi. ”Pēc publicēšanas tas nosūtīja paziņojuma papildinājumu:“ Skaidri sakot, nekas neliecina, ka SWIFT tīklam ir nekad nav bijis kompromitēts. ”
