Je tu jedna věc, která znepokojuje zejména největší bankovní loupež v Indii: kybernetický zločin to neměl co dělat. Neexistují žádné bezejmenné, neviditelné technologické géniové, kteří pronikají do počítačových systémů, které by mohli být obviňováni. Spíše to byli zkorumpovaní zaměstnanci v jedné pobočce využívající síť SWIFT (Společnost pro celosvětovou mezibankovní finanční telekomunikaci), kteří ji prováděli roky.
V dnešní době je příběh o hackování podivně uklidňující. Neznamená to, že by korupce vedla až na vrchol, nebo přinejmenším to znamená, že nedojde k úplnému zhroucení bezpečnosti bankovního systému. Zločinci prostě dělali to, co zločinci dělají. Každý se může třást pěstí v technologii, aby změnil rychlostí zlomu a pokračoval. (Přečtěte si: Jak systém SWIFT funguje)
Podíl Nirav Modi ve výši 1, 8 miliardy dolarů od druhého největšího indického státního půjčovatele v Indii, Paňdžábské národní banky (PNB.BO), je mnohem méně elegantní.
Banka ve svém prohlášení k burzám uvedla, že podvodné akreditivy, které společnostem obchodujícím s diamantem umožnily využívat půjčky v hodnotě 1, 8 miliardy dolarů, byly „provedeny úředníky pobočky prostřednictvím společnosti SWIFT bez získání souhlasu příslušného orgánu, nezbytných žádostí od dovozce, dokumentů importu, právní dokumentace s bankou a také bez zadávání údajů v modulu CBS pro obchodní financování banky (základní bankovní řešení). “
PNB obvinila ve svém prohlášení dva zaměstnance na nižší úrovni za vydání nezákonných dopisů a za odeslání zpráv SWIFT, které nebyly zaznamenány na interním systému.
Což vyvolává otázku, jsou všechny banky používající SWIFT citlivé na tento druh podvodu nebo zahrnuje případ PNB výjimečnou míru nedbalosti nebo tajné dohody?
RYCHLÝ
Síť SWIFT, kterou provozuje konsorcium se sídlem v Bruselu a používá více než 11 000 finančních institucí, byla dříve využívána v bankovních loupežích.
Ruská centrální banka nedávno řekla, že hackeři loni ukradli jedné z bank této země 6 milionů dolarů pomocí sítě SWIFT. Hackeři převzali kontrolu nad počítačem v bance a použili jej k převodu peněz na vlastní účty. Podobně v roce 2016 hackeři vydělali očima objevující 81 milionů dolarů z bangladéské centrální banky pomocí pověření zaměstnanců SWIFT. Ekvádorská banka uvedla, že ztratila 12 milionů dolarů v roce 2015, kdy kybernetičtí zločinci používali kódy SWIFT.
Společnost SWIFT odmítla převzít jakoukoli odpovědnost za takové incidenty. V dopise pro zákazníky bank v roce 2016 skupina uvedla, že banky jsou výhradně odpovědné za bezpečnost svých systémů. „Zákazníci jsou odpovědní za všechny zprávy podepsané s jejich certifikáty a samozřejmě za ochranu jejich certifikátů a za to, že je k podepisování zpráv mohou používat pouze řádně oprávnění operátoři, “ řekla v té době mluvčí agentuře Reuters. „SWIFT není a nemůže být, odpovědný za zprávy, které jsou podvodně vytvářeny v zákaznických firmách. “
Analytikka Gartner a expertka na finanční podvody Avivah Litan v minulosti prohlásila, že pro ni bylo šokující, že se SWIFT tak silně spoléhala na autentizaci namísto „velmi základních kontrol odhalování podvodů“, jako je hledání neobvyklých příjemců, hledání vzdáleného převzetí účtu a hledání neobvyklý přístup.
Modiho podvod se však od těchto loupeží velmi liší, protože ačkoli se každý den objevují nové podrobnosti, banka údajně hackovala a zaměřila se na zasvěcence. Týden od prvního odhalení podvodu byli federální vyšetřovatelé zatčeni šest zaměstnanců Pandžábské národní banky. Nejvyšším hodnocením je muž, který v letech 2009 až 2011 vedl pobočku banky Brady House.
Jako brát cukroví z dítěte
Vysvětlení banky, jak byla tato písmena poskytována bez detekce let, je to, že transakce nebyly zaznamenány do jejího interního systému, protože SWIFT nebyl s ním integrován.
„Pokud by kontrolní prostředí nebylo příliš laxní nebo došlo k tajné dohodě, bylo by obtížné zpracovat transakce SWIFT, které nejsou autorizovány a uzavřeny do základního bankovnictví. Několik kontrol by mělo vyvolat varování, “uvedla Rakesh Asthana, generální ředitel World Informatix Cyber Security, jehož společnost byla najata, aby dohlížela na vyšetřování básně v Bangladéši.
Mezi tyto kontroly patří oddělení povinností - banky používající SWIFT mají obvykle jednu osobu, která transakci uzavírá, samostatnou osobu, která transakci schvaluje, a třetí osobu, která ověřuje všechny transakce. Řekl také, že společnost PNB mohla také každé ráno zřídit SWIFT Daily Validation Reports, které by sladily součty a transakce.
Nejdůležitější však je, že systém banky, který není propojen se SWIFTem, jako tomu bylo u PNB, je podle Asthany v globálním finančním světě velmi vzácný.
Je také otázkou, jak se transakce dostaly kolem auditorů banky.
"V konečném důsledku je to také problém s peněžními toky, " řekla Asthana v e-mailu společnosti Investopedia. "Není mi tedy jasné, co interní a externí auditoři udělali, zda byli důkladní ve svých auditech." Pokud by měli nějaké auditní námitky a vedení by nekonalo, znamenalo by to mnohem větší spiknutí, které by se dostalo do řetězce řízení. To vyžaduje úplné vyšetřování, aby bylo možné zjistit, kdo ví, kdy. “
„Jakákoli obchodní činnost prováděná bankou je prověřována nejen týmem interního auditu banky, ale také souběžnými auditory, kteří auditují jednu pobočku, je šokující, že takový incident nepozorovali nejen auditoři, ale také hlavní banka zaměstnanci, “uvedl anonymní bankéř do časopisu Economic Times. „Audity se zabývají společnostmi schválenými k podnikání, financovanými účty, vydanými akreditivy, nástroji krátkodobého financování atd.“
Analytik výzkumu Deepak Shenoy z Capital Mind řekl: „Na první pohled to vypadá, že bývalý zaměstnanec je používán jako obětní beránek. Je pravděpodobné, že se k této věci připojilo mnoho lidí. A to, že generovalo masivní, tukové poplatky pro PNB po všechna ta léta. “
Incident také upozornil na různé předchozí podvody, ke kterým došlo v PNB a dalších indických znárodněných bankách. Data společnosti Reserve Bank of India získaná agenturou Reuters ukazují, že státní banky vykázaly v posledních pěti finančních letech do 31. března 2017 8 670 případů „úvěrových podvodů“ v celkové výši 612, 6 miliard rupií (9, 58 miliard USD). PNB tento seznam doplnila 389 případy celkem 65, 62 miliardy rupií (1, 03 miliardy USD) za posledních pět finančních let
Mohl by SWIFT udělat víc?
Společnost SWIFT funguje jako komplexní systém zasílání zpráv a nenese odpovědnost za způsob, jakým zákazníci provádějí kontroly podvodů.
„Společnost SWIFT může učinit některé z klíčových prvků povinnými, místo aby je ponechala na zákazníky, kteří mají různé stupně kontroly a znalosti v oblasti kybernetické bezpečnosti, “ uvedla Asthana, když se zeptal, zda by síť mohla udělat více, aby zabránila tak nákladným incidentům.
Společnost SWIFT uznala, že v některých případech musí být alespoň informátor. V dubnu 2017 představila rámec Customer Security Controls Framework, který popisuje řadu povinných a poradenských bezpečnostních kontrol pro zákazníky. Banky byly vyzvány, aby do konce loňského roku samy potvrdily svou úroveň souladu a společnost SWIFT varovala, že si vyhrazuje právo informovat finanční dohled, pokud tak neučiní. Tisková zpráva oznamující, že 89% zákazníků potvrdilo jejich shodu, se nezmiňuje o tom, zda finanční dohled nad zbývajících 11 procent byl upozorněn od začátku roku. Od ledna 2019 rozšiřuje své právo na hlášení uživatelů, kteří nedodrželi nejdůležitější bezpečnostní kontroly.
Je důležité si uvědomit, že v lednu 2018 zaznamenala společnost SWIFT v průměru 30, 32 milionů zpráv denně a používá se ve 200 zemích. Je to družstvo vlastněné členy a zajistit, aby banky byly disciplinovanější, by bylo herculským, nákladným úkolem opravit to, co je v podstatě hniloba ve správě jednotlivých bank, s nimiž má málo společného, chránit peníze lidí, kteří nepracují pro.
Pověst společnosti SWIFT zasáhne každý kybernetický zločin, ale je tu spousta lidí, kteří se mohou dopustit viny, pokud jde o nejnovější podvody s PNB. Zdá se, že vyšetřování právě poškrálo povrch toho, co odborníci považují za mnohem větší spiknutí, a otázky týkající se nedostatečného dohledu jsou v konečném důsledku odpovědí národní banky Pandžáb a indické vlády. SWIFT poskytl PNB další nástroje na ochranu sebe, nástroje, které bohužel nebyly použity.
V úterý zveřejnila Reserve Bank of India prohlášení, v němž varovala banky a upozornila je na potřebu zabránit jakémukoli „potenciálnímu škodlivému využívání infrastruktury SWIFT“ nejméně třikrát od srpna 2016. Nyní je bankami pověřena k provádění předepsaného opatření před stanoveným termínem. Centrální banka také vytvořila výbor, který by se zabýval „důvody vysoké divergence pozorované při klasifikaci aktiv a tvorbou opravných položek ze strany bank vůči hodnocení dohledu RBI a kroky, které je třeba k tomu zabránit; faktory vedoucí ke zvyšujícímu se výskytu podvody v bankách a opatření (včetně zásahů v oblasti IT) potřebná k jejich omezení a prevenci a úloha a účinnost různých typů auditů prováděných v bankách při zmírňování výskytu těchto rozdílů a podvodů. ““
Investopedia oslovila společnost SWIFT a obdržela následující prohlášení: „Společnost SWIFT nekomentuje jednotlivé zákazníky nebo subjekty. Pokud nám bude oznámen případ možného podvodu, nabízíme pomoc postiženému uživateli, abychom mu pomohli zabezpečit jeho prostředí. “Po zveřejnění poslal dodatek k prohlášení:„ Aby bylo jasné, neexistuje žádný náznak, že síť SWIFT má byl kdy kompromitován. “
