Didžiausią Indijos bankininkystės istoriją ypač nerimą kelia vienas dalykas: elektroniniai nusikaltimai neturėjo nieko bendro. Nėra bevardžių, nematomų technologijų genijų, įsilaužusių į kompiuterių sistemas, kad jie būtų kaltinami. Atvirkščiai, tai buvo korumpuoti darbuotojai, dirbantys viename filiale, naudojančiame SWIFT tinklą (Pasaulinio tarpbankinio finansinio telekomunikacijų draugija), kuris tai vykdė ilgus metus.
Šiandienos pasakojimas apie įsilaužimą yra keistai paguodžiantis. Tai nereiškia korupcijos, einančios į viršų, ar bent jau, tai reiškia, kad nėra visiško bankų sistemos saugumo pažeidimo. Nusikaltėliai tiesiog darė tai, ką daro nusikaltėliai. Kiekvienas gali sugniaužti kumščius dėl technologijos, kuria siekiama pakeisti greitį ir judėti toliau. (Perskaitykite: Kaip veikia SWIFT sistema)
Antrojo pagal dydį Indijos valstybinio skolintojo - Punjabo nacionalinio banko (PNB.BO) - „Nirav Modi“ apgaulė 1, 8 milijardo JAV dolerių yra daug mažiau elegantiška.
Bankas savo pranešime mainams teigė, kad apgaulingus akredityvus, leidžiančius deimantų prekybos įmonėms gauti 1, 8 milijardo dolerių vertės paskolas, filialo pareigūnai išdavė per SWIFT negavę kompetentingos institucijos sutikimo, būtinų importuotojo paraiškų, dokumentų importo, teisinę dokumentaciją banke, taip pat nedarant įrašų banko CBS prekybos finansavimo modulyje (pagrindinis banko sprendimas). “
PNB savo pranešime kaltino du jaunesniojo lygio darbuotojus už neteisėtų laiškų išdavimą ir SWIFT pranešimų, kurie nebuvo įrašyti į vidinę sistemą, siuntimą.
Kyla klausimas, ar visi bankai, besinaudojantys SWIFT, yra pažeidžiami dėl tokio pobūdžio sukčiavimo, ar PNB byloje numatytas išskirtinis aplaidumo ar slapto susitarimo lygis?
SWIFT
Bankų sąrašuose anksčiau buvo naudojamas SWIFT tinklas, kurį valdo Briuselyje įsikūręs konsorciumas ir kuriuo naudojasi daugiau nei 11 000 finansų įstaigų.
Rusijos centrinis bankas neseniai pareiškė, kad įsilaužėliai iš vieno iš šalies bankų, pasinaudojusių SWIFT tinklu, pavogė 6 milijonus dolerių. Piratai perėmė banke kompiuterio valdymą ir panaudojo jį pervesdami pinigus į savo sąskaitas. Panašiai 2016 m. Įsilaužėliai, pasinaudodami SWIFT darbuotojų įgaliojimais, iš Bangladešo centrinio banko išspyrė 81 mln. USD. Ekvadoro bankas teigė praradęs 12 milijonų dolerių per 2015 m. Įvykį, kai kibernetiniai nusikaltėliai naudojo SWIFT kodus.
SWIFT atmetė bet kokią atsakomybę už tokius įvykius. 2016 m. Laiške banko klientams grupė teigė, kad bankai yra atsakingi tik už savo sistemų saugumą. „Klientai yra atsakingi už visas žinutes, pasirašytas su jų pažymėjimais, ir, žinoma, už jų pažymėjimų apsaugą ir užtikrinimą, kad tik tinkamai įgalioti operatoriai galėtų juos naudoti žinučių pasirašymui“, - tuo metu „Reuters“ sakė atstovė spaudai. „SWIFT nėra ir negali būti., atsakingas už apgaulingai sukurtas žinutes klientų įmonėse. “
„Gartner“ analitikė ir finansinio sukčiavimo ekspertė Avivah Litan praeityje teigė, kad ją šokiravo tai, jog SWIFT labai rėmėsi autentifikavimu, o ne „labai pagrindinėmis sukčiavimo nustatymo kontrolės priemonėmis“, pavyzdžiui, ieško nenormalių gavėjų, ieško nuotolinio sąskaitų perėmimo ir ieškojo nenormalus priėjimas.
Tačiau „Modi“ sukčiavimas labai skiriasi nuo šių paveldėtojų, nes nors kasdien atsiranda naujų detalių, bankas neteigė įsilaužimo ir daugiausia dėmesio skyrė viešai neatskleista informacija. Praėjus savaitei nuo sukčiavimo, federaliniai tyrėjai areštavo šešis „Punjab“ nacionalinio banko darbuotojus. Aukščiausias iš jų yra vyras, kuris nuo 2009 iki 2011 metų vadovavo banko „Brady House“ filialui.
Kaip ir saldainių paėmimas iš kūdikio
Banko paaiškinimas, kaip laiškai buvo teikiami metų metus be aptikimo, yra tas, kad operacijos nebuvo registruojamos jo vidinėje sistemoje, nes SWIFT nebuvo su ja integruotas.
„Jei kontrolės aplinka nebuvo labai laisva arba nebuvo slapto susitarimo, būtų sunku apdoroti SWIFT operacijas, kurioms nėra suteikta prievolė ir kurios nėra įtrauktos į pagrindinę bankininkystę. Kelios kontrolės priemonės turėjo sukelti perspėjimą “, - sakė„ World Informatix Cyber Security “generalinis direktorius Rakeshas Asthana, kurio įmonė buvo pasamdyta prižiūrėti Bangladešo banko paveldėjimo tyrimą.
Ši kontrolė apima pareigų atskyrimą - SWIFT naudojančiuose bankuose paprastai yra vienas asmuo, sudarantis sandorį, atskiras asmuo, patvirtinantis operaciją, ir trečiasis asmuo, tikrinantis visas operacijas. Jis taip pat sakė, kad PNB taip pat galėjo sudaryti SWIFT dienos patvirtinimo ataskaitas, kad kiekvieną rytą būtų galima suderinti sumas ir operacijas.
Bet svarbiausia, kad Asthana teigia, kad banko sistema, nesiejama su SWIFT, kaip buvo PNB atveju, pasaulio finansų pasaulyje yra labai reta.
Taip pat kyla klausimas, kaip sandoriai pasivijo banko auditorius.
„Galiausiai tai taip pat yra pinigų srautų klausimas“, - elektroniniame laiške „Investopedia“ sakė Asthana. „Taigi man nėra aišku, ką padarė vidaus ir išorės auditoriai, ar jie kruopščiai atliko savo auditą. Jei jie turėjo kokių nors audito prieštaravimų, o vadovybė nesiėmė veiksmų, tai reikštų kur kas didesnį sąmokslą, einantį aukščiau valdymo grandinės. Tam reikia atlikti išsamų tyrimą, kad būtų galima nustatyti, kas kada žinojo. “
„Bet kurią banko vykdomą verslo auditą vykdo ne tik banko vidaus audito komanda, bet ir auditoriai, tikrinantys vieną filialą. Šokiruoja, kad toks įvykis nepastebėtas ne tik auditorių, bet ir vyresniojo banko. darbuotojų “, -„ The Times “sakė anonimas bankininkas. „Audito metu vertinamos įmonės, patvirtintos vykdyti verslą, finansuojamos sąskaitos, išduoti akredityvai, trumpalaikės finansavimo priemonės ir kt.“
Tyrimo analitikas Deepakas Shenoy iš „Capital Mind“ teigė: „Iš tikrųjų atrodo, kad buvęs darbuotojas naudojamas kaip atpirkimo ožis. Tikriausiai daug žmonių domėjosi šiuo dalyku. Ir kad tai sukėlė didžiulius, riebius mokesčius PNB per visus šiuos metus “.
Incidentas taip pat atkreipė dėmesį į įvairius ankstesnius sukčiavimus, įvykusius PNB ir kituose Indijos nacionalizuotuose bankuose. Indijos atsargų banko duomenys, gauti „Reuters“, rodo, kad valstybiniai bankai pranešė apie 8 670 „paskolų sukčiavimo“ atvejų, kurių bendra suma sudarė 622, 6 milijardus rupijų (9, 58 milijardų JAV dolerių) per pastaruosius penkerius finansinius metus iki 2017 m. Kovo 31 dienos. PNB pateko į šį sąrašą ir sudarė 389 atvejus. 65, 62 milijardo rupijų (1, 03 milijardo JAV dolerių) per pastaruosius penkerius finansinius metus
Ar SWIFT galėtų padaryti daugiau?
SWIFT veikia kaip sudėtinga pranešimų sistema ir neprisiima atsakomybės už tai, kaip klientai vykdo sukčiavimo kontrolę.
„SWIFT gali padaryti kai kuriuos pagrindinius elementus privalomus, užuot palikęs tai klientams, kurie turi skirtingo lygio kontrolę ir turi žinių apie kibernetinį saugumą“, - sakė Asthana, paklaustas, ar tinklas galėtų padaryti daugiau, kad išvengtų tokių brangių incidentų.
SWIFT pripažino, kad kai kuriais atvejais reikia būti bent jau informatoriais. 2017 m. Balandžio mėn. Ji pristatė klientų saugumo kontrolės sistemą, kurioje aprašomas privalomų ir patariamų saugumo kontrolės priemonių rinkinys klientams. Bankų buvo paprašyta iki praėjusių metų pabaigos patys patvirtinti savo atitikties lygį. SWIFT perspėjo, kad pasilieka teisę informuoti finansų priežiūros institucijas, jei jie to nepadarys. Pranešime spaudai, kuriame skelbiama, kad 89 proc. Klientų patvirtina savo atitiktį, neminima, ar nuo metų pradžios buvo įspėti likusių 11 proc. Finansų priežiūros specialistai. Nuo 2019 m. Sausio mėn. Ji praplečia savo teisę pranešti vartotojams, kurie nesilaikė svarbiausių saugumo kontrolės priemonių.
Svarbu atsiminti, kad 2018 m. Sausio mėn. SWIFT per dieną vidutiniškai įrašė 30, 32 mln. Pranešimų ir yra naudojama 200 šalių. Tai yra kooperatyvas, priklausantis kooperatyvui, ir įsitikinti, kad bankai yra drausmingesni, būtų sunki ir brangi užduotis nustatyti, kas iš esmės yra puvinys atskirų bankų administracijoje, su kuo ji mažai susijusi, apsaugoti žmonių, kurie neveikia, pinigus. dėl.
SWIFT reputacija užklumpa po kiekvieno kibernetinio nusikaltimo, tačiau dėl daugybės naujausių PNB sukčiavimų yra daug žmonių. Atrodo, kad tyrimas tik iškrėtė ekspertų manymu, kur kas didesnį sąmokslą, o klausimai dėl priežiūros stokos galiausiai turi atsakyti Pendžabo nacionaliniam bankui ir Indijos vyriausybei. SWIFT PNB pateikė daugiau priemonių apsisaugoti, kurios, deja, nebuvo naudojamos.
Antradienį Indijos atsargų bankas paskelbė pranešimą, kuriame sakoma, kad nuo 2016 m. Rugpjūčio mėn. Bent tris kartus jis įspėjo ir įspėjo bankus apie būtinybę užkirsti kelią bet kokiam „galimai piktavališkam SWIFT infrastruktūros naudojimui“. Dabar bankas įpareigojo bankus įgyvendinti nustatytus reikalavimus. priemonės iki nustatyto termino. Centrinis bankas taip pat sukūrė komitetą, kuris ištirtų „didelių bankų stebimų turto klasifikavimo ir atidėjinių, susijusių su RBI priežiūros vertinimu, priežastis ir veiksmus, reikalingus tam užkirsti kelią; veiksnius, lemiančius vis dažnesnį sukčiavimai bankuose ir priemonės (įskaitant IT intervencijas), reikalingos tam pažaboti ir užkirsti kelią; taip pat įvairių rūšių bankų audito vaidmuo ir veiksmingumas mažinant tokių skirtumų ir sukčiavimo atvejus “.
„Investopedia“ susisiekė su SWIFT ir gavo šį pranešimą: „SWIFT nekomentuoja atskirų klientų ar subjektų. Kai mums pranešama apie galimo sukčiavimo atvejį, mes siūlome savo pagalbą nukentėjusiam vartotojui, kad apsaugotume jo aplinką. “Po paskelbimo jis išsiuntė pranešimo papildymą:„ Aišku, nėra požymių, kad SWIFT tinklas turi niekada nebuvo pakenkta “.
