Postoji jedna stvar koja je posebno alarmantna u vezi s najvećim indijanskim bankarskim pljačkom: cyber kriminal nije imao što učiniti. Za to se ne mogu imenovati neimenovani, nevidljivi genijalci koji ulaze u računalne sustave. Umjesto toga, korumpirani zaposlenici u jednoj podružnici koji su koristili SWIFT mrežu (Društvo za svjetsku međubankarsku financijsku telekomunikaciju) to su provodili godinama.
U današnji dan pripovijest o hakiranju čudno je utješna. To ne znači da korupcija ide sve do vrha, ili u najmanju ruku, to znači da nema potpunog sloma sigurnosti bankarskog sustava. Zločinci su jednostavno radili ono što čine zločinci. Svatko može stisnuti šakama tehnologiju za promjenu lomljenom brzinom i krenuti dalje. (Pročitajte: Kako funkcionira SWIFT sustav)
Zamota Nirava Modija u iznosu od 1, 8 milijardi dolara od drugog najvećeg indijskog državnog zajmodavca, Punjab National Bank (PNB.BO), mnogo je manje elegantna.
Banka je u izjavi za burze navela da su lažne akreditive koje su omogućile kompanijama trgovaca dijamantima da iskoriste zajmove u vrijednosti od 1, 8 milijardi američkih dolara „službenici podružnice su napravili putem SWIFT-a bez odobrenja nadležnog tijela, potrebnih zahtjeva uvoznika, dokumenata uvoza, pravna dokumentacija s bankom, a također bez unošenja u modul Banke za financiranje trgovine DZS-a (osnovno bankarsko rješenje)."
PNB je u svojoj izjavi okrivio dva mlađa zaposlenika za izdavanje ilegalnih pisama i slanje SWIFT poruka koje nisu zabilježene u internom sustavu.
Što postavlja pitanje, jesu li sve banke koje koriste SWIFT ranjive na ovu vrstu prijevare ili uključuje slučaj PNB-a izvanrednu razinu nepažnje ili tajne suradnje?
BRZ
SWIFT mreža, kojom upravlja konzorcij sa sjedištem u Bruxellesu i koju koristi više od 11.000 financijskih institucija, prije se koristila u bankarskim bankama.
Ruska središnja banka nedavno je priopćila kako su hakeri ukrali šest milijuna dolara od jedne od banaka u zemlji koristeći SWIFT mrežu prošle godine. Hakeri su preuzeli kontrolu nad računarom u banci i koristili ga za prijenos novca na vlastite račune. Slično tome, u 2016. godini hakeri su središnjom bankom Bangladeša izgubili oko 81 milijun dolara koristeći SWIFT vjerodajnice zaposlenika. Ekvadorska banka priopćila je da je izgubila 12 milijuna dolara u pljački 2015. godine gdje su cyber kriminalci koristili SWIFT kodove.
SWIFT je odbio preuzeti bilo kakvu odgovornost za takve incidente. U pismu klijentima banaka 2016. godine, grupa je navela da su banke odgovorne isključivo za sigurnost svojih sustava. "Kupci su odgovorni za sve poruke potpisane sa svojim certifikatima i, naravno, za zaštitu svojih certifikata i osiguravanje da ih samo propisno ovlašteni operatori mogu upotrijebiti za potpisivanje poruka", rekla je glasnogovornica Reutersu u to vrijeme. "SWIFT nije, i ne može biti, odgovoran za poruke koje nastaju lažno u poduzećima."
Gartnerova analitičarka i stručnjakinja za financijske prijevare Avivah Litan rekla je u prošlosti da ju je šokiralo to što se SWIFT toliko oslanjao na provjeru autentičnosti, umjesto na "vrlo osnovnu kontrolu otkrivanja prijevara" poput traženja nenormalnih primatelja računa, traženja udaljenog preuzimanja računa i traženja nenormalan pristup.
No Modi prijevara vrlo je različita od ovih pljačkaša, jer iako se svakodnevno pojavljuju novi detalji, banka nije navodno hakirala i težište je bilo na insajderima. Tjedan dana od kada je prijevara prvi put izašla na vidjelo, šest djelatnika Narodne banke Punjab uhitili su savezne istražitelje. Od njih je najviši rang čovjek koji je od 2009. do 2011. vodio poslovnicu banke Brady House.
Kao uzimanje slatkiša od djeteta
Objašnjenje banke kako su pisma dana bez otkrića godinama je da transakcije nisu zabilježene na njenom unutarnjem sustavu jer SWIFT nije s njom integriran.
"Ukoliko kontrolno okruženje nije bilo vrlo lagano ili nije bilo dogovora, bilo bi teško obraditi SWIFT transakcije koje nisu autorizirane i ulaze u osnovno bankarstvo. Nekoliko kontrola trebalo je pokrenuti upozorenje ", rekao je Rakesh Asthana, izvršni direktor World Informatix Cyber Security-a, čija je kompanija angažirana da nadgleda istragu pljačke Bangladeške banke.
Te kontrole uključuju segregaciju dužnosti - banke koje koriste SWIFT obično imaju jednu osobu koja ulazi u transakciju, zasebnu osobu koja odobrava transakciju i treću osobu koja provjerava sve transakcije. Također je rekao da bi PNB mogao uspostaviti i SWIFT dnevna izvješća o validaciji kako bi svako jutro uskladio iznose i transakcije.
Ali što je najvažnije, sustav banke koji nije povezan sa SWIFT-om, kao što je to bio slučaj s PNB-om, vrlo je rijedak u globalnom financijskom svijetu, prema Asthana.
Također se postavlja i pitanje kako su transakcije prošle mimo revizora banke.
"Konačno, to je također problem novčanog toka", rekla je Asthana u e-mailu za Investopediju. "Dakle, nije mi jasno što su radili unutarnji i vanjski revizori, jesu li bili temeljni u svojim revizijama. Ako su imali bilo kakve prigovore revizije, a uprava nije postupila, to bi značilo puno veću zavjeru za uspostavljanje lanca upravljanja. Ovo treba cjelovitu istragu kako bi se utvrdilo tko je znao kad."
"Sve poslovne aktivnosti koje banka izvršava ne samo interni revizorski tim banke, već i istodobni revizori koji revidiraju pojedinu podružnicu. Šokantno je da su takav incident prošli neprimijećeni ne samo revizori, već i viša banka osoblje također ", rekao je anonimni bankar ekonomskom Timesu. "Revizije pregledavaju tvrtke odobrene za poslovanje, račune koji se financiraju, akreditiva, kratkoročne alate za financiranje itd."
Istraživački analitičar Deepak Shenoy iz Capital Mind-a rekao je: "S druge strane, izgleda da se bivši zaposlenik upotrebljava kao žrtveni jarac. Vjerojatno je puno ljudi bilo uključeno u tu stvar. I da je to stvorilo ogromne, debele naknade za PNB svih ovih godina."
Incident je također skrenuo pozornost na razne prethodne prijevare koje su se dogodile u PNB-u i drugim indijskim nacionaliziranim bankama. Podaci Reserve Bank of India koje je dobio Reuters pokazuju da su državne banke izvijestile o 8.670 slučajeva „prijevara sa kreditima“ u ukupnom iznosu od 612, 6 milijardi rupija (9, 58 milijardi USD) tijekom posljednjih pet financijskih godina do 31. ožujka 2017. PNB je na vrhu ovog popisa s ukupno 389 slučajeva 65, 62 milijarde rupija (1, 03 milijarde dolara) u posljednjih pet financijskih godina
Može li SWIFT učiniti više?
SWIFT djeluje poput složenog sustava za razmjenu poruka i ne preuzima odgovornost za način na koji muci postavljaju kontrolu prevara.
"SWIFT može neke od ključnih elemenata učiniti obaveznim, umjesto da ih prepusti kupcima koji imaju različite stupnjeve kontrole i znanje o cyber sigurnosti", rekla je Asthana na pitanje može li mreža učiniti više da spriječi takve skupe incidente.
SWIFT je prepoznao potrebu da u nekim slučajevima barem bude zviždač. U travnju 2017. predstavio je Okvir kontrole sigurnosti kupca, koji opisuje skup obaveznih i savjetodavnih sigurnosnih kontrola za kupce. Od banaka je zatraženo da sami potvrde svoju razinu poštivanja do kraja prošle godine, a SWIFT je upozorio da zadržava pravo da obavijesti financijske nadzornike ako to ne učine. U priopćenju za javnost koje najavljuje da je 89 posto kupaca svjedočilo njihovu poštivanju ne spominje se jesu li financijski nadzornici od preostalih 11 posto upozoreni od početka godine. Od siječnja 2019. godine proširuje se i pravo prijavljivanja korisnika koji nisu poštivali najvažnije sigurnosne kontrole.
Važno je zapamtiti da je SWIFT u siječnju 2018. zabilježio prosječno 30, 32 milijuna poruka dnevno, a koristi se u 200 zemalja. To je zadruga u vlasništvu člana, a osigurati da su banke discipliniranije bio bi herkulan i skup zadatak popraviti ono što je u osnovi trulo u administraciji pojedinih banaka koje imaju malo veze, zaštititi novac ljudi koji to ne rade za.
Ugled SWIFT-a pogodio je nakon svakog cyber zločina, ali postoji puno ljudi koji bi mogli preuzeti krivnju kada je u pitanju najnovija prijevara PNB-a. Čini se da je istraga samo iskrivila površinu za koju stručnjaci smatraju da je mnogo veća zavjera, a pitanja u vezi s nedostatkom nadzora u konačnici su nešto na što će Punjabska narodna banka i indijska vlada morati odgovoriti. SWIFT je PNB-u pružio više alata za zaštitu sebe, alata koji se nažalost nisu koristili.
Indijska rezervna banka objavila je u utorak izjavu u kojoj je navela da je upozorila i upozorila banke na potrebu da spriječe bilo kakvo "potencijalno zlonamjerno korištenje SWIFT infrastrukture" najmanje tri puta od kolovoza 2016. godine. Sada je bankama dala mandat za provedbu propisanih propisa mjere prije određenog roka. Središnja banka je također osnovala odbor koji će ispitati "razloge velike razlike u promatranju klasifikacije imovine i rezerviranja banaka u odnosu na nadzornu procjenu IRB-a i korake potrebne za njegovo sprječavanje; čimbenike koji dovode do sve veće učestalosti prijevare u bankama i mjere (uključujući informacijske intervencije) potrebne za suzbijanje i sprječavanje te uloga i učinkovitost različitih vrsta revizija provedenih u bankama u ublažavanju učestalosti takvih razilaženja i prijevara."
Investopedija se obratila SWIFT-u i dobila sljedeću izjavu: „SWIFT ne komentira pojedinačne kupce ili entitete. Kad nam se javi slučaj potencijalne prijevare, nudimo našu pomoć pogođenom korisniku da pomogne u zaštiti okoliša. "Poslao je dodatak izjavi nakon objave:" Da budemo jasni, nema naznaka da SWIFT mreža ima ikad ugrožen."
