On yksi asia, joka on erityisen huolestuttava Intian suurimmasta pankkijärjestelmästä: tietoverkolla ei ollut mitään tekemistä sen kanssa. Ei ole nimettömiä, näkymättömiä tekniikan geenejä, jotka tunkeutuvat tietokonejärjestelmiin syytettäväksi. Pikemminkin se oli korruptoituneita työntekijöitä yhdessä sivukonttorissa, joka käytti SWIFT-verkkoa (The Society for Worldwide Interbank Financial Telecommunication), joka käytti sitä vuosia.
Nykypäivän hakkerointi on omituisesti lohduttavaa. Se ei tarkoita, että korruptio menee aina huipulle, tai ainakin tarkoittaa, että pankkijärjestelmän turvallisuutta ei ole täysin kaatunut. Rikolliset tekivät vain mitä rikolliset tekevät. Jokainen voi ravistaa nyrkkinsä tekniikalla, joka muuttuu murtojaajuudella ja siirtyä eteenpäin. (Lue: Miten SWIFT-järjestelmä toimii)
Nirav Modin 1, 8 miljardin dollarin huijaus Intian toiseksi suurimmalta valtion omistamalta lainanantajalta, Punjab National Bankilta (PNB.BO), on paljon vähemmän tyylikäs.
Pankki oli ilmoittanut vaihtoa koskevassa lausunnossaan, että vilpilliset remburssit, joiden ansiosta timanttikauppiasyhtiöt saivat käyttää 1, 8 miljardin dollarin lainoja, olivat ”sivuliikkeen virkamiesten SWIFT-kautta antamia saamatta toimivaltaisen viranomaisen hyväksyntää, maahantuojan tarvittavia hakemuksia, asiakirjoja tuonnista, laillisesta dokumentoinnista pankin kanssa ja myös tekemättä merkintöjä CBS: n (keskuspankkijärjestelmä) pankin kaupan rahoituksen moduuliin."
PNB syytti lausunnossaan kahta nuoremman tason työntekijää laittomien kirjeiden lähettämisestä ja SWIFT-viestien lähettämisestä, joita ei ollut tallennettu sisäiseen järjestelmään.
Mikä herättää kysymyksen, ovatko kaikki SWIFT-järjestelmää käyttävät pankit alttiita tällaisille petoksille vai liittyykö PNB-tapaukseen poikkeuksellisen paljon huolimattomuutta tai salaista yhteistyötä?
SWIFT
Brysselissä toimivan konsortion ylläpitämää ja yli 11 000 finanssilaitoksen käyttämää SWIFT-verkkoa on käytetty aiemmin pankkivirkoissa.
Venäjän keskuspankin mukaan hakkerit varastivat viime vuonna 6 miljoonaa dollaria yhdeltä maan pankista, joka käytti SWIFT-verkkoa. Hakkerit ottivat hallinnan tietokoneesta pankissa ja käyttivät sitä siirtääkseen rahaa omalle tililleen. Samoin vuonna 2016 hakkerit päästivät näyttämään 81 miljoonaa dollaria Bangladeshin keskuspankista käyttämällä SWIFT-työntekijöiden valtakirjoja. Ecuadorilainen pankki ilmoitti menettäneensä 12 miljoonaa dollaria vuonna 2015 toteutetussa luettelossa, jossa tietoverkkorikolliset käyttivät SWIFT-koodeja.
SWIFT kieltäytyi ottamasta vastuuta tällaisista tapauksista. Vuonna 2016 pankkiasiakkaille osoitetussa kirjeessä konserni sanoi, että pankit ovat yksin vastuussa järjestelmiensä turvallisuudesta. "Asiakkaat ovat vastuussa kaikista sertifikaateillaan allekirjoitetuista viesteistä ja tietysti heidän sertifikaattiensa suojaamisesta ja siitä, että vain asianmukaisesti valtuutetut operaattorit voivat käyttää niitä allekirjoittamaan viestejä", tiedottaja kertoi tuolloin Reutersille. "SWIFT ei ole eikä sitä voi olla., vastuussa viesteistä, jotka luodaan vilpillisesti asiakasyrityksissä."
Gartner-analyytikko ja talouspetoksien asiantuntija Avivah Litan on aiemmin sanonut, että hänelle oli järkyttävää, että SWIFT luottaa niin voimakkaasti todentamiseen "aivan perusteltavien petosten havaitsemisohjausten" sijasta, kuten epänormaalien maksunsaajien etsiminen, tilien etähallinnon etsiminen ja epänormaali pääsy.
Mutta Modi-petokset eroavat hyvin näistä luontoista, koska vaikka uusia yksityiskohtia ilmestyy päivittäin, pankki ei ole väittänyt hakkerointia ja keskittynyt sisäpiiriin. Viikko petosten ensimmäisestä paljastamisesta lähtien liittovaltion tutkijat ovat pidättäneet kuusi Punjabin kansallispankin työntekijää. Näistä korkein sijoitus on mies, joka johti pankin Brady House -konttoria vuosina 2009-2011.
Kuten karkkin ottaminen vauvalta
Pankin selitys siitä, kuinka kirjeitä annettiin vuosien ajan ilman havaitsemista, on, että tapahtumia ei kirjattu sen sisäiseen järjestelmään, koska SWIFT ei ollut integroitu siihen.
”Ellei valvontaympäristö ole kovin lievää tai jos ei ole ollut salaista yhteistyötä, SWIFT-tapahtumien, joita ei ole valtuutettu ja jotka tehdään peruspankkitoimintaan, käsittely olisi vaikeaa. Useiden tarkastusten olisi pitänyt laukaista hälytys ”, sanoi World Informatix Cyber Security -yrityksen toimitusjohtaja Rakesh Asthana, jonka yritys palkattiin valvomaan Bangladeshin pankin perinnän tutkintaa.
Nämä valvontatoimet sisältävät tehtävien erottamisen - SWIFT-järjestelmää käyttävissä pankeissa on yleensä yksi henkilö, joka tekee transaktion, erillinen henkilö, joka hyväksyy tapahtuman, ja kolmas henkilö, joka tarkistaa kaikki tapahtumat. Hän kertoi myös, että PNB olisi voinut myös perustaa SWIFT: n päivittäiset validointiraportit yhteensovittamaan summat ja tapahtumat joka aamu.
Mutta mikä tärkeintä, pankin järjestelmä, joka ei ole kytketty SWIFT: ään, kuten PNB: n tapaus, on Asthanan mukaan erittäin harvinainen globaalissa finanssimaailmassa.
On myös kysymys siitä, kuinka transaktiot päästivät pankin tilintarkastajien ohi.
"Viime kädessä se on myös kassavirtalaskelma", sanoi Asthana sähköpostilla Investopedialle. ”Joten minulle ei ole selvää, mitä sisäiset ja ulkoiset tarkastajat tekivät, olivatko he tarkastuksissaan perusteellisia. Jos heillä olisi tarkastusväitteitä ja johto ei toiminut, se tarkoittaisi huomattavasti suurempaa salaliittoa menemään johtamisketjuun. Tämä vaatii täydellisen tutkimuksen selvittääkseen, kuka tiesi mitä milloin."
”Kaikkia pankin suorittamia liiketoimintoja tarkastaa paitsi pankin sisäisen tarkastuksen ryhmä, myös samanaikaisesti yhden sivukonttorin tarkastajat. On järkyttävää, että tilintarkastajat, mutta myös vanhempi pankki, huomasivat tällaisen tapauksen. samoin kuin henkilöstö ”, sanoo tuntematon pankkiiri Economic Timesille. "Tarkastuksissa tarkastellaan yrityksiä, joille on annettu lupa harjoittaa liiketoimintaa, rahoitettavia laskuja, annettuja rembursseja, lyhytaikaisia rahoitusvälineitä jne."
Tutkimusanalyytikko Deepak Shenoy Capital Mindista sanoi: ”Näyttää siltä, että entistä työntekijää käytetään syntipukiksi. On todennäköistä, että paljon ihmisiä oli mukana tässä asiassa. Ja että se aiheutti PNB: lle valtavia, rasvamaksuja kaikkia näitä vuosia."
Tapaus on myös kiinnittänyt huomiota PNB: n ja Intian muiden kansallistettujen pankkien aikaisempiin petoksiin. Reutersin hankkimat Intian varantopankkitiedot osoittavat, että valtion hallinnoimat pankit ovat ilmoittaneet 8 670 lainapetoksista, joiden kokonaismäärä on 612.6 miljardia rupiaa (9, 58 miljardia dollaria) viiden viimeisen tilikauden aikana 31 päivään maaliskuuta 2017 asti. PNB on lisännyt tätä luetteloa 389 tapauksen kanssa. 65, 62 miljardia rupiaa (1, 03 miljardia dollaria) viiden viimeisen tilikauden aikana
Voisiko SWIFT tehdä enemmän?
SWIFT toimii kuin monimutkainen viestintäjärjestelmä eikä ota vastuuta tavasta, jolla sen asiakkaat toteuttavat petostentorjuntaa.
"SWIFT voi tehdä joistakin avaintekijöistä pakollisia sen sijaan, että jättäisivät sen asiakkaiden vastuulla, joilla on vaihteleva valvonta ja tietoturvaosaaminen", Asthana kysyi, voisiko verkko tehdä enemmän estääkseen tällaisia kalliita tapahtumia.
SWIFT on tunnustanut tarpeen olla ainakin ilmoittaja aina joissain tapauksissa. Huhtikuussa 2017 se esitteli Customer Security Controls Framework -säännöstön, joka kuvaa joukon asiakkaille pakollisia ja neuvovia turvatarkastuksia. Pankkeja pyydettiin itse osoittamaan vaatimustenmukaisuuden tasonsa viime vuoden loppuun mennessä, ja SWIFT varoitti, että se pidättää itsellään oikeuden ilmoittaa finanssivalvojille, elleivät he niin tee. Lehdistötiedotteessa, jossa ilmoitettiin, että 89 prosenttia asiakkaista on todistaneet noudattavansa, ei mainita, onko jäljellä olevien 11 prosentin varainhoidon valvojille ilmoitettu vuoden alusta. Tammikuusta 2019 lähtien se laajentaa oikeuttaan ilmoittaa käyttäjille, jotka eivät ole noudattaneet tärkeimpiä turvatarkastuksia.
On tärkeätä muistaa, että tammikuussa 2018 SWIFT tallensi keskimäärin 30, 32 miljoonaa viestiä päivässä, ja sitä käytetään 200 maassa. Se on jäsenomistuksessa oleva osuuskunta, ja pankkien kurinalaisuuden varmistaminen olisi helppoa ja kallista tehtävää korjata sen yksittäisten pankkien hallinto, joka on lähinnä lahoa ja jolla on vähän tekemistä, suojata ihmisten rahaa, jotka eivät toimi varten.
SWIFT: n maine vie osuman jokaisen tietoverkkorikollisuuden jälkeen, mutta viimeisimmän PNB-petoksen yhteydessä on paljon ihmisiä syylliseksi. Tutkimus näyttää vain naarmuuntaneen pintaan sitä, mitä asiantuntijoiden mielestä on paljon suurempi salaliitto, ja valvonnan puutetta koskevat kysymykset ovat viime kädessä Punjabin kansallispankin ja Intian hallituksen vastaukset. SWIFT toimitti PNB: lle lisää työkaluja suojautuakseen, työkaluja, joita valitettavasti ei käytetty.
Intian keskuspankki julkaisi tiistaina lausunnon, jonka mukaan se oli varoittanut ja varoittanut pankkeja tarpeesta estää "SWIFT-infrastruktuurin mahdollinen haitallinen käyttö" vähintään kolme kertaa elokuusta 2016 lähtien. Se on nyt valtuuttanut pankit panemaan täytäntöön määrätyn määrän. toimenpiteet ennen asetettua määräaikaa. Keskuspankki on myös perustanut komitean tutkimaan "syitä pankkien varojen luokittelussa ja varausten hoitamisessa havaittuihin suuriin eroihin suhteessa RBI: n valvontaarviointiin ja sen estämiseen tarvittavat toimenpiteet; tekijät, jotka johtavat kasvavaan pankeissa tapahtuvat petokset ja tarvittavat toimenpiteet (mukaan lukien tietotekniikkatoimet) sen hillitsemiseksi ja estämiseksi; pankeissa suoritetun erityyppisten tarkastusten merkitys ja tehokkuus tällaisten erojen ja petoksien lieventämisessä."
Investopedia otti yhteyttä SWIFT: ään ja sai seuraavan lausunnon: ”SWIFT ei kommentoi yksittäisiä asiakkaita tai yhteisöjä. Kun meille ilmoitetaan mahdollisista petostapauksista, tarjoamme apua asiaankuuluvalle käyttäjälle ympäristön turvaamiseksi. "Se lähetti lausunnolle lisäyksen julkaisemisen jälkeen:" Selvyyden vuoksi ei ole merkkejä siitä, että SWIFT-verkolla olisi koskaan vaarantunut. ”
