Є одне, що особливо насторожує найбільше в Індії банківського посягання: кіберзлочинність не мала цього робити. Не можна назвати викликів безіменних, невидимих технічних геніїв у комп'ютерні системи. Скоріше, корумповані працівники одного відділення, використовуючи мережу SWIFT (Товариство міжбанківських фінансових телекомунікацій), здійснювали це протягом багатьох років.
У сьогоднішній день розповідь про злому дивно втішає. Це не означає, що корупція просувається до вершини, або, принаймні, це означає, що немає повної розбитості безпеки банківської системи. Злочинці просто робили те, що роблять злочинці. Кожен може потиснути кулаки за технологією зміни швидкості і рухатися далі. (Читайте: Як працює система SWIFT)
Шахрайство Нірава Моді у розмірі 1, 8 мільярда доларів від другого за величиною в Індії державного кредитора Національного банку Пенджабу (PNB.BO) набагато менш елегантне.
Банк заявив у своїй заяві до бірж, що шахрайські акредитиви, які дозволяли компаніям торговців алмазами отримати позики на суму 1, 8 мільярда доларів, "були зроблені офіційними органами філії через SWIFT, не отримавши схвалення компетентного органу, необхідні заяви імпортера, документи про імпорт, юридичну документацію з банком, а також без внесення записів у модуль фінансування торгівлі банку CBS (базове банківське рішення)."
У своїй заяві PNB звинуватив двох молодших працівників у виданні незаконних листів та надсиланні повідомлень SWIFT, які не були записані у внутрішній системі.
Що викликає питання, чи всі банки, які використовують SWIFT, вразливі до такого роду шахрайств, чи випадок PNB передбачає винятковий рівень халатності чи змови?
SWIFT
Мережа SWIFT, що керується консорціумом із Брюсселя та користується понад 11 000 фінансовими установами, раніше використовувалася в банківських вишуках.
Нещодавно російський центральний банк заявив, що хакери вкрали 6 мільйонів доларів у одного з банків країни, використовуючи мережу SWIFT минулого року. Хакери взяли під контроль комп'ютер у банку та використали його для переказу грошей на власні рахунки. Аналогічно, у 2016 році хакери викупили 81 мільйон доларів з центрального банку Бангладеш, використовуючи дані службових даних SWIFT. Банк Еквадору заявив, що втратив 12 мільйонів доларів за крадіжку 2015 року, де кіберзлочинці використовували коди SWIFT.
SWIFT відхилив будь-яку відповідальність за такі інциденти. У листі до клієнтів банків у 2016 році група зазначила, що банки несуть повну відповідальність за безпеку своїх систем. "Клієнти несуть відповідальність за всі повідомлення, підписані своїми сертифікатами, і, звичайно, за захист своїх сертифікатів та забезпечення того, що лише належним чином авторизовані оператори можуть використовувати їх для підписання повідомлень", - заявила прес-секретар Reuters в той час. "SWIFT не є і не може бути, відповідальний за повідомлення, створені шахрайством у фірмах-замовниках."
Аналітик Gartner та експерт з фінансових шахрайств Авіва Літан раніше говорив, що для неї шокує те, що SWIFT так сильно покладається на автентифікацію замість "дуже базових засобів виявлення шахрайства", таких як пошук ненормальних одержувачів платежів, пошук віддаленого поглинання рахунку та пошук ненормальний доступ.
Але шахрайство в Моді дуже відрізняється від цих переслідувань, оскільки, хоча щодня з’являються нові деталі, банк не стверджує, що хакерство було зосереджено на інсайдерах. За тиждень, коли шахрайство вперше з’ясувалося, шестеро працівників Національного банку Пенджабу були заарештовані федеральними слідчими. Найвищий рейтинг із них - чоловік, який очолював відділення Брейді-Хаус банку з 2009 по 2011 рік.
Ніби беручи цукерки у дитини
Пояснення банку тим, як листи видавались без виявлення роками, полягає в тому, що трансакції не були записані у її внутрішній системі, оскільки SWIFT не був інтегрований з нею.
"Якщо середовище контролю не було дуже слабким або не було домовленостей, було б важко обробити транзакції SWIFT, які не мають дозволу та не вводяться в основний банк. Декілька органів контролю повинні викликати попередження ", - сказав Ракеш Астана, генеральний директор World Informatix Cyber Security, чию компанію найняли для нагляду за розслідуванням викрадення Бангладешського банку.
Ці контролі включають поділ обов'язків - банки, що використовують SWIFT, зазвичай мають одну особу, яка здійснює транзакцію, окрему особу, яка схвалює транзакцію, та третю особу, яка перевіряє всі операції. Він також зазначив, що PNB могла також створити щоденні звіти про перевірку SWIFT для узгодження підсумків та операцій щоранку.
Але найголовніше, що система банку, не пов’язана з SWIFT, як це було у PNB, є надзвичайно рідкісною у світовому фінансовому світі, вважає Астана.
Існує також питання про те, як транзакції пройшли через аудиторів банку.
"Зрештою, це також питання грошових потоків", - сказала Астана в електронному листі до Інвестопедії. «Тому мені незрозуміло, що робили внутрішні та зовнішні аудитори, чи були вони ретельними у своїх аудитах. Якщо у них були будь-які заперечення проти аудиту, а керівництво не діяло, це означало б набагато більшу змову щодо підйому по ланцюгу управління. Для того, щоб встановити, хто знав, коли це потрібно », "Будь-яка підприємницька діяльність, яку здійснює банк, перевіряється не лише командою внутрішнього аудиту банку, але й одночасними аудиторами, що здійснюють аудит одного відділення, шокуюче, що подібний випадок пройшов непомітно не лише аудиторами, але і старшим банком. персонал також ", - заявив анонімний банкір в" Економічний таймс ". "Аудит розглядає компанії, дозволені для ведення бізнесу, рахунки, які фінансуються, акредитиви, інструменти короткострокового фінансування тощо".
Аналітик з питань досліджень Deepak Shenoy з Capital Mind сказав: «З огляду на це, схоже, колишнього працівника використовують як козла відпущення. Цілком ймовірно, що багато людей займалися цією справою. І що це створювало величезні, жирні збори для PNB за всі ці роки ».
Інцидент також звернув увагу на різні попередні шахрайства, які мали місце в PNB та інших націоналізованих банках Індії. Дані Резервного банку Індії, отримані Reuters, показують, що державні банки повідомили про 8 670 випадків «шахрайства з кредитами» на загальну суму 612, 6 мільярда рупій (9, 58 мільярда доларів) протягом останніх п'яти фінансових років до 31 березня 2017 року. PNB очолила цей список із 389 випадків на загальну суму 65, 62 мільярда рупій (1, 03 мільярда доларів) за останні п'ять фінансових років
Чи може SWIFT зробити більше?
SWIFT працює як складна система обміну повідомленнями і не несе відповідальності за спосіб здійснення контролю за шахрайством своїми клієнтами.
"SWIFT може зробити деякі ключові елементи обов'язковими замість того, щоб залишати це клієнтам, які мають різний ступінь контролю та знання кібербезпеки", - сказала Астана на запитання, чи може мережа зробити більше для запобігання таких дорогих інцидентів.
SWIFT визнав необхідність принаймні бути винуватцем у деяких випадках. У квітні 2017 року він представив Рамку контролю безпеки клієнта, в якій описується набір обов'язкових та дорадчих контролів безпеки для клієнтів. Банки попросили самостійно засвідчити свій рівень відповідності до кінця минулого року, і SWIFT попередив, що він залишає за собою право інформувати фінансових органів, якщо вони цього не роблять. У прес-релізі, в якому повідомляється, що 89 відсотків клієнтів засвідчили свою відповідність, не згадується, чи фінансові нагляди решти 11 відсотків були попереджені з початку року. З січня 2019 року він поширює своє право повідомляти користувачів, які не виконали найважливішого контролю безпеки.
Важливо пам’ятати, що в січні 2018 року SWIFT записував в середньому 30, 32 мільйона повідомлень на день і використовується в 200 країнах. Це кооператив, що належить до членів, і зробити так, щоб банки були більш дисциплінованими, було б геркулесовим, дорогим завданням виправити те, що по суті гниє в адміністрації окремих банків, з чим мало спільного, захищати гроші людей, на яких він не працює. для.
Репутація SWIFT потрапляє після кожного кібер-злочину, але є багато людей, які можуть взяти на себе провину, коли справа стосується останнього шахрайства з PNB. Схоже, що слідство просто подряпало поверхню того, що, на думку експертів, є набагато більшою змовою, а питання про відсутність нагляду - це в кінцевому підсумку те, на що доведеться відповісти Національному банку Пенджабу та уряду Індії. SWIFT надав PNB більше інструментів для захисту, інструменти, які, на жаль, не використовувалися.
У вівторок Резервний банк Індії оприлюднив заяву, в якій заявив, що попереджав та попереджав банки про необхідність запобігти будь-якому "потенційному зловмисному використанню інфраструктури SWIFT" щонайменше три рази з серпня 2016 року. Тепер він надав банкам право виконувати встановлені заходи до встановленого строку. Центральний банк також створив комітет, який розглядає "причини великої розбіжності, що спостерігаються в класифікації активів та надання резервів банками щодо наглядової оцінки ІРБ, та кроки, необхідні для її запобігання; фактори, що призводять до зростання кількості випадків шахрайства в банках та заходи (включаючи ІТ-втручання), необхідні для стримування та запобігання, а також роль та ефективність різних видів аудитів, що проводяться в банках, для зменшення частоти таких розбіжностей та шахрайств ".
Інвестопедія звернулася до SWIFT і отримала таку заяву: “SWIFT не коментує окремих клієнтів чи юридичні особи. Коли нам повідомляється про випадки можливого шахрайства, ми пропонуємо свою допомогу постраждалому користувачеві, щоб допомогти захистити своє оточення. "Він надіслав доповнення до заяви після публікації:" Щоб було зрозуміло, немає ознак того, що мережа SWIFT має коли-небудь піддавались компромету ».
