Постоји једна ствар која је посебно алармантна у вези са највећим индијанским банкарским пистом: сајбер криминал није имао шта да учини. Не постоје неименовани невидљиви генијалци који харају у рачунарске системе за које се треба кривити. Уместо тога, корумпирани запослени у једној филијали користећи СВИФТ мрежу (Друштво за међународну финансијску телекомуникацију широм света), спроводили су је годинама.
У данашњи дан, прича о хаковању је чудно утјешна. То не значи да корупција иде све до врха, или у најмању руку, то значи да нема потпуног слома сигурности банкарског система. Злочинци су једноставно радили оно што раде злочинци. Свако може да стисне песнице технологијом за промену ђоном брзином и да крене даље. (Прочитајте: како функционише СВИФТ систем)
Превара Нирав Модија у износу од 1, 8 милијарди долара од другог највећег индијског државног зајмодавца, Пуњаб Натионал Банк (ПНБ.БО), много је мање елегантна.
Банка је у изјави за размене рекла да су лажне акредитиве које су омогућиле компанијама трговаца дијаманата да користе кредите у вредности од 1, 8 милијарди долара „урадили званичници филијале путем СВИФТ-а без одобрења надлежног органа, потребне апликације увозника, документи увоза, законске документације са банком, а такође без уношења у модул банке за финансирање трговине ЦБС-а (основно банкарско решење)."
ПНБ је у својој изјави окривио два млађа запосленика за издавање илегалних писама и слање СВИФТ порука које нису евидентиране у унутрашњем систему.
Које поставља питање, да ли су све банке које користе СВИФТ рањиве на ову врсту преваре или случај случаја ПНБ укључује изузетан ниво непажње или договора?
СВИФТ
СВИФТ мрежа, којом управља конзорцијум из Брисела и коју користи преко 11.000 финансијских институција, раније је коришћена у банкарским банкама.
Руска централна банка недавно је саопштила да су хакери украли шест милиона долара од једне од банака у земљи користећи СВИФТ мрежу прошле године. Хакери су преузели контролу над рачунаром у банци и користили га за пренос новца на своје рачуне. Слично томе, у 2016. години, хакери су од централне банке Бангладеша изгубили око 81 милион долара користећи СВИФТ акредитиве запослених. Еквадорска банка саопштила је да је изгубила 12 милиона долара у пљачки 2015. године где су сајбер криминалци користили СВИФТ кодове.
СВИФТ је одбио преузимање било какве одговорности за такве инциденте. У писму клијентима банака у 2016. години, група је саопштила да су банке одговорне искључиво за сигурност својих система. "Купци су одговорни за све поруке потписане са својим потврдама и, наравно, за заштиту својих сертификата и осигуравање да их само правилно овлашћени оператори могу користити за потписивање порука", рекла је портпаролка тада Ројтерсу. "СВИФТ није, и не може бити, одговоран за поруке које су створене на превару у фирмама купаца."
Гартнерова аналитичарка и стручњакиња за финансијске преваре Авивах Литан изјавила је у прошлости да ју је шокирало то што се СВИФТ толико ослањао на аутентификацију уместо на "врло основне контроле откривања превара" попут тражења ненормалних прималаца рачуна, тражења удаљеног преузимања рачуна и тражења ненормалан приступ.
Али Моди превара се врло разликује од ових пљачки, јер иако се свакодневно појављују нови детаљи, банка није наводно хаковала и фокус је била на инсајдере. Седмицу откако је превара прва сазнала, шест запослених Националне банке Пенџаб ухапсили су савезне истражитеље. Највиши ранг листи су мушкарци који су руководили пословницом банке Бради Хоусе од 2009. до 2011. године.
Као узимање слаткиша од бебе
Објашњење банке како су писма дата без детекције годинама је да трансакције нису евидентиране на њеном унутрашњем систему јер СВИФТ није интегрисан у њу.
„Уколико контролно окружење није било врло лагано или није било договора, било би тешко обрадити СВИФТ трансакције које нису одобрене и улазе у основно банкарство. Неколико контрола би требало да покрене упозорење “, рекао је Ракесх Астхана, извршни директор Ворлд Информатик Цибер Сецурити-а, чија је компанија ангажована да надгледа истрагу пљачке Бангладешке банке.
Ове контроле укључују сегрегацију дужности - банке које користе СВИФТ обично имају једну особу која улази у трансакцију, одвојена особа која одобрава трансакцију и трећа особа која потврђује све трансакције. Такође је рекао да би ПНБ могао да оснује и СВИФТ дневне извештаје о валидацији да усклади укупне износе и трансакције сваког јутра.
Али што је најважније, систем банке који није повезан са СВИФТ-ом, као што је то био случај са ПНБ-ом, веома је риједак у глобалном финансијском свијету, каже Астхана.
Поставља се и питање како су трансакције прошле мимо ревизора банке.
"Коначно, то је и питање новчаног тока", рекла је Астхана у е-маилу за Инвестопедиа. „Дакле, није ми јасно шта су унутрашњи и спољни ревизори урадили, да ли су били темељни у својим ревизијама. Ако су имали било какве приговоре ревизије, менаџмент није поступио, то би значило много већу завјеру за успостављање ланца управљања. За ово је потребна потпуна истрага да би се утврдило ко је знао шта када."
„Било коју пословну активност коју предузме банка контролише не само интерни ревизорски тим банке, већ и истовремени ревизори који врше ревизију једне филијале, шокантно је да су такав инцидент прошли непримијећени не само ревизори, већ и виша банка такође ", рекао је анонимни банкар економском Тимесу. "Ревизије прегледавају компаније које су одобрене за пословање, рачуне који се финансирају, акредитива, краткорочне алате за финансирање итд."
Истраживачки аналитичар Деепак Схенои из Цапитал Минд-а је рекао: „Упркос томе, изгледа да се бивши запослени користи као жртвени јарац. Вероватно је пуно људи било укључено у ову ствар. И да је то створило огромне, масне накнаде за ПНБ свих ових година."
Инцидент је такође скренуо пажњу на разне претходне преваре које су се догодиле у ПНБ и другим индијским национализованим банкама. Подаци Ресерве Банк оф Индиа које је добио Реутерс показују да су државне банке пријавиле 8.670 случајева „преваре са кредитима“ у укупном износу од 612, 6 милијарди рупија (9, 58 милијарди УСД) током последњих пет финансијских година до 31. марта 2017. ПНБ је на врху ове листе са укупно 389 случајева 65, 62 милијарде рупија (1, 03 милијарде долара) у последњих пет финансијских година
Да ли СВИФТ може учинити више?
СВИФТ функционише као сложен систем за размену порука и не преузима одговорност за начин на који муштерије постављају контролу превара.
„СВИФТ може неке од кључних елемената учинити обавезним, уместо да то препусти клијентима који имају различите степене контроле и познавању сајбер безбедности“, рекла је Астхана на питање да ли мрежа може учинити више да спречи такве скупе инциденте.
СВИФТ је препознао потребу да бар буде звиждач у неким случајевима. У априлу 2017. представио је Оквир контроле безбедности корисника, који описује сет обавезних и саветодавних безбедносних контрола за купце. Од банака је затражено да сами потврде свој ниво усаглашености до краја прошле године, а СВИФТ је упозорио да задржава право да обавести финансијске надзорнике ако то не ураде. У саопштењу за штампу у којем се наводи да је 89 одсто купаца потврдило поштовање правила не помиње се да ли су финансијски надзорници од преосталих 11 одсто упозорени од почетка године. Од јануара 2019. године проширује се право на пријављивање корисника који нису испоштовали најважније сигурносне контроле.
Важно је запамтити да је СВИФТ у јануару 2018. снимио у просеку 30, 32 милиона порука дневно и да се користи у 200 земаља. То је задруга у власништву члана, а осигурати да банке буду дисциплиноване било би херкулан, скуп задатак поправити оно што је у суштини труло у администрацији појединих банака које имају мало везе, заштитити новац људи који то не раде за.
Углед СВИФТ-а погађа након сваког сајбер-злочина, али има доста људи који би могли преузети кривњу када је у питању најновија превара у вези ПНБ-а. Чини се да је истрага само исцепала површину онога што стручњаци сматрају много већом завјером, а питања у вези с недостатком надзора у коначници су нешто на што ће морати да одговоре Пуњабска народна банка и индијска влада. СВИФТ је ПНБ-у пружио више алата за заштиту самог себе, алате који се нажалост нису користили.
Индијска резервна банка објавила је у уторак изјаву у којој је рекла да је упозорила и упозорила банке на потребу да спрече било какво "потенцијално злонамјерно коришћење СВИФТ инфраструктуре" најмање три пута од августа 2016. године. Сада је банкама овластила да спроводе прописано мере пре предвиђеног рока. Централна банка је такође основала одбор који ће проучавати "разлоге за велике разлике које су примећене у класификацији имовине и резервисању банака у односу на супервизијску процену ИРБ-а и кораке потребне за спречавање; фактори који доводе до све веће учесталости преваре у банкама и мере (укључујући ИТ интервенције) потребне за сузбијање и спречавање и улогу и ефикасност различитих врста ревизија спроведених у банкама у ублажавању учесталости таквих дивергенција и превара."
Инвестопедиа је посегнула за СВИФТ-ом и добила следећу изјаву: „СВИФТ не коментарише појединачне купце или ентитете. Када нам се пријави случај потенцијалне преваре, нудимо помоћ погођеном кориснику да помогне у обезбеђењу свог окружења. “Послао је додатак изјави након објављивања:„ Да будемо јасни, нема назнака да СВИФТ мрежа има икад угрожен."
