דבר אחד מדאיג במיוחד את ההיסטוריה הבנקאית הגדולה בהודו: לפשעי הסייבר לא היה שום דבר לעשות זאת. אין גאוני טק חסרי שם ובלתי נראים הפורצים למערכות מחשב שיש להאשים אותם. במקום זאת, מדובר בעובדים מושחתים בסניף אחד המשתמשים ברשת SWIFT (החברה לתקשורת פיננסית בין-בנקאית עולמית) שביצעו אותה במשך שנים.
בימינו, הנרטיב של פריצה הוא מנחם באופן מוזר. זה לא מרמז על שחיתות שעוברת לפסגה, או לכל הפחות, זה אומר שאין פירוט מוחלט של אבטחת המערכת הבנקאית. עבריינים פשוט עשו את מה שפושעים עושים. כל אחד יכול לנער את אגרופיו לטכנולוגיה לשינוי במהירות הפסקה ולהמשיך הלאה. (קרא: כיצד עובדת מערכת SWIFT)
הרוב של נירב מודי, של 1.8 מיליארד דולר ממלווה המנהל הממשלתי השני בהודו, הבנק הלאומי פונג'אב (PNB.BO), הוא הרבה פחות אלגנטי.
הבנק הצהיר בהודעות החליפין כי כתבי אשראי הונאה שאיפשרו לחברות סוחר היהלומים להועיל הלוואות בשווי של 1.8 מיליארד דולר "נעשו על ידי גורמי הסניף באמצעות SWIFT מבלי לקבל אישור של הרשות המוסמכת, יישומים נחוצים מהיבואן, מסמכים של ייבוא, תיעוד משפטי בבנק וגם בלי להזין את מודול מימון המסחר של הבנק של CBS (פיתרון ליבה בנקאית)."
PNB האשימה את שני העובדים בדרג הזוטר בהצהרתם בהוצאת המכתבים הבלתי חוקיים ושליחת הודעות SWIFT שלא היו רשומות במערכת הפנימית.
מה שמעלה את השאלה, האם כל הבנקים המשתמשים ב- SWIFT חשופים להונאה מסוג זה או שמא במקרה של PNB מדובר ברמת רשלנות או בקנוניה יוצאת דופן?
SWIFT
רשת SWIFT, המופעלת על ידי קונסורציום מבוסס בבריסל ומשמשת למעלה מ -11, 000 מוסדות פיננסיים, שימשה בעבר בהקמת בנקים.
בבנק המרכזי ברוסיה נמסר לאחרונה כי האקרים גנבו 6 מיליון דולר מאחד הבנקים במדינה באמצעות רשת SWIFT בשנה שעברה. ההאקרים השתלטו על מחשב בבנק והשתמשו בו כדי להעביר כסף לחשבונות שלהם. באופן דומה, ב -2016, האקרים הסתפקו בקפידה של 81 מיליון דולר מהבנק המרכזי של בנגלדש באמצעות אישורי SWIFT של עובדים. מבנק באקוודור נמסר כי הוא הפסיד 12 מיליון דולר בהיסטה לשנת 2015 בה פושעי הסייבר השתמשו בקודי SWIFT.
SWIFT דחה את נטילת האחריות לאירועים מסוג זה. במכתב ללקוחות הבנקים בשנת 2016, נמסר מהקבוצה כי הבנקים אחראים בלעדית לביטחון המערכות שלהם. "הלקוחות אחראים לכל ההודעות שנחתמו עם התעודות שלהם וכמובן, להגנה על התעודות שלהם ולהבטיח שרק מפעילים מורשים כדין יוכלו להשתמש בהם כדי לחתום על הודעות", אמרה דוברת באותה עת לרויטרס. "SWIFT אינה, ואינה יכולה להיות, אחראי להודעות הנוצרות במרמה בחברות לקוחות."
אנליסט ומומחה להונאה פיננסית גרטנר, אביביה ליטן, אמר בעבר כי זה היה מזעזע בעיניה כי SWIFT הסתמכה כל כך על אימות במקום "בקרות מאוד בסיסיות לגילוי הונאה" כמו לחפש מקבלות לא תקינות, לחפש השתלטות על חשבונות מרחוק ולחפש גישה חריגה.
אך ההונאה של מודי שונה מאוד מההיסטים הללו, מכיוון שלמרות שפרטים חדשים מתגלים מדי יום, הבנק לא טען לפריצה וההתמקדות הייתה בפנים. שבוע מאז שנחשף לראשונה ההונאה, שישה עובדי בנק לאומי פונג'אב נעצרו על ידי חוקרים פדרליים. הדירוג הגבוה ביותר מבין אלה הוא אדם שעמד בראש סניף הבנק בריידי משנת 2009 עד 2011.
כמו לקחת סוכריות מתינוק
ההסבר של הבנק כיצד נמסרו המכתבים ללא גילוי במשך שנים הוא כי העסקאות לא נרשמו במערכת הפנימית שלו מכיוון ש SWIFT לא היה משולב בה.
"אלא אם סביבת הבקרה הייתה רפה מאוד או הייתה התנגשות, היה קשה לעבד עסקאות SWIFT שאינן מורשות ונכנסות לבנקאות ליבה. ראיות אסטנהנה, מנכ"לית World Informatix Cyber Security, שהחברה שלה נשכרה כדי לפקח על חקירת ההיסטוריה של בנק בנגלדש.
בקרות אלה כוללות הפרדת חובות - לבנקים המשתמשים ב- SWIFT יש בדרך כלל אדם אחד שנכנס לעסקה, אדם נפרד המאשר את העסקה ואדם שלישי המאמת את כל העסקאות. הוא אמר גם כי PNB יכול היה גם להקים דוחות אימות יומי של SWIFT על מנת ליישב סיכומים ועסקאות בכל בוקר.
אבל הכי חשוב, מערכת הבנק שלא מקושרת ל- SWIFT, כפי שקרה ב- PNB, היא נדירה מאוד בעולם הפיננסי העולמי, לפי אסטנה.
ישנה גם השאלה כיצד עברו העסקאות מבקרי הבנק.
"בסופו של דבר זה גם נושא תזרים מזומנים", אמר אסטנה בהודעת דוא"ל ל- Investopedia. "אז לא ברור לי מה עשו מבקרי הפנים והחוץ, האם הם היו יסודיים בביקורות שלהם. אם היו להם התנגדויות לביקורת וההנהלה לא הייתה פועלת, פירושו קונספירציה הרבה יותר גדולה שתעלה בשרשרת הניהול. זה זקוק לחקירה מלאה בכדי לברר מי יודע מתי."
"כל פעילות עסקית שמבוצעת על ידי הבנק מבוקרת לא רק על ידי צוות הביקורת הפנימית של הבנק, אלא גם על ידי מבקרי הביקורת המקבילים שבודקים סניף בודד. זה מזעזע כי אירוע כזה לא העלה על הדעת לא רק מבקרי, אלא גם הבנק הבכיר. גם אנשי צוות ", אמר בנקאי אנונימי לכתב העת הכלכלי טיימס. "ביקורת בוחנת את החברות שאושרו לעשות עסקים, את החשבונות הממומנים, מכתבי אשראי שהונפקו, כלי מימון לטווח קצר וכו '."
אנליסט המחקר דיפאק שנוי מקפיטל מיינד אמר כי "על פניו נראה כי עובד לשעבר משמש כשעיר לעזאזל. סביר להניח שהרבה אנשים עסקו בדבר הזה. וכי היא הניבה דמי שומן עצומים עבור PNB כל השנים האלה."
האירוע הפנה את תשומת הלב גם להונאות הקודמות השונות שהתרחשו ב- PNB ובבנקים שהולאמו אחרים בהודו. מנתוני בנק מילואים בהודו שהתקבלו על ידי רויטרס עולה כי הבנקים המנוהלים על ידי המדינה דיווחו על 8, 670 מקרי "הונאת הלוואות" בהיקף של 612.6 מיליארד רופי (9.58 מיליארד דולר) במהלך חמש שנות הכספים האחרונות עד 31 במרץ 2017. PNB הציג את הרשימה הזו עם 389 מקרים בסך הכל 65.62 מיליארד רופי (1.03 מיליארד דולר) בחמש השנים הכספיות
האם SWIFT יכול לעשות יותר?
SWIFT פועלת כמו מערכת העברת מסרים מורכבת ואינה נוטלת על עצמה אחריות על אופן ביצוע בקרות ההונאה על ידי לקוחותיה.
"SWIFT יכולה להפוך כמה מרכיבי המפתח לחובה במקום להשאיר אותם ללקוחות שיש להם דרגות שונות של בקרות וידע בנושא אבטחת סייבר, " אמרה אסטנה כשנשאלה אם הרשת יכולה לעשות יותר כדי למנוע אירועים יקרים כאלה.
SWIFT זיהה את הצורך לפחות להיות המשרוקית במקרים מסוימים. באפריל 2017 היא הציגה את מסגרת בקרת אבטחת הלקוחות, המתארת קבוצה של בקרות אבטחה חובה ומייעצות ללקוחות. הבנקים התבקשו להעיד בעצמם על רמת התאימות שלהם בסוף השנה שעברה, ו- SWIFT הזהירה שהיא שומרת את הזכות ליידע את המפקחים הכספיים אם לא יעשו זאת. ההודעה לעיתונות המודיעה כי 89 אחוז מהלקוחות העידו על תאימותם אינה מציינת אם מפקחים פיננסיים של 11 האחוזים הנותרים קיבלו התראה מאז תחילת השנה. מינואר 2019 היא מרחיבה את זכותה לדווח על משתמשים שלא הצליחו לעמוד בבקרות האבטחה החשובות ביותר.
חשוב לזכור כי בינואר 2018, SWIFT הקליטה בממוצע 30.32 מיליון הודעות ליום והיא משמשת ב -200 מדינות. זהו קואופרטיב בבעלות חברות, ולוודא שהבנקים ממושמעים יותר זו תהיה משימה הרקולית ויקרה לתקן את מה שרק נרקב במינהל של בנקים בודדים שזה לא קשור אליהם, כדי להגן על הכסף של אנשים שזה לא עובד ל.
המוניטין של SWIFT ספג מכה אחרי כל פשע בסייבר, אך יש המון אנשים לקחת את האשמה בכל הנוגע להונאת PNB האחרונה. נראה כי החקירה רק גירדה את פני השטח של מה שמומחים חושבים שהיא קונספירציה גדולה בהרבה, ושאלות הנוגעות לחוסר הפיקוח הן בסופו של דבר מה שהבנק הלאומי בפנג'אב וממשלת הודו יצטרכו לענות עליו. SWIFT סיפק ל- PNB כלים נוספים להגנה על עצמה, כלים שלצערנו לא נעשה בהם שימוש.
ביום שלישי פרסמו בנק המילואים בהודו הצהרה לפיה זהיר והזהיר את הבנקים על הצורך למנוע כל "שימוש זדוני פוטנציאלי בתשתית SWIFT" לפחות שלוש פעמים מאז אוגוסט 2016. כעת הוא נתן את הבנקים ליישם את ההוראות שנקבעו צעדים לפני המועד הקבוע. הבנק המרכזי הקים גם ועדה לבחינת "הסיבות להתבדלות גבוהה שנצפתה בסיווג הנכסים והפרשותם של בנקים מול הערכת הפיקוח של ה- RBI, והצעדים הדרושים למניעתה; גורמים המובילים לשכיחות הולכת וגוברת של הונאות בבנקים והצעדים (כולל התערבויות בתחום ה- IT) הדרושים לריסון ומניעתו; ותפקידם ויעילותם של ביקורת מסוגים שונים שנערכו בבנקים לצורך הפחתת שכיחות הסטייה והונאה כאלה."
Investopedia פנה אל SWIFT וקיבלה את ההצהרה הבאה: "SWIFT אינה מגיבה על לקוחות או גורמים בודדים. כאשר דווח לנו על מקרה של הונאה פוטנציאלית, אנו מציעים את עזרתנו למשתמש הנגוע בכדי לסייע באבטחת סביבתו. "היא שלחה תוספת להצהרה לאחר הפרסום:" למען האמת, אין שום אינדיקציה לכך שיש לרשת SWIFT אי פעם התפשרתי."
