Det er en ting som er spesielt alarmerende med Indias største bank-heist: cyberkriminalitet hadde ingenting å gjøre det. Det er ingen navnløse, usynlige techgenier som hacker seg inn i datasystemer som får skylden. Snarere var det korrupte ansatte ved en enkelt gren ved bruk av SWIFT-nettverket (The Society for Worldwide Interbank Financial Telecommunication) som gjennomførte det i flere år.
I dagens dag er fortellingen om hacking merkelig trøst. Det innebærer ikke at korrupsjon går helt til topps, eller i det minste betyr det at det ikke er en fullstendig sammenbrudd av sikkerheten i banksystemet. Kriminelle gjorde ganske enkelt det kriminelle gjorde. Alle kan riste knyttnevene på teknologi for å endre seg i hurtighastighet og gå videre. (Les: Slik fungerer SWIFT-systemet)
Nirav Modis svindel på 1, 8 milliarder dollar fra Indias nest største statlige utlåner, Punjab National Bank (PNB.BO), er mye mindre elegant.
Banken hadde i sin uttalelse til børsene sagt at de uredelige kredittbrevene som gjorde det mulig for diamanthandlerens selskaper å benytte lån til en verdi av 1, 8 milliarder dollar, “ble gjort av filialens tjenestemenn gjennom SWIFT uten å få godkjent myndighet, nødvendige søknader fra importøren, dokumenter av import, juridisk dokumentasjon med bank og også uten å legge inn oppføringer i Bankens modul for handelsfinansiering av CBS (core banking-løsning). ”
PNB beskyldte to ansatte på juniornivå i uttalelsen for å ha utstedt de ulovlige brevene og sendt SWIFT-meldinger som ikke var registrert i det interne systemet.
Som reiser spørsmålet, er alle banker som bruker SWIFT sårbare for denne typen svindel, eller innebærer PNB-saken et eksepsjonelt nivå av uaktsomhet eller samarbeid?
FORT
SWIFT-nettverket, drevet av et Brussel-basert konsortium og brukt av over 11 000 finansinstitusjoner, har blitt brukt i bank heists før.
Russlands sentralbank sa nylig at hackere stjal $ 6 millioner fra en av landets banker ved å bruke SWIFT-nettverket i fjor. Hackerne tok kontroll over en datamaskin i banken og brukte den til å overføre penger til sine egne kontoer. Tilsvarende, i 2016, gjorde hackere unna med en iøynefallende 81 millioner dollar fra sentralbanken i Bangladesh ved å bruke SWIFT-legitimasjon av ansatte. En ecuadorean bank sa at den tapte 12 millioner dollar i en heist i 2015 der cyberkriminelle brukte SWIFT-koder.
SWIFT avviste å ta noe ansvar for slike hendelser. I et brev til bankkunder i 2016 sa gruppen at bankene utelukkende er ansvarlige for sikkerheten til sine systemer. "Kunder er ansvarlige for alle meldinger som er signert med sertifikatene sine, og selvfølgelig for å beskytte sertifikatene deres og sikre at bare behørig autoriserte operatører kan bruke dem til å signere meldinger, " sa en talskvinne til Reuters den gangen. "SWIFT er ikke det, og kan ikke være, ansvarlig for meldinger som opprettes uredelig innen kundefirmaer. ”
Gartner-analytiker og ekspert på økonomisk svindel Avivah Litan har tidligere sagt at det var sjokkerende for henne at SWIFT stolte så sterkt på autentisering i stedet for "veldig grunnleggende kontroller av svindel-oppdagelse" som å se etter unormale mottakere, lete etter fjernoverføring av kontoen og lete etter unormal tilgang.
Men Modi-svindelen er veldig forskjellig fra disse heistene, fordi selv om det dukker opp nye detaljer daglig, har ikke banken påstått hacking og fokuset har vært på innsidere. En uke siden svindelen først kom fram, er seks ansatte i Punjab National Bank blitt arrestert av føderale etterforskere. Den høyeste rangeringen av disse er en mann som ledet bankens filial i Brady House fra 2009 til 2011.
Som å ta godteri fra en baby
Bankens forklaring på hvordan brevene ble gitt uten oppdagelse i årevis er at transaksjonene ikke ble registrert på det interne systemet fordi SWIFT ikke var integrert med det.
"Med mindre kontrollmiljøet var veldig slapt eller det var samvirke, ville det være vanskelig å behandle SWIFT-transaksjoner som ikke er autorisert og inngått i kjernebanking. Flere kontroller skal ha utløst et varsel, sier Rakesh Asthana, administrerende direktør i World Informatix Cyber Security, hvis selskap ble ansatt for å føre tilsyn med etterforskningen av Bangladesh Banks heist.
Disse kontrollene inkluderer segregering av plikter - banker som bruker SWIFT har vanligvis en person som inngår i en transaksjon, en egen person som godkjenner transaksjonen og en tredje person som verifiserer alle transaksjoner. Han sa også at PNB også kunne ha satt opp SWIFT Daily Validation Reports for å avstemme totaler og transaksjoner hver morgen.
Men det viktigste er at en banks system som ikke er koblet til SWIFT, slik tilfellet var hos PNB, er svært sjelden i den globale finansverdenen, ifølge Asthana.
Det er også spørsmålet om hvordan transaksjonene kom forbi bankens revisorer.
"Til syvende og sist er det også et kontantstrømsproblem, " sa Asthana i en e-post til Investopedia. ”Så det er ikke klart for meg hva interne og eksterne revisorer gjorde, om de var grundige i revisjonene sine. Hvis de hadde innvendinger fra tilsynet og ledelsen ikke handlet, ville det bety en mye større konspirasjon å gå opp i ledelseskjeden. Dette trenger en fullstendig undersøkelse for å finne ut hvem som visste hva når."
"Enhver virksomhetsaktivitet som banken utfører, blir ikke bare revidert av bankens interne revisjonsteam, men også de samtidig revisjonene som reviderer en enkelt filial, det er sjokkerende at en slik hendelse ikke ble lagt merke til av ikke bare revisorer, men også seniorbanken ansatte også, ”sa en anonym bankmann til Economic Times. "Revisjoner ser på selskapene som er godkjent for å gjøre forretninger, regningene som er finansiert, utstedte kredittbrev, kortsiktige finansieringsverktøy osv."
Forskningsanalytiker Deepak Shenoy fra Capital Mind sa: “På den måten ser det ut som at den tidligere ansatte blir brukt som syndebukk. Det er sannsynlig at mange mennesker var inne på denne tingen. Og at det genererte enorme, fete avgifter for PNB alle disse årene. ”
Hendelsen har også fått oppmerksomhet til de forskjellige tidligere svindel som har skjedd ved PNB og Indias andre nasjonaliserte banker. Data fra Reserve Bank of India innhentet av Reuters viser at statlige banker har rapportert 8 670 «lånesvindel» -saker på til sammen 612, 6 milliarder rupier (9, 58 milliarder dollar) i løpet av de siste fem regnskapsårene frem til 31. mars 2017. PNB toppet denne listen med 389 tilfeller totalt 65, 62 milliarder rupier (1, 03 milliarder dollar) de siste fem regnskapsårene
Kunne SWIFT gjøre mer?
SWIFT opererer som et komplekst meldingssystem og tar ikke ansvar for måten svindelkontroll blir på plass av kundene.
"SWIFT kan gjøre noen av nøkkelelementene obligatoriske i stedet for å overlate det til kunder som har ulik grad av kontroller og kunnskap om cybersikkerhet, " sa Asthana da han ble spurt om nettverket kunne gjøre mer for å forhindre slike kostbare hendelser.
SWIFT har erkjent behovet for i det minste å være varsleren i noen tilfeller. I april 2017 introduserte den Customer Security Controls Framework, som beskriver et sett obligatoriske og rådgivende sikkerhetskontroller for kunder. Bankene ble bedt om å selvattestere nivået på samsvar innen utgangen av fjoråret, og SWIFT advarte om at det forbeholder seg retten til å informere finansinspektører om de ikke gjør det. Pressemeldingen som kunngjorde at 89 prosent av kundene attesterte at de overholdes, nevner ikke om finansielle tilsynsførere for de resterende 11 prosentene har blitt varslet siden starten av året. Fra januar 2019 utvider den retten til å rapportere brukere som ikke har overholdt de mest avgjørende sikkerhetskontrollene.
Det er viktig å huske at i januar 2018 registrerte SWIFT i gjennomsnitt 30, 32 millioner meldinger per dag og brukes i 200 land. Det er et medlemseid andelslag, og å sørge for at banker er mer disiplinerte ville være en herculean, kostbar oppgave å fikse det som egentlig råtner i administrasjonen av enkeltbanker de har lite å gjøre med, for å beskytte penger til mennesker det ikke fungerer til.
SWIFTs omdømme har en hit etter hver cyberkriminalitet, men det er mange mennesker som tar skylden når det gjelder den nyeste PNB-svindelen. Det ser ut til at etterforskningen nettopp har skrapet opp overflaten til det eksperter mener er en mye større sammensvergelse, og spørsmål angående mangelen på tilsyn er til slutt noe Punjab National Bank og Indias regjering vil måtte svare på. SWIFT ga PNB flere verktøy for å beskytte seg selv, verktøy som dessverre ikke ble brukt.
Tirsdag slapp Reserve of India en uttalelse der den sa at den hadde advart og varslet bankene om behovet for å forhindre enhver "potensiell ondsinnet bruk av SWIFT-infrastrukturen" minst tre ganger siden august 2016. Nå har bankene gitt mandat til å implementere foreskrevet tiltak før en fastsatt frist. Sentralbanken har også opprettet et utvalg for å se på "årsakene til stor avvik som observeres i formuesklassifisering og -avsetning av banker overfor RBIs tilsynsevaluering, og trinnene som trengs for å forhindre det; faktorer som fører til en økende forekomst av svindel i banker og tiltakene (inkludert IT-intervensjoner) som er nødvendige for å dempe og forhindre det, og rollen og effektiviteten til ulike typer tilsyn som er utført i banker for å dempe forekomsten av slik avvik og svindel."
Investopedia nådde SWIFT og mottok følgende uttalelse: “SWIFT kommenterer ikke enkeltkunder eller enheter. Når et tilfelle av potensiell svindel blir rapportert til oss, tilbyr vi vår hjelp til den berørte brukeren for å sikre miljøet. "Det sendte et tillegg til uttalelsen etter publisering:" For å være tydelig, er det ingen indikasjoner på at SWIFT-nettverket har noen gang blitt kompromittert."
