Hindistan'ın en büyük bankacılık soygunu hakkında özellikle endişe verici bir şey var: siber suçun yapacak hiçbir şeyi yoktu. Suçlanacak bilgisayar sistemlerine giren isimsiz, görünmez teknoloji dehaları yoktur. Aksine, yıllarca yürüten SWIFT ağını (Dünya Çapında Bankalararası Finansal Telekomünikasyon Topluluğu) kullanan tek bir şubedeki yolsuz çalışanlardı.
Günümüzde, hacklemenin anlatımı tuhaf bir şekilde rahatlatıcı. Yolsuzluğun en tepeye çıktığı anlamına gelmez, ya da en azından, bankacılık sisteminin güvenliğinin tamamen çökmediği anlamına gelir. Suçlular sadece suçluların yaptıklarını yapıyorlardı. Herkes en yüksek hızda değiştirmek ve hareket etmek için teknolojide yumruklarını sallayabilir. (Okuyun: SWIFT Sistemi Nasıl Çalışır)
Nirav Modi'nin Hindistan'ın en büyük ikinci devlet borç veren Pencap Ulusal Bankası'ndan (PNB.BO) 1.8 milyar dolarlık dolandırıcılığı çok daha az zarif.
Banka, borsada yaptığı açıklamada, elmas tüccar şirketlerinin 1.8 milyar dolarlık kredilerden faydalanmasına neden olan hileli akreditiflerin “yetkili makamın onayı alınmadan şube yetkilileri tarafından SWIFT aracılığıyla yapıldığını, İthalatçının gerekli uygulamalarını, belgeler Bankanın CBS ticaret finans modülüne (temel bankacılık çözümü) giriş yapmadan ithalat, yasal belgelerin banka ile
PNB, yasadışı mektuplar yayınlamak ve dahili sisteme kaydedilmemiş SWIFT mesajlarını göndermek için yaptığı açıklamada iki küçük düzeydeki çalışanı suçladı.
Hangi soruyu gündeme getiriyor ki, SWIFT kullanan tüm bankalar bu tür sahtekarlıklara karşı savunmasız mıdır yoksa PNB vakası istisnai bir ihmal veya muhalif seviye içeriyor mu?
SWIFT
Brüksel merkezli bir konsorsiyum tarafından işletilen ve 11.000'den fazla finans kurumu tarafından kullanılan SWIFT ağı, daha önce banka soygunlarında kullanılmıştır.
Rusya merkez bankası geçtiğimiz günlerde bilgisayar korsanlarının geçen yıl SWIFT ağını kullanan ülke bankalarından birinden 6 milyon dolar çaldığını söyledi. Bilgisayar korsanları bankadaki bir bilgisayarın kontrolünü ele geçirdi ve kendi hesaplarına para aktarmak için kullandı. Benzer şekilde, 2016 yılında hackerlar, Bangladeş merkez bankasından çalışanların SWIFT kimlik bilgilerini kullanarak 81 milyon dolarlık göz kamaştırdı. Ekvador bankası, siber suçluların SWIFT kodlarını kullandığı 2015 soygununda 12 milyon dolar kaybettiğini söyledi.
SWIFT bu gibi olaylardan herhangi bir sorumluluk almayı reddetti. 2016 yılında banka müşterilerine yazdığı bir mektupta grup, bankaların sistemlerinin güvenliğinden yalnızca sorumlu olduğunu söyledi. Bir sözcü Reuters'e verdiği demeçte, "Müşteriler, sertifikalarıyla imzalanan tüm iletilerden ve elbette sertifikalarını korumaktan ve yalnızca usulüne uygun olarak yetkilendirilmiş operatörlerin iletileri imzalamak için kullanmasını sağlamaktan sorumludur." Dedi., müşteri firmalarında hileli bir şekilde oluşturulan mesajlardan sorumludur. ”
Gartner analisti ve finansal sahtekarlık uzmanı Avivah Litan geçmişte SWIFT'nin anormal alacaklılar aramak, uzaktan hesap devralma aramak ve aramak gibi “çok sahtekarlık sahtekarlığı kontrolleri” yerine kimlik doğrulamasına çok fazla güven duyduğunu söylemişti. olağandışı erişim.
Ancak Modi sahtekarlığı bu soygunlardan çok farklıdır, çünkü günlük olarak yeni ayrıntılar ortaya çıkmasına rağmen, banka hacklendiğini iddia etmemiştir ve odak içeriden öğrenenler olmuştur. Dolandırıcılığın ilk ortaya çıkmasından bir hafta sonra, Pencap Ulusal Bankası'nın altı çalışanı federal soruşturmacılar tarafından tutuklandı. Bunların en yüksek derecesi, 2009-2011 yılları arasında bankanın Brady House şubesine başkanlık eden bir adamdır.
Bir Bebekten Şeker Almak Gibi
Bankanın yıllarca tespit edilmeden mektupların nasıl verildiğine ilişkin açıklaması, SWIFT ile entegre olmadığı için işlemlerin dahili sistemine kaydedilmemesidir.
“Kontrol ortamı çok gevşek olmadığı veya bir anlaşma olmadığı sürece, yetkilendirilmemiş ve ana bankacılığa girilen SWIFT işlemlerini işlemek zor olacaktır. Çeşitli kontroller bir uyarıyı tetiklemeliydi ”dedi. Şirketi Bangladeş Bankası soygununun soruşturmasını denetlemek üzere işe alınan World Informatix Cyber Security CEO'su Rakesh Asthana.
Bu kontroller, görevlerin ayrılmasını içerir - SWIFT kullanan bankalarda genellikle bir işleme giren bir kişi, işlemi onaylayan ayrı bir kişi ve tüm işlemleri doğrulayan üçüncü bir kişi bulunur. Ayrıca PNB'nin, her sabah toplamları ve işlemleri uzlaştırmak için SWIFT Günlük Doğrulama Raporları oluşturabileceğini söyledi.
Ancak en önemlisi, bir bankanın sistemi, PNB'de olduğu gibi SWIFT ile bağlantılı olmayan küresel finans dünyasında çok nadirdir.
İşlemlerin bankanın denetçilerini nasıl geçtiğine dair bir soru da var.
“Nihayetinde bu aynı zamanda bir nakit akışı sorunu, ” dedi Asthana Investopedia'ya bir e-posta ile. “Bu yüzden iç ve dış denetçilerin denetimlerinde ayrıntılı olup olmadıklarını net olarak bilmiyorum. Herhangi bir denetim itirazları varsa ve yönetim hareket etmediyse, bu daha büyük bir komplo yönetim zincirinin yukarı çıktığı anlamına gelir. Kimin ne zaman ne olduğunu bilmesi için bunun tam bir soruşturmaya ihtiyacı var. ”
“Banka tarafından üstlenilen her türlü iş faaliyeti sadece bankanın iç denetim ekibi tarafından değil, aynı zamanda tek bir şubeyi denetleyen eşzamanlı denetçiler tarafından denetlenir, böyle bir olayın sadece denetçiler tarafından değil, aynı zamanda üst düzey banka tarafından da fark edilmemesi şaşırtıcıdır. personel de ”dedi. “Denetimler, iş yapmak için onaylanan şirketlere, finanse edilen faturalara, verilen akreditiflere, kısa vadeli fonlama araçlarına vb. Bakar.”
Capital Mind'in Araştırma Analisti Deepak Shenoy, “Görünüşe göre eski çalışan bir günah keçisi olarak kullanılıyor gibi görünüyor. Muhtemelen bu konuda birçok insan vardı. Ve bu yıllar boyunca PNB için büyük, yağ ücretleri ürettiğini söyledi. ”
Olay, PNB ve Hindistan'ın diğer kamulaştırılmış bankalarında meydana gelen çeşitli sahtekarlıklara da dikkat çekti. Reuters tarafından elde edilen Hindistan Merkez Bankası verileri, devlet bankalarının 31 Mart 2017 tarihine kadar son beş mali yılda 612, 6 milyar rupi (9, 58 milyar $) toplam 8.670 "kredi dolandırıcılığı" vakası rapor ettiğini göstermektedir. Son beş mali yılda 65.62 milyar rupi (1.03 milyar $)
SWIFT Daha Fazlasını Yapabilir mi?
SWIFT karmaşık bir mesajlaşma sistemi gibi çalışır ve sahtekarlık kontrollerinin müşterileri tarafından nasıl uygulanacağı konusunda sorumluluk kabul etmez.
“SWIFT, değişen derecelerde kontrollere ve siber güvenlik bilgisine sahip müşterilere bırakmak yerine bazı önemli unsurları zorunlu kılabilir, ” dedi Asthana, ağın bu tür pahalı olayları önlemek için daha fazlasını yapıp yapamayacağını sordu.
SWIFT bazı durumlarda en azından ihbarcı olma ihtiyacını kabul etti. Nisan 2017'de, müşteriler için bir dizi zorunlu ve danışmanlık güvenlik kontrolünü açıklayan Müşteri Güvenlik Kontrolleri Çerçevesini tanıttı. Bankalardan, uyumluluk düzeylerini geçen yılın sonuna kadar kendilerinin kanıtlamaları istendi ve SWIFT, mali denetçilere bunu yapmadığı takdirde bilgi verme hakkını saklı olduğu konusunda uyardı. Müşterilerin yüzde 89'unun uyumluluklarını doğruladığını açıklayan basın bülteni, kalan yüzde 11'in mali denetçilerinin yıl başından bu yana uyarıldığından bahsetmiyor. Ocak 2019'dan itibaren, en önemli güvenlik denetimlerine uymayan kullanıcıları raporlama hakkını genişletiyor.
Ocak 2018'de SWIFT'in günde ortalama 30.32 milyon mesaj kaydettiğini ve 200 ülkede kullanıldığını hatırlamak önemlidir. Üye bir kooperatiftir ve bankaların daha disiplinli olduğundan emin olmak, çok az olduğu bireysel bankaların yönetiminde çürük olanı düzeltmek, işe yaramayan insanların parasını korumak için çok pahalı, pahalı bir görev olacaktır. için.
SWIFT'in itibarı her siber suçtan sonra bir darbe alıyor, ancak en son PNB sahtekarlığı söz konusu olduğunda suçu alacak çok insan var. Soruşturma, uzmanların çok daha büyük bir komplo olduğunu düşündüklerinin yüzeyini çizdi ve gözetim eksikliğiyle ilgili sorular sonuçta Pencap Ulusal Bankası ve Hindistan hükümetinin cevaplaması gereken bir şey. SWIFT, PNB'ye kendini korumak için maalesef kullanılmayan araçlar sağladı.
Salı günü, Hindistan Merkez Bankası, 2016 yılının Ağustos ayından bu yana en az üç kez "SWIFT altyapısının potansiyel kötü amaçlı kullanımını" önleme gereği konusunda bankaları uyardığını ve uyardığını belirten bir bildiri yayınladı. öngörülen bir son tarihten önce önlemler. Merkez bankası ayrıca, “RBI'nin denetim değerlendirmesi karşısında bankalar tarafından varlık sınıflandırması ve provizyonunda gözlenen yüksek ayrışmanın nedenlerini ve bunu önlemek için gerekli adımları; artan insidansa yol açan faktörleri incelemek için bir komite oluşturmuştur. bankalardaki sahtekarlıklar ve bunun önlenmesi ve önlenmesi için gereken önlemler (BT müdahaleleri dahil) ve bankalarda bu tür farklılaşma ve sahtekarlıkların görülme sıklığının azaltılmasındaki çeşitli denetim türlerinin rolü ve etkinliği."
Investopedia SWIFT'e ulaştı ve şu ifadeyi aldı: “SWIFT bireysel müşteriler veya varlıklar hakkında yorum yapmıyor. Potansiyel bir sahtekarlık durumu bize bildirildiğinde, etkilenen kullanıcıya ortamını korumaya yardımcı olmak için yardımımızı sunuyoruz. ”Yayınlandıktan sonra ifadeye bir ek gönderdi:“ Açıkça söylemek gerekirse, SWIFT ağının hiç ödün vermedim. ”