Hi ha una cosa que és particularment alarmant sobre el major descarat bancari de l'Índia: la criminalitat cibernètica no tenia res a fer. No hi ha culpabilitzacions de pirates informàtics i invisibles de pirates informàtics en sistemes informàtics. Més aviat, es tractava d'empleats corruptes d'una sola branca mitjançant la xarxa SWIFT (The Society for Worldwide Interbank Financial Telecommunication) qui la va dur a terme durant anys.
En l’actualitat, la narració de la pirateria és estranyament reconfortant. No implica que la corrupció vagi fins a una part superior o, almenys, significa que no hi ha un desglossament complet de la seguretat del sistema bancari. Els criminals simplement feien el que fan els delinqüents. Cadascú pot sacsejar el puny a la tecnologia per canviar a la velocitat i seguir endavant. (Llegiu: Com funciona el sistema SWIFT)
Molt menys elegant, l’objectiu de Nirav Modi, d’1, 8 mil milions de dòlars, procedent del segon major prestador estatal de l’Índia, el Banc Nacional de Punjab (PNB.BO).
El banc havia dit en la seva declaració als intercanvis que les cartes de crèdit fraudulentes que permetien a les empreses del comerciant de diamants disposar de préstecs per valor de 1.800 milions de dòlars eren "fets pels oficials de la sucursal mitjançant SWIFT sense obtenir l'aprovació de l'autoritat competent, les sol·licituds necessàries de l'importador, documents d’importació, documentació legal amb banc i també sense fer inscripcions al mòdul de finançament comercial de CBS del banc (solució bancària bàsica)."
PNB va culpar a dos empleats del primer nivell en la seva declaració d'emetre les cartes il·legals i enviar els missatges SWIFT que no es gravaven al sistema intern.
El que planteja la qüestió: tots els bancs que utilitzen SWIFT són vulnerables a aquest tipus de frau o el cas PNB comporta un nivell excepcional de negligència o col·lusió?
RÀPID
La xarxa SWIFT, operada per un consorci amb seu a Brussel·les i utilitzada per més d’11.000 institucions financeres, s’ha utilitzat abans en els seus bancs.
El banc central de Rússia va dir recentment que els hackers van robar 6 milions de dòlars a un dels bancs del país mitjançant la xarxa SWIFT l'any passat. Els pirates informàtics van agafar el control d’un ordinador al banc i el van utilitzar per transferir diners als seus propis comptes. De la mateixa manera, el 2016, els pirates informàtics van fer desaparèixer 81 milions de dòlars al banc central de Bangla Desh mitjançant les credencials SWIFT dels empleats. Un banc ecuatoriano va dir que va perdre 12 milions de dòlars en un maldecap del 2015 on els ciberdelinqüents van utilitzar codis SWIFT.
SWIFT va rebutjar assumir cap responsabilitat per aquests incidents. En una carta als clients bancaris el 2016, el grup va dir que els bancs són els únics responsables de la seguretat dels seus sistemes. "Els clients són responsables de tots els missatges signats amb els seus certificats i, per descomptat, de protegir els certificats i assegurar-se que només els operadors degudament autoritzats poden utilitzar-los per signar missatges", va dir en aquest moment una portaveu a Reuters. "SWIFT no ho és i no pot ser, responsable dels missatges que es creen fraudulentament a les empreses de clients."
L’analista de Gartner i expert en fraus financers, Avivah Litan, va dir en el passat que li va resultar impactant que SWIFT confiava tan intensament en l’autenticació en lloc de “controls bàsics de detecció de fraus” com buscar beneficis anormals, cercar la presa de comptes remota i buscar accés anormal.
Però el frau de Modi és molt diferent d’aquests atacs, perquè tot i que diàriament sorgeixen nous detalls, el banc no ha al·legat pirateria i l’atenció s’ha centrat en els privilegiats. Una setmana des que va sortir a la llum el frau, sis empleats del Banc Nacional de Punjab han estat detinguts per investigadors federals. El màxim rànquing és un home que va dirigir la sucursal Brady House del banc des del 2009 fins al 2011.
Com agafar caramels d’un bebè
L’explicació del banc sobre com es van lliurar les cartes sense detecció durant anys és que les transaccions no es van registrar al seu sistema intern perquè SWIFT no estava integrat amb ell.
“A menys que l’entorn de control fos molt dèbil o hi hagués col·lusió, seria difícil processar transaccions SWIFT que no estiguin autoritzades i entrin en banca bàsica. Diversos controls haurien d'haver desencadenat una alerta ", va dir Rakesh Asthana, director general de Informatix Cyber Security, la companyia va ser contractada per supervisar la investigació del banc del Bangla Desh.
Aquests controls inclouen la segregació d’obligacions: els bancs que utilitzen SWIFT solen tenir una persona que entra en una transacció, una persona independent que aprova la transacció i una tercera persona que verifica totes les transaccions. També va dir que PNB també podria haver configurat informes de validació diària SWIFT per conciliar els total de les transaccions i cada matí.
Però el més important és que el sistema bancari no està vinculat a SWIFT, com va ser el cas del PNB, és molt rar al món financer mundial, segons Asthana.
També hi ha la qüestió de com les transaccions van passar pels auditors del banc.
"En última instància, també és un problema de flux de caixa", va dir Asthana en un missatge de correu electrònic a Investopedia. "Per tant, no està clar per a mi què van fer els auditors interns i externs, si van estar a fons en les seves auditories. Si tinguessin objeccions d'auditoria i la direcció no actués, el que suposaria una conspiració molt més gran pujava a la cadena de direcció. Cal tenir una investigació completa per establir qui sabia quan. ”
"Qualsevol activitat empresarial realitzada pel banc no només és auditat per l'equip d'auditoria interna del banc, sinó també pels auditors simultanis que auditen una sola sucursal, és sorprenent que un incident així passés desapercebut no només pels auditors, sinó també pel banc major. el personal també ", va dir un banquer anònim a l'Economia del Temps. "Les auditories tenen en compte les empreses autoritzades per fer negocis, les factures que es financen, cartes de crèdit emeses, eines de finançament a curt termini, etc."
L’analista d’investigacions Deepak Shenoy de Capital Mind va dir: “En aquest aspecte, sembla que l’exempleat s’està utilitzant com a boc expiatori. És probable que molta gent hi hagi participat. I això va generar comissions massives i greixos per al PNB durant tots aquests anys."
L'incident també ha cridat l'atenció sobre els diversos fraus anteriors que hi ha hagut al PNB i als altres bancs nacionalitzats de l'Índia. Les dades obtingudes per Reuters del Banc del Reserva mostren que els bancs estatals han reportat 8.670 casos de “frau de préstec” per un total de 6.126 mil milions de rupies (9.58 mil milions de dòlars) durant els últims cinc exercicis fins al 31 de març del 2017. El PNB va superar aquesta llista amb 389 casos totalitzats. 65.62 mil milions de rupies (1.03 milions de dòlars) durant els últims cinc exercicis
SWIFT podria fer-ne més?
SWIFT funciona com un complex sistema de missatgeria i no es responsabilitza de la forma en què els clients hi posen en marxa els controls de frau.
"SWIFT pot fer que alguns dels elements clau siguin obligatoris en lloc de deixar-los a disposició dels clients que tenen diversos graus de controls i coneixements de ciberseguretat", va dir Asthana quan se li va preguntar si la xarxa podria fer més coses per evitar prevenir aquests costos.
SWIFT ha reconegut la necessitat de ser almenys el denunciant en alguns casos. A l’abril del 2017, va introduir el Framework de control de seguretat del client, que descriu un conjunt de controls de seguretat obligatoris i d’assessorament per als clients. Es va demanar als bancs que avaluessin el seu nivell de compliment a finals de l'any passat, i SWIFT va advertir que es reserva el dret d'informar els supervisors financers si no ho fan. El comunicat de premsa que anuncia que el 89 per cent dels clients va comprovar la seva conformitat no esmenta si s'ha avisat des dels primers anys de l'any un supervisor financer de l'11 per cent restant. Des de gener de 2019, amplia el seu dret a informar els usuaris que no han complert els controls de seguretat més crucials.
És important recordar que el gener del 2018, SWIFT va registrar una mitjana de 30, 32 milions de missatges diaris i s’utilitza a 200 països. És una cooperativa de propietat membre i assegurar-se que els bancs estiguin més disciplinats seria una tasca hercúlia i costosa per arreglar allò que fonamentalment es podreix en l’administració de bancs individuals amb què té poc a veure, per protegir els diners de les persones que no funciona. per.
La reputació de SWIFT té un èxit després de tots els ciber delictes, però hi ha molta gent que culpa quan es tracta del darrer frau del PNB. Sembla que la investigació acaba de ratllar la superfície del que els experts creuen que és una conspiració molt més gran i les qüestions sobre la falta de supervisió són alguna cosa que el Banc Nacional de Punjab i el govern de l'Índia hauran de respondre. SWIFT va proporcionar a PNB més eines per protegir-se, eines que malauradament no es van utilitzar.
El Banc de la Reserva de l’Índia va publicar aquest dimarts un comunicat dient que havia advertit i alertat els bancs sobre la necessitat d’evitar qualsevol “ús maliciós potencial de la infraestructura SWIFT” almenys tres vegades des de l’agost de 2016. Ara ha obligat els bancs a implementar les prescripcions. mesures abans d’un termini estipulat. El banc central també ha creat un comitè per estudiar "els motius de l'elevada divergència observada en la classificació i aprovisionament d'actius per part dels bancs respecte a l'avaluació supervisora del RBI, i els passos necessaris per prevenir-ne els factors que condueixen a una incidència creixent de els fraus als bancs i les mesures (incloses les intervencions informàtiques) necessàries per frenar-lo i prevenir-lo; i el paper i l'eficàcia de diversos tipus d'auditories realitzades als bancs per mitigar la incidència de tal divergència i fraus."
Investopedia va contactar a SWIFT i va rebre la declaració següent: “SWIFT no fa comentaris sobre clients o entitats individuals. Quan se'ns informa un cas de frau potencial, oferim la nostra assistència a l'usuari afectat per ajudar a protegir el seu entorn ". Va enviar un comunicat a la declaració després de la publicació:" Per ser clar, no hi ha cap indicació que la xarxa SWIFT tingui mai ha estat compromesa."
