インドの最大の銀行強盗について特に警戒していることが1つあります。サイバー犯罪はそれとは何の関係もありませんでした。 責められるべきコンピューターシステムにハッキングする、名前のない目に見えない技術の天才はいません。 それどころか、SWIFTネットワーク(世界銀行間金融通信協会)を使用して単一の支店の従業員を何年も破損させていました。
今日の日、ハッキングの物語は奇妙に慰めです。 汚職が最上位にまで及ぶことを意味するものではありません。少なくとも、銀行システムのセキュリティが完全に故障していないことを意味します。 犯罪者は単に犯罪者が行うことを行っていました。 誰もが猛烈なスピードで変化するための技術で拳を振って先に進むことができます。 (読む:SWIFTシステムの仕組み)
インドで2番目に大きい国営金融機関であるパンジャーブ国立銀行(PNB.BO)からの18億ドルのニラヴモディの詐欺は、はるかにエレガントではありません。
銀行は、ダイヤモンド商人の会社が18億ドル相当のローンを利用できるようにする不正な信用状は「管轄当局の承認を得ずにSWIFTを通じて支店の職員によって作成され、輸入業者から必要な申請書、書類銀行の輸入、法的文書、および銀行のCBSの貿易金融モジュール(コアバンキングソリューション)への入力なし。
PNBは、違法な手紙を発行し、内部システムに記録されていないSWIFTメッセージを送信したため、その声明で2人の下級従業員を非難しました。
SWIFTを使用しているすべての銀行は、この種の詐欺に対して脆弱ですか、それともPNBのケースには例外的な過失または共謀が関係していますか?
迅速
ブリュッセルに本拠を置くコンソーシアムによって運営され、11, 000を超える金融機関によって使用されているSWIFTネットワークは、これまで銀行強盗で使用されてきました。
ロシアの中央銀行は最近、ハッカーが昨年SWIFTネットワークを使用している国の銀行の1つから600万ドルを盗んだと述べました。 ハッカーは銀行のコンピューターを制御し、それを使用して自分の口座に送金しました。 同様に、2016年、ハッカーは従業員のSWIFT資格情報を使用して、バングラデシュの中央銀行から目を見張るような8100万ドルを手に入れました。 エクアドルの銀行は、サイバー犯罪者がSWIFTコードを使用した2015年の強盗で1200万ドルを失ったと述べました。
SWIFTは、このような事件に対する責任を拒否しました。 2016年の銀行顧客への手紙の中で、グループは銀行がシステムのセキュリティに対して単独で責任を負うと述べた。 「顧客は、証明書で署名されたすべてのメッセージに責任を負っています。もちろん、証明書を保護し、正当な権限を持つオペレーターのみがメッセージに署名できるようにすることを保証する責任があります。」 、顧客企業内で不正に作成されたメッセージに責任を負います。」
過去にガートナーのアナリストであり金融詐欺の専門家であるアビバリタンは、SWIFTが異常な受取人を探したり、リモートアカウントの乗っ取りを探したり、異常なアクセス。
しかし、Modi詐欺はこれらの強盗とは非常に異なります。なぜなら、新しい詳細が毎日出現しているにもかかわらず、銀行はハッキングを主張しておらず、インサイダーに焦点が当てられているからです。 詐欺が最初に明らかになってから1週間、パンジャブ国立銀行の6人の従業員が連邦捜査官によって逮捕されました。 これらの最高ランキングは、2009年から2011年にかけて銀行のBrady House支店長を務めた男性です。
キャンディを赤ちゃんから奪うような
銀行が何年も検出せずに手紙を送った方法についての銀行の説明は、SWIFTが統合されなかったため、取引が内部システムに記録されなかったというものです。
「制御環境が非常に緩い場合や共謀がなければ、承認されておらずコアバンキングに登録されていないSWIFTトランザクションを処理することは困難です。 World Informatix Cyber SecurityのCEOであるRakesh Asthana氏は、バングラデシュ銀行強盗の調査を監督するために会社が雇われたと述べました。
これらの管理には、職務の分離が含まれます。通常、SWIFTを使用する銀行には、1人が取引に参加し、別の人が取引を承認し、第三者がすべての取引を確認します。 彼はまた、PNBがSWIFT日次検証レポートを設定して、毎朝合計とトランザクションを調整することもできたと述べました。
しかし、最も重要なことは、PNBの場合のように、銀行のシステムがSWIFTにリンクされていないことは、アスタナによると、世界の金融業界では非常にまれです。
また、トランザクションが銀行の監査人をどのように通り過ぎたかという問題もあります。
「最終的にはキャッシュフローの問題でもあります」とAsthanaはInvestopediaへのメールで述べました。 「だから、内部監査員と外部監査員が何をしたのか、彼らが監査を徹底していたのかどうか、私にはわかりません。 監査に異議があり、経営陣が行動しなかった場合、それは管理チェーンを上るはるかに大きな陰謀を意味します。 これには、誰がいつ何を知っていたかを立証するための完全な調査が必要です。」
「銀行が行う事業活動はすべて、銀行の内部監査チームだけでなく、単一の支店を監査する同時監査員によっても監査されます。監査人だけでなく上級銀行もこのような事件に気づかなかったのは衝撃的です。スタッフも同様です」と、経済タイムズの匿名の銀行家は言いました。 「監査人は、事業を行うことを承認された企業、資金を提供する法案、発行された信用状、短期資金ツールなどを検討します。」
キャピタルマインドのリサーチアナリスト、ディーパックシェノイは、「一見、元従業員がスケープゴートとして使用されているようです。 多くの人がこのことについて考えていたようです。 そして、それがこの数年間、PNBに巨額の太った手数料を生み出したことを。」
この事件はまた、PNBやインドの他の国有化銀行で発生した過去のさまざまな詐欺にも注意を向けています。 ロイターが取得したインド準備銀行のデータによると、国営銀行は、2017年3月31日までの過去5会計年度で、合計8, 126億ルピー(95億8, 000万ドル)の8, 670件の「ローン詐欺」事件を報告しています。過去5会計年度で656.2億ルピー(10億3000万ドル)
SWIFTはもっとできますか?
SWIFTは複雑なメッセージングシステムのように動作し、顧客による不正制御の実施方法に責任を負いません。
「SWIFTは、さまざまな程度の制御とサイバーセキュリティの知識を持っている顧客に任せるのではなく、いくつかの重要な要素を必須にすることができます」とAsthana氏は述べました。
SWIFTは、場合によっては少なくとも内部告発者である必要性を認識しています。 2017年4月に、Customer Security Controls Frameworkを導入しました。このフレームワークでは、一連の必須およびアドバイザリのセキュリティ制御が顧客に説明されています。 銀行は、昨年末までにコンプライアンスのレベルを自己証明するように求められました。SWIFTは、そうでない場合、財務監督者に通知する権利を留保していると警告しました。 プレスリリースでは、89%の顧客がコンプライアンスを証明し、残りの11%の財務監督者が今年の初めから警告を受けているかどうかについて言及していません。 2019年1月から、最も重要なセキュリティ制御を順守しなかったユーザーを報告する権利を拡大します。
2018年1月に、SWIFTが1日あたり平均3032万のメッセージを記録し、200か国で使用されていることを覚えておくことが重要です。 それは会員制の協同組合であり、銀行がより規律あることを確認することは、それがほとんど役に立たない個々の銀行の管理で本質的に腐敗していることを修正し、それが働かない人々のお金を保護するための非常に高価な作業になるでしょうにとって。
SWIFTの評判はあらゆるサイバー犯罪の後に打撃を受けますが、最新のPNB詐欺に関しては多くの人々が責任を負います。 調査は専門家がはるかに大きな陰謀であると考えるものの表面を引っ掻いたように見え、監視の欠如に関する質問は最終的にパンジャブ国立銀行とインド政府が答えなければならないものです。 SWIFTは、残念ながら使用されていないツールを保護するためのより多くのツールをPNBに提供しました。
火曜日、インド準備銀行は、2016年8月以降、「SWIFTインフラストラクチャの悪意のある使用の可能性」を防止する必要があることを銀行に警告し、警告したとの声明を発表しました。規定の期限までの措置。 中央銀行はまた、「銀行による資産の分類とプロビジョニングでRBIの監督上の評価に関して観察された高度な乖離の理由、およびそれを防ぐために必要な手順;の発生率を高める要因銀行の詐欺と、それを抑制および防止するために必要な措置(IT介入を含む)、およびそのような相違と詐欺の発生を軽減するために銀行で実施されるさまざまな種類の監査の役割と有効性。
InvestopediaはSWIFTに連絡し、次の声明を受け取りました。「SWIFTは個々の顧客またはエンティティについてコメントしていません。 詐欺の可能性のあるケースが報告された場合、影響を受けるユーザーに環境を保護するための支援を提供します。」公開後、声明に追加情報を送信しました。「明確にするために、SWIFTネットワークが侵害されたことはありません。」