Как масштабное мошенничество в Punjab National Bank вскрывает уязвимости системы SWIFT

Одним из самых тревожных аспектов крупнейшего банковского мошенничества в истории Индии является то, что оно не связано с киберпреступностью. Виновниками оказались не безликие хакеры, а коррумпированные сотрудники одного филиала, которые на протяжении нескольких лет использовали сеть SWIFT (Общество всемирных межбанковских финансовых телекоммуникаций) для проведения незаконных операций.

Сегодня многие воспринимают взломы как нечто привычное и даже утешительное — это не означает коррупцию на высших уровнях или полный провал системы безопасности банков. Преступники просто действовали по своим правилам, а технология лишь менялась слишком быстро, чтобы все успевали за ней следить.

Однако мошенничество Нирава Моди на сумму 1,8 миллиарда долларов в Punjab National Bank (PNB), втором по величине государственном банке Индии, выглядит куда более серьезным.

Банк в своем заявлении сообщил, что поддельные аккредитивы, позволившие компаниям Моди получить кредиты на эту сумму, были созданы сотрудниками филиала через SWIFT без одобрения компетентных органов, без необходимых заявок от импортера, без подтверждающих документов и без внесения записей в основную банковскую систему.

PNB возложил ответственность на двух младших сотрудников, которые выпустили незаконные письма и отправили сообщения SWIFT, не зарегистрированные в внутренней системе банка.

Возникает вопрос: насколько уязвимы к подобным мошенничествам другие банки, использующие SWIFT, или же случай PNB — исключение, обусловленное серьезной халатностью или сговором?

Система SWIFT

SWIFT — это сеть, управляемая консорциумом в Брюсселе и используемая более чем 11 000 финансовыми учреждениями по всему миру. Она уже становилась инструментом для краж в банках.

Так, Центральный банк России сообщил о хищении 6 миллионов долларов в прошлом году через SWIFT, когда злоумышленники получили контроль над компьютером банка и перевели средства на свои счета. В 2016 году хакеры похитили 81 миллион долларов из Центрального банка Бангладеш, используя учетные данные сотрудников SWIFT. Эквадорский банк потерял 12 миллионов долларов в 2015 году при аналогичной атаке.

SWIFT не признает своей ответственности за такие инциденты, подчеркивая, что безопасность систем лежит на банках. Представитель организации заявил Reuters в 2016 году, что клиенты отвечают за все сообщения, подписанные их сертификатами, и за защиту этих сертификатов, а SWIFT не несет ответственности за мошеннические сообщения, созданные внутри клиентских компаний.

Аналитик Gartner и эксперт по финансовому мошенничеству Авива Литан отмечала, что удивительно, насколько SWIFT полагается на аутентификацию, а не на базовые меры обнаружения мошенничества, такие как выявление аномальных получателей и подозрительных действий.

Однако мошенничество Моди отличается тем, что не было заявлено о взломе системы — все указывает на участие инсайдеров. За неделю после раскрытия дела были арестованы шесть сотрудников PNB, включая бывшего руководителя филиала Brady House.

Уязвимость системы и внутренний контроль

PNB объяснил, что незаконные операции не были обнаружены, так как SWIFT не был интегрирован с внутренней банковской системой, и данные операции не регистрировались.

Ракеш Астхана, глава компании World Informatix Cyber Security, привлекшейся для расследования кражи в банке Бангладеш, отметил, что при нормальных условиях контроля и отсутствии сговора было бы сложно провести такие несанкционированные операции без срабатывания систем оповещения.

Обычно в банках, использующих SWIFT, существуют разделение обязанностей — один сотрудник вводит транзакцию, другой ее одобряет, а третий проверяет. Также можно настроить ежедневные отчеты для сверки операций.

Однако отсутствие интеграции SWIFT с основной системой банка, как в PNB, является редкостью в мировом финансовом секторе.

Также вызывает вопросы, как такие операции прошли аудит. Если внутренние и внешние аудиторы не выявили нарушения, возможно, речь идет о более широкой коррупционной цепочке, требующей тщательного расследования.

Анонимный банкир отметил, что такие инциденты не должны оставаться незамеченными ни аудиторами, ни руководством банка, поскольку проверки охватывают одобренные компании, финансируемые счета и выданные аккредитивы.

Аналитик Deepak Shenoy из Capital Mind предположил, что одного сотрудника делают козлом отпущения, в то время как в мошенничестве могли участвовать многие, а банк получал значительные комиссионные.

Случай привлек внимание к другим мошенничествам в PNB и национальных банках Индии. По данным Центрального банка Индии, за последние пять лет государственные банки зарегистрировали 8 670 случаев мошенничества с кредитами на сумму около 9,58 миллиарда долларов, при этом PNB лидирует с 389 случаями на сумму около 1,03 миллиарда долларов.

Может ли SWIFT усилить защиту?

SWIFT функционирует как сложная система обмена сообщениями и не несет ответственности за меры безопасности, внедряемые клиентами.

Астхана считает, что SWIFT мог бы сделать некоторые ключевые элементы обязательными, а не оставлять это на усмотрение клиентов с разным уровнем контроля и знаний в области кибербезопасности.

В апреле 2017 года SWIFT представил Customer Security Controls Framework — набор обязательных и рекомендательных мер безопасности для клиентов. Банки должны были подтвердить соответствие этим требованиям к концу прошлого года, а SWIFT предупредил о возможности информирования финансовых регуляторов в случае несоблюдения.

С января 2019 года SWIFT расширил право сообщать о нарушениях ключевых мер безопасности.

Важно отметить, что в январе 2018 года SWIFT обрабатывал в среднем 30,32 миллиона сообщений в день и используется в 200 странах. Организация является кооперативом, принадлежащим членам, и обеспечение дисциплины во всех банках — сложная и дорогостоящая задача.

Репутация SWIFT страдает после каждого инцидента, но в случае с мошенничеством в PNB основная ответственность лежит на самом банке и индийских властях. SWIFT предоставил инструменты защиты, которые, к сожалению, не были использованы.

Резервный банк Индии заявил, что с августа 2016 года не менее трех раз предупреждал банки о необходимости предотвращения возможного злоупотребления инфраструктурой SWIFT и обязал их внедрить необходимые меры безопасности. Также создана комиссия для изучения причин мошенничества и эффективности аудитов.

SWIFT в ответ на запрос Investopedia подчеркнул, что не комментирует дела отдельных клиентов, но предлагает помощь при выявлении потенциального мошенничества и заявил, что нет никаких свидетельств компрометации самой сети SWIFT.

Ознакомьтесь с последними новостями и актуальными событиями в категории Новости рынков на дату 25-02-2018. Статья под заголовком "Как масштабное мошенничество в Punjab National Bank вскрывает уязвимости системы SWIFT" предоставляет наиболее релевантную и достоверную информацию в области Новости рынков. Каждая новость тщательно проанализирована, чтобы дать ценную информацию нашим читателям.

Информация в статье " Как масштабное мошенничество в Punjab National Bank вскрывает уязвимости системы SWIFT " поможет вам принимать более обоснованные решения в категории Новости рынков. Наши новости регулярно обновляются и соответствуют журналистским стандартам.