Det är en sak som är särskilt oroande med Indiens största bankhistoria: cyberbrott hade inget att göra det. Det finns inga namnlösa, osynliga tekniska genier som hackar sig in i datorsystem som ska klandras. Snarare var det korrupta anställda i en enda filial som använde SWIFT-nätverket (The Society for Worldwide Interbank Financial Telecommunication) som genomförde det i flera år.
I dagens dag är berättelsen om hacking konstigt tröstande. Det innebär inte att korruption går hela vägen, eller åtminstone, det betyder att det inte finns en fullständig uppdelning av banksystemets säkerhet. Kriminella gjorde helt enkelt vad kriminella gör. Alla kan skaka knytnävarna på teknik för att förändras i snabbhet och gå vidare. (Läs: Så fungerar SWIFT-systemet)
Nirav Modis svindel på 1, 8 miljarder dollar från Indiens näst största statliga långivare, Punjab National Bank (PNB.BO), är mycket mindre elegant.
Banken hade i sitt uttalande till utbyten sagt att de bedrägliga kreditbrev som gjorde det möjligt för diamanthandelsföretagen att utnyttja lån värda 1, 8 miljarder dollar ”gjordes av filialens tjänstemän genom SWIFT utan att få godkännande av den behöriga myndigheten, nödvändiga ansökningar från importören, dokument av import, juridisk dokumentation med bank och även utan att ange bankens handelsfinansmodul för CBS (kärnbankslösning). ”
PNB anklagade två anställda på juniornivå i sitt uttalande för att ha utfärdat olagliga brev och skickat SWIFT-meddelanden som inte registrerades i det interna systemet.
Vilket väcker frågan, är alla banker som använder SWIFT sårbara för denna typ av bedrägeri eller innebär PNB-ärendet en exceptionell grad av försumlighet eller samverkan?
SNABB
SWIFT-nätverket, som drivs av ett Bryssel-baserat konsortium och används av över 11 000 finansinstitut, har använts i bankhistorier tidigare.
Rysslands centralbank sade nyligen att hackare stal 6 miljoner dollar från en av landets banker med SWIFT-nätverket förra året. Hackarna tog kontroll över en dator i banken och använde den för att överföra pengar till sina egna konton. På liknande sätt, 2016, gjorde hackare bort med en iögonfallande $ 81 miljoner från centralbanken i Bangladesh genom att använda SWIFT-referenser för anställda. En ecuadorisk bank sa att den förlorade 12 miljoner dollar i en 2015-heist där cyberbrottslingarna använde SWIFT-koder.
SWIFT avvisade att ta något ansvar för sådana incidenter. I ett brev till bankkunder 2016 sade gruppen att bankerna endast är ansvariga för säkerheten i sina system. "Kunderna är ansvariga för alla meddelanden som är signerade med sina certifikat och naturligtvis för att skydda sina certifikat och se till att endast vederbörligen behöriga operatörer kan använda dem för att underteckna meddelanden, " sa en taleskvinna till Reuters vid den tiden. "SWIFT är inte, och kan inte vara, ansvarig för meddelanden som skapas bedrägligt inom kundföretag. ”
Gartner-analytiker och expert på finansiellt bedrägeri Avivah Litan har tidigare sagt att det var chockerande för henne att SWIFT förlitade sig så starkt på autentisering i stället för "mycket grundläggande kontroller av bedrägeri" som att leta efter onormala betalningsmottagare, leta efter fjärrkontotöverföring och leta efter onormal tillgång.
Men Modi-bedrägeriet skiljer sig mycket från dessa heists, för även om nya detaljer dyker upp dagligen, har banken inte påstått hacking och fokus har varit på insiders. En vecka sedan bedrägeriet först kom fram har sex anställda i Punjab National Bank arresterats av federala utredare. Den högsta rankningen av dessa är en man som ledde bankens Brady House-filial från 2009 till 2011.
Som att ta godis från en baby
Bankens förklaring till hur bokstäverna gavs utan upptäckt i flera år är att transaktionerna inte registrerades i dess interna system eftersom SWIFT inte var integrerad med det.
”Om inte kontrollmiljön var väldigt slapp eller det hade inträffat samverkan, skulle det vara svårt att bearbeta SWIFT-transaktioner som inte är auktoriserade och ingår i centralbank. Flera kontroller borde ha utlöst en varning, säger Rakesh Asthana, VD för World Informatix Cyber Security, vars företag hyrdes in för att övervaka utredningen av Bangladesh Banks heist.
Dessa kontroller inkluderar segregering av tullar - banker som använder SWIFT har vanligtvis en person som ingår i en transaktion, en separat person som godkänner transaktionen och en tredje person som verifierar alla transaktioner. Han sade också att PNB också kunde ha satt upp SWIFT Daily Validation Reports för att förena totaler och transaktioner varje morgon.
Men viktigast är att en banks system som inte är kopplat till SWIFT, som var fallet vid PNB, är mycket sällsynt i den globala finansvärlden, enligt Asthana.
Det är också frågan om hur transaktionerna passerade bankens revisorer.
"I slutändan är det också en kassaflödesfråga, " sade Asthana i ett e-postmeddelande till Investopedia. ”Så det är inte klart för mig vad de interna och externa revisorerna gjorde, om de var noggranna i sina granskningar. Om de hade några invändningar mot revisionen och ledningen inte agerade skulle det betyda en mycket större konspiration att gå upp i ledningskedjan. Detta behöver en fullständig utredning för att fastställa vem som visste vad när. ”
”All affärsverksamhet som bedrivs av banken granskas inte bara av bankens internrevisionsteam, utan också de samtidiga revisorerna som granskar en enda gren, det är chockerande att en sådan händelse gick obemärkt av inte bara revisorer, utan också av seniorbanken personal också ”, sa en anonym bankirer till Economic Times. "Revisioner tittar på de företag som godkänts för att göra affärer, de räkningar som finansieras, utfärda kreditbrev, kortfristiga finansieringsverktyg etc.
Forskningsanalytiker Deepak Shenoy från Capital Mind sade: ”På det sättet ser det ut som att den exanställda används som en syndabock. Det är troligt att många människor var med på den här saken. Och att det genererade enorma fettavgifter för PNB alla dessa år. ”
Händelsen har också uppmärksammat de olika tidigare bedrägerier som har inträffat vid PNB och Indiens andra nationaliserade banker. Information från Reserve Bank of India från Reuters visar att de statliga bankerna har rapporterat 8 670 fall av ”lånebedrägeri” på totalt 612, 6 miljarder rupier (9, 58 miljarder dollar) under de senaste fem budgetåren fram till 31 mars 2017. PNB toppade denna lista med 389 fall totalt 65, 62 miljarder rupier (1, 03 miljarder dollar) under de senaste fem budgetåren
Kan SWIFT göra mer?
SWIFT fungerar som ett komplext meddelandesystem och tar inte ansvar för det sätt på vilket bedrägeri kontroller genomförs av sina kunder.
"SWIFT kan göra några av de viktigaste elementen obligatoriska istället för att lämna det upp till kunder som har olika grader av kontroller och kunskap om cybersäkerhet, " sade Asthana när han frågade om nätverket kunde göra mer för att förhindra sådana dyra incidenter.
SWIFT har erkänt behovet av att åtminstone vara visselpipa i vissa fall. I april 2017 införde det ramverket för säkerhetsstyrning av kunder, som beskriver en uppsättning obligatoriska och rådgivande säkerhetskontroller för kunder. Bankerna ombads att självattestera sin nivå av efterlevnad i slutet av förra året, och SWIFT varnade för att de förbehåller sig rätten att informera finansiella tillsynsmyndigheter om de inte gör det. Pressmeddelandet som tillkännager att 89 procent av kunderna intygar att de uppfyller kraven nämns inte om finansiella tillsynsmyndigheter för de återstående 11 procenten har varnat sedan årets början. Från januari 2019 utvidgar det sin rätt att rapportera användare som inte har uppfyllt de mest avgörande säkerhetskontrollerna.
Det är viktigt att komma ihåg att i januari 2018 registrerade SWIFT i genomsnitt 30, 32 miljoner meddelanden per dag och används i 200 länder. Det är ett medlemsägt kooperativ och att se till att bankerna är mer disciplinerade skulle vara en herculean, dyra uppgift att fixa vad som väsentligen ruttnar i förvaltningen av enskilda banker det har lite att göra med, att skydda pengar för människor det inte fungerar för.
SWIFT: s rykte får en hit efter varje cyberbrott, men det finns många människor som tar skylden när det gäller det senaste PNB-bedrägeriet. Undersökningen tycks ha skrapat ytan på vad experter tycker är en mycket större konspiration, och frågor om bristen på tillsyn är i slutändan något som Punjab National Bank och Indiens regering kommer att behöva svara på. SWIFT gav PNB fler verktyg för att skydda sig själv, verktyg som tyvärr inte användes.
På tisdag släppte Reserve Bank of India ett uttalande som säger att de hade varnat och varnat bankerna om behovet av att förhindra all "potentiell skadlig användning av SWIFT-infrastrukturen" minst tre gånger sedan augusti 2016. Det har nu gett bankerna i uppdrag att genomföra föreskrivna åtgärder före en fastställd tidsfrist. Centralbanken har också skapat en kommitté för att undersöka "orsakerna till hög avvikelse som observerats i tillgångsklassificering och tillhandahållande av banker gentemot RBI: s tillsynsbedömning, och de steg som behövs för att förhindra det; faktorer som leder till en ökande förekomst av bedrägerier i banker och de åtgärder (inklusive IT-interventioner) som behövs för att bromsa och förhindra det, och rollen och effektiviteten hos olika typer av revisioner som genomförs i bankerna för att mildra förekomsten av sådana avvikelser och bedrägerier."
Investopedia räckte till SWIFT och fick följande uttalande: ”SWIFT kommenterar inte enskilda kunder eller enheter. När ett fall av potentiellt bedrägeri rapporteras till oss, erbjuder vi vår hjälp till den drabbade användaren för att hjälpa till att skydda sin miljö. ”Det skickade ett tillägg till uttalandet efter publicering:” För att vara tydlig finns det inget som tyder på att SWIFT-nätverket har någonsin varit kompromissa."
