Ada satu hal yang sangat mengkhawatirkan perampokan perbankan terhebat di India: kejahatan dunia maya tidak ada hubungannya. Tidak ada jenius teknologi tak bernama yang meretas ke dalam sistem komputer untuk disalahkan. Sebaliknya, itu adalah karyawan yang korup di satu cabang menggunakan jaringan SWIFT (Masyarakat untuk Telekomunikasi Keuangan Antar Bank Seluruh Dunia) yang melakukannya selama bertahun-tahun.
Pada hari ini, narasi peretasan anehnya menghibur. Ini tidak menyiratkan korupsi berjalan sampai ke puncak, atau setidaknya, itu berarti tidak ada gangguan keamanan sistem perbankan. Penjahat hanya melakukan apa yang dilakukan penjahat. Setiap orang dapat mengacungkan tinju mereka pada teknologi untuk berubah dengan kecepatan sangat tinggi dan terus maju. (Baca: Bagaimana Sistem SWIFT Bekerja)
Tipuan Nirav Modi sebesar $ 1, 8 miliar dari pemberi pinjaman terbesar kedua yang dikelola pemerintah India, Punjab National Bank (PNB.BO), jauh lebih tidak elegan.
Bank telah mengatakan dalam pernyataannya untuk bertukar bahwa surat kredit palsu yang memungkinkan perusahaan pedagang berlian memanfaatkan pinjaman senilai $ 1, 8 miliar “dibuat oleh pejabat cabang melalui SWIFT tanpa mendapatkan persetujuan dari otoritas yang berwenang, aplikasi yang diperlukan dari Importir, dokumen impor, dokumentasi hukum dengan bank dan juga tanpa membuat entri dalam modul keuangan perdagangan Bank CBS (solusi perbankan inti)."
PNB menyalahkan dua karyawan tingkat junior dalam pernyataannya karena menerbitkan surat-surat ilegal dan mengirim pesan SWIFT yang tidak direkam pada sistem internal.
Yang menimbulkan pertanyaan, apakah semua bank yang menggunakan SWIFT rentan terhadap penipuan semacam ini atau apakah kasus PNB melibatkan tingkat kelalaian atau kolusi yang luar biasa?
CEPAT
Jaringan SWIFT, yang dioperasikan oleh konsorsium yang berbasis di Brussels dan digunakan oleh lebih dari 11.000 lembaga keuangan, telah digunakan dalam perampokan bank sebelumnya.
Bank sentral Rusia baru-baru ini mengatakan peretas mencuri $ 6 juta dari salah satu bank negara itu menggunakan jaringan SWIFT tahun lalu. Para peretas mengambil kendali atas sebuah komputer di bank dan menggunakannya untuk mentransfer uang ke rekening mereka sendiri. Demikian pula, pada tahun 2016, para peretas mengambil alih $ 81 juta dari bank sentral Bangladesh dengan menggunakan kredensial karyawan SWIFT. Sebuah bank Ekuador mengatakan kehilangan $ 12 juta dalam pencurian tahun 2015 di mana para penjahat cyber menggunakan kode SWIFT.
SWIFT menolak untuk bertanggung jawab atas insiden tersebut. Dalam sebuah surat kepada pelanggan bank pada tahun 2016, grup tersebut mengatakan bahwa bank bertanggung jawab penuh atas keamanan sistem mereka. "Pelanggan bertanggung jawab atas semua pesan yang ditandatangani dengan sertifikat mereka dan, tentu saja, untuk melindungi sertifikat mereka dan memastikan hanya operator yang berwenang yang dapat menggunakannya untuk menandatangani pesan, " kata seorang juru bicara kepada Reuters pada saat itu. "SWIFT tidak, dan tidak dapat, bertanggung jawab atas pesan yang dibuat secara curang dalam perusahaan pelanggan."
Analis Gartner dan pakar penipuan keuangan, Avivah Litan, mengatakan di masa lalu bahwa itu mengejutkan baginya bahwa SWIFT sangat bergantung pada otentikasi daripada "kontrol deteksi penipuan yang sangat mendasar" seperti mencari penerima pembayaran yang tidak normal, mencari pengambilalihan rekening jarak jauh dan mencari akses abnormal.
Tetapi penipuan Modi sangat berbeda dari pencurian ini, karena meskipun rincian baru muncul setiap hari, bank tidak menuduh peretasan dan fokusnya adalah pada orang dalam. Seminggu sejak penipuan pertama kali terungkap, enam karyawan Punjab National Bank telah ditangkap oleh penyelidik federal. Peringkat tertinggi dari ini adalah seorang pria yang memimpin cabang Brady House bank dari 2009 hingga 2011.
Seperti Mengambil Permen Dari Bayi
Penjelasan bank tentang bagaimana surat-surat itu diberikan tanpa deteksi selama bertahun-tahun adalah bahwa transaksi tidak dicatat pada sistem internalnya karena SWIFT tidak terintegrasi dengannya.
“Kecuali jika lingkungan kontrol sangat longgar atau ada kolusi, akan sulit untuk memproses transaksi SWIFT yang tidak diotorisasi dan dimasukkan ke dalam perbankan inti. Beberapa kontrol seharusnya memicu peringatan, ”kata Rakesh Asthana, CEO World Informatix Cyber Security, yang perusahaannya disewa untuk mengawasi penyelidikan perampokan Bank Bangladesh.
Kontrol ini termasuk pemisahan tugas - bank yang menggunakan SWIFT biasanya memiliki satu orang yang memasukkan transaksi, orang yang terpisah menyetujui transaksi dan orang ketiga memverifikasi semua transaksi. Dia juga mengatakan bahwa PNB juga bisa membuat Laporan Validasi Harian SWIFT untuk merekonsiliasi total dan transaksi setiap pagi.
Tetapi yang paling penting, sistem bank tidak dikaitkan dengan SWIFT, seperti halnya di PNB, sangat jarang di dunia keuangan global, menurut Asthana.
Ada juga pertanyaan tentang bagaimana transaksi melewati auditor bank.
"Pada akhirnya itu juga masalah arus kas, " kata Asthana dalam email ke Investopedia. “Jadi tidak jelas bagi saya apa yang dilakukan auditor internal dan eksternal, apakah mereka teliti dalam audit mereka. Jika mereka memang memiliki keberatan audit dan manajemen tidak bertindak, itu berarti konspirasi yang lebih besar akan naik ke rantai manajemen. Ini membutuhkan investigasi penuh untuk menentukan siapa yang tahu kapan.
“Setiap kegiatan bisnis yang dilakukan oleh bank diaudit tidak hanya oleh tim audit internal bank, tetapi juga auditor bersamaan yang mengaudit satu cabang, mengejutkan bahwa kejadian seperti itu tidak diketahui oleh tidak hanya auditor, tetapi juga bank senior staf juga, "kata seorang bankir anonim ke Economic Times. "Audit melihat perusahaan yang disetujui untuk melakukan bisnis, tagihan yang didanai, surat kredit yang diterbitkan, alat pendanaan jangka pendek dll."
Analis riset Deepak Shenoy dari Capital Mind mengatakan, “Di muka itu, sepertinya mantan karyawan digunakan sebagai kambing hitam. Kemungkinan banyak orang terlibat dalam hal ini. Dan itu menghasilkan biaya besar-besaran untuk PNB selama ini. ”
Insiden ini juga menarik perhatian pada berbagai penipuan sebelumnya yang terjadi di PNB dan bank-bank dinasionalisasi India lainnya. Data Reserve Bank of India yang diperoleh Reuters menunjukkan bank-bank milik pemerintah telah melaporkan 8.670 kasus “penipuan pinjaman” dengan total 612, 6 miliar rupee ($ 9, 58 miliar) selama lima tahun keuangan terakhir hingga 31 Maret 2017. PNB menduduki puncak daftar ini dengan total 389 kasus. 65, 62 miliar rupee ($ 1, 03 miliar) selama lima tahun keuangan terakhir
Bisakah SWIFT Melakukan Lebih Banyak?
SWIFT beroperasi seperti sistem pesan yang kompleks dan tidak bertanggung jawab atas cara pengendalian kecurangan yang dilakukan oleh pelanggannya.
“SWIFT dapat membuat beberapa elemen kunci menjadi wajib alih-alih menyerahkannya kepada pelanggan yang memiliki tingkat kontrol dan pengetahuan keamanan cyber yang berbeda-beda, ” kata Asthana ketika ditanya apakah jaringan dapat berbuat lebih banyak untuk mencegah insiden mahal tersebut.
SWIFT telah mengakui kebutuhan untuk setidaknya menjadi pelapor dalam beberapa kasus. Pada bulan April 2017, ia memperkenalkan Kerangka Kontrol Keamanan Pelanggan, yang menjelaskan serangkaian kontrol keamanan wajib dan konsultasi untuk pelanggan. Bank-bank diminta untuk membuktikan sendiri tingkat kepatuhan mereka pada akhir tahun lalu, dan SWIFT memperingatkan bahwa mereka berhak untuk memberi tahu pengawas keuangan jika mereka tidak. Siaran pers yang mengumumkan bahwa 89 persen pelanggan membuktikan kepatuhan mereka tidak menyebutkan apakah pengawas keuangan dari 11 persen sisanya telah diberitahu sejak awal tahun. Dari Januari 2019, ia memperluas haknya untuk melaporkan pengguna yang gagal mematuhi kontrol keamanan yang paling penting.
Penting untuk diingat bahwa pada Januari 2018, SWIFT mencatat rata-rata 30, 32 juta pesan per hari dan digunakan di 200 negara. Ini adalah koperasi yang dimiliki anggota dan memastikan bank lebih disiplin akan menjadi tugas yang sangat besar dan mahal untuk memperbaiki apa yang pada dasarnya membusuk dalam administrasi masing-masing bank yang tidak ada hubungannya, untuk melindungi uang orang yang tidak bekerja untuk.
Reputasi SWIFT terpukul setelah setiap kejahatan dunia maya, tetapi ada banyak orang yang harus disalahkan ketika datang ke penipuan PNB terbaru. Penyelidikan tampaknya baru saja menggores permukaan dari apa yang menurut para ahli adalah konspirasi yang jauh lebih besar, dan pertanyaan mengenai kurangnya pengawasan pada akhirnya adalah sesuatu yang harus dijawab oleh Bank Nasional Punjab dan pemerintah India. SWIFT memberi PNB lebih banyak alat untuk melindungi dirinya sendiri, alat yang sayangnya tidak digunakan.
Pada hari Selasa, Reserve Bank of India merilis sebuah pernyataan yang mengatakan telah memperingatkan dan memperingatkan bank tentang perlunya mencegah "potensi penggunaan berbahaya dari infrastruktur SWIFT" setidaknya tiga kali sejak Agustus 2016. Sekarang bank tersebut telah mengamanatkan bank untuk menerapkan resep yang ditentukan. tindakan sebelum batas waktu yang ditentukan. Bank sentral juga telah membentuk komite untuk melihat "alasan divergensi tinggi yang diamati dalam klasifikasi aset dan penyediaan oleh bank vis-à-vis penilaian pengawasan RBI, dan langkah-langkah yang diperlukan untuk mencegahnya; faktor-faktor yang mengarah pada peningkatan insiden penipuan di bank dan langkah-langkahnya (termasuk intervensi TI) diperlukan untuk mengekang dan mencegahnya; dan peran serta efektivitas berbagai jenis audit yang dilakukan di bank dalam memitigasi kejadian divergensi dan penipuan seperti itu."
Investopedia menjangkau SWIFT dan menerima pernyataan berikut: “SWIFT tidak mengomentari pelanggan atau entitas individu. Ketika kasus penipuan potensial dilaporkan kepada kami, kami menawarkan bantuan kami kepada pengguna yang terkena dampak untuk membantu mengamankan lingkungannya. "Ia mengirim tambahan pada pernyataan setelah publikasi:" Untuk menjadi jelas, tidak ada indikasi bahwa jaringan SWIFT memiliki pernah dikompromikan."
