Jakab Péterrel, az MKB Bank bankbiztonságért felelős ügyvezető igazgatójával és a Magyar Bankszövetség Bankbiztonsági Bizottságának vezetőjével beszélgettünk a pénzintézeti csalások természetrajzáról, illetve az ellenük való védekezés lehetőségeiről.
A sorozat korábbi részeiben sorrendben a pénzintézeti csalás fogalma, megtörtént csalási esetek, védekezési módszerek, informatikai eszközök a védekezésben volt a téma. Ma arról beszélgetünk, hogy mit jelent az arányos védelem a csalások esetében, mik a tapasztalatok a bírói gyakorlattal.
Lehet-e mérni a védekezés hatékonyságát, és ha igen, hogyan?
Ez nagyon nehéz dió, hiszen már maga a kockázatelemzés is tartalmaz bizonytalansági tényezőt. Márpedig ehhez a bizonytalan kockázathoz kell viszonyítani a csökkentésére hozott intézkedést. Nem könnyű dolog megmondani, hogy ebbe mekkora pénzt szabad és kell beletenni. Vannak ugyan bonyolult, soktényezős módszertanok, de szerintem a józan paraszti ész legalább ugyanannyit tud segíteni. Egy bizonyos összegű kárt okozó esemény ellen nem érdemes tízszer annyiba kerülő módszerrel vagy eszközzel védekezni. Persze vannak károk, amiket nehéz számszerűsíteni, például a reputáció, a jó hírnév.
Évenként többféle kimutatást is csinálunk arról, mennyire volt hatékony a biztonsági munka. Meg tudjuk mondani például, hogy egy év alatt "mivel kínálták meg" a bankot, annak mekkora volt a potenciális kárértéke, és ebből mennyi lett a tényleges kár. Hány darab hamis átutalási megbízás volt, mennyit vettünk észre, mennyit nem, és mennyi volt az előbbieknek és az utóbbiaknak az értéke.
Összességében a vezetés számára abszolút meggyőző számok tudnak kijönni, még ha a teljesen nyilvánvaló eseteket (mint az említett hat darab, egymillió dolláros csekk) ki is vesszük belőle: mindig jócskán 1 százalék alatt vagyunk, és a legjobb éveinkben 3-4 ezrelék volt ez a mutató, vagyis ezer "megfogott" forintra jut 3-4, amit sikerült elcsalni tőlünk.
Mi az a határ, ami alatt egyáltalán nem foglalkoztok a csalásokkal, lopásokkal?
Nálunk zéró tolerancia van: nincs kis csalás és nagy csalás, csak csalás van, „kicsit” ellopni valamit nem lehet. Mindennek utánamegyünk, minden szálat igyekszünk elvarrni, és nem adjuk fel. Ez azért fontos, mert ennek kifelé van egy üzenete: itt ilyen dolgokat nem lehet megcsinálni, mindennek következménye van. Mi akkor is feljelentést teszünk egy hamis munkáltatói igazolás miatt, ha ebből nem volt kárunk, és ha a végén az illető megússza egy ügyészségi figyelmeztetéssel. Az az alapelvünk, hogy aki csalni próbált, annak legalább legyen kényelmetlen a dolog.
Ehhez azért az is hozzátartozik, hogy amikor kár ért bennünket, akkor először a pénzünkhöz akarunk jutni, és ezután jön a bűnüldözési cél, hiszen azért elsősorban bank vagyunk. A rendőrségen ez a prioritási sor nyilván fordított. Ha kisebb összegű csalások esetén a büntetőügy kimenetele kétséges, és egyúttal veszélybe kerülhet a pénz megtérülése, akkor nem feltétlenül akarjuk ráhúzni a vizes lepedőt az illetőre.
De mindenki lásson tisztán: igazán komoly jogsértésnél nem így járunk el.
Kihívások A biztonság mindig pénzbe kerül, és amikor a gazdasági körülmények miatt kevesebb a pénz, akkor bizony nem mindig egyszerű elérni, hogy ne a biztonsági területen kezdjék a takarékoskodást és ne kényszerüljünk szakmailag vállalhatatlan kompromisszumokra. Szerencsére a bank felső vezetése mindig is partner volt ebben, és többször bebizonyosodott , hogy a biztonságra fordított kiadások sokszorosan megtérülnek. Megint egy példával élve: a magyarországi nagy kereskedelmi bankok közül egyedüliként vagyunk bekötve az ORFK Bevetésirányítási Központjába. Bármelyik fiókunkban próbálkoznak bankrablással, elég lehúzni a támadásjelzőt, és a Bevetésirányítási Központ szerverének általunk karbantartott fióki adatbázisából, abban a pillanatban megjelenik a megtámadott fiókhoz legközelebb eső városi vagy megyei rendőrkapitányság számítógépén a megtámadott fiók összes adata (fényképek, alaprajz), illetve azonnal, valós időben továbbítjuk a rendőrségre az adott fiók biztonsági kamerák felvételeit. Ezt egyebek között azért tudtuk megtenni, mert a firmware-ek szintjéig egységes videorendszerünk és behatolásjelző rendszerünk van mindenütt, és részletes, egységes követelményrendszerünk van arról, hogyan kell kinéznie egy MKB bankfiók infrastruktúrájának, beleértve a fizikai és informatikai biztonsági elemeket is. Egységes alapokon pedig már sokkal könnyebb megcsinálni a látványos fejlesztéseket, mint például az említett adatkapcsolat a rendőrséggel. |
Ha ennyire fontos a bűnüldözés, akkor mekkora gondot és erőforrásokat kell fordítani a digitális nyomok és bizonyítékok rögzítésére?
Ebben a kérdésben két iskola hívei vitatkoznak egymással. Az egyik szerint minden adatot különleges eszközökkel, technológiákkal kell rögzíteni, hogy kétség ne férhessen az adatok hitelességéhez, és teljes biztonsággal megállják a helyüket egy bírósági eljárásban. Ez persze óriási költségeket is jelent, nem csoda, hogy a tanácsadók rendszerint ezt ajánlják. Lehet viszont olcsóbb megoldásokat is találni arra alapozva, hogy Magyarországon szabad bizonyítási eljárás van, és a független bíróság majd eldönti, hogy a talán kevésbé szofisztikált eszközökkel begyűjtött, viszont egymásba kapcsolódva összefüggő és konzisztens logikai láncot alkotó bizonyítékok mennyire meggyőzőek.
Amikor az az ominózus 180 milliós csaláskísérlet történt, „tokkal-vonóval” lementettük a teljes VMS-környezetet, de nem volt az digitálisan aláírva, vagy más módon hitelesítve. Az ügyvéd persze egyből jött azzal, hogy az adatok manipulálhatók, bárki bármit módosíthatott rajta. Mi nem is tagadtuk, hogy ez elvileg lehetséges lenne -- csak éppen rámutattunk, hogy a rendszer olyan szinten, annyi helyen és annyira konzisztens módon naplóz minden tevékenységet, hogy a lehetőség csupán elvi. Hiszen a naplóállományba vagy négy tucat helyen kellett volna belenyúlni és beírni a megfelelő sorokat, hogy bajba keverjük ezt a szegény ártatlan informatikust. De ha még sikerült is volna ezt hiba nélkül megoldani, azt hogyan magyarázzák, hogy a pénzt felvenni akaró kigyúrt kopaszok mobiltelefonjáról hívták az informatikust? A bíróság elégnek is találta a bizonyítékokat, és elítélte a volt dolgozót, anélkül, hogy tízmillióért egy szakértőt hívtunk volna, aki a varázseszközeivel hiteles másolatot csinál az adatokról.
Jól beállított logrögzítéssel, némi folyamatszervezéssel és józan paraszti ésszel lehet olyan bizonyítékokat gyűjteni, amelyek a bíróságon jó eséllyel megállják a helyüket. Szintén saját példa: egy külsős kolléga pedofil ügyekbe keveredett, és a rendőrségtől jött megkeresésre derült ki, hogy az egyik keresett IP-cím az ő gépére mutat. Akkor négyen odamentünk (hogy tanúk is legyenek); hivatalosan is tisztáztuk, hogy ez az ő gépe-e; aztán megkértük, hogy ő maga kapcsolja ki; majd az ő és a tanúk jelenlétében kivettük belőle a merevlemezt, és egy olyan pénzszállító tasakba tettük, ami roncsolásmentesen nem nyitható. Ott helyben írtunk egy jegyzőkönyvet, hogy ilyen és ilyen körülmények között, az ő jelenlétében vettük ki a merevlemezt, mi nem tettünk rá semmit, vagyis olyan állapotban van, amilyenben ő hagyta. A zacskót is és a jegyzőkönyvet is átadtuk a rendőrségnek, hogy aztán ők továbbítsák a szakértőnek.
Milyen az általános magyar bírói gyakorlat? Elfogadják az életszerűségre való hivatkozást, vagy egyből a vádlott javára ítélnek, ha a legcsekélyebb elvi esélyét is látják annak, hogy a bizonyíték manipulálható? A szakértők nem tudják beültetni a hintába az informatikához ilyen szinten nem értő bírót?
Nos igen, a fentiekkel ellentétes tapasztalatokat is szereztünk. De ez nem is a nyomrögzítésen múlt, inkább a bíróság hozzáállásán. Voltak esetek, amikor teljesen valószínűtlen elemekbe belekapaszkodva és azt realitásként kezelve próbálták menteni a menthetetlent. Mondjuk, az internetbanki rendszerünkbe bejelentkezik valaki, ott az ügyfelünk szándékaival ellentétes tranzakciókat végez (jelszót cserél, kikapcsolja az email-értesítést, egyebek). Mindeközben egyszer sem rontja el a jelszót, aminek a titokban tartása egyértelműen az ügyfél felelőssége. Ehhez képest a bíróság hosszasan azt vizsgálja, hogy az email-értesítés kikapcsolásának lehetőségei mennyire precízen vannak körülírva az üzletszabályzatunkban -- és nem arról folyik a vita, hogy mekkora esélye van valakinek elsőre kitalálni egy nyolc karakterből álló jelszót, illetve nem arra keresik a választ, hogy a vitatott tranzakciók miért abból az IP-címtartományból jöttek, mint a nem vitatottak. Vagyis ebben az esetben a bíró nem találta meggyőzőnek, hogy az esethez a banknak nem lehet köze, és nem felelős a csalárd tranzakcióért.
De sokszor érezni azt az attitűdöt is, hogy a gonosz bank vs. a szegény kisember párharca folyik a bíróság előtt, és a szívtelen multi miért pereskedik azért a rongyos százezer forintért. Egyszer egy pénztárosunk véletlenül több pénzt adott ki az ügyfélnek, mi ezt visszavettük, mire ő feljelentett bennünket, hogy nem is vitte el a pénzt. A kamerák felvételén jól látszik, hogy a pénztáros többet számol le, kiveszi a pénzszámlálóból a köteget, majd átnyújtja a borítékot az ügyfélnek, aki közben végig figyeli őt. Az az egy másodperc nincs meg a videón, amikor a pénztáros – egyébként láthatóan az ügyfél szeme láttára - ténylegesen beleteszi a pénzt a borítékba -- a bírónő szerint így a pénztárosnak lehetősége volt kivenni a kötegből a kérdéses összeget, és ezért az ügyfél javára ítélt. Hát ezzel nem tudunk mit kezdeni.
A sorozat befejező részében a védelmi rendszer és csalási esetek nyilvánosságra hozatalának kérdéséről lesz szó.
