Ako COVID-19 ovplyvnil kybernetické pranie peňazí?

Úvod

V decembri 2007 sa oficiálne začala finančná recesia, ktorá skončila v roku 2009 - trvala 19 mesiacov. Keď sa rýchlo presunieme v čase do marca 2020, Svetová zdravotnícka organizácia (WHO) práve vyhlasuje prepuknutie vírusu COVID-19 za stav medzinárodného znepokojenia v súvislosti s ochranou verejného zdravia. Svet už dva roky bojuje s pandémiou COVID-19, ktorá predbieha recesiu z hľadiska dĺžky a veľmi skoro predbieha recesiu aj z hľadiska nákladov. Odhaduje sa, že pandémia COVID-19 doteraz stála svet 12,5 bilióna dolárov a neexistuje žiadny náznak, kedy by WHO mohla vyhlásiť jej koniec. Svet sa dostal do úzkych a bol vystený novím podmienkam, novým výzvam, ale aj novým hrozbám.

COVID-19 ovplyvnil aj odvetvie finančných služieb a viedol k nárastu nasledujúcich trendov:

• Kybernetické pranie peňazí;
• Monitorovanie transakcií;
• Podvody ovplyvňujúce správu aktív a poisťovníctvo;
• Fintech.

V BDO Global Financial Services sme preto vydali sériu myšlienkových líderských diel, ktoré sa dotýkajú každého z vyššie uvedených. V tomto článku sa zameriame na vplyv COVID-19 na kybernetické pranie peňazí.

Od roku 2019, kedy došlo k prvým informáciám o rozširovaní ochorenia Covid-19 sa zaznamenal značný nárasť prípadov prania špinavých peňazí, kedy páchatelia využili ekonomické otrasy a technologický vývoj na to, aby sa snažili zvýšiť príležitosti na trestné činy súvisiace s finančnými prostriedkami. Digitálne platby a blockchain pomohli vytvoriť nové cesty pre zločincov na pranie finančných prostriedkov na bezprecedentnej úrovni. Medzitým im do karát hralo pozadie pandémie a s ňou súvisiace rozšírenie paniky, zavalujúce množstvo zmien a rozvraty.

Počitačová kriminalita

Počítačová kriminalita a jej nebezpečenstvo existovali už dávno pred pandémiou COVID-19. Tá však spôsobila, že stále väčšie a väčšie množstvo ľudí sa uzatváralo vo svojich domovoch, čim sa rapídne zvýšil tok informácií a dát na diaľkový prenos aj v nadväznosti na zavádzanie nútenej práce z domu. Zvýšené percento globálnej populácie pripojenej na internet poskytlo kyberzločincom ďalšie príležitosti využiť výhody zraniteľnejších segmentov populácie, čo napokon viedlo k zvýšeniu príjmov pre týchto zločincov a zvýšeniu výdavkov pre cieľových používateľov internetu v snahe o zlepšenie kybernetickej ochrany.

Počítačová kriminalita sa môže uskutočňovať v mnohých formách, pričom jednou z najbežnejších techník počítačovej kriminality je "phishing", čo v praxi znamená prinútenie používateľov internetu odhaliť svoje osobné údaje na účely, ktoré sú svojou povahou podvodné.

Aby sme lepšie pochopili typ počítačovej kriminality (ktorá zahŕňa metódy kybernetického prania), ohlásenej vo finančnom roku 2020 – 2021, nižšie uvedený diagram[1] poskytuje súhrn správy o finančnej trestnej činnosti na základe prípadov nahlásených v Austrálii:

Finančná kriminalita v Australii 2020-2021

Správa o finančnej kriminalite 2020 - 2021 (Austrália). Zdroj: www.cyber.gov.au

Počítačová kriminalita vzrástla o 600 %[2]od pandémie COVID-19 v dôsledku sofistikovaných phishingových e-mailových schém a zlomyseľných aktérov pôsobiacich ako zástupcovia WHO. Slabiny zabezpečenia siete, ktoré umožňujú útoky škodlivého softvéru, sa stali sofistikovanejšími spolu s nárastom počtu phishingových e-mailových schém založených na strojovom učení.

Nižšie uvedený diagram[3] ukazuje rozsah počítačovej kriminality vyjadrený ako percento HDP krajiny. Tento graf odhaduje celkové globálne náklady na počítačovú kriminalitu v prepočte na HDP.

Počítačová kriminalita ako percento HDP

                    Zdroj: CSIS

Kybernetické pranie peňazí

Trestná prax kybernetického prania špinavých peňazí sa týka prípadov, keď zločinci perú špinavé peniaze pomocou internetu. K tomu dochádza mnohými spôsobmi. Internet otvoril veľké okno pre osoby, ktoré perú špinavé peniaze, s mnohými nevyužitými príležitosťami na páchanie trestnej činnosti.

Nižšie uvedený diagram[4] podrobne opisuje fázy tradičného procesu prania špinavých peňazí:

Pokiaľ ide o kybernetické pranie peňazí, príklady každej fázy sú nasledovné:

1. Umiestnenie: fáza umiestnenia zahŕňa fyzickú likvidáciu hotovosti. Príkladom tejto fázy umiestňovania môže byť vklad hotovosti prostredníctvom finančnej inštitúcie, ktorá nie je regulovaná, alebo prostredníctvom vkladu peňazí do bankomatu niektorými jednotlivcami, ktorí za túto poskytnutú „službu“ zarábajú províziu (títo jednotlivci sa často označujú ako „šmolkovia“)
2. Vrstvenie: fáza vrstvenia zahŕňala zložité finančné transakcie s cieľom zakryť skutočný pôvod finančných prostriedkov (toto je fáza, v ktorej zločinci najviac profitujú z využívania online finančných služieb). Typickým príkladom súvisiacim s kybernetickým praním je, keď si zločinci otvárajú bankový účet digitálne (čo sťažuje overenie identity jednotlivca) a kontrolujú zbierku bankových účtov, kde sa uskutočňujú platby na rôzne bankové účty v „zbierke“. To vytvára audit trail vo veľmi krátkom čase.
3. Integrácia: integračná fáza je poslednou fázou v procese prania špinavých peňazí, kde sa finančné prostriedky javia ako legitímne. Obľúbenou technikou používanou v tejto fáze je vytvorenie „prednej“ spoločnosti poskytujúcej online služby. Spoločnosť by ponúkala služby, ktorých výsledkom sú zisky odrážajúce sa v ich záznamoch. Háčik je v tom, že tieto služby možno nikdy neboli poskytnuté a „zisky“ sú v podstate prané peniaze.

Pokiaľ ide o technické aspekty kybernetického prania peňazí, existujú dva typy.

1. Inštrumentálne digitálne pranie peňazí;
2. Integrálne digitálne pranie peňazí.

Inštrumentálne digitálne pranie peňazí bude využívať dve z týchto fáz (vrstvenie a integráciu), zatiaľ čo integrované digitálne pranie peňazí bude úplným trojfázovým procesom, ako je uvedené v odsekoch vyššie.

Alarmujúcim faktom je, že kybernetické pranie peňazí je tiež hlavnou metódou financovania teroristických aktivít a mnohých ďalších zločineckých organizácií. Nasleduje niekoľko príkladov, ako môže dochádzať k kybernetickému praniu peňazí:

• Sociálne médiá, ako sú Facebook a Instagram, sa používajú na prilákanie používateľov, aby vložili prostriedky na nezákonné účely, napríklad prostredníctvom nezákonných kampaní prostredníctvom platformy „GoFundMe“. Podvodníci by potom tieto peniaze vložili na rôzne bankové účty alebo by si peniaze vybrali.
• Ku krádeži identity dochádza prostredníctvom phishingu. Tieto informácie by sa potom mohli použiť na páchanie kreditných alebo bankomatových podvodov a dochádzalo by tak k neoprávneným prevodom cez internet banking.
• V niektorých krajinách sú online hazardné hry nezákonné. Niektorí zločinci v týchto krajinách tak urobia a prevedú peniaze na svoj bankový účet, čím ich legitimizujú. Spoločnosti zaoberajúce sa online hazardnými hrami, ktoré sú legálne, sú inštitúcie, ktoré musia hlásiť podozrivé transakcie miestnemu regulátorovi finančnej kriminality, a tie, ktoré sú nelegálne, nemajú žiadne oznamovacie povinnosti.
• Falošné dokumenty sa často používajú na oklamanie podnikov, aby zaplatili finančné prostriedky tomu, čo vyzerá ako legitímna korporácia na rôzne účely. Hotovosť by sa potom vybrala alebo previedla na "proxy" účet.
• Medzinárodný bankový prevod prostredníctvom "múl" je rozšíreným typom kybernetického prania peňazí.
• Online lotériový podvod sa tiež ukázal ako účinné opatrenie pre zločincov. Zločinci povedia jednotlivcom, že vyhrali v lotérii. Na uvoľnenie výherného lotériového šeku bude potrebná určitá čiastka ako administratívny poplatok, ktorý bude zaslaný na bankový účet zločinca. Tieto peniaze by sa potom vybrali. Zločinec by použil legitímne vyzerajúcu dokumentáciu na zvýšenie dôveryhodnosti.

Kybernetické pranie sa stáva účinným vďaka anonymite vytvorenej na internete, kde môže byť sfalšovaná poloha, alebo typom použitých metód šifrovania. Vymožiteľnosť práva je teda oklamaná.

Kybernetická ochrana

S rastúcou intenzitou a rozsahom počítačovej kriminality mnoho nových používateľov internetu (v dôsledku zvýšeného používania počas pandémie) nebolo pripravených na výrazný nárast kybernetických hrozieb. So zvyšujúcou sa aktivitou kybernetických zločincov na internete sa kybernetická bezpečnosť stáva ešte náročnejšou, ako aj náklady, ktoré sú spojené s opatreniami kybernetickej bezpečnosti.

Kybernetická bezpečnosť počas prvých týždňov pandémie znamenala, že tímy informačných a komunikačných technológií (IKT) sa museli zamerať na implementáciu základov, pokiaľ ide o prácu na diaľku pre zamestnancov v rámci ich organizácií. Zahŕňalo to vytvorenie rozsiahlych vzdialených pripojení, integráciu riešení na spoluprácu (ako sú stretnutia Microsoft Teams) a sieťovú kapacitu. S obmedzeným časovým rámcom na implementáciu týchto opatrení prišiel tlak na zaistenie bezpečnosti týchto opatrení. Kybernetická bezpečnosť sa odvtedy stala jedným z najdôležitejších problémov, ktorým čelíme v núdzovej situácii v oblasti digitalizácie, ktorú priniesla pandémia.

Vyvinulo sa obrovské úsilie v boji proti rastúcemu problému počítačovej kriminality a kybernetického prania peňazí. Binance, platforma na obchodovanie s kryptomenami, sa stala prvou platformou blockchainu a kryptomien, ktorá sa pripojila k National Cyber-Forensics a Training Alliance (NCFTA). NCFTA je nezisková spoločnosť zameraná na identifikáciu, overovanie, zmierňovanie a neutralizáciu hrozieb počítačovej kriminality. Vďaka týmto partnerstvám budú platformy používané na obchodovanie s kryptomenami vhodnejšie na boj proti podvodným aktivitám. Diagram [1]nižšie ukazuje veľkosť globálneho trhu s kybernetickou bezpečnosťou:

Kybernetická bezpečnosť bola vždy v centre pozornosti regulačných orgánov, ale s nedávnymi kybernetickými útokmi, ktoré sa ukázali ako bezprecedentné, sa kybernetická bezpečnosť stala prioritou mnohých regulačných orgánov na celom svete. Medzi niekoľko trendov, s najväčšiou legislatívnou aktivitou, patria tieto opatrenia:

• Od vládnych orgánov sa vyžaduje, aby zaviedli školenia v oblasti kybernetickej bezpečnosti, aby vytvorili a zabezpečili dodržiavanie formálnych bezpečnostných politík, noriem a postupov, ako aj plánovali a testovali, ako reagovať na bezpečnostný incident.
• Regulácia kybernetickej bezpečnosti v odvetví bankovníctva a poisťovníctva.
• Vytváranie špecifických pracovných skupín, rád alebo komisií s cieľom viesť výskum trendov v oblasti počítačovej kriminality a radiť v otázkach kybernetickej bezpečnosti.
• Implementácia podporných programov alebo stimulov pre školenia a vzdelávanie v oblasti kybernetickej bezpečnosti.

Na čo si dať pozor v roku 2022?

V dôsledku dopadu pandémie na podnikanie, ako aj životný štýl, budú rôzne druhy podvodov a počítačovej kriminality aj v roku 2022 naďalej vysoko rizikové. V roku 2022 môžeme očakávať pokračovanie nárastu nasledujúcich typov počítačovej kriminality:

• Phishingové podvody a útoky vyvolané pokračujúcou prácou na diaľku;
• Kryptomenové burzy budú vystavené zvýšeným útokom;
• Podvodné platby v dôsledku zvýšenej aktivity elektronického obchodu;
• Krádeže identity v dôsledku vládnych asistenčných programov realizovaných v dôsledku dopadov pandémie;
• Internet vecí (IoT) a prevádzka 5G medzi službami API a aplikáciami, ktoré by sa mohli stať cieľmi; a
• Nedostatok zručností, pokiaľ ide o najímanie personálu kybernetickej bezpečnosti.

Pranie špinavých peňazí sa časom vyvíjalo, hoci jeho charakteristiky zostali nezmenené. Regulácia kybernetického prania sa stala kritickou a znamenala, že krajiny boli nútené zamerať sa na vytvorenie právnych rámcov na boj proti podvodným praktikám. Tak ako si pranie špinavých peňazí zachovalo rovnaký súbor charakteristík, aj regulačná a legislatívna reforma kybernetického prania by mala byť založená na rovnakých základných princípoch alebo pilieroch. Piliere, ktoré tvoria súčasť právneho režimu boja proti kybernetickému praniu (ACL), možno zhrnúť takto:

1. Prevencia
2. Vymáhanie
3. Súlad

Jedným z kľúčových poznatkov z pandémie COVID-19 je, že zmena je nevyhnutná a my sa musíme neustále učiť, prispôsobovať a vyvíjať, aby sme zaistili, že vyjdeme silnejší. Napriek ťažkostiam, ktoré COVID-19 priniesol, priniesol aj rýchly vývoj, ktorý ovplyvňuje každú oblasť nášho života. Keďže sa kybernetické pranie peňazí a kyberterorizmus neustále vyvíja, pre regulačné orgány je stále tak náročné predchádzať a presadzovať dodržiavanie právnych predpisov.

Keďže sa očakáva, že rok 2022 prinesie nárast existujúcej počítačovej kriminality (spolu s novými metódami), očakávame, že regulačné orgány prijmú podobný prístup tým, že zabezpečia, aby legislatívne úsilie bolo vo svojej podstate proaktívne a nie reaktívne. Hovorca Bank of China Wang Zhaowen raz povedal: „Zásah proti praniu špinavých peňazí a korupcii je spoločnou zodpovednosťou všetkých krajín sveta.

 

[1] Source: https://www.cyber.gov.au/acsc/view-all-content/reports-and-statistics/acsc-annual-cyber-threat-report-2020-21

[2] Source: https://purplesec.us/resources/cyber-security-statistics/

[5] Source: Statista