Société Générale: nowe systemy IT zapobiegną kolejnym defraudacjom

Brak nadzoru i skutecznego systemu zabezpieczeń umożliwiły maklerowi z francuskiego banku defraudację ponad 4,9 mld euro. Aby zapobiec podobnym działaniom w przyszłości bank zamierza wprowadzić bardziej efektywne systemy zabezpieczeń, w tym biometryczne systemy identyfikacji maklerów.

Pod koniec stycznia br. okazało się, że jeden z maklerów na stałe zatrudnionych w banku Société Générale bez zezwolenia operował kontraktami terminowymi wartymi więcej niż sam bank. Jérôme Kerviel działał co najmniej przez trzy lata. W latach 2005-2006 operował małymi kwotami, a od marca 2007 r. wykonywał transakcje o znacznie większej wartości. Jego nietrafione decyzje giełdowe kosztowały bank 4,9 mld euro. To największa defraudacja w historii europejskiej bankowości.

Aż 24 razy wewnętrzny system zabezpieczeń wskazywał, że wartość transakcji wykonanych przez Jérôme Kerviela przekracza dopuszczalne limity. Co najmniej kilka z tych ostrzeżeń zostało uznanych za wyniki błędu w funkcjonowaniu systemu IT. Bankowe procedury bezpieczeństwa nie były wystarczające, aby szybko zidentyfikować sprawcę olbrzymiej defraudacji.

Wiadomo, że Jérôme Kerviel wcześniej pracował w bankowym dziale IT. Brał udział m.in. w przygotowywaniu informatycznego systemu bankowego i tworzeniu specyfikacji aplikacji dla maklerów. Dzięki temu dysponował szczegółowymi informacjami związanymi z funkcjonowaniem systemu bankowego. Jak przyznają władze Société Générale same transakcje były nieprzemyślane. Dobrze zaplanowany był zaś sposób w jaki makler oszukiwał bankowy system i funkcjonujące procedury - m.in. fabrykował wiadomości e-mail z rzekomymi zleceniami i podszywał się pod innych maklerów.

Sprawcy udawało się maskować nieudane transakcje przez kilkanaście miesięcy. Wiadomo również, że w okresie od lipca 2006 r. do września 2007 r. aż 24 razy wewnętrzny system zabezpieczeń wskazywał, że wartość transakcji wykonanych przez Jérôme Kerviela przekracza dopuszczalne limity. Co najmniej kilka z tych ostrzeżeń zostało uznanych za wyniki błędu w funkcjonowaniu systemu IT. Bankowe procedury bezpieczeństwa nie były wystarczające, aby szybko zidentyfikować sprawcę olbrzymiej defraudacji. Jego identyfikację umożliwiła dopiero m.in. analiza logów bankowego serwera poczty przychodzącej oraz grafiku pracy poszczególnych maklerów.

Zmiany w systemie giełdowym banku mające zapobiec przed tego typu zdarzeniami w przyszłości dotyczyć będą m.in. rozbudowania systemu monitorującego pracę maklerów, ograniczenia możliwości anulowania i modyfikacji zleceń. Zalecono również wdrożenie zasad kontroli IT Compliance oraz opracowanie jasnego podziału obowiązków kadry nadzorczej.

Ostateczne wnioski komisji badającej sprawę mają zostać opublikowane pod koniec maja.

Więcej o bezpieczeństwie systemów IT:
Kosztowny brak kontroli
Przedsiębiorcy boją się szpiegów
Wzrosną wydatki firm na ochronę danych
Powstaje największa baza biometryczna na świecie
Pracownicy zagrożeniem dla bezpieczeństwa IT