Svakheter i SAS Anti-Money Laundering

[tintin77]

Svarte Penger - Hvite Løgner

 

Heisann

 

Som den trofaste leser av DN, så har jeg merket at i de siste så har det vært mange spennende artikkel om bankenes mer eller mindre gode systemer. Og dette er vel ikke så veldig overraskende fordi at programleverandørene til norske og internasjonale banker er jo gode på IT, men slett ikke så gode på smarte løsninger innen Bank/Finans. Ganske så komisk, men det er faktisk helt sant.

 

Som dere muligens vet så ble det i 2004 innført en hvisvaskingslov, som medførte at norske banker måtte innføre systemer for begrense eventuell hvitvasking som skjer via norske/internasjonale banker. Og på dette området så har man to leverandører av programvare. SAS Institute og EDB Gruppen. 70% av bankene inkl DNB Nor, Nordea og Danske Bank (Fokus Bank) bruker SAS Anti-Money Laundering og 30% bruker programvare fra EDB Gruppen eller liknende. Å velge mellom disse er som å velge mellom pest og kolera. Fordi begge har åpenbare svakheter. Og en kjapp epost til sikkerhetssjefen i Fokus Bank avslørte dette ganske så klart. Sitat: Takker for dine gode og konstruktive innspill. Dessverre kan vi av sikkerhetsmessige årsaker ikke gå inn i en diskusjon om våre leverandørers produkter. Grunnen til dette kan dere se under her.

 

Underforstående er kopiert fra en e-post jeg sendte til SAS Institute for en god stund og siden da, har jeg ikke hørt noe. Og dette tyder på at det er ugler i mosen. SAS Institute har mange flinke folk innen data, men kunnskapen om internasjonal bank & finans er vel hipp som happ min mening. Og eposten jeg sendte trekker frem mange eksempler på dette. Og dette tyder mistenkelig nok at norske banker kamp mot hvitvasking, kun er ett spill for galleriet, som man så fint kaller det. De forskjellige delene av eposten omhandler hovedområdene til SAS Anti-Money Laundering.

 

Noen Spørsmål og tilhørende svakheter ved SAS Anti-Money

 

Det som gjorde at jeg ble interessert i dette var jo en artikkel om nettopp SAS Anti-Money i Teknisk Ukeblad før i sommer (08/06). Men det første jeg tenkte på etter jeg leste denne artikkelen var jo at dette produktet hadde vel mange fordeler, men kanskje litt ironisk rimelig store ulemper også. Eller hva!

 

Og etter og sett på deres internasjonale side (amerikanske muligens) så får man vel dette bekreftet da..

 

Som f. eks Name Checking som skal i teorien inkludere:

Åpent tilgjengelige overvåkingslister, tredje parts informasjon, propitære navnematching teknologi, avansert routing osv..

I teorien veldig bra, men i praksis ofte bob bob ikke sant. Fordi dette er vel noe det trikses mye med da. Og da hjelper det lite med avansert teknologi, hvis innholdet er svada. Jeg kan nevne eksempler på dette senere da.

 

Noen ord om High-Risk Transactional Behaviors.

 

Store ord og store lovnader, hvilken overraskelse… Men er det like bra i praksis.. tja tvilsomt.. Fordi det er skal ikke være noe problem å la noen transaksjoner være lokkemat som blir fanget opp av systemet og deretter kamuflere tvilsomme transaksjoner som helt vanlige transaksjoner som ikke blir fanget opp av systemet. Komplisert, vel egentlig ikke så enormt.

 

Noen ord om High-Risk KYC Profile.

 

Hehe, denne er jo egentlig morsom da, synes jeg. Selv om dette er et økende område, så er vel ingen om det syndes mye på dette området også. Både fordi folk ikke liker å gi fra seg så enormt mange opplysninger og hvis man gir fra seg opplysninger, så er det vel ingen garanti for at disse er riktige. Og mange internasjonale banker gir også blaffen i dette.

 

Ett artig eksempel på dette fra Danmark med mottoet: Vi gir faan i om det er dobbeltmoral, så lenge vi tjener penger.

 

En privatperson som vil åpne en offshore konto hos en filial av Danske Bank i utlandet så får man gjerne ikke dette. Selv om man har en Low-Risk KYC Profile.

 

Men hvis oppretter ett IBC der man for eksempel har alle aksjene eller er har en ledende posisjon så er det fritt frem. Selv om man har en High-Risk KYC Profile, noe som mange i denne sjangeren har. Og man argumenter gjerne at et firma så må man forvente, at selskapets eiere har orden i deres skatteforhold. Men dette er jo kun ett spill for galleriet, ettersom det i praksis ikke foretas noen som helst kontroll. Dette bekreftes av Mogens Holm i toppledelsen i Danske Bank Luxembourg.

 

Hos Jyske Bank så har man enda mer finurlig måte å gjøre dette på, ettersom man assisterer kundene og man outsourcer en del av jobben for så å nekte på dem i hele tatt driver med slikt.

Og mottoet her er vel at så lenge man tjener penger, så er det ikke så farlig om ikke er så moralske da.

 

Også Nordea nekter på at de driver på med slik virksomhet, men hva som er fakta, skal være uvisst. Man kan jo lure..

 

Noen ord om Transaction Networks.

 

Dette er i utgangspunktet veldig smart, men genialt vel det kommer veldig an på. Fordi ingenting er bedre enn det svakeste ledd og gjett hva det er?

 

En veldig artig metafor på dette kan beskrives slik: Hvis man kjører gjennom bomringen med falske skilter, så har Bomveiselskapet som f. eks Fjelllinjen data på at en bil har kjørt gjennom bomringen en hel del ganger, men hvem eier bilen og er opplysningene riktig?

 

Men neste punkt er jo enda mer artig da. Shared Personal Data. Fakta er vel at her fuskes det under en lav sko, hvis dere skjønner.

 

Ett konge eksempel på dette kunne jeg ha fortalt dere, men jeg lar være inntil videre. Fordi dere kan jo mildt sagt bli overrasket over at det er mulig.

 

Men også Reported Suspicious Activity er vel litt morsom da..

 

I utgangspunkt veldig bra, men selvsagt sine helt klare svakheter da..

 

SAS Anti-Money sender rapporter på tvilsomme aktiviteter til Økokrim. og hva gjør vel Økokrim med saken.. Hehe, i det fleste tilfeller lite pga dårlig bemanning osv. Akkurat som når man anmelder enn sak til Politiet så er det en overhengende sannsynlighet for at denne saken blir henlagt. Det var en statistikk som viste at ved ett distrikt i Oslo så henla man 8 av 10 saker.

 

Om den der ”Nærmeste Nabo” funksjonen har noe for seg skal jo være uvisst, men er det ikke en stor sannsynlig at det til slutt blir såpass mange nære naboer at dere bare blir kaos, i stedet for at det blir oversiktlig.. Bare en tanke da.

 

Men en tankevekker er at gjerne at transaksjonsdataene stopper ved grensen. Det hadde selvsagt vært bedre å inkludere også de delene av transaksjonen som ligger i utlandet. Men dette er vel i mange tilfeller håpløst, fordi mange banker så har man så høy moral at dette simpelt hen er like uaktuelt som om at Vålenga Fotball Klubb skifter navn til Rosenborg Oslo. Dessuten så er de finansielle lovene forskjellig fra land til land. Dessuten så er det banker som heller tenker på personvernet og mindre på statens interesser. Og det er jo fullt forståelig da.

 

Hvis man attpå til har en såkalt ”Numbered Account så man glemme alt som heter for KYC også. Fordi at denne informasjon er jo like hemmelig som ”NATO Hemmelig” er i Forsvaret. Ettersom Banken vil nekte på at den kontoen finnes i deres bank, og kun din private rådgiver og banksjefen vet at kontoen eksisterer. Og hvis noen ansatte røper informasjon så er det som seg hør og bør 2 års fengselsstraff for dette. Men hvorfor tenke på begrensninger, når man kan tenke på muligheter.

 

Så i det store og det hele så kan man muligens si at det å lure SAS Anti-Money er banalt som en amerikansk komedie, men likevel like sofistikert som det beste franske kjærlighets drama. Hvis dere ikke skjønner dette så er det selvsagt en metafor da.

 

SAS Institute er litt ironisk tause om saken. Men de ville nok likevel ikke ha fortalt hele sannheten likevel så det er vel sikkert like bra...

Endret 2. oktober 2007 av tintin77

[Gjest Slettet+9812398713]

Uten at jeg vil gå inn i detaljer vil jeg si du har satt deg tilsynelatende grundig inn i saken.

 

Jeg kjenner til kortsystemenes autoriseringer og RISK vurderinger, og de er svært avanserte, samt helautomatiske.

Jeg er overbevist om at banksektoren innehar flere gode verktøy, men at de alle kan bli bedre. Og bedre nettopp fordi hvermansen som deg påpeker mulige svakheter.

 

Mulige fordi når det gjelder penger, tar det gjerne ikke lang tid før ting blir korrigert.

 

På den annen side - du har vel ikke planer om å teste påstandene dine?

[tintin77]

Om jeg har testet dette eller ikke er "Topp Hemmelig" men jeg kan nok si det at hvis jeg hadde prøvd så ville det med 99% sannsynlighet ha gått å lure systemet. Så derfor tror jeg nok dette kommer forbausende på mange. Så disse påståndene er nok riktige til det motsatte er bevisst. Om at SAS Institute har fikset alle disse svakhetene er jo også tvilsomt. Muligens de ikke vet hvordan..

 

Om dette interesserer hvermansen er vel tvilsomt. Men det hjelper å ha it-studier fra NTNU og interesser for internasjonal bank/finans i ryggen. Men det viktigste er kreativitet.

 

Men for å teste dette så kunne jeg ha tenkt å hatt følgende:

Noen folk å samarbeidet med i SAS Institute og ikke minst noen i it (sikkerhets)avdelingen hos en storbank som bruker systemet. Som f.eks enten Danske Bank (Fokus), Dnb Nor, Nordea.

 

Og for å teste systemet så må man selvsagt ha penger som banken (selvsagt) skaffer tilveie. Og er det jo enkelt å finne ut om dette går eller ikke. Og at alle innvolverte har taushetsplikt er jo soleklart.

 

Men om noen er villige til å stille opp på dette er jeg usikker på, men det hadde vært utrolig artig da...

PS: Historien fra Danske Bank/Jyske Bank er forresten ikke en påstand, men en sannhet.

 

Jeg skal vedde 1000 NOK på at jeg klarer å lure dette systemet, men tror ikke at SAS Institute tør å vedde imot. Pga de vet at dette er sant, men unnlater å si det til sine kunder...

Endret 17. oktober 2006 av tintin77

[tintin77]

Hør bare hva hva de skryter av seg selv på deres amerikanske sider:

http://www.sas.com/industry/fsi/aml/tour/itour_flash.html

 

Superior Detection and Prevention of Criminal Financial Activity

 

LOL jeg må le, ærlig talt man må jo mest være amerikansk for å tro på dette da..

 

Men som andre amerikanske firmaer så liker å skryte på seg mye da og i samarbeid med store norske banker, så har de sagt systemet allerede har luket ut mange tvilsomme transaksjoner.. Men om dette bare er skryt eller reelt er uvisst.. Ettersom partene er tause, og det sier jo litt....

Endret 2. desember 2006 av tintin77

[exchange]

Money Laudering detection er et ekstremt komplekst tema, og reflekterer i stor grad white colar crime generellt, og stoppes av avtaler på internasjonalt nivå.

 

SAS AntiMoney laudering compliant i henhold til både Bank Secrecy Act (BSA) og USA PATRIOT Act (USAPA), og i den grad det finnes svakheter i applikasjonen, er det design kreteriene, gitt av lov kriteriene, som kan være svake.

 

Selvfølgelig er det entiteter som ikke overholder de regler som er fastsatt av finansdepartementet, og derfor har man personer som overvåker alle tranaksjoner som foregår på oslo børs. (uten å gå nærmere inn på dette) Noe forøvrig Danmark også har.

 

I interfacet mellom økonomi og programvare er angrepsflatene multidimensjonale

noe litteraturen relatert til temaet fra verdensbanken viser.

 

http://siteresources.worldbank.org/PSGLP/R...lphabetical.pdf

[tintin77]

Hva hjelper det om at SAS Anti-Money er i henhold til både BSA og USAPA når disse lovene er ganske så ullne og programvaren blir derretter. Men det fleste lover er jo ullne og det er jo derfor man har advokater eller hva..

 

Money Laudering detection er uten tvil ekstremt komplekst, men noen av løsningene til SAS Institute er rett og slett for amatørmessige...

At internasjonal lover gjør det verre er jo ikke så rart...

 

Enkelte myndigheter med tilhørende banker prioterer personvernet, andre prioterer statens interesser og dette er jo bra

 

Ett eksempel: Jeg arver penger fra min rike onkel og jungelkonge Bongo fra Kongo, 150000 USD rett inn på min norske konto levert som en wire transfer... Å ja dette vekker jo ingen oppmerksomhet nei...

 

Ærlig talt.. Hvor dum tror man egentlig at folk er.. Penger kan jo være disponible i Norge uten fysisk å være i Norge..

 

Men pga sikkerhetsmessige årsaker så er det ikke så farlig om vi presenterer halv-sannheter så lenge kundene tror på det.

 

Men inntil det motsatte er bevisst så er dette sannheter og ikke noe mindre enn sannheter.

Endret 2. oktober 2007 av tintin77