SWIFT Customer Security Programme - geneza i praktyka

05/05/20

Czym jest SWIFT Customer Security Programme i jakie planowane są zmiany dla użytkowników systemu?

Co to jest SWIFT?

Society for Worldwide Interbank Financial Telecommunication (SWIFT) jest największym stowarzyszeniem instytucji finansowych zawiązanym w celu wymiany informacji wspierających obrót finansowy. SWIFT skupia ponad 11 tysięcy banków, instytucji finansowych oraz korporacji z więcej niż 200 krajów.

Celem organizacji jest zapewnienie:

Bezpiecznej komunikacji pomiędzy uczestnikami systemu
Uporządkowanej i niezawodnej wymiany komunikatów związanych z płatnościami, obrotem akcjami, usługami finansowymi i obsługą handlu,

SWIFT dzięki temu wspiera przepływ kapitału, rozwój obrotu kapitałowego i handlu na całym świecie przez zapewnienie platformy wymiany i standaryzację komunikatów.

Początki SWIFT sięgają roku 1973, kiedy 239 banków z 15 krajów zebrało się, w celu ułatwienia płatności międzynarodowych. Problem stanowiła użytkowana w tamtym czasie teleksowa wymiana informacji, co w warunkach zwiększonej wymiany handlowej, mogło prowadzić do błędów i nadużyć.

W efekcie, w 1977 roku 518 banków z 22 krajów rozpoczęło wymianę komunikatów w systemie SWIFT. Przełomowym rokiem było 1983, kiedy do systemu weszły pierwsze banki centralne, oraz 1987, kiedy SWIFT znalazł zastosowanie na rynku kapitałowym (obrót akcjami i innymi instrumentami finansowymi).

Punkt zwrotny w historii SWIFT - sprawa Banku Bangladeszu

W swojej historii SWIFT od początku mierzył się z wieloma próbami wyłudzeń. W lutym 2016 roku cyberprzestępcy dokonali próby kradzieży środków z Banku Bangladeszu (bank centralny). W wyniku przeprowadzonego ataku na systemy informatyczne, przestępcom udało się wygenerować serię komunikatów SWIFT zlecających transfer blisko miliarda dolarów z konta Banku i zatrzeć ślady swojej aktywności w systemach ofiary. Przez niewielki błąd w treści komunikatu oraz dzięki szybkiej reakcji banków na całym świecie, udało się zatrzymać transfer znacznej części środków.

Niestety, 81 milionów dolarów trafiło w ręce przestępców, z której to kwoty udało się odzyskać jedynie 18 milionów dolarów. Pomimo niewykrycia sprawców, o atak podejrzewa się grupę cyberprzestępców wspieranych przez rząd jednego z państw. Atak uświadomił społeczności SWIFT skalę zagrożenia i zmusił do podjęcia szybkich i zdecydowanych działań.

Rok 2020 przynosi, poza zmianą zestawu kontroli, również przekształcenie sposobu potwierdzania zgodności z SWIFT Customer Security Controls Framework

SWIFT Customer Security Programme

Dochodzenie po incydencie ujawniło, że choć przyczyną strat był atak cybernetyczny, to zaniedbania Banku Bangladeszu w znacznym stopniu ułatwiły zadanie przestępcom. Skłoniło to SWIFT do podjęcia działań w celu ochrony systemu przed utratą zaufania przez instytucje uczestniczące w systemie. W celu uniknięcia podobnych incydentów w przyszłości, SWIFT powołał program Customer Security Programme opierający się na trzech głównych filarach:

Wymianie informacji dotyczących zagrożeń;
Ciągłym udoskonalaniu wykorzystywanych narzędzi do ochrony uczestników;
Wypracowaniu zestawu dobrych praktyk w obrębie zabezpieczenia środowiska SWIFT przez instytucje uczestniczące. Działania te doprowadziły do stworzenia SWIFT Customer Security Controls Framework (CSCF).

SWIFT Customer Security Controls Framework

SWIFT buduje Customer Security Controls Framework (CSCF) w oparciu o najnowsze badania oraz uznane standardy takie jak PCI-DSS, ISO/IEC 27002 oraz NIST. Pierwszą wersję CSCF SWIFT udostępnił w roku 2017 i od tego czasu rokrocznie dokonuje zmian dostosowując swoje wymagania do rezultatów prowadzonej analizy ryzyka utraty poufności, integralności i dostępności informacji przetwarzanych w systemach informatycznych.

CSCF składa się z 2 rodzajów kontroli:

Wymaganych (mandatory)
Doradczych (advisory)

W przypadku wymaganych kontroli, każdy z uczestników platformy SWIFT ma obowiązek co roku potwierdzać stosowanie narzuconych przez CSCF celów kontrolnych. Kontrole doradcze mają co prawda charakter wspierający i nie są obowiązkowe, ale jak uczy doświadczenie, wiele z nich rozpoczyna swoje istnienie jako kontrole doradcze, by z czasem stać się obowiązkowymi.

Customer Security Controls Framework - ważne daty

Każdy z podmiotów objętych systemem SWIFT ma obowiązek wdrożyć wymagania do końca roku kalendarzowego na jaki wymagania wydano. Dla przykładu wymagania na 2020 rok mają być wdrożone do 31 grudnia 2020 r. W związku z tym, iż publikacja nowej wersji CSCF następuje w połowie poprzedzającego roku, kalendarz publikacji kontroli daje każdemu z uczestników systemu 18 miesięcy na wdrożenie wymagań. W przypadku wymagań na rok 2020, publikacja zestawu kontroli nastąpiła 4 lipca 2019 roku.

SWIFT wymaga, aby każdy z uczestników systemu na koniec roku raportował za pomocą aplikacji Know your Client - Security Attestation (KYC - SA) stan wdrożenia wymagań. W przypadku CSCF v 2020 termin raportowania przypada na 31 grudnia 2020 roku.

Customer Security Controls Framework 2020 - istotne zmiany

Rok 2020 przynosi, poza zmianą zestawu kontroli, również przekształcenie sposobu potwierdzania zgodności z CSCF.

Tak jak w poprzednich latach, wersja CSCF 2020 przynosi następujące zmiany:

Uznanie dwóch kontroli jako wymagalnych, dotąd traktowanych jako doradcze (“Ochrona Platform Wirtualizacyjnych” oraz “Podniesienie Bezpieczeństwa Aplikacji”);
Wdrożenie dwóch nowych kontroli doradczych (“Ograniczenie Dostępu do Internetu”, “Kontrole biznesowe RMA (Relationship Management Application)”);
Pozostałe modyfikacje takie jak zmiana zakresu kontroli, wskazówek dotyczących wdrożenia lub opisu alternatywnych sposobów przygotowania.

W ubiegłych latach dopuszczalna była forma samooceny w zakresie CSCF (pracownicy wykonujący zadania mogli potwierdzać stosowanie kontroli). Od roku 2020, każde potwierdzenie powinno zostać wykonane przez niezależną jednostkę tj: