03.04.2023
Międzynarodowy system płatności międzybankowych i przekazywania informacji SWIFT jest głównym sposobem wzajemnych rozliczeń między bankami na poziomie globalnym. 
System SWIFT przetwarza rocznie ponad 10 miliardów zleceń płatniczych, a z każdym rokiem liczba ta wzrasta. Naturalnie wszystkie operacje systemu SWIFT wymagają niezawodnej ochrony przed wszelkiego rodzaju cyberzagrożeniami.
W kwietniu 2017 roku organizacja SWIFT opublikowała zestaw wymagań dla wszystkich banków i usługodawców. Wymagania te noszą nazwę SWIFT Customer Security Controls Framework (CSCF).
W 2017 roku udostępniono również dokumenty opisujące procedurę potwierdzania spełniania tych wymogów przez banki. Opracowano i wdrożono system informatyczny, do którego wszyscy użytkownicy systemu SWIFT muszą przesyłać raporty z wynikami audytu.
Wymagania SWIFT (CSCF) nie są zupełnie unikalne — podczas ich opracowywania wzięto pod uwagę doświadczenia międzynarodowych standardów takich jak PCI DSS i ISO 27001.
Tabela porównawcza wymagań standardów PCI DSS, NIST, ISO 27001 i SWIFT znajduje się w załączniku do dokumentu SWIFT (CSCF).
W sumie organizacja SWIFT (w wersji CSCF z 2023 roku) opublikowała 32 wymagania (24 obowiązkowe i 8 zalecanych) podzielone na trzy cele i osiem zasad.
Cel nr 1. Zabezpieczenie infrastruktury informatycznej.Cel ten obejmuje następujące 4 zasady:1) Ograniczenie dostępu do sieci Internet.2) Oddzielenie krytycznych systemów od ogólnej infrastruktury informatycznej banku.3) Ograniczenie możliwości ataków hakerskich i wyeliminowanie luk w zabezpieczeniach.4) Ograniczenie fizycznego dostępu do systemów informatycznych.
Cel nr 2. Zrozumienie, kto ma dostęp do systemu, i kontrola tego dostępu.Cel ten obejmuje następujące 2 zasady:1) Zapobieganie naruszeniu bezpieczeństwa danych dostępowych.2) Zarządzanie danymi dostępowymi i rozdzielanie poziomów dostępu.
Cel nr 3. Wykrywanie ataków i reagowanie na incydenty.Cel ten również obejmuje 2 zasady:1) Wykrywanie nietypowych działań w systemach informatycznych i zapisach transakcji.2) Planowanie reakcji na incydenty i dzielenie się informacjami o nich ze społecznością użytkowników systemu SWIFT.
Oto krótki przegląd zasadniczej treści wszystkich wymogów SWIFT (CSCF):● Stosowanie firewalli w celu oddzielenia elementów systemu SWIFT od innych systemów bankowych.● Maksymalne ograniczenie uprawnień zarówno administratorów systemu, jak i zwykłych użytkowników. Wszelkich działań można dokonywać tylko w ramach określonych uprawnień służbowych. Ponadto wymagane jest prowadzenie ścisłej ewidencji wszystkich istotnych zmian w infrastrukturze informatycznej.● Szyfrowanie krytycznych danych podczas ich przesyłania za pośrednictwem sieci.● Bezpieczna konfiguracja wszystkich systemów informatycznych zgodnie z zaleceniami ich producentów.● Wdrożenie surowych wymagań dotyczących haseł i korzystanie z uwierzytelniania wieloskładnikowego przy dostępie do krytycznych systemów.● Zapewnienie kontroli integralności baz danych i programów.● Ochrona przed wirusami i programami szyfrującymi (ransomware).● Ochrona sieci i systemów, w tym fizyczna.● Wykrywanie incydentów i nietypowych działań w systemach informatycznych.● Regularne skanowanie pod kątem luk w zabezpieczeniach oraz testy penetracyjne.● Opracowanie procedur reagowania na incydenty.● Szkolenie pracowników i podnoszenie poziomu ich gotowości do powstrzymywania różnych cyberataków.
Spełnienie któregokolwiek z tych wymogów może sprawiać wiele trudności, ponieważ każdy bank jest wyjątkowy pod względem struktury i organizacji.
Konsultanci firmy IT Specialist od wielu lat z powodzeniem budują systemy bezpieczeństwa informatycznego w bankach zgodnie z wymaganiami międzynarodowych standardów i regulatorów finansowych.
Szybko i niezawodnie udzielimy Twojemu bankowi wsparcia potrzebnego do spełnienia wszystkich wymagań systemu SWIFT.Zapraszamy przedstawiciela banku na bezpłatną konsultację.