03.04.2023
Международная система межбанковских платежей и передачи информации SWIFT является основным средством взаиморасчетов между банками на мировом уровне. Фактически, система SWIFT — это монополист.
Ежегодно через систему SWIFT проходит более 10 миллиардов платежных поручений и с каждым годом этот показатель растет. Естественно, что вся деятельность системы SWIFT должна быть надежно защищена от всевозможных киберугроз.
Но так вышло, что долгое время компания SWIFT не уделяла особого внимания защите от киберугроз. Переломный момент наступил в 2016 году, когда неизвестные хакеры через уязвимость в программном обеспечении SWIFT вывели из Центрального банка Бангладеш 81 миллион долларов США.
После этого события SWIFT объявила, что безопасность межбанковских платежей и программного обеспечения является приоритетом номер один для компании на ближайшие несколько лет.
В апреле 2017 года SWIFT выпустила набор требований для всех банков и сервис-провайдеров. Эти требования носят название SWIFT Customer Security Controls Framework (CSCF).
На протяжении 2017 года также вышли документы с описанием процедуры подтверждения банками соответствия этим требованиям. Была разработана и внедрена программная система, в которую все пользователи системы SWIFT должны загружать отчеты с результатами аудита.
Требования SWIFT (CSCF) не являются абсолютно уникальными - при их разработке учитывался опыт международных стандартов, таких как PCI DSS и ISO 27001.
Сравнительную таблицу требований стандартов PCI DSS, NIST, ISO 27001 и SWIFT можно найти в приложении к документу SWIFT (CSCF).
Всего SWIFT (в CSCF v2023) опубликовал 32 требований (24 обязательных и 8 рекомендуемых), которые сгруппированы по трем целям и восьми принципам. 
Цель №1. Обезопасить ИТ–инфраструктуру.
Эта цель содержит в себе 4 принципа, такие как:1) Ограничить доступ к сети Интернет.2) Отделить критичные системы от общей ИТ-инфраструктуры банка.3) Ограничить возможности для хакерских атак и устранить уязвимость.4) Ограничить физический доступ к ИТ-системам.
Цель №2. Понимать, кто имеет доступ к системе и контролировать его.
Эта цель содержит следующие 2 принципа:1) Предотвращать компрометацию учетных данных.2) Управлять учетными данными и разграничивать уровни доступа.
Цель №3. Обнаруживать атаки и реагировать на инциденты.
Эта цель также включает в себя 2 принципа:1) Выявлять аномальную активность в ИТ-системах и в транзакционных записях.2) Планировать реагирование на инциденты и делиться информацией о них с сообществом пользователей SWIFT.
Краткий обзор сути всех этих требований SWIFT (CSCF) будет звучать так:
• Внедрение межсетевых экранов для того, чтобы отделить компоненты SWIFT от остальных банковских систем.• Максимальное ограничение полномочий и системных администраторов, и обычных пользователей. Все действия только в рамках определенных служебных полномочий, и введение строгого учета всех существенных изменений в ИТ-инфраструктуре.• Шифрование критичных данных при передаче по сети.• Настройка всех ИТ-систем безопасным образом, в соответствии с рекомендациями их производителей.• Внедрение строгих требований к паролям и использование для доступа к критичным системам многофакторной аутентификации.• Обеспечение контроля целостности баз данных и программ.• Защита от вирусов и программ-шифровальщиков.• Защита сетей и систем, в том числе, на физическом уровне.• Выявление инцидентов и аномальной активности в ИТ-системах. • Регулярное сканирование на уязвимости и тесты на проникновение.• Разработка процедур реагирования на инциденты. • Обучение персонала и повышение уровня их готовности к отражению всевозможных кибератак.
При выполнении любого из этих требований, может возникать достаточно много сложностей и трудностей, так как каждый банк уникален по своей структуре и организации. 
Консультанты компании «ИТ Специалист» много лет занимаются успешным построением систем информационной безопасности в банках в соответствии с требованиями международных стандартов и финансовых регуляторов. 
Быстро и надёжно мы поможем вашему банку выполнить все требования системы SWIFT. 
Приглашаем представителя вашего банка на бесплатную консультацию.