03.04.2023
Міжнародна система міжбанківських платежів та передачі інформації SWIFT є основним засобом взаєморозрахунків між банками на світовому рівні. Фактично система SWIFT — це монополіст.
Щорічно через систему SWIFT проходить понад 10 мільярдів платіжних доручень, і з кожним роком цей показник зростає. Природно, що вся діяльність системи SWIFT має бути надійно захищена від усіляких кіберзагроз.
Але так сталося, що довгий час компанія SWIFT не приділяла особливої уваги захисту від кіберзагроз. Переломний момент настав у 2016 році, коли невідомі хакери через уразливість у програмному забезпеченні SWIFT вивели з Центрального банку Бангладеш 81 мільйон доларів США.
Після цієї події SWIFT оголосила, що безпека міжбанківських платежів та програмного забезпечення є пріоритетом номер один для компанії на найближчі кілька років.
У квітні 2017 року SWIFT випустила набір вимог для всіх банків та сервіс-провайдерів. Ці вимоги мають назву SWIFT Customer Security Controls Framework (CSCF).
Упродовж 2017 року також вийшли документи з описом процедури підтвердження банками відповідності цим вимогам. Було розроблено та впроваджено програмну систему, в яку всі користувачі системи SWIFT повинні завантажувати звіти з результатами аудиту.
Вимоги SWIFT (CSCF) не є абсолютно унікальними - під час їх розробки враховувався досвід міжнародних стандартів, як-от PCI DSS і ISO 27001.
Порівняльну таблицю вимог стандартів PCI DSS, NIST, ISO 27001 та SWIFT можна знайти в додатку до документа SWIFT (CSCF).
Усього SWIFT (в CSCF v2023) опублікував 32 вимоги (24 обов'язкових та 8 рекомендованих), які згруповані за трьома цілями та вісьмома принципами.
Мета №1. Убезпечити ІТ-інфраструктуру.
Ця мета містить у собі 4 принципи, такі як:1) Обмежити доступ до мережі Інтернет.2) Відокремити критичні системи від загальної ІТ-інфраструктури банку.3) Обмежити можливості для атак хакерів і усунути вразливість.4) Обмежити фізичний доступ до ІТ-систем.
Мета №2 Розуміти, хто має доступ до системи та контролювати його.
Ця мета містить наступні 2 принципи:1) Запобігати компрометації облікових даних.2) Керувати обліковими даними та розмежовувати рівні доступу.
Мета №3 Виявляти атаки та реагувати на інциденти.
Ця мета також включає 2 принципи:1) Виявляти аномальну активність в ІТ-системах та в транзакційних записах.2) Планувати реагування на інциденти та ділитися інформацією про них із спільнотою користувачів SWIFT.
Короткий огляд суті всіх цих вимог SWIFT (CSCF) звучатиме так:
● Використання міжмережевих екранів для того, щоб відокремити компоненти SWIFT від інших банківських систем.● Максимальне обмеження повноважень як системних адміністраторів, так і звичайних користувачів. Усі дії лише в рамках певних службових повноважень, та запровадження суворого обліку всіх істотних змін в ІТ-інфраструктурі.● Шифрування критичних даних під час передачі через мережу.● Налаштування всіх ІТ-систем безпечно, відповідно до рекомендацій їх виробників.● Впровадження строгих вимог до паролів та використання для доступу до критичних систем багатофакторної автентифікації.● Забезпечення контролю цілісності баз даних та програм.● Захист від вірусів та програм-шифрувальників.● Захист мереж та систем, у тому числі, фізично.● Виявлення інцидентів та аномальної активності в ІТ-системах.● Регулярне сканування на вразливості та тести на проникнення.● Розробка процедур реагування на інциденти.● Навчання персоналу та підвищення рівня їхньої готовності до відображення різноманітних кібератак.
При виконанні будь-якої з цих вимог може виникати досить багато складнощів і труднощів, оскільки кожен банк унікальний за своєю структурою та організацією.
Консультанти компанії «ІТ Спеціаліст» багато років займаються успішною побудовою систем інформаційної безпеки в банках відповідно до вимог міжнародних стандартів та фінансових регуляторів.
Швидко та надійно ми допоможемо вашому банку виконати всі вимоги системи SWIFT.
Запрошуємо представника вашого банку на безкоштовну консультацію.