Требования по кибербезопасности системы платежей SWIFT

 

Международная система межбанковских платежей и передачи информации SWIFT является единственным средством взаиморасчётов между банками на мировом уровне. Фактически система SWIFT - это монополист.

 

В среде банковских служащих появились такие неологизмы, как свифтовать – пересылать платёж через систему SWIFT, и свифтовка – это документ, подтверждающий совершение платежа.

 

Ежегодно через систему SWIFT проходит 2,5 миллиарда платёжных поручений. Естественно, что вся деятельность системы SWIFT должна быть надёжно защищена от всевозможных киберугроз.

 

Долгое время компания SWIFT не уделяла особого внимания защите от киберугроз. Переломный момент наступил в 2016-м году, когда неизвестные хакеры через уязвимость в программном обеспечении SWIFT вывели из Центрального банка Бангладеш 81 миллион долларов США.

 

После этого события SWIFT объявила, что безопасность межбанковских платежей и программного обеспечения является приоритетом номер один для компании на ближайшие несколько лет.

 

В апреле 2017-го года SWIFT выпустила набор требований для всех банков и сервис-провайдеров. Эти требования носят название SWIFT Customer Security Controls Framework (CSCF)

 

На протяжении 2017-го года также вышли документы с описанием процедуры подтверждения банками соответствия этим требованиям. Была разработана и внедрена программная система, в которую все пользователи системы SWIFT должны загружать отчёты с результатами аудита.

 

На текущий момент каких-либо санкций для банков или сервис-провайдеров, не выполняющих требования SWIFT (CSCF), не предусмотрено.

 

Все банки и сервис-провайдеры обязаны до 31.12.2017 года провести самооценку соответствия данным требованиям и загрузить её результаты в программу системы SWIFT.

 

Начиная с января 2018-го года, по отношению к тем банкам, которые проигнорировали новые требования и не предоставили отчёт, будут применяться различные ограничивающие меры, вплоть до полного отключения от системы.

 

Требования SWIFT (CSCF) не являются абсолютно уникальными, при их разработке учитывался опыт международных стандартов PCI DSS и ISO27001.

 

Сравнительную таблицу по всем стандартам PCI DSS, ISO27001 и SWIFT можно найти в приложении к документу SWIFT (CSCF).

 

Всего SWIFT разработал 27 требований, которые сгруппированы по 3-м целям и 8-ми принципам.

Обезопасить ИТ–инфраструктуру

  • Ограничить доступ к сети интернет;
  • Отделить критичные системы от общей ИТ-инфраструктуры банка;
  • Ограничить возможности для хакерских атак и устранить уязвимость;
  • Ограничить физический доступ к ИТ-системам.

Понимать, кто имеет доступ к системе и контролировать его

  • Предотвращать компрометацию учётных данных;
  • Управлять учётными данными и разграничивать уровни доступа.

Обнаруживать атаки и реагировать на инциденты

  • Выявлять аномальную активность в ИТ-системах и в транзакционных записях;
  • Планировать реагирование на инциденты и делиться информацией о них с сообществом пользователей SWIFT.

 

Внутри каждого из принципов содержатся детальные требования, 16 из которых являются обязательными для выполнения, а остальные 11 - это рекомендации, которые до 2019-го года могут выполняться или не выполняться по усмотрению банка.

 

Сделаем краткий обзор этих требований SWIFT (CSCF):

 

 

  • Внедрение межсетевых экранов для того, чтобы отделить компоненты SWIFT от остальных банковских систем.
  • Максимальное ограничение полномочий системных администраторов. Все действия только в рамках определённых служебных полномочий, и введение строгого учёта всех существенных изменений в ИТ-инфраструктуре.
  • Шифрование критичных данных при передаче по сети.
  • Настройка всех ИТ-систем безопасным образом в соответствии с рекомендациями их производителей.
  • Внедрение строгих требований к паролям и использование для доступа к критичным системам многофакторной аутентификации.
  • Обеспечение контроля целостности баз данных и программ.
  • Защита от вирусов и программ-шифровальщиков.
  • Выявление инцидентов и аномальной активности в ИТ-системах.
  • Разработка процедур реагирования на инциденты.
  • Обучение персонала и повышение уровня их готовности к отражению всевозможных кибератак.

 

 

 

При выполнении любого из этих требований, может возникать достаточно много сложностей и трудностей, так как каждый банк уникален по своей структуре и организации.

 

Консультанты нашей компании «ИТ-Специалист» много лет занимаются успешным построением систем информационной безопасности в банках в соответствии с требованиями международных стандартов и финансовых регуляторов.

 

Быстро и надёжно мы поможем вашему банку выполнить все требования системы SWIFT.

Возникли вопросы?

 

 

Свяжитесь с нами для консультации

Требования по кибербезопасности системы платежей SWIFT обновлено: Январь 17, 2018 автором: Oleksandr Kubersky