Журнал "Системы безопасности" издается с 1995 года

Подписка

Журнал "Системы безопасности" издается с 1995 года

Статьи

SWIFT CSP: так ли все сложно?

Андрей Степанов 27/01/22

SWIFT – международная межбанковская система передачи информации и совершения платежей. Альянс основан в 1973 г., соучредителями выступили 248 банков из 19 стран. Штаб-квартира SWIFT находится в Бельгии, недалеко от Брюсселя. SWIFT является кооперативным обществом, созданным по бельгийскому законодательству, принадлежит его членам. По состоянию на 2021 г. членами SWIFT являются более 11 тыс. финансовых организаций в более чем 200 странах мира, в том числе около 1 тыс. корпораций. Средний оборот более 30 млн сообщений в день.

На протяжении 43 лет система считалась самой защищенной и неуязвимой для кибермошенников, но в 2016 г. весь мир облетела новость о том, что хакеры смогли взломать систему финансовых транзакций SWIFT. Была совершена попытка вывести из банка южноазиатской страны 951 млн долларов США. Большая часть транзакций была заблокирована, однако 81 млн долларов США все уже удалось вывести на счета игорных заведений на Филиппинах, после чего следы этих денег были потеряны1.

Обзор: ЭЛЕКТРОЗАМКИ и ЭЛЕКТРОЗАЩЕЛКИ

После этой новости по всему миру с регулярной периодичностью стали появляться новости о попытках или успешных атаках на участников платежной системы SWIFT, что объясняется появлением к ней интереса у сообщества кибермошенников. Не обошли они и Россию. 15 декабря 2017 г. была зафиксирована успешная кибератака на один из российских банков с выводом денег за рубеж. В обзоре FinCERT говорится: "В Банк России направлена информация об одной успешной атаке на рабочее место оператора системы SWIFT. Объем несанкционированных операций в результате данной атаки составил 339,5 млн рублей"2.

После анализа инцидентов в Аlliance SWIFT сделали выводы, что слабым местом стали инфраструктура и операционные процессы на стороне участников обмена. Ранее считалось, что участники ответственно относятся к своим рискам и предпринимают соответствующие защитные меры, но время доказало обратное.

Было принято решение разработать Customer Security Programme (CSP), которая будет представлять собой требования по организации мер защиты на стороне участников и контрольные механизмы по их выполнению. Программа CSP будет пересматриваться на ежегодной основе и дополняться мерами защиты с учетом новых угроз и лучших практик.

Ввиду того, что реализация сразу всех мер защиты для участников SWIFT – достаточно затратное мероприятие по ресурсам и времени, первое время требования будут носить рекомендательный характер, с постепенным переводом их в статус обязательных.

Первая версия CSP была представлена в 2017 г., она включала в себя 16 обязательных и 11 рекомендованных элементов контроля, которые участники платежной системы должны были реализовывать на добровольной основе. Версия-2021 Customer Security Controls Framework (CSCF) была выпущена в июле 2020 г. и включает уже 22 обязательных и 9 рекомендательных мер защиты.

Вначале альянс обязывал участников провести самоаттестацию по обязательным и опционально рекомендованным элементам контроля, а с середины 2020 г. необходимо проводить независимую аттестацию на соответствие требованиям SWIFT CSCF.

Все результаты аттестации публикуются самими участниками в KYC Registry (KYC-SA), которое является центральным приложением для пользователей, что способствует прозрачному обмену информацией о состоянии безопасности с контрагентами для управления киберрисками и оценке контрагентов (Due Diligence).

Кроме того, Alliance SWIFT ввел новое требование на 2021 г., которое заключается в выполнении ежегодного внешнего аудита. Перечень
аккредитованных аудиторских компаний публикуется на сайте www.swift.com.

SWIFT CSCF 2021 vs NIST Cybersecurity Framework 1.1 vs ISO 27002 (2013) vs PCI DSS 3.2.1

Анализ требований/контролей SWIFT указывает на совпадение с требованиями других отраслевых стандартов (табл. 1). Это доказывает, что банкам легко включить SWIFT CSCF в действующую политику информационной безопасности, так как ее разработчики принимают во внимание здравый смысл и новейшие передовые практики и учитывают специфическую для пользователя инфраструктуру и конфигурации. Особенно банкам, проходящим ежегодный QSA-аудит!

Таблица1. Пример совпадений требований различных отраслевых стандартов001-4

Что же из себя представляет по содержанию CSCF 2021

Ознакомиться с последней актуальной редакцией CSCF 2021 возможно, зайдя в личный кабинет участника SWIFT. На текущий момент это самая последняя версия 2021 г. Данная версия содержит 31 требование по безопасности, из которых 22 являются обязательными для выполнения до 31 декабря 2021 г.

Ниже перечислены все требования из CSCF. Обязательные для выполнения требования выделены полужирным шрифтом:

1. Ограничение доступа в Интернет и защита наиболее важных систем от общей ИТ-среды:
1.1 Обеспечение защиты среды SWIFT.
1.2 Контроль за привилегированными учетными записями операционной системы.
1.3 Защита платформы виртуализации.
1.4 Ограничение доступа в интернет.
2. Уменьшение количества потенциальных векторов атак и уязвимостей:
2.1 Защита внутреннего потока данных.
2.2 Обновления системы безопасности.
2.3 Повышение надежности системы.
2.4A Безопасность потока данных бэк-офиса.
2.5A Защита внешней передачи данных.
2.6 Конфиденциальность и целостность сессии оператора.
2.7 Сканирование на уязвимость системы:
2.8А Аутсорсинг критически важных видов деятельности.
2.9A Средства контроля транзакционного бизнеса.
2.10 Повышение надежности приложений.
2.11A Средства контроля RMA.
3. Обеспечение физической безопасности среды:
3.1 Физическая защита.
4. Предотвращение компрометации учетных данных:
4.1 Политика паролей.
4.2 Многофакторная аутентификация.
5. Управление идентификационными данными и разграничение полномочий:
5.1 Логический контроль доступа.
5.2 Управление токенами.
5.3A Процесс проверки персонала.
5.4. Физическое и логическое хранение паролей.
6. Обнаружение аномальной активности в системах и журналах транзакций:
6.1 Защита от вредоносных программ.
6.2 Целостность программного обеспечения
6.3 Целостность базы данных.
6.4 Ведение журнала операций и мониторинг.
6.5A Обнаружение вторжений.
7. План реагирования на инциденты и информирование:
7.1 Планирование реагирования на киберинциденты.
7.2 Обучение и информирование в сфере безопасности.
7.3А Тест на проникновение.
7.4A Оценка рисков.
Описание данных требований в CSCF занимает более 100 страниц текста, поэтому остановлюсь только на важных моментах.
 

Регистрация на онлайн-конференции для специалистов в области ИТ и безопасности

Основные моменты SWIFT CSCF 2021

  1. Все компоненты SWIFT должны быть в отделенном физически от основной инфраструктуры банка контуре безопасности (отдельные серверы и коммуникационное оборудование).
  2. Должен использоваться межсетевой экран (далее – МЭ) транспортного уровня, создающий границу контура безопасности. Доступ для администрирования МЭ должен быть только из контура безопасности SWIFT.
  3. Операторы/администраторы должны работать с компонентами SWIFT локально внутри контура безопасности. 
  4. В случае удаленной работы операторов/администраторов должен использоваться Jump-сервер.
  5. Должна быть 2FA для операторов/администраторов.
  6. Физический доступ к серверам и другому оборудованию должен быть доступен только для системных и прикладных администраторов SWIFT.
  7. Желательно отделение от общих корпоративных ИТ-сервисов (WSUS, SCCM, Antivirus, SIEM, BackUp).
  8. Администраторы должны проходить ежегодное обучение по программе SWIFT.

Исходя из собственной практики подготовки и прохождения внешнего аудита по CSCF 2019 и 2021, могу сказать, что если банком выполняются перечисленные выше моменты, то вероятность успешного прохождения аудита велика, так как другие требования безопасности в большинстве случаев уже выполняются или могут быть реализованы во время аудита.

Отправка отчета

После получения положительного заключения от внешней аудиторской компании необходимо сделать последний шаг и отправить результаты в Alliance SWIFT. Для этого необходимо:

  1. Зайти в приложение KYC-SA под ролью предоставляющего (Submitter) – лица, которое будет заполнять данные в приложении, и утверждающего (Approver) – лица, уполномоченного утвердить заполненную форму самоаттестации (директор по информационной безопасности – Chief Information Security Officer, CISO или лицо с аналогичными функциями).
  2. Заполнить черновик аттестации на основе полученного от аудитора отчета.
  3. Завершить и отправить аттестацию. После заполнения черновика формы аттестации назначенный утверждающий (Approver) должен утвердить и направить на публикацию финальную версию аттестации.

SWIFT проверит аттестацию на предмет указанной информации. После успешного завершения данной проверки статус аттестации будет переведен в "опубликовано", что будет свидетельствовать о завершении работ.

Заключение

По моей практике, аудит может занимать от 7 до 30 дней, а подготовка – несколько месяцев. Поэтому, если ваш банк является участником платежной системы SWIFT и вы не проводили никаких работ, рекомендую их начать незамедлительно и в первую очередь с аудита инфраструктуры SWIFT.

1 https://www.cnews.ru/news/top/2016-04-25_haker y_vzlomali_swift
2 https://www.kommersant.ru/doc/3501353
 

Опубликовано в журнале "Системы безопасности" №5/2021

Создавайте ведущее отраслевое издание по безопасности вместе с нами!
Темы: Безопасность объектов Журнал "Системы безопасности" №5/2021

Поделитесь вашими идеями

Читать все

Читать все

Подписаться на новости
Расписание 2025

Технологии. Обзоры решений. Задачи заказчиков.

Регистрация на

онлайн-программу

Регистрация на