SWIFT – международная межбанковская система передачи информации и совершения платежей. Альянс основан в 1973 г., соучредителями выступили 248 банков из 19 стран. Штаб-квартира SWIFT находится в Бельгии, недалеко от Брюсселя. SWIFT является кооперативным обществом, созданным по бельгийскому законодательству, принадлежит его членам. По состоянию на 2021 г. членами SWIFT являются более 11 тыс. финансовых организаций в более чем 200 странах мира, в том числе около 1 тыс. корпораций. Средний оборот более 30 млн сообщений в день.
На протяжении 43 лет система считалась самой защищенной и неуязвимой для кибермошенников, но в 2016 г. весь мир облетела новость о том, что хакеры смогли взломать систему финансовых транзакций SWIFT. Была совершена попытка вывести из банка южноазиатской страны 951 млн долларов США. Большая часть транзакций была заблокирована, однако 81 млн долларов США все уже удалось вывести на счета игорных заведений на Филиппинах, после чего следы этих денег были потеряны1.
После этой новости по всему миру с регулярной периодичностью стали появляться новости о попытках или успешных атаках на участников платежной системы SWIFT, что объясняется появлением к ней интереса у сообщества кибермошенников. Не обошли они и Россию. 15 декабря 2017 г. была зафиксирована успешная кибератака на один из российских банков с выводом денег за рубеж. В обзоре FinCERT говорится: "В Банк России направлена информация об одной успешной атаке на рабочее место оператора системы SWIFT. Объем несанкционированных операций в результате данной атаки составил 339,5 млн рублей"2.
После анализа инцидентов в Аlliance SWIFT сделали выводы, что слабым местом стали инфраструктура и операционные процессы на стороне участников обмена. Ранее считалось, что участники ответственно относятся к своим рискам и предпринимают соответствующие защитные меры, но время доказало обратное.
Было принято решение разработать Customer Security Programme (CSP), которая будет представлять собой требования по организации мер защиты на стороне участников и контрольные механизмы по их выполнению. Программа CSP будет пересматриваться на ежегодной основе и дополняться мерами защиты с учетом новых угроз и лучших практик.
Ввиду того, что реализация сразу всех мер защиты для участников SWIFT – достаточно затратное мероприятие по ресурсам и времени, первое время требования будут носить рекомендательный характер, с постепенным переводом их в статус обязательных.
Первая версия CSP была представлена в 2017 г., она включала в себя 16 обязательных и 11 рекомендованных элементов контроля, которые участники платежной системы должны были реализовывать на добровольной основе. Версия-2021 Customer Security Controls Framework (CSCF) была выпущена в июле 2020 г. и включает уже 22 обязательных и 9 рекомендательных мер защиты.
Вначале альянс обязывал участников провести самоаттестацию по обязательным и опционально рекомендованным элементам контроля, а с середины 2020 г. необходимо проводить независимую аттестацию на соответствие требованиям SWIFT CSCF.
Все результаты аттестации публикуются самими участниками в KYC Registry (KYC-SA), которое является центральным приложением для пользователей, что способствует прозрачному обмену информацией о состоянии безопасности с контрагентами для управления киберрисками и оценке контрагентов (Due Diligence).
Кроме того, Alliance SWIFT ввел новое требование на 2021 г., которое заключается в выполнении ежегодного внешнего аудита. Перечень
аккредитованных аудиторских компаний публикуется на сайте www.swift.com.
Анализ требований/контролей SWIFT указывает на совпадение с требованиями других отраслевых стандартов (табл. 1). Это доказывает, что банкам легко включить SWIFT CSCF в действующую политику информационной безопасности, так как ее разработчики принимают во внимание здравый смысл и новейшие передовые практики и учитывают специфическую для пользователя инфраструктуру и конфигурации. Особенно банкам, проходящим ежегодный QSA-аудит!
Таблица1. Пример совпадений требований различных отраслевых стандартов
Ознакомиться с последней актуальной редакцией CSCF 2021 возможно, зайдя в личный кабинет участника SWIFT. На текущий момент это самая последняя версия 2021 г. Данная версия содержит 31 требование по безопасности, из которых 22 являются обязательными для выполнения до 31 декабря 2021 г.
Ниже перечислены все требования из CSCF. Обязательные для выполнения требования выделены полужирным шрифтом:
Исходя из собственной практики подготовки и прохождения внешнего аудита по CSCF 2019 и 2021, могу сказать, что если банком выполняются перечисленные выше моменты, то вероятность успешного прохождения аудита велика, так как другие требования безопасности в большинстве случаев уже выполняются или могут быть реализованы во время аудита.
После получения положительного заключения от внешней аудиторской компании необходимо сделать последний шаг и отправить результаты в Alliance SWIFT. Для этого необходимо:
SWIFT проверит аттестацию на предмет указанной информации. После успешного завершения данной проверки статус аттестации будет переведен в "опубликовано", что будет свидетельствовать о завершении работ.
По моей практике, аудит может занимать от 7 до 30 дней, а подготовка – несколько месяцев. Поэтому, если ваш банк является участником платежной системы SWIFT и вы не проводили никаких работ, рекомендую их начать незамедлительно и в первую очередь с аудита инфраструктуры SWIFT.