Безпечна інтеграція в майбутнє


Безпечна інтеграція в майбутнє

Система платежів SWIFT. Які вимоги потрібно виконувати?

PCI PIN Security

01.05.2023
Для надійного кіберзахисту платежів система SWIFT висуває вимоги, які необхідно виконувати всім банкам. Приділимо цій темі трохи уваги і поговоримо про ці вимоги!

SWIFT - це суспільство всесвітніх міжбанківських фінансових каналів зв'язку. Повна назва англійською мовою – Society for Worldwide Interbank Financial Telecommunications.

SWIFT - це міжнародна міжбанківська система передачі інформації та здійснення платежів, яка була заснована 1973 року в Брюсселі. Сама система не є платіжною - вона не виконує функцій розрахунку та взаємного клірингу між учасниками. Фактично система SWIFT — це монополіст.

Співзасновниками виступили 248 банків із 19 країн. Штаб-квартира SWIFT знаходиться в Ла-Юльпі, Бельгії. SWIFT є кооперативним суспільством, створеним за бельгійським законодавством, належить його членам.

Щорічно через систему SWIFT проходить понад 10 мільярдів платіжних доручень, і щороку цей показник зростає. Природно, що вся діяльність системи SWIFT має бути надійно захищена від різноманітних атак хакерів та інших видів кіберзагроз.

Довгий час керівництво платіжної системи SWIFT не приділяло особливої уваги захисту від кіберзагроз. Ситуація радикально змінилася в 2016 році, коли невідомі хакери через уразливість у програмному забезпеченні SWIFT вивели з Центрального банку Бангладеш 81 мільйон доларів США.

Після цієї події SWIFT оголосила, що безпека міжбанківських платежів та програмного забезпечення є пріоритетом номер один для компанії на найближчі кілька років.

У квітні 2017 року SWIFT випустив набір вимог для всіх банків та сервіс-провайдерів. Ці вимоги мають назву SWIFT Customer Security Controls Framework (CSCF).

Протягом 2017 року також вийшли документи з описом процедури підтвердження банками відповідності цим вимогам. Було розроблено та впроваджено програмну систему, в яку всі користувачі системи SWIFT повинні завантажувати звіти з результатами аудиту.

Вимоги SWIFT (CSCF) є абсолютно унікальними, під час їх розробки враховувався досвід міжнародних стандартів, як-от PCI DSS і ISO 27001.

Порівняльну таблицю вимог стандартів PCI DSS, NIST, ISO 27001 та SWIFT можна знайти в додатку до документа SWIFT (CSCF).

Усього SWIFT (у CSCF v2023) опублікував 32 вимоги (24 обов'язкових та 8 рекомендованих), які згруповані наступним чином – три мети і вісім принципів.

Мета перша – безпека ІТ-інфраструктури.

Ця мета містить у собі 4 принципи, такі як:
1) Обмежити доступ до інтернету.
2) Відокремити критичні системи від загальної ІТ-інфраструктури банку.
3) Обмежити можливості для атак хакерів і усунути вразливість.
4) Обмежити фізичний доступ до ІТ-систем.

Мета друга – контролювати всіх, хто має доступ до системи.

Ця мета містить наступні 2 принципи:
1) Запобігати компрометації облікових даних.
2) Керувати обліковими даними та розмежовувати рівні доступу.

Мета третя – виявляти атаки та реагувати на інциденти.

Ця мета також включає 2 принципи:
1) Виявляти аномальну активність в ІТ-системах та в транзакційних записах.
2) Планувати реагування на інциденти та ділитися інформацією про них зі спільнотою користувачів SWIFT.

Найголовніше зі всіх вимог SWIFT (CSCF) можна згрупувати за такими пунктами:

-Впровадження міжмережевих екранів для відокремлення компонентів SWIFT від інших банківських систем;
-Максимально обмежити повноваження системних адміністраторів та звичайних користувачів;
-Усі дії здійснюються лише в межах певних службових повноважень;
-Здійснення суворого обліку всіх істотних змін в ІТ-інфраструктурі;
-Шифрування критичних даних під час передачі через мережу;
-Налаштування всіх ІТ-систем безпечним чином, відповідно до рекомендацій їх виробників;
-Впровадження строгих вимог до паролів та використання для доступу до критичних систем багатофакторної автентифікації;
-Забезпечення контролю цілісності баз даних та програм;
-Захист від вірусів та програм-шифрувальників;
-Розробка процедур реагування на інциденти. Виявлення інцидентів та аномальної активності в ІТ-системах;
-Захист мереж та систем, зокрема фізично;
-Регулярне сканування на вразливості та тести на проникнення;
-Навчання персоналу та підвищення рівня їхньої готовності до відображення всіляких кібератак.

Кожен банк унікальний за своєю структурою та організацією, тому при виконанні будь-якої з цих вимог може виникати досить багато складнощів.

Компанія IT Specialist багато років займається успішною побудовою систем інформаційної безпеки в банках відповідно до вимог міжнародних стандартів та фінансових регуляторів.

Швидко та надійно ми допоможемо вашому банку виконати всі вимоги системи SWIFT. Запрошуємо представника вашого банку на безкоштовну консультацію.

Illustration


Зателефонувати

+38 (044) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124

Illustration


Зателефонувати

+38 (044) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124