В декабре 2016 года в рамках программы Customer Security Programme (CSP) система SWIFT выпустила для своих клиентов документ под названием «SWIFT Customer Security Framework. Supplementary Guide», в котором перечислены обязательные и рекомендательные защитные меры. Новые требования распространяются на все ИТ-окружение клиента, от уровня обмена данными до настроек пользовательских ПК.
Опубликованные защитные меры основаны на лучших практиках, таких как NIST Cybersecurity Framework, ISO 27002, PCI DSS и т.п., поэтому их применение гарантирует повышение уровня безопасности ИТ-инфраструктуры и защищенности всех бизнес-процессов организации. Это позволяет снизить риск искажения злоумышленником транзакций денежных средств (наиболее серьезный вид атак на системы межбанковских переводов) и предотвратить финансовые потери банков и их клиентов.
Перед «Информзащитой» стояла задача провести комплексный анализ защищенности, результаты которого будут описывать текущую ситуацию в банке по обеспечению безопасности денежных переводов через SWIFT с высоким уровнем достоверности.
Экспертами «Информзащиты» было проведено обследование существующего ИТ-окружения банка, осуществлён анализ архитектуры и конфигураций системных компонентов подключения систем заказчика к сети SWIFT. При анализе процессов обеспечения информационной безопасности заказчика специалисты использовали лучшие практики «Информзащиты» и учитывали новые требования «SWIFT Customer Security Framework. Supplementary Guide».
Для подтверждения эффективности выстроенной защиты и принятых мер по обеспечению безопасности, экспертами «Информзащита» была проведена имитация атаки (тест на проникновение), которая моделировала действия потенциальных злоумышленников.
Результаты проведенных работ позволили заказчику убедиться в высоком уровне защищенности своего подключения к системе SWIFT, а также в собственной готовности к проведению оценки соответствия новым нормам в дальнейшем.
Услуга «Информзащиты» по аудиту безопасности подключения к системе SWIFT будет полезна всем компаниям-клиентам SWIFT, поскольку соответствие новым требованиям в близкой перспективе станет обязательным. С апреля 2017 года предлагается самостоятельно сообщать в SWIFT о своем соответствии данным требованиям, а с января 2018 года процедура собственной оценки соответствия и направление ее результатов на ежегодной основе станет повсеместно обязательной. Дополнительно SWIFT планирует случайным образом ежегодно выбирать некоторых заказчиков для проведения более глубокого аудита внутренними или внешними аудиторами.
«Компания «Информзащита» обладает многолетним опытом проведения аудитов на соответствие различным банковским стандартам. Руководство SWIFT беспокоит растущее количество инцидентов, сигнализирующее о том, что банками зачастую не реализованы меры по безопасности, рекомендованные SWIFT, и требования локальных регуляторов, в частности Центробанка РФ. Задача «Информзащиты», как интегратора, помочь сделать систему передачи платежной информации более безопасной и максимально снизить финансовые и репутационные риски своих заказчиков», – комментирует Дмитрий Кудинов, начальник отдела безопасности банковских систем компании «Информзащита».