<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Klokka tikker for IT-sikkerheten hos banker som benytter transaksjonssystemet SWIFT - Kjenner du kallet?

‹ Tilbake til artikler

Verdens største banktyveri ble gjennomført tidlig februar 2016. Da kompromitterte hackere flere systemer i sentralbanken i Bangladesh og muligheten til å sende betalingsinstruksjoner over SWIFT-nettverket med kommunikasjonsplattformen. Omfanget av betalingsinstruksjoner som ble sendt ut summerte seg til $951 millioner, hvorav $101 millioner ble prosessert av Federal Reserve Bank of New York. Til den dag i dag er dette historiens største banktyveri. Episoden var en seriøs oppvekker for SWIFT og deres medlemmer, og med det ble SWIFT CSP (Customer Security Programme) født.

Men hvorfor er egentlig SWIFT CSP viktig for deg og din bank?

Som med mange andre ting her i livet, så var det en uheldig hendelse av alvorlig grad som var den nødvendige katalysatoren for at SWIFT i mai 2016 lanserte et sikkerhetsprogram for å øke sikkerheten og transparensen i hele det globale finanssamfunnet: SWIFT CSP.

Som en del av SWIFT CSP-initiativet ble det utviklet et kontrollrammeverk som medlemmene av SWIFT ble bedt om å bekrefte etterlevelsen av. SWIFT har revidert rammeverket årlig, og det består per 2021 av 22 obligatoriske og 9 veiledende sikkerhetskontroller.

Den virkelig store endringen i SWIFT CSP for 2021 er at SWIFT krever at alle medlemmer får gjennomført en uavhengig vurdering av organisasjonens kontrollmiljø vurdert opp mot SWIFTs kontrollrammeverk CSCF v2021. Avhengig av utformingen på den enkelte brukers SWIFT-miljø, og arkitekturen og modenheten til eksisterende kontroller, må organisasjoner gjennom både en teknisk og prosessrelatert vurdering for å kunne attestere innen utgangen av 2021.

Den uavhengige vurderingen kan utføres enten internt av andre eller tredje forsvarslinje, eller eksternt av en uavhengig tredjepart. PwC er et av selskapene SWIFT har utpekt som aktuelle leverandører av en vurdering av SWIFT CSP-etterlevelse. I tillegg har vi i over et tiår gjennomført revisjoner og ISAE 3000-attestasjoner av SWIFT sentralt. Vår omfattende kompetanse innen SWIFT CSP og tredjepartsattestasjoner gjør oss til en foretrukken samarbeidspartner for å vurdere din organisasjon sin etterlevelse av SWIFT CSP.

Omfanget av SWIFT CSP-vurderingen

Omfanget av vurderingen for SWIFT CSP avhenger av den aktuelle organisasjon sin IT-arkitektur.

Følgende komponenter i brukerens SWIFT-relaterte infrastruktur er vanligvis innenfor omfang:

  • Data Exchange Layer
  • Lokal SWIFT Infrastruktur
    • Secure Zone
    • Messaging Interface
    • SWIFTNet Link (SNL)
    • Connector
    • SWIFT Hardware Security Modules (HSMs)
    • Firewalls, routers, etc. within or surrounding the SWIFT Infrastructure
    • Graphical User Interface (GUI)
  • Operatører og deres PCer

SWIFT-brukerens kontrollmiljø blir som tidligere beskrevet vurdert opp mot CSCF v2021. En slik vurdering kan enten utelukkende vurdere kontrollene fra et designperspektiv ( “Design Effectiveness Testing” (DET)) eller inkludere en vurdering av operasjonell effektivitet ( “Operating Effectivity Testing” (OET)).

Hvordan kan du gjennomføre SWIFT CSP-vurderingen

For å oppfylle SWIFTs krav om å utføre en uavhengig vurdering av SWIFT-kontrollmiljøet ditt, er det to tilnærminger vi anser som fornuftige:

SWIFT CSP-vurdering

Dette er en detaljert evaluering av SWIFT CSP-kontrolldesign på vurderingstidspunktet, og innebærer gjennomgang av designet på implementerte kontroller og gjennomføring av evalueringsmalen for SWIFT CSP levert av SWIFT.

SWIFT CSP-revisjon

En revisjon vil si en verifisering av vellykket utførelse av implementerte kontroller innenfor SWIFT CSP-retningslinjene, og gir en kontrollrapport under anerkjente standarder, f.eks. ISAE 3000. Tilnærmingen involverer en vurdering av både design og operasjonell effektivitet.

Organisasjoner har ulike behov, forutsetninger og ambisjoner, noe som også vil bety at vi ikke anbefaler en one-size-fits-all tilnærming. Vi i PwC kan sammen med dere finne fram til hvilken tilnærming som passer deres organisasjon best.

Knut Hauge

Knut Hauge

Mitt navn er Knut og jeg er Senior Associate i avdelingen GRC & IA (Governance, Risk and Compliance & Internal Audit) i PwC Risk Advisory Services. Jeg har god erfaring som rådgiver knyttet til informasjonssikkerhet og IT-styring i privat sektor. Gjennom dette arbeidet har jeg støttet flere bedrifter i omstrukturering, hvor fokuset særlig har vært å etablere og implementere styringsprosesser innenfor IT-effektivitet, -sikkerhet og personvern. Videre har jeg vært svært delaktig i å bygge opp PwC sine nasjonale og internasjonale tjenester innenfor SWIFT-assurance. Fra tidligere har jeg bred erfaring fra bank- og finanssektoren hvor jeg har særlig kjennskap til implementering og evaluering av styrings- og kontrollvirksomhet innenfor informasjonssikkerhet, rammeverkene som ISO27001 og ISO38500, samt strukturering av både nystartet og etablerte banker.

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Fornyelse av kjernesystemer i bank har høy risiko og kostnad - hva må til for å bygge fremtidens bank?

De siste tiårene har finansbransjen vært gjennom store endringer drevet av økt konkurranse, nye reguleringer og kunder som har andre ...

Les artikkelen
Les artikkelen

MiFID II kommer til Norge, er vi klare?

Det nye verdipapirmarkedsdirektivet, Markets in Financial Instruments Directive II (MiFID II) trer i kraft i EU fra 3. januar 2018. Den ...

Les artikkelen