Klokka tikker for IT-sikkerheten hos banker som benytter transaksjonssystemet SWIFT - Kjenner du kallet?

Verdens største banktyveri ble gjennomført tidlig februar 2016. Da kompromitterte hackere flere systemer i sentralbanken i Bangladesh og muligheten til å sende betalingsinstruksjoner over SWIFT-nettverket med kommunikasjonsplattformen. Omfanget av betalingsinstruksjoner som ble sendt ut summerte seg til $951 millioner, hvorav $101 millioner ble prosessert av Federal Reserve Bank of New York. Til den dag i dag er dette historiens største banktyveri. Episoden var en seriøs oppvekker for SWIFT og deres medlemmer, og med det ble SWIFT CSP (Customer Security Programme) født.

Men hvorfor er egentlig SWIFT CSP viktig for deg og din bank?

Som med mange andre ting her i livet, så var det en uheldig hendelse av alvorlig grad som var den nødvendige katalysatoren for at SWIFT i mai 2016 lanserte et sikkerhetsprogram for å øke sikkerheten og transparensen i hele det globale finanssamfunnet: SWIFT CSP.

Som en del av SWIFT CSP-initiativet ble det utviklet et kontrollrammeverk som medlemmene av SWIFT ble bedt om å bekrefte etterlevelsen av. SWIFT har revidert rammeverket årlig, og det består per 2021 av 22 obligatoriske og 9 veiledende sikkerhetskontroller.

Den virkelig store endringen i SWIFT CSP for 2021 er at SWIFT krever at alle medlemmer får gjennomført en uavhengig vurdering av organisasjonens kontrollmiljø vurdert opp mot SWIFTs kontrollrammeverk CSCF v2021. Avhengig av utformingen på den enkelte brukers SWIFT-miljø, og arkitekturen og modenheten til eksisterende kontroller, må organisasjoner gjennom både en teknisk og prosessrelatert vurdering for å kunne attestere innen utgangen av 2021.

Den uavhengige vurderingen kan utføres enten internt av andre eller tredje forsvarslinje, eller eksternt av en uavhengig tredjepart. PwC er et av selskapene SWIFT har utpekt som aktuelle leverandører av en vurdering av SWIFT CSP-etterlevelse. I tillegg har vi i over et tiår gjennomført revisjoner og ISAE 3000-attestasjoner av SWIFT sentralt. Vår omfattende kompetanse innen SWIFT CSP og tredjepartsattestasjoner gjør oss til en foretrukken samarbeidspartner for å vurdere din organisasjon sin etterlevelse av SWIFT CSP.

Omfanget av SWIFT CSP-vurderingen

Omfanget av vurderingen for SWIFT CSP avhenger av den aktuelle organisasjon sin IT-arkitektur.

Følgende komponenter i brukerens SWIFT-relaterte infrastruktur er vanligvis innenfor omfang:

• Data Exchange Layer
• Lokal SWIFT Infrastruktur
  • Secure Zone
  • Messaging Interface
  • SWIFTNet Link (SNL)
  • Connector
  • SWIFT Hardware Security Modules (HSMs)
  • Firewalls, routers, etc. within or surrounding the SWIFT Infrastructure
  • Graphical User Interface (GUI)
• Operatører og deres PCer

SWIFT-brukerens kontrollmiljø blir som tidligere beskrevet vurdert opp mot CSCF v2021. En slik vurdering kan enten utelukkende vurdere kontrollene fra et designperspektiv ( “Design Effectiveness Testing” (DET)) eller inkludere en vurdering av operasjonell effektivitet ( “Operating Effectivity Testing” (OET)).

Hvordan kan du gjennomføre SWIFT CSP-vurderingen

For å oppfylle SWIFTs krav om å utføre en uavhengig vurdering av SWIFT-kontrollmiljøet ditt, er det to tilnærminger vi anser som fornuftige:

SWIFT CSP-vurdering

Dette er en detaljert evaluering av SWIFT CSP-kontrolldesign på vurderingstidspunktet, og innebærer gjennomgang av designet på implementerte kontroller og gjennomføring av evalueringsmalen for SWIFT CSP levert av SWIFT.

SWIFT CSP-revisjon

En revisjon vil si en verifisering av vellykket utførelse av implementerte kontroller innenfor SWIFT CSP-retningslinjene, og gir en kontrollrapport under anerkjente standarder, f.eks. ISAE 3000. Tilnærmingen involverer en vurdering av både design og operasjonell effektivitet.

Organisasjoner har ulike behov, forutsetninger og ambisjoner, noe som også vil bety at vi ikke anbefaler en one-size-fits-all tilnærming. Vi i PwC kan sammen med dere finne fram til hvilken tilnærming som passer deres organisasjon best.