hero image

SWIFT-ov program za sigurnost korisnika (CSP)

SWIFT-ov program za sigurnost korisnika (CSP) pomaže financijskim institucijama u uspostavljanju ažurne i učinkovite obrane od kibernetičkih napada, čime se štiti integritet šire financijske mreže. Korisnici uspoređuju sigurnosne mjere koje su implementirali s onima navedenim u Okviru za kontrolu sigurnosti korisnika (CSCF), a jednom godišnje atestiraju svoju razinu usklađenosti s propisima.

Uz visoku razinu usklađenosti i atestiranja, CSP okuplja zajednicu vrlo angažiranih korisnika posvećenih sprječavanju kibernetičkih napada. A kako se krajolik kibernetičkih prijetnji razvija, tako se razvija i CSP.

Cybersecurity services

Zašto je to važno?

Krajem 2015. godine banka u Vijetnamu postala je žrtvom kibernetičkog napada na SWIFT sustav, u kojem su napadači pokušali ukrasti 1,36 milijuna dolara s računa banke. Tijekom 2016. godine zabilježen je porast broja kibernetičkih napada na SWIFT-ov sustav globalno, a u najozbiljnijem incidentu kompromitirana je Središnja banka Bangladeša. U navedenom slučaju izdani su lažni nalozi za doznačivanje sredstava u ukupnoj vrijednosti od 951 milijun dolara, od čega je 101 milijun dolara obradila Banka saveznih rezervi New Yorka. 

Kao odgovor na kibernetičke napade i povrede u razdoblju od 2015. do 2016. godine, SWIFT je 2017. godine izdao 16 obaveznih i 11 opcionalnih sigurnosnih kontrola za svih 11.000 korisnika diljem svijeta. Svi klijenti moraju potvrditi ispunjavanje zahtjeva godišnjih kontrola, a o rezultatima tih kontrola obavještavaju se partneri i regulatori.

Kako će to utjecati na korisnike SWIFT-a?

SWIFT-ov program za sigurnost korisnika (CSP) od svog je početka evoluirao i nastavit će se razvijati i dalje. Korisnici će morati nastaviti s implementacijom sigurnosnih kontrola i podizanjem standarda kako bi osigurali usklađenost s Okvirom za kontrolu sigurnosti korisnika (CSCF). Do 31. prosinca 2019. godine korisnici SWIFT-a morali su sami atestirati svoju usklađenost s verzijom CSCF-a iz 2019. godine. Ovaj ažurirani okvir uključuje 19 obaveznih sigurnosnih kontrola i 10 savjetodavnih sigurnosnih kontrola. 

U 2020. godini SWIFT je dvije postojeće savjetodavne kontrole pretvorio u obvezne i uveo dvije nove savjetodavne kontrole čime je broj kontrola u verziji CSCF-a u verziji iz 2020. godine povećan na 21 obveznu i 10 savjetodavnih kontrola. 

Do 2021. godine SWIFT je jednu savjetodavnu kontrolu pretvorio u obveznu, čime se broj obveznih kontrola u verziji CSCF-a iz 2021. godine povećao na 22, a broj savjetodavnih kontrola se smanjio na devet. Od sredine 2021. godine organizacije će uz atestiranje prema verziji  CSCF-a iz 2021. godine morati dostaviti i dokaz o provedenoj internoj reviziji ili neovisnoj reviziji koju obavlja treća strana. 

U srpnju 2021. SWIFT je objavio verziju CSCF-a za 2022. godine koja uključuje 23 obvezne i devet savjetodavnih kontrola, u skladu s kojima će se organizacije morati atestirati u drugoj polovici 2022. godine.

Radna skupina CSCF-a objedinila je sve povratne informacije od zajednice, pregledala ih i utvrdila prioritete prije nego što su dovršene izmjene, koje su prikazane na slici u nastavku.

Dosadašnje ključne izmjene

Uvjeti za uspješnu implementaciju SWIFT-ovog programa CSP

Kako bi ispunile zahtjeve SWIFT-ovog programa CSP, organizacije moraju usvojiti sustavan pristup koji zahtijeva koordinaciju triju linija obrane, podršku uprave i angažman različitih dionika. Je li vaša organizacija spremna odgovoriti na zahtjeve povezane s usklađenosti iz SWIFT-ovog programa CSP?

Kako PwC može pomoći vašoj organizaciji u usklađivanju sa SWIFT-ovim programom CSP?

Detaljan pregled kontrola propisanih SWIFT-ovim programom CSP primjenom metodologije i uputa koje je razvio PwC.

Ispitivanje provedbe kontrola prema smjernicama SWIFT-ovog programa CSP i izdavanje revizorskog izvješća u skladu s priznatim standardima.

Surađujte s odjelom za internu reviziju kao član tima tijekom pregleda, procjene i izvještavanja o usklađenosti s kontrolama iz SWIFT-ovog programa CSP.

Zašto odabrati PwC?

PwC ima dokazano iskustvo u procjeni i reviziji usklađenosti sa SWIFT-ovim programom CSP

  • Proveli smo brojne revizije i procjene usklađenosti sa SWIFT-ovim programom CSP u brojnim sektorima i geografskim područjima, uključujući centralnu i istočnu Europu.

 

PwC raspolaže stručnim timom za savjetovanje o SWIFT-u

  • Poznajemo sigurnosne zahtjeve u okviru SWIFT-a, a naš tim čine kvalificirani domaći i strani stručnjaci za IT sigurnost s iskustvom u procjeni i pregledu sustava SWIFT. Vijetnamske stručnjake podržavaju i stručnjaci za SWIFT-ov program CSP globalne PwC-ove mreže.

PwC se prilagođava zahtjevima vaše organizacije

  • PwC će iskoristiti interno razvijene metodologije/smjernice zajedno s bogatim znanjem i stručnošću o SWIFT-ovom programu CSP kako bi dao prilagođene preporuke koje podržavaju kontrole organizacije i osiguravaju pravovremeno ispunjavanje zahtjeva SWIFT-a.

SWIFT CSP: Često postavljana pitanja

Što obuhvaća SWIFT-ov program CSP?

Cilj SWIFT-ovog programa za sigurnost korisnika (CSP) je spriječiti i otkriti prijevarne aktivnosti pomoću niza obaveznih sigurnosnih kontrola, razmjene informacija unutar zajednice i naprednih sigurnosnih značajki ugrađenih u njihove proizvode.

Koji je rok za usklađivanje s programom SWIFT CSP?

Klijenti SWIFT-a moraju svake godine do 31. prosinca dostaviti svoju potvrdu o usklađenosti putem SWIFT-og portala za provjeru korisnika (KYC). 

U 2020. godini korisnici mogu potvrditi usklađenost s verzijom CSCF-a iz 2019. godine ili onom iz 2020. godine. Od 2021. godine uz potvrdu usklađenosti kupaca potreban je i neovisni pregled.

U kojem bi se obliku trebala provoditi neovisna procjena usklađenosti sa zahtjevima SWIFT-a?

Za korisnike SWIFT-a postoje dvije vrste neovisnog pregleda:

  • Interna revizija: Ovaj postupak sličan je internoj reviziji, koju provodi tim/odjel interne revizije klijenta ili specijalizirani neovisni tim koji provodi atestiranje i dostavlja potvrdu usklađenosti.
  • Neovisna vanjska procjena: Ovaj postupak sličan je neovisnoj reviziji, koju provode organizacije poput PwC-a, pri čemu pregledavaju usklađenost s kontrolama iz SWIFT-ovog programa CSP.

Koje 23 obvezne kontrole obuhvaća SWIFT-ov program CSP?

Program sadrži 23 obvezne kontrole koje su usmjerene na zaštitu sigurnosnog okruženja organizacije, utvrđivanje i ograničavanje pristupa, otkrivanje prijetnji i odgovaranje na njih.

Što se događa ako organizacija nije usklađena s propisima?

SWIFT prijavljuje domaćim regulatornim tijelima sve slučajeve neusklađenosti i neatestirane članove. Osim toga, SWIFT određuje format u kojem će se provoditi atestiranje svake godine.

Što učiniti ako posumnjam da je organizacija meta kibernetičkih kriminalaca ili krši SWIFT-ove zahtjeve usklađenosti s kontrolama?

Važno je da organizacija SWIFT-u što prije dostavi sve relevantne informacije o incidentu, kako bi dobila pravovremenu pomoć i zaštitila ostale organizacije u mreži.

Kontaktirajte nas

Bruno Čurčija

Bruno Čurčija

Direktor, Odjel sigurnosti i upravljanja rizicima, PwC Croatia

Igor Hitrec

Igor Hitrec

Viši menadžer, Odjel ​sigurnosti i upravljanja rizicima, PwC Croatia

Ostanimo povezani: