SWIFT-ov program za sigurnost korisnika (CSP) pomaže financijskim institucijama u uspostavljanju ažurne i učinkovite obrane od kibernetičkih napada, čime se štiti integritet šire financijske mreže. Korisnici uspoređuju sigurnosne mjere koje su implementirali s onima navedenim u Okviru za kontrolu sigurnosti korisnika (CSCF), a jednom godišnje atestiraju svoju razinu usklađenosti s propisima.
Uz visoku razinu usklađenosti i atestiranja, CSP okuplja zajednicu vrlo angažiranih korisnika posvećenih sprječavanju kibernetičkih napada. A kako se krajolik kibernetičkih prijetnji razvija, tako se razvija i CSP.
Krajem 2015. godine banka u Vijetnamu postala je žrtvom kibernetičkog napada na SWIFT sustav, u kojem su napadači pokušali ukrasti 1,36 milijuna dolara s računa banke. Tijekom 2016. godine zabilježen je porast broja kibernetičkih napada na SWIFT-ov sustav globalno, a u najozbiljnijem incidentu kompromitirana je Središnja banka Bangladeša. U navedenom slučaju izdani su lažni nalozi za doznačivanje sredstava u ukupnoj vrijednosti od 951 milijun dolara, od čega je 101 milijun dolara obradila Banka saveznih rezervi New Yorka.
Kao odgovor na kibernetičke napade i povrede u razdoblju od 2015. do 2016. godine, SWIFT je 2017. godine izdao 16 obaveznih i 11 opcionalnih sigurnosnih kontrola za svih 11.000 korisnika diljem svijeta. Svi klijenti moraju potvrditi ispunjavanje zahtjeva godišnjih kontrola, a o rezultatima tih kontrola obavještavaju se partneri i regulatori.
SWIFT-ov program za sigurnost korisnika (CSP) od svog je početka evoluirao i nastavit će se razvijati i dalje. Korisnici će morati nastaviti s implementacijom sigurnosnih kontrola i podizanjem standarda kako bi osigurali usklađenost s Okvirom za kontrolu sigurnosti korisnika (CSCF). Do 31. prosinca 2019. godine korisnici SWIFT-a morali su sami atestirati svoju usklađenost s verzijom CSCF-a iz 2019. godine. Ovaj ažurirani okvir uključuje 19 obaveznih sigurnosnih kontrola i 10 savjetodavnih sigurnosnih kontrola.
U 2020. godini SWIFT je dvije postojeće savjetodavne kontrole pretvorio u obvezne i uveo dvije nove savjetodavne kontrole čime je broj kontrola u verziji CSCF-a u verziji iz 2020. godine povećan na 21 obveznu i 10 savjetodavnih kontrola.
Do 2021. godine SWIFT je jednu savjetodavnu kontrolu pretvorio u obveznu, čime se broj obveznih kontrola u verziji CSCF-a iz 2021. godine povećao na 22, a broj savjetodavnih kontrola se smanjio na devet. Od sredine 2021. godine organizacije će uz atestiranje prema verziji CSCF-a iz 2021. godine morati dostaviti i dokaz o provedenoj internoj reviziji ili neovisnoj reviziji koju obavlja treća strana.
U srpnju 2021. SWIFT je objavio verziju CSCF-a za 2022. godine koja uključuje 23 obvezne i devet savjetodavnih kontrola, u skladu s kojima će se organizacije morati atestirati u drugoj polovici 2022. godine.
Radna skupina CSCF-a objedinila je sve povratne informacije od zajednice, pregledala ih i utvrdila prioritete prije nego što su dovršene izmjene, koje su prikazane na slici u nastavku.
Izvor: https://www.swift.com/
Kako bi ispunile zahtjeve SWIFT-ovog programa CSP, organizacije moraju usvojiti sustavan pristup koji zahtijeva koordinaciju triju linija obrane, podršku uprave i angažman različitih dionika. Je li vaša organizacija spremna odgovoriti na zahtjeve povezane s usklađenosti iz SWIFT-ovog programa CSP?
PwC ima dokazano iskustvo u procjeni i reviziji usklađenosti sa SWIFT-ovim programom CSP
PwC raspolaže stručnim timom za savjetovanje o SWIFT-u
PwC se prilagođava zahtjevima vaše organizacije
Cilj SWIFT-ovog programa za sigurnost korisnika (CSP) je spriječiti i otkriti prijevarne aktivnosti pomoću niza obaveznih sigurnosnih kontrola, razmjene informacija unutar zajednice i naprednih sigurnosnih značajki ugrađenih u njihove proizvode.
Klijenti SWIFT-a moraju svake godine do 31. prosinca dostaviti svoju potvrdu o usklađenosti putem SWIFT-og portala za provjeru korisnika (KYC).
U 2020. godini korisnici mogu potvrditi usklađenost s verzijom CSCF-a iz 2019. godine ili onom iz 2020. godine. Od 2021. godine uz potvrdu usklađenosti kupaca potreban je i neovisni pregled.
Za korisnike SWIFT-a postoje dvije vrste neovisnog pregleda:
Program sadrži 23 obvezne kontrole koje su usmjerene na zaštitu sigurnosnog okruženja organizacije, utvrđivanje i ograničavanje pristupa, otkrivanje prijetnji i odgovaranje na njih.
SWIFT prijavljuje domaćim regulatornim tijelima sve slučajeve neusklađenosti i neatestirane članove. Osim toga, SWIFT određuje format u kojem će se provoditi atestiranje svake godine.
Važno je da organizacija SWIFT-u što prije dostavi sve relevantne informacije o incidentu, kako bi dobila pravovremenu pomoć i zaštitila ostale organizacije u mreži.