Журнал "Системы Безопасности" № 5‘2021

S E C U R I T Y A N D I T M A N A G E M E N T 40 Н а протяжении 43 лет система считалась самой защищенной и неуязвимой для кибермошенников, но в 2016 г. весь мир обле- тела новость о том, что хакеры смогли взломать систему финансовых транзакций SWIFT. Была совершена попытка вывести из банка южноази- атской страны 951 млн долларов СШа. Большая часть транзакций была заблокирована, однако 81 млн долларов СШа все уже удалось вывести на счета игорных заведений на филиппинах, после чего следы этих денег были потеряны 1 . После этой новости по всему миру с регулярной периодичностью стали появляться новости о попытках или успешных атаках на участников платежной системы SWIFT, что объясняется появлением к ней интереса у сообщества кибермошенников. не обошли они и Россию. 15 декабря 2017 г. была зафиксирована успеш- ная кибератака на один из российских банков с выводом денег за рубеж. в обзоре FinCERT гово- рится: "в Банк России направлена информация об одной успешной атаке на рабочее место опе- ратора системы SWIFT. Объем несанкциониро- ванных операций в результате данной атаки составил 339,5 млн рублей" 2 . После анализа инцидентов в аlliance SWIFT сде- лали выводы, что слабым местом стали инфра- структура и операционные процессы на стороне участников обмена. Ранее считалось, что участ- ники ответственно относятся к своим рискам и предпринимают соответствующие защитные меры, но время доказало обратное. Было принято решение разработать Customer Security Programme (CSP), которая будет пред- ставлять собой требования по организации мер защиты на стороне участников и контрольные механизмы по их выполнению. Программа CSP будет пересматриваться на ежегодной основе и дополняться мерами защиты с учетом новых угроз и лучших практик. ввиду того, что реализация сразу всех мер защиты для участников SWIFT – достаточно затратное мероприятие по ресурсам и времени, первое время требования будут носить реко- мендательный характер, с постепенным пере- водом их в статус обязательных. Первая версия CSP была представлена в 2017 г., она включала в себя 16 обязательных и 11 рекомендованных элементов контроля, которые участники платежной системы должны были реализовывать на добровольной осно- ве. версия-2021 Customer Security Controls Fra- mework (CSCF) была выпущена в июле 2020 г. и включает уже 22 обязательных и 9 рекомен- дательных мер защиты. вначале альянс обязывал участников провести самоаттестацию по обязательным и опциональ- но рекомендованным элементам контроля, а с середины 2020 г. необходимо проводить независимую аттестацию на соответствие тре- бованиям SWIFT CSCF. все результаты аттестации публикуются самими участниками в KYC Registry (KYC-SA), которое является центральным приложением для поль- зователей, что способствует прозрачному обме- ну информацией о состоянии безопасности с контрагентами для управления киберрисками и оценке контрагентов (Due Diligence). Кроме того, Alliance SWIFT ввел новое требова- ние на 2021 г., которое заключается в выполне- нии ежегодного внешнего аудита. Перечень аккредитованных аудиторских компаний пуб- ликуется на сайте www.swift.com. SWIFT CSCF 2021 vs NIST Cybersecurity Framework 1.1 vs ISO 27002 (2013) vs PCI DSS 3.2.1 анализ требований/контролей SWIFT указывает на совпадение с требованиями других отрасле- вых стандартов (табл. 1). это доказывает, что банкам легко включить SWIFT CSCF в действующую политику информационной безопасности, так как ее разработчики принимают во внимание здравый смысл и новейшие передовые практики и учитывают специфическую для пользователя инфраструктуру и конфигура- ции. Особенно банкам, проходящим еже- годный QSA-аудит! Что же из себя представляет по содержанию CSCF 2021 Ознакомиться с последней актуальной редакцией CSCF 2021 возможно, зайдя в личный кабинет участника SWIFT. на теку- щий момент это самая последняя версия СПЕЦПРОЕКТ БЕзОПаСнОСТь БанКОв в эПОху ЦифРОвизаЦии октябрь – ноябрь 2021 www.secuteck.ru Андрей Степанов Начальник Управления информационной безопасности Департамента по защите активов Банка СОЮЗ (АО) П ервая версия CSP была представлена в 2017 г., она включала в себя 16 обязательных и 11 рекомендованных элементов контроля, которые участники платежной системы должны были реализовывать на добро- вольной основе. Версия-2021 Customer Security Controls Framework (CSCF) была выпущена в июле 2020 г. и включает уже 22 обязательных и 9 рекомендательных мер защиты SWIFT CSP: так ли все сложно? SWIFT – международная межбанковская система передачи информации и соверше- ния платежей. Альянс основан в 1973 г., соучредителями выступили 248 банков из 19 стран. Штаб-квартира SWIFT находится в Бельгии, недалеко от Брюсселя. SWIFT является кооперативным обществом, созданным по бельгийскому законода- тельству, принадлежит его членам. По состоянию на 2021 г. членами SWIFT являются более 11 тыс. финансовых организаций в более чем 200 странах мира, в том числе около 1 тыс. корпораций. Средний оборот более 30 млн сообщений в день 1 https://www.cnews.ru/news/top/2016-04-25_hakery_vzlomali_swift 2 https://www.kommersant.ru/doc/3501353