Society for Worldwide Interbank Financial Telecommunications (Общество всемирных межбанковских финансовых каналов связи), SWIFT разработало для своих пользователей стандарты безопасности. В соответствии ними банкам необходимо выполнить определенные требования по безопасности, а также пройти самоаттестацию по обязательным элементам контроля безопасности для подтверждения их выполнения. Основные мероприятия по безопасности и сроки их выполнения на сегодня уже определены и являются обязательными для всех банков в рамках сети SWIFT.
- Введение
- Концепция обеспечения безопасности SWIFT
- 2.1. SWIFT и основные документы по обеспечению безопасности
- 2.2. Область применения элементов контроля безопасности и типы архитектур
- 2.3. Требования по безопасности SWIFT
- Контроль выполнения требований по безопасности
- Выводы
Введение
Банки всегда представляли интерес для злоумышленников и мошенников — их грабили и продолжают грабить. Меняются только способы — если раньше это были громкие ограбления со стрельбой, то в настоящее время большинство таких преступлений сместилось в цифровую плоскость и совершаются намного «тише».
И это является закономерным результатом общей цифровизации современного общества. С одной стороны, с развитием информационных технологий общество получило новые возможности, с другой — появляющиеся технологии порождают новые угрозы безопасности. И банк здесь не является исключением. В его деятельности информационные технологии используются очень активно, и сегодня уже нельзя представить себе банк, который бы функционировал автономно, без привлечения современных технологий.
По этой причине фокус злоумышленников сместился в сторону информационных технологий, и все чаще мы можем прочитать в новостях про ограбление очередного банка, только уже с использованием компьютера, а не пистолета. Соответственно, сегодня информационная инфраструктура (в том числе информационные системы) банка представляет особый интерес для преступников.
Одной из таких информационных систем является международная межбанковская система передачи информации и совершения платежей SWIFT, к которой подключены многие российские банки. Она также периодически подвергается хакерским атакам, целью которых является хищение денежных средств. Громким инцидентом стала атака на Центральный банк Бангладеш, в результате которой злоумышленники смогли вывести крупную сумму денежных средств. И такие попытки не прекращаются, о чем SWIFT информирует своих пользователей. По этим причинам для обеспечения безопасности в своей системе SWIFT создала программу безопасности пользователей, целью которой является помощь пользователям в борьбе с киберпреступниками.
Ниже в статье мы рассмотрим, какие требования по безопасности SWIFT необходимо выполнить банкам, а также сроки реализации этих требований — что и когда именно необходимо выполнить.
Концепция обеспечения безопасности SWIFT
SWIFT и основные документы по обеспечению безопасности
Society for Worldwide Interbank Financial Telecommunications (Общество всемирных межбанковских финансовых каналов связи), или сокращенно SWIFT, представляет собой международную межбанковскую систему передачи информации и совершения платежей. В кооперативное сообщество, созданное по бельгийскому законодательству, входит более 9000 банков из 209 стран. В настоящий момент членами SWIFT являются более 10000 организаций, в том числе около 1000 корпораций.
Учитывая рост количества угроз информационной безопасности, а также непосредственно количество попыток проведения атак на межбанковскую систему, SWIFT для помощи своим пользователям в вопросах обеспечения безопасности разработал ряд документов, направленных на повышение общего уровня безопасности (см. Рисунок 1).
Рисунок 1. Основные документы в области обеспечения безопасности SWIFT
В рамках настоящей статьи для нас представляют наибольший интерес следующие документы:
- SWIFT Customer Security Controls Framework 1.0 — содержит описание требований по безопасности;
- SWIFT Customer Security Controls Policy — содержит описание процедуры аттестации и основные сроки ее выполнения.
В этих документах описаны основные требования по безопасности SWIFT, а также требования по самоаттестации.
Область применения элементов контроля безопасности и типы архитектур
В своих документах SWIFT предоставляет описание, на что распространяются требования по безопасности (контроли безопасности), а именно: выделяются конкретные компоненты системы, которые входят в область применения. Таким образом, банкам не нужно самостоятельно придумывать, на что распространяются требования по безопасности, достаточно руководствоваться информацией, приведенной в официальных документах SWIFT.
На Рисунке 2 показаны три основных уровня компонентов, которые входят в инфраструктуру SWIFT: уровень обмена данных, локальная инфраструктура SWIFT и операторский сегмент.
Рисунок 2. Область применения элементов контроля безопасности
В рамках локальной инфраструктуры SWIFT могут рассматриваться следующие компоненты:
- Зона безопасности — пограничный сегмент, отделяющий компоненты SWIFT от остальной инфраструктуры компании.
- Интерфейс обмена сообщениями — программное обеспечение для обмена сообщениями, поддерживающее использование служб обмена сообщениями SWIFT (FIN, InterAct и FileAct). Программное обеспечение предоставляет пользователям возможность подключать бизнес-приложения к службам обмена сообщениями SWIFT и обычно подключается непосредственно к интерфейсу связи.
- Интерфейс связи — программное обеспечение интерфейса связи, обеспечивающее связь между сегментом SWIFTNet и программным обеспечением обмена данными. Данные интерфейсы обеспечивают централизованную автоматизированную высокопроизводительную интеграцию с различными внутренними финансовыми приложениями.
- SWIFTNet Link (SNL) — обязательный программный продукт для доступа к службам обмена сообщениями через защищенный сегмент.
- Коннектор — локальное программное обеспечение, предназначенное для обеспечения взаимодействия с информационными интерфейсами системы.
- Модули безопасности оборудования SWIFT — подключенные токены и смарт-карты.
- Межсетевые экраны, маршрутизаторы и другие сетевые устройства, участвующие в обработке информации.
В зависимости от компонентов, которые могут быть размещены в банке, SWIFT выделяет несколько типов эталонных архитектур. Всего в стандарте определено 4 типа таких архитектур:
- Архитектура А1 — полное размещение компонентов на стороне банка (интерфейс обмена сообщениями и интерфейс связи SWIFT находятся на стороне пользователя).
- Архитектура А2 — частичное размещение компонентов на стороне банка (интерфейс обмена сообщениями находится на стороне пользователя, а интерфейс связи находится на стороне поставщика услуг).
- Архитектура А3 — с использованием коннектора (на стороне пользователя используется коннектор для работы с системой SWIFT, а интерфейсы обмена сообщениями и интерфейс связи системы SWIFT находятся на стороне поставщика услуг).
- Архитектура B — без собственной инфраструктуры (на стороне пользователя не используются компоненты системы SWIFT).
Тип архитектуры в том числе напрямую влияет на выбор требований по безопасности (их количество), которые необходимо выполнить банку в рамках системы SWIFT. Таким образом, система защиты SWIFT должна строиться исходя из компонентов, которые в нее включены.
Требования по безопасности SWIFT
Требования по безопасности изложены в соответствии с целями и принципами безопасности, которые должны соблюдаться при построении системы защиты.
Стандарт безопасности SWIFT (документ SWIFT Customer Security Controls Framework 1.0) содержит в себе три основополагающие цели, которые поддерживаются восемью принципами безопасности (представлены на Рисунке 3). Цели и принципы определяют основные направления обеспечения безопасности пользователей SWIFT. В рамках каждой цели определены элементы контроля безопасности (требования по безопасности), которые направлены на уменьшение определенных рисков информационной безопасности.
Рисунок 3. Цели, принципы и элементы контроля безопасности
Требования по безопасности определяются в зависимости от выбранного типа архитектуры системы (описание которых приведено выше) и делятся на обязательные и рекомендуемые к выполнению (рекомендуемые требования обозначаются буквой «А»). Как было указано выше, требования по безопасности сгруппированы по принципам безопасности, которые они поддерживают. Пример требований приведен в Таблице 1.
Таблица 1. Пример требований по безопасности SWIFT
Требования безопасности | Тип архитектуры | |
A | B | |
1 Ограничение доступа в интернет и защита критических систем от общей ИТ-среды | ||
1.1 Обеспечение защиты SWIFT | • | |
1.2 Контроль за привилегированными учетными записями операционной системы | • | |
2 Уменьшение количества потенциальных векторов атак и уязвимостей | ||
2.1 Безопасность внутреннего потока данных | • | |
2.2 Обновления для системы безопасности | • | • |
2.3 Повышение надежности системы | • | • |
2.4A Безопасность потока данных в бэк-офисе | • | • |
В стандарте приводится детальное описание выполнения требований по безопасности SWIFT. Описание требований безопасности включает в себя следующую информацию:
- Общая информация об элементе контроля, которая содержит номер, наименование, тип элемента контроля безопасности и ее применимость к типам архитектуры.
- Определение элемента контроля, в рамках которого описываются цель элемента контроля и компоненты, входящие в область применения, а также приводится информация о рисках, которые рассматриваются в рамках конкретного элемента контроля.
- Руководство по применению, в рамках которого дается детальное описание по реализации элемента контроля.
Таким образом, в документе приведено полное описание и рекомендации по выполнению требований по безопасности SWIFT (элементов контроля), которые позволяют банку самостоятельно выполнить мероприятия по обеспечению безопасности SWIFT.
Контроль выполнения требований по безопасности
Самоаттестация как форма контроля
Для контроля соблюдения требований SWIFT разработал процесс проведения самооценки (самоаттестации) требованиям Security Controls Policy. Банкам предлагается провести аудит своей системы (в рамках SWIFT) и опубликовать результаты в специальном приложении SWIFT KYC Registry. Эти результаты являются подтверждением соответствия системы установленным требованиям безопасности и доступны непосредственно SWIFT. Также такой доступ может предоставляться партнерам или контрагентам банка (по решению самого банка).
SWIFT настаивает на выполнении определенных в стандарте требований всеми банками, которые присоединились к SWIFT. В настоящее время определено несколько способов проведения такого контроля:
- контроль выполнения требований по безопасности в виде самооценки (самоаттестации);
- контроль выполнения требований по безопасности в виде внешнего аудита (с привлечением сторонней организации).
Таким образом, банк может самостоятельно выполнить самоаттестацию либо привлечь стороннюю организацию. Жестких требований по выбору таких организаций SWIFT не предъявляет. Но с целью повышения качества внешних аудитов SWIFT создал список рекомендованных сервис-провайдеров по кибербезопасности в рамках Customer Security Programme: Directory of cyber security service providers. В этот список включены компании, которые аккредитованы SWIFT в части предоставления услуг по кибербезопасности для клиентов SWIFT, в том числе, по оценке соответствия требованиям безопасности SWIFT.
На Рисунке 4 приведено начало списка рекомендованных SWIFT сервис-провайдеров для Европейского региона. В списке есть контактная информация по сервис-провайдеру, а также перечень стран, в которых могут быть предоставлены соответствующие услуги по безопасности SWIFT.
Рисунок 4. Пример рекомендованных сервис-провайдеров по кибербезопасности SWIFT для Европы с указанием стран, на которые распространяется эта деятельность
Сроки выполнения самоаттестации
Для контроля выполнения банками требований по безопасности SWIFT установил конкретные сроки по их реализации. Изначально SWIFT не контролировал своих клиентов с целью предоставления определенного времени для выполнения требований по безопасности. Но с 2018 года был введен такой контроль и установлено, что и когда должны выполнить банки в части обеспечения безопасности SWIFT: эти данные приведены в Таблице 2.
Таблица 2. Сроки реализации требований по безопасности и предоставления отчетности
Наименование этапа | Описание | Срок реализации |
Запуск процесса по аттестации безопасности | Запущен процесс по аттестации безопасности для всех пользователей SWIFT | Июль 2017 |
Первоначальная самоаттестация | Все пользователи SWIFT должны провести аудит своих систем и предоставить информацию по самоаттестации. При этом на данном этапе не требовалось обязательное выполнение всех требований по безопасности SWIFT | Январь 2018 |
Повторная самоаттестация по результатам выполненных работ | Все пользователи SWIFT должны провести повторный аудит своих систем и предоставить информацию по самоаттестации. При этом на данном этапе у пользователя должны быть выполнены все обязательные требования по безопасности (обязательные элементы контроля) | Январь 2019 |
Таким образом, SWIFT предписывает банкам выполнять требования по безопасности и предоставлять информацию об их выполнении на регулярной основе. Самоаттестация должна выполняться:
- каждые 12 месяцев;
- при внесении существенных изменений в среду SWIFT.
При этом в приложении SWIFT KYC Registry сохраняется вся история версий опубликованных данных по самоаттестации, которая остается доступной как для пользователя, так и для контрагентов, которым пользователь предоставил соответствующий доступ.
Выводы
В настоящей статье приведено краткое описание того, что необходимо выполнить банку (и когда) в соответствии с концепцией обеспечения безопасности пользователей SWIFT. Описаны основные понятия концепции безопасности SWIFT, приведена информация о требованиях безопасности, которые должны выполняться банками, а также рассмотрены формы контроля выполнения таких требований.
Таким образом, мы постарались осветить основные моменты концепции, а также вопросы самоаттестации, которые на сегодня являются обязательными к выполнению всеми пользователями SWIFT.
Как видно из приведенной статьи, банк может выполнить предъявляемые требования по безопасности SWIFT (в том числе требования по самоаттестации) как самостоятельно, так и с привлечением внешних аудиторов. Стандарт детально описывает требования по безопасности, что позволяет банку выполнить их собственными силами. Однако в части проведения самоаттестации мы рекомендуем обращаться к услугам внешних аудиторов для объективной и независимой оценки построенной системы защиты SWIFT и выявления возможных недочетов и уязвимостей в такой системе.