Zgodność z wymogami SWIFT Customer Security Programme (CSP)

Wraz z dynamicznym rozwojem nowych technologii sektor finansowy staje się szczególnie narażony na straty spowodowane cyberatakami. W ostatnich latach cyberprzestępczość w sektorze finansowym stale rosła, a ataki cyberprzestępców coraz częściej wymierzone są w systemy komunikatów finansowych, takie jak SWIFT.

Aby aktywnie wspierać swoich uczestników w walce z cyberatakami, SWIFT ustanowił program SWIFT Customer Security Programme (SWIFT CSP), obejmujący zestaw kontroli mających na celu wzmocnienie bezpieczeństwa systemu i zwalczanie oszustw cybernetycznych, których wdrożenie jest obowiązkowe dla wszystkich uczestników.

Mazars oferuje uczestnikom SWIFT wsparcie w zapewnieniu zgodności z wymogami SWIFT CSP, w tym w zabezpieczeniu lokalnej infrastruktury SWIFT i utrzymaniu odpowiedniego środowiska kontroli, poprzez przeprowadzenie niezależnej oceny zewnętrznej.

Co to jest SWIFT Customer Security Programme (CSP)? - Założenia i wymogi

Program Customer Security Programme (CSP) został zaprojektowany, aby pomóc swoim użytkownikom zabezpieczyć ich lokalne środowiska, a tym samym całą społeczność SWIFT.

SWIFT Customer Security Controls Framework (SWIFT CSCF)

W ramach programu, SWIFT opracował zestaw obowiązkowych mechanizmów kontroli bezpieczeństwa - SWIFT Customer Security Controls Framework (SWIFT CSCF), który poddawany jest corocznym przeglądom.

CSCF składa się z obowiązkowych i doradczych kontroli bezpieczeństwa. Kontrole obowiązkowe ustanawiają ogólne podstawy bezpieczeństwa dla społeczności SWIFT i muszą zostać wdrożone w lokalnej infrastrukturze SWIFT przez wszystkich użytkowników. Kontrole doradcze opierają się na najlepszych praktykach w zakresie bezpieczeństwa i SWIFT zaleca, aby użytkownicy stosowali je w odpowiednich przypadkach. Lista kontroli obowiązkowych i doradczych jest regularnie weryfikowana pod kątem zmieniającego się otoczenia i potencjalnych zagrożeń.

Roczna ocena zgodności – nowy wymóg niezależnej oceny

Zgodnie z polityką CSP użytkownicy SWIFT są zobowiązani do corocznego przedkładania swoich poświadczeń zgodności z wymogami CSCF w terminie do 31 grudnia każdego roku. Do 2020 roku użytkownicy dokonywali oceny zgodności z CSCF w ramach samooceny.

W 2020 roku SWIFT wprowadził wymóg dokonywania oceny poświadczenia zgodności w ramach niezależnej oceny, którego zastosowanie do końca 2020 roku było fakultatywne.

Począwszy od roku 2021, obowiązek poddawania poświadczenia zgodności użytkownika SWIFT, niezależnej ocenie (tzw. Community Standard Assessment) jest obligatoryjny. Niezależna ocena powinna zostać przeprowadzona w formie:

• Oceny zewnętrznej przeprowadzonej przez niezależną organizację zewnętrzną taką jak Mazars, która posiada doświadczenie w zakresie oceny bezpieczeństwa cybernetycznego lub
• Oceny wewnętrznej przeprowadzonej przez jednostkę drugiej lub trzeciej linii obrony użytkownika (taką jak komórka zgodności, zarządzanie ryzykiem lub audyt wewnętrzny).

Niezależnie od wybranej formy niezależnej oceny, zgodnie z wymaganiami SWIFT wszyscy oceniający wybrani do przeprowadzenia procesu oceny CSCF muszą posiadać odpowiednie kwalifikacje i muszą przeprowadzić ocenę w sposób niezależny. Wszystkie osoby, którym powierzono przeprowadzenie oceny, powinny posiadać co najmniej jeden istotny dla branży certyfikat zawodowy w zakresie bezpieczeństwa informacji.

Powyższe wymogi w wielu przypadkach mogą uniemożliwiać przeprowadzenie niezależnej oceny wewnętrznej, dlatego Mazars oferuje Państwu przeprowadzenie niezależnej oceny zewnętrznej przez naszych ekspertów posiadających odpowiednie uprawnienia i certyfikaty wymagane przez SWIFT.

Jakie są konsekwencje braku spełnienia powyższych wymogów?

Niewywiązanie się z obowiązku przeprowadzenia oceny zgodności oraz publikacja nieaktualnej oceny mogą zostać zgłoszone przez SWIFT organom nadzoru.

W czym możemy Państwu pomóc?

W obszarze SWIFT CSP oferujemy wsparcie w następującym zakresie:

• Niezależna ocena zgodności z CSCFWeryfikacja środowiska kontroli w oparciu o SWIFT Customer Security Control Framework oraz sporządzenie formalnego raportu opisującego potwierdzenie zgodności każdej kontroli wraz z dokumentacją zaobserwowanych luk wdrożeniowych zgodnie z wymogami SWIFT.
• Analiza lukiPrzegląd środowiska kontroli oraz procesów pod kątem zgodności z wymogami SWIFT CSP oraz wskazanie zidentyfikowanych obszarów niezgodności (luki wdrożeniowe).
• Opracowanie planu naprawczegoOpracowanie planu działań naprawczych mających na celu usunięcie zidentyfikowanych obszarów luki w stosunku do wymogów SWIFT CSCF.
• Wsparcie we wdrożeniu działań naprawczychWsparcie we wskazaniu działań, procedur, koniecznych do usunięcia zidentyfikowanej luki.
• Dodatkowe usługi w obszarze SWIFT CSPOcena odporności infrastruktury na ataki, w tym testy penetracyjne