SWIFT вводит обязательные требований к информационной безопасности

SWIFT вводит обязательные требований к информационной безопасности
В последнее время в мире прослеживается тренд хакерских атак на банки и другие финансовые структуры. Наиболее существенным прецедентом стала хакерская атака на центральный банк Бангладеш в феврале 2016 года в результате которой было выведено 50$ млн. Отечественные и зарубежные компании в сфере информационной безопасности публикуют неутешительные отчеты о сообщалось, что злоумышленники использовали украденные логины и пароли банковских сотрудников Банка Бангладеша, однако как позже выяснилось, хакеры использовали собственную малварь и взломали программное обеспечение SWIFT, чтобы стереть все записи о несанкционированных сделках. Эксперты компании подключены более 500 банков. В 2014 году в связи с конфликтом на Украине в Евросоюзе была выдвинута инициатива по отключению отечественных банков от SWIFT, однако эта угроза так и не была реализована в виде санкций. В декабре 2014 года Банк России начал предоставление услуг по передаче финансовых сообщений в формате SWIFT по внутрироссийским операциям, который использует свободный формат сообщений ED 501.

Новый сервис реализован в целях обеспечения бесперебойности и безопасности передачи финансовых сообщений внутри страны и является очередным шагом в направлении совершенствования системы услуг, предоставляемых Банком России. Новая услуга позволит кредитным организациям передавать сообщения в форматах SWIFT через Банк России во всех регионах страны и без ограничений.

Атаки хакеров через систему SWIFT заставили представителей центральных банков ряда стран, включая и Россию, сделать определенные выводы, которые нашли отражение в известно том, что  международная система межбанковских платежей и обмена данными SWIFTобъявила о введении собственного стандарта информационной безопасности ( SWIFT Security Framework ), Объявленный набор требований станет обязательным к исполнению для всех банков, подключенных к SWIFT с начала 2017 года.   Новые требования включает в себя список из 16 контролей, который по заверениям организации, будет доведен до клиентов к уже концу октября текущего года, а после этого еще два месяца будет продолжаться процедура  валидации и фидбеков.  Начиная со второго квартала 2017 года, все клиенты SWIFT должны будут ежегодно отчитываться о состоянии информационной безопасности и соответствия этим требованиям. Через год, с января 2018 года отчетная информация будет доводиться до контрагентов клиента, и в случае невыполнения требования – до его регуляторов. Помимо этого начиная с  2018 года SWIFT оставляет за собой право запросить дополнительное подтверждение степени выполнения требований ИБ в виде результатов внутреннего иили внешнего аудита.

Генеральный директор  SWIFT Готтфрид Лейббрандт (Gottfried Leibbrandt), на своем выступлении  в Женеве сказал: “в то время как наши клиенты по-прежнему несут ответственность за защиту данных на своих собственных условиях, мы полны решимости помогать укреплять их безопасность и оказывать всяческую помощь  в улучшении мер безопасности. Наша цель в создании этой структуры это поддержка клиентов, помощь и улучшения безопасности в финансовой отрасли в целом. Мы сделаем это путем поддержания проактивного подхода, развития системы в соответствии с изменяющимися угрозами ИБ,  убедившись при том, что все наши требования дополняет уже существующие нормы  регулирования в области информационной безопасности”.

Председатель SWIFT Явар Шах, так же добавил: “Мы признаем, что внедрение новых требований будет длительным и потребует общеотраслевых усилий и инвестиций, а также активного взаимодействия с регулирующими органами во всех странах-участниках системы SWIFT. Растущиеt кибер-угрозы требует от нас согласованных действия. Это также объясняет, почему совет  SWIFT  единогласно утвердил структуру, и остается полностью вовлеченным в контроль и дальнейшее развитие программы безопасности”.

Как сообщает источник, к такому решительному шагу руководство SWIFT подтолкнуло быстро растущее количество инцидентов, сигнализирующее о том, что клиентами не реализованы элементарные меры по безопасности, рекомендованные  как самой SWIFT так и требуемые локальными регуляторами, к примеру для России - ЦБ РФ .

На официальном сайте организации опубликован состав программы, которая будет сосредоточена на пяти взаимодополняющих стратегических инициатив:
  • Совершенствование обмена информацией среди мирового сообщества
  • Повышение надежности SWIFT связанных инструментов (ПО) для клиентов
  • Повышение уровня использоавния руководящих принципов  для обеспечиния мер защиты
  • Поддержка усиление контроля  проведения платежных операций
  • Усиление взаимодействия и поддержки сторонних разработчиков
Помимо обмена информацией SWIFT намерена ужесточить контроль над программным обеспечением, которым пользуются банки для своей защиты. Среди пунктов программы числятся ужесточение требований безопасности к используемому ПО, а также введение требований к его поставщикам (разработчикам).

Ниже приводится оригинальная выдержка из документов разработанных SWIFT
High Level Expectations for (the Oversight of) SWIFT

1. Risk identification and management

SWIFT is expected to identify and manage relevant operational and financial risks to its critical services and ensure that its risk management processes are effective.

To help determine the extent to which this expectation is met, overseers review - and SWIFT should provide timely access to - all information they judge relevant regarding the following:

- the processes for risk identification and management, documenting the identified risks, the controls implemented to manage those risks, and the decisions made to accept risks;
- the processes for reviewing previously accepted risks in the light of new information;
- SWIFT's structures and processes set up to manage risks effectively;
- the extent to which SWIFT provides for effective assessments of risks and risk management processes through board of directors' oversight and independent internal and external audits.
- the extent to which the internal audit:
- adheres to the principles of a professional organisation, such as the Institute of Internal Auditors, which govern audit practice and behaviour;
- independently assesses inherent risks, as well as the design and effectiveness of risk management processes and internal controls to mitigate risks; and
- clearly communicates its assessments to relevant Board members and has direct and immediate access to the chair of the Board's Audit & Finance Committee.
how risks are monitored and managed in various domains, including at least the following:

- dependency on third parties;
- legal and regulatory requirements pertaining to SWIFT's corporate organisation and conduct;
- relationships with customers;
- strategic decisions with an impact on the longer-term continuity of the critical services;
- risks related to information security, reliability and resilience, and technology planning, which are further elaborated on in HLEs 2, 3 and 4.

2. Information Security


SWIFT is expected to implement appropriate policies and procedures, and devote sufficient resources, to ensure the confidentiality and integrity of information, and the availability of its critical services.

To help determine the extent to which this expectation is met, overseers review - and SWIFT should provide timely access to - all information they judge relevant regarding the following:

- information security policy or framework, and any processes and procedures for monitoring compliance;
- capacity planning;
- change management practices; and
- assessments of the implications of changes to SWIFT's operations on information security.

3. Reliability and resilience

Commensurate with its role in the global financial system, SWIFT is expected to implement appropriate policies and procedures, and devote sufficient resources, to ensure that its critical services are available, reliable and resilient and that

business continuity management and disaster recovery plans support the timely resumption of its critical services in the event of an outage.

To help determine the extent to which this expectation is met, overseers review - and SWIFT should provide timely access to - all information they judge relevant regarding the following:

- business continuity and disaster recovery objectives, strategies and plans, including the extent to which they address the risk of a major operational disruption;
- business continuity and disaster testing plans, procedures, and results, including the extent to which SWIFT facilitates periodic testing with customers; and
- procedures and processes to record, report, and analyse all operational incidents.

4. Technology planning

SWIFT is expected to have in place robust methods to plan for the entire lifecycle of the use of technologies and the selection of technological standards.

To help determine the extent to which this expectation is met, overseers review - and SWIFT should provide timely access to - all information they judge relevant regarding the following:

- IT strategic plans and processes for maintaining and updating those plans;
- the extent to which technology decisions balance the near-term needs of individual service enhancements with the planned long-term technology path for the service;
- assessments of the maturity of technologies being evaluated for introduction into the SWIFT environment;
- standards selection process when deploying and managing a service, and the standards maintenance and review process over time; and
- processes to ensure that design choices consider information security risks for the user community.

5. Communication with users

SWIFT is expected to be transparent to its users and provide them information that is sufficient to enable users to understand well their role and responsibilities in managing risks related to their use of SWIFT.

To help determine the extent to which this expectation is met, overseers review - and SWIFT should provide timely access to - all information they judge relevant regarding the following:

- customer communication procedures and processes to inform users of:
- their role and responsibilities, including in the case of disruptions to SWIFT's critical services (crisis communication);
- SWIFT's management processes, controls, and independent reviews of the effectiveness of these processes and controls; and
- identified weaknesses (absent or non-performing controls) if users need such information to manage risks related to their use of SWIFT;
- techniques SWIFT uses to be informed by users of operational risks on the user side that could potentially affect SWIFT's own operations, or, alternatively, techniques SWIFT uses to prevent any such user impact on SWIFT operations; and
- consultative mechanisms to ensure that SWIFT's technology choices that affect user operations are acceptable to the principal users of the critical services.

Атаки на SWIFT продолжаются

С февраля этого года руководство  SWIFT в своем письме сообщало о нескольких попытках взлома IT-систем банков по фальшивым поручениям SWIFT. Так вьетнамский Tien Phong Commercial Joint Stock Bank сообщил , что предотвратил кражу на сумму 1 млн евро. Представители банка заявили, что TPBank «не понес никаких убытков», а также подчеркнули, что уже перешли на использование более безопасной системы неназванного производителя, которая обеспечивает защиту соединения между банком и системой SWIFT. Эквадорский банк Banco del Austro обвиняет банковскую компанию Wells Fargo, из которого по системе SWIFT были выведены активов на $12 млн.

Из письма следует, что некоторые клиенты SWIFT потеряли деньги, но кто и сколько конкретно,  явным образом не указывается. Говорится лишь о том, что это разные по размеру и расположению банки, использующие разный доступ к системе. Единственное, что их объединяет – это слабая безопасность.

В июле 2016 года киевский филиал международной ассоциации ISACA, сообщил о краже денежных средств из украинского банка в размере $10 млн. Название банка, из которого были выведены средства, не сообщается, однако известно, что взломщики смогли манипулировать сообщениями межбанковской информационной платформы SWIFT.

Ниже можно увидеть подробную схему, составленную исследователем компании IssueMakersLab. На схеме отражены все известные на текущий момент инциденты и детали, известные об атаках на систему SWIFT и веб-сервисы, использующиеся банками для осуществления транзакций.

О системе SWIFT

SWIFT - международная межбанковская система передачи информации и совершения платежей. Создана международным консорциумом в 1973, соучредителями на тот момент выступили 239 банков из 15 стран. В настоящее время SWIFT это кооперативное общество, созданное по бельгийскому законодательству, принадлежащее его членам — более чем 9000 банкам из 209 стран (по данным на 2010 год). Главный офис расположен в Брюсселе.

Каждый банк, включённый в систему, имеет свой уникальный SWIFT-код. На практике для совершения платежа в Eвропе достаточно знать наименование и IBAN-код банковского счета получателя. В день через SWIFT проходит более миллиона транзакций о денежных переводах, межбанковских платежах, ценных бумагах. А ежегодно через SWIFT проходит 2,5 млрд платежных поручений.
SWIFT framework Банк России ЦБ Бангладеш TPBank BAE Systems Alliance Access Gottfried Leibbrandt троян malware хищение мошенничество
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события