SWIFT Customer Security Program

Reduserer antall framtidige cyberangrep

Som respons på flere cyberangrep i den siste tiden, har SWIFT innført grunnleggende sikkerhetskrav gjennom sikkerhetsrammeverket Customer Security Controls Framework (CSCF). Selv om SWIFT-nettverket selv ikke ble berørt av angrepene, lykkes det hackerne ved noen tilfeller å bryte inn i lokale driftssystemer etablert av SWIFT-brukere. 

For å begrense de mulighetene hackerne har til å utnytte svakheter i SWIFT-brukernes lokale systemer i framtiden, har SWIFT laget sikkerhetsprogrammet Customer Security Program (CSP). CSP er et rammeverk som hjelper brukerne å etablere sikkerhetskontroller mot cyberangrep som de selv kan bruke i sine lokale systemer. 

CSP legger vekt på tre gjensidig forsterkende områder. Kundene må først beskytte og sikre sine lokale systemer (din virksomhet). Deretter handler det om å forebygge og oppdage svindel blant dine kommersielle kontakter (dine motparter), og til slutt om løpende informasjonsdeling og beredskap mot framtidige cybertrusler (ditt miljø).

1. Din virksomhet
   Om du vil unngå cybersvindel, er det avgjørende å sikre din lokale SWIFT-infrastruktur, sette inn riktig kompetanse og etablere gode retningslinjer og praksis. 
2. Dine motparter
   Det er ingen selskaper som driver virksomhet i et vakuum, og alle SWIFT-brukere er del av et større økosystem. Selv om dere har gode sikkerhetstiltak, blir angriperne mer og mer avanserte, og du må gå ut fra at du også kan bli utsatt for cyberangrep. Det er derfor det er så grunnleggende å håndtere sikkerhetsrisiko i dine relasjoner med motparter. 
3. Ditt miljø
   Finansbransjen er global, og det er cybertruslene den står overfor også. Det som skjer med ett selskap på ett sted kan kopieres andre steder i verden. 
    

Hva SWIFT-brukere kan gjøre for å beskytte seg selv

SWIFT ba brukerne om å innføre sikkerhetskontrollene innen 31. desember 2017, og foreta en årlig oppdatering av systemene sine i henhold til CSP.

SWIFT oppmuntrer brukerne sine til å innføre og følge med på disse sikkerhetskontrollene som del av et bredere program for styring av cybersikkerhetsrisiko. Dette bør evalueres og justeres jevnlig basert på ledende bransjepraksis og endringer i de enkelte brukernes sikkerhetssituasjon og -infrastruktur. 

Videre vil alle brukere bli pålagt å gjennomføre “Community Standard Assessments” fra midten av 2021. Dette betyr at alle attestasjoner som avlegges i 2021 også krever en uavhengig vurdering. En bruker kan gjøre dette på en av to måter: 

1. Ekstern vurdering utført av en uavhengig ekstern organisasjon, som har erfaring med vurdering av cybersikkerhet og individuelle eksperter med relevant sikkerhetssertifisering i bransjen. Deloitte kan hjelpe deg med en ekstern vurdering, eller
2.  Intern vurdering utført av en brukers andre- eller tredjelinjes forsvarsfunksjon (som compliance, risikostyring og internrevisjon) eller en enhet med tilsvarende funksjon , som er uavhengig av førstelinje i forsvarsfunksjonen som sendte inn attestasjonen (som for eksempel CISO-kontoret) eller en enhet med tilsvarende funksjon. Når det gjelder eksterne eksperter må de som gjør vurderingsarbeidet ha relevant erfaring med vurdering av cyberrelaterte sikkerhetskontroller.

I tillegg, uavhengig av og atskilt fra de to kategoriene over, forbeholder SWIFT seg også retten til å søke uavhengig ekstern kompetanse for å verifisere selvattesteringen som er gjort, som beskrevet i Customer Security Controls Policy (CSCP). 

Vurderinger som blir pålagt av SWIFT må omfatte alle obligatoriske SWIFT-kontroller som gjelder brukerens arkitekturtype, slik det er definert i CSCF-versjonen som gjelder på det tidspunktet vurderingen blir gjort, selv om kravet om vurdering gjelder en attestering som er sendt inn i henhold til en tidligere versjon av CSCF. 
 

Omfanget av SWIFTs CSP-kontroller

SWIFT Customer Security Controls Framework består av tre målsettinger og sju strategiske sikkerhetsprinsipper. Rammeverket gjelder fem typer brukerarkitektur for SWIFT-brukere, som kalles A1, A2, A3, A4 og B. SWIFT-brukerne må først identifisere hvilken arkitektur som gjelder for dem før de innfører de kontrollene som gjelder. 

Omfanget av SWIFTs sikkerhetskontroller er begrenset til lokal SWIFT-infrastruktur og bruker-PCer (også omtalt som “sikker sone”) og forbindelsen til og fra den sikre sonen. Dette inkluderer forbindelsen mellom operatørene i den sikre sonen og “back office” eller middelvare. Omfanget kan variere i størrelse, avhengig av struktur og gjeldende arkitektur.
 

Hvorfor Deloitte?

Vi hjelper kundene med å etablere kontrollfunksjoner og prosesser knyttet til deres mest kritiske verdier, og ivaretar behovet for å redusere risiko samtidig som vi også bidrar til produktivitet, vekst og optimalisering.

Deloitte har hjulpet over 150 virksomheter med å vurdere sin lokale SWIFT-infrastruktur og etterlevelse av enten CSCF eller den forbedrede versjonen, som er bedre kjent som SIPSOF (Shared Infrastructure Program, Security and Operational Framework). Vi tilbyr helhetlige tjenester som kan støtte din organisasjon i arbeidet med å vurdere sin SWIFT-avhengighet. 
 

SWIFT CSP Workshop

• Et team med konsulenter med inngående SWIFT CSP-erfaring holder en CSP-workshop med de viktigste medarbeidere som har vært involvert i selvattesteringen til SWIFT. 
• Formålet med workshopen er å foreta en gjennomgang av selvattesteringen og gi en overordnet vurdering av forbedringstiltak som defineres av din organisasjon. 
• Merverdi: Rask bekreftelse av din selvattestering, bekreftelse av ditt teams forståelse av CSCF og en overordnet vurdering av virksomhetens forbedringsplan.
   

Gjennomgang for CSP-selvattestering

• Et team av konsulenter med inngående SWIFT CSP-erfaring vil gå gjennom dine systemer basert på SWIFT Customer Security Control Framework.
• På bakgrunn av intervjuer av medarbeidere, inspeksjon av systemkonfigurasjoner og dokumentasjon leverer vi en rapport som kan brukes ved selvattesteringen. 
• Merverdi: Vårt teams gjennomgang av dine systemer, med høy grad av forståelse og erfaring som vil redusere involvering av ditt team og eventuelle forstyrrelser til et minimum.
   

Råd for å redusere avvik

Deloitte har hjulpet over 150 virksomheter med å vurdere sin lokale SWIFT-infrastruktur og etterlevelse av enten CSCF eller den forbedrede versjonen, som er bedre kjent som SIPSOFEt team av konsulenter med inngående erfaring med SWIFT CSP vil jobbe tett med de viktigste aktørene i organisasjonen for å utarbeide en plan om hvordan avvikene i forhold til SWIFT CSCF skal reduseres. 

• Merverdi: Prosjekt- og forbedringsplan utarbeidet av eksperter med korrekt forståelse for hvordan kontrollene skal innføres i ditt system med minst mulig innvirkning og forstyrrelser.
   

Redusere avvik i prosjektledelse

• Dersom dere strever med innføring av kontroller, har Deloitte prosjektledere med inngående kunnskap om Customer Security Program. Deloitte kan dermed veilede dere slik at dere raskt og korrekt kan oppdatere alle kontroller innenfor CSCF.
• Merverdi: Våre prosjektledere vil sikre at nye kontroller blir innført med minimale forstyrrelser i eksisterende systemer, og vil rydde opp i alle avvik i henhold til CSCF.
   

Innføring av kontroller

• Gjennom flere års erfaring med ulike innføringsmetoder, ved bruk av alle typer program- og maskinvare, er Cyber-praksisen hos Deloitte svært godt utrustet for å gi bistand med innføring av kontroller i henhold til CSCF.
• Merverdi: Kontroller innføres av et team som forstår CSCF og de vil innføre kontroller som fjerner avvik fullt ut med minst mulig forstyrrelser i dine eksisterende systemer.