SWIFT Customer Security Programme (CSP)

Program Společnosti pro celosvětovou mezibankovní finanční telekomunikaci (SWIFT) vznikl v roce 2016 a zaměřuje se na zajišťování efektivní a aktuální ochrany proti kybernetickým rizikům v prostředí bankovních organizací a korporací. Vznikl jako odpověď na navyšující se počet digitálních útoků spojených s mezinárodním platebním systémem SWIFT v posledních letech. Jeho pravidla jsou závazná pro všechny členské organizace.

Každá instituce je sama odpovědná za zprostředkování ochrany v souladu s kontrolním rámcem (tzv. Customer Security Controls Framework, CSCF). Během roku 2021 mají organizace na základě pokynu programu provést 22 povinných a 9 doporučovaných kontrol v závislosti na typu architektury (A1-A4, B).

Do loňského roku mohly společnosti provádět kontrolu shody s požadavky SWIFT CSCF samy (resp. skrze funkce spravující a provozující SWIFT z pohledu IT), což se s aktualizací pravidel mění. Hlavní novinkou je nutnost provést ověření shody nezávislým útvarem na základě instrukcí v rámci dodatku ke SWIFT CSCF, tzv. Independent Assessment Framework (IAF). Původně byla zmíněná aktualizace naplánována již na rok 2020, z důvodu koronavirové pandemie však vešla v platnost až v roce 2021 spolu s verzí CSCF v2021.

Kontrola interním oddělením a kvalifikace zaměstnanců

Provést ohodnocení zabezpečení dané firmy mohou pouze subjekty k tomu kompetentní, tj. zkušené externí firmy nebo interní nezávislá oddělení v rámci jedné organizace (compliance, risk management nebo například interní auditní oddělení). Zmíněná interní oddělení však nesmí mít žádnou přímou vazbu na funkci spravující SWIFT architekturu. Třetí možností je využití kombinace externích a interních pracovníků.

Hlavním nedostatkem při využití interních zdrojů mohou být chybějící znalosti a kvalifikace v konkrétní problematice. Všechny osoby, které participují na ověřování, musí totiž mít dostatečné vědomosti v oblasti kybernetické bezpečnosti, včetně znalostí standardů jako například PCI DSS, ISO/IEC 27001 nebo NIST Cyber Security Framework.

V rámci služby SWIFT Customer Security Program provedla společnost Deloitte po celém světě více než 200 posouzení bezpečnosti firem. Za tímto účelem vzniklo i naše centrum excelence pro SWIFT CSP sdružující odborníky s dovednostmi a zkušenostmi v kybernetické bezpečnosti, kteří jsou schopni adaptovat se na podmínky konkrétní organizace. Pokud i vaše společnost potřebuje pomoc s přípravou nebo samotným provedením nezávislé kontroly, neváhejte a kontaktujte nás.

Všechny firmy jsou povinny provést kontrolu nejpozději do prosince 2021. Organizace, které (z jakéhokoliv důvodu) ověření nepodstoupí, neposkytnou podklady o uskutečnění nebo v něm neuspějí, budou nahlášeny místnímu regulačnímu orgánu. SWIFT bude také každý rok vybírat vzorek organizací pro přezkoumání, zda jsou výsledky v souladu s uvedeným výstupem z nezávislého ověření.

Příprava na prvním místě

Kromě provedení nezávislého ohodnocení a poskytnutí odborných znalostí v oblasti kybernetické bezpečnosti může externí firma nabídnout kontrolované organizaci také služby související s přípravou na provedení nezávislého posouzení. V rámci přípravy je možné uskutečnit analýzu nedostatků a navrhnout jejich řešení dle požadavků SWIFT CSP. S přípravou je proto vhodné začít včas, aby vznikl dostatečný časový prostor pro případnou nápravu do konce roku 2021. V případě volby externí organizace pro provedení ověření je také možné její práci stínovat interními pracovníky, a tím získat i zkušenost v oblasti pro nadcházející roky.