SWIFT CSP

Finantssektor on jätkuvalt väga keerukate ja kindla suunitlusega küberrünnakute esmaseks sihtmärgiks. SWIFTi (Society for Worldwide Interbank Financial Telecommunications) pankadevaheline sõnumite edastamise võrk sattus hiljuti rünnaku alla, mis tõi liikmesorganisatsioonidele miljonites dollarites kahju. Kaitseks selliste rünnete vastu võttis SWIFT kasutusele klientide turvalisuse programmi (Customer Security Program, SWIFT CSP), mida peavad järgima kõik pankadevahelist sõnumite edastamise võrku kasutavad SWIFTi liikmesorganisatsioonid, rakendades SWIFTi kehtestatud klientide turvalisuse kontrolli raamistikku (SWIFT CSCF) ja esitades selle nõuete täitmise aruande SWIFTile igal aastal. SWIFT CSP kohaldamise eesmärk on parandada teabevahetust liikmesorganisatsioonide vahel, tõhustada SWIFTiga seotud tööriistu ja täiendada valdkonda standardiseeritud kindlustandva raamistikuga.

SWIFT CSP nõuete kohaselt tuleb igal liikmesorganisatsioonil CSCFi rakendades määratleda, dokumenteerida ja tõendada, et nende SWIFTi keskkond on kooskõlas SWIFT CSCFi eesmärkide, põhimõtete ja kontrollimeetmetega, mis on toodud alljärgnevas tabelis.

SWIFTi kasutajatele kohalduvad SWIFT CSCFi turvalisuse kontrollimeetmed jagunevad kohustuslikeks ja soovituslikeks. Pidevalt muutuva küberturvalisuse ohumaastiku tõttu vaadatakse SWIFTi turvalisuse kontrollimeetmeid korrapäraselt üle ja ajakohastatakse. Kehtivaid soovituslikke kontrollimeetmeid soovitatakse kasutada kohustuslikena ja uusi turvalisuse kontrollimeetmeid tutvustatakse esialgu soovituslikena. Iga SWIFTi liikmesorganisatsiooni poolt kohaldatav kohustuslike kontrollimeetmete arv sõltub organisatsiooni SWIFTi keskkonna arhitektuurist.

Alates 2021. aastast nõuab SWIFT oma liikmetelt CSCFile vastavuse tõendamist kas organisatsioonisiseste vastavate üksuste või sõltumatu välisaudiitori poolt antud sõltumatu hinnanguga. Oluline on piisaval hulgal tõendite kogumine ja läbivaatamine sõltumatu isiku poolt. Sisehindamise võib läbi viia organisatsiooni riskijuhtimise või siseauditi üksus. Samas aitab just välisaudiitori arvamus SWIFTi nõuete täitmise kohta tagada hinnangu igakülgse sõltumatuse, mis lisab kindlustunnet nii organisatsioonisisestele kui -välistele sidusrühmadele.

KPMG saab abiks olla teie organisatsiooni SWIFTi keskkonnas kasutusele võetud CSCFi kontrollimeetmete disaini ja rakendamise hindamisel. Aitame juhtida tähelepanu võimalikele parandamist vajavatele aspektidele ja anname soovitused organisatsiooni SWIFTi keskkonna turvalisuse tõstmiseks, et viia see vastavusse SWIFTi kontrollinõuetega.

KPMG alustab kohtumisest kliendiga, et saada arutelu käigus parem arusaam kliendi ärist ja koguda vajalik informatsioon hindamisprotsessi üksikasjaliku plaani väljatöötamiseks. Planeerimisetapis määratletakse töövõtu ulatus ja piirangud, määratakse kontaktisikud ja lepitakse kokku peamised tähtajad. Planeerimisetapp kestab ligikaudu kaks nädalat.

Pärast planeerimist alustatakse hindamiseks informatsiooni kogumisega. See hõlmab intervjuusid peamiste kontaktisikute ja ettevõtte esindajatega, dokumentatsiooni läbivaatamist, kohapealseid füüsilise turvalisuse ja süsteemi konfiguratsiooni läbivaatusi. Need tegevused võtavad aega ligikaudu kolm kuni viis päeva olenevalt organisatsiooni SWIFTi keskkonna arhitektuurist.

Informatsiooni kogumise etapi edukus sõltub kliendi töötajate kättesaadavusest ja koostööst. Suurema osa antud etapi töödest saab läbi viia kaugintervjuudena, kuid mõned tegevused, nagu füüsilise turvalisuse ülevaatused, toimuvad kohapeal. Informatsiooni kogumisele järgneb SWIFT CSCF nõuete täitmise hinnangu aruande kirjutamine. See etapp kestab kaks nädalat, mille jooksul KPMG viib läbi vajalikud kvaliteedi tagamise tegevused ja teavitab klienti aruande edenemisest.

SWIFT CSCFi nõuete täitmise hindamise peamine tulemus on SWIFT CSCFi aruandlusvormil hindamisaruanne ja sõltumatu hindamise lõpetamise dokument. CSCFi aruanne sisaldab organisatsiooni SWIFTi keskkonnas kohaldatavate kontrollimeetmete disaini ja rakendamise kirjeldust ning selles on ära toodud CSCFi nõuetele vastavuse tase. Vajadusel lisatakse parandamist vajavad aspektid koos soovitustega organisatsiooni SWIFTi keskkonna turvataseme tõstmiseks.