Swift Customer Security Programme

Swift (Society for Worldwide Interbank Financial Telecommunication) är ett globalt nätverk som används av banker och finansiella institutioner för att skicka och ta emot information om finansiella transaktioner på ett säkert och standardiserat sätt. Genom sitt meddelandesystem möjliggör Swift snabba och säkra överföringar av pengar mellan medlemsbanker över hela världen. Det fungerar som en central del av den globala finansiella infrastrukturen och används för att hantera betalningar, värdepapperstransaktioner och andra finansiella meddelanden.

Flera banker hade under 2010-talet några uppmärksammade ”bankrån” i vilka antagonistiska aktörer distribuerade skadlig kod riktade mot bankernas implementation av Swift. Det mest kända av dessa bankrån är det mot Bangladeshs centralbank som det går att läsa mer om här: https://en.wikipedia.org/wiki/Bangladesh_Bank_robbery

Den som är ännu mer intresserad av det specifika bankrånet rekommenderas att se dokumentären Miljardkuppen på valfri streamingtjänst som har denna titel.

Swift valde efter dessa attacker att införa obligatoriska kontroller för alla Swift användare inom ramen för sitt säkerhetsprogram, Swift Customer Security Programme (CSP).

Vad är Swift CSP?

Swift CSP är ett globalt initiativ mellan Swift och dess användare som fokuserar på att höja säkerhetsnivån för användare av SWIFT-nätverket. Programmet består av en serie säkerhetskrav, Swift Customer Security Control Framework (CSCF), vilket är utformade för att stötta Swift användare att öka skyddet för sina Swift-miljöer från potentiella hot och främja ett säkrare finansiellt ekosystem. Swift CSCF består av både obligatoriska och valfria säkerhetskrav baserade på industristandarder, såsom NIST, ISO27001 och PCI-DSS. De obligatoriska säkerhetskraven etablerar en grundläggande säkerhetsnivå för alla Swift-användare och dess nätverk. De valfria kraven är baserade på bästa praxis som Swift rekommenderar att alla användare bör implementera.

För att få Swift-användare att efterleva säkerhetskraven i Swift CSP har Swift utvecklat en process som kräver att dessa användare attesterar sin efterlevnad mot säkerhetskraven årligen. Senast den sista december, men tidigast 1 juli, varje år måste alla Swift användare rapportera in sin efterlevnad mot de obligatoriska kraven mot det årets innevarande standard. Exempelvis måste alla Swiftanvändare detta år, 2024, rapportera in sin självattestering för Swift CSCF v2024. Det finns massvis med regler hur länge en självattestering är gällande, vem som är tillåten att självattestera, hur användare ska belägga att de uppfyller kraven m.m. vilket vi inte kommer gå in på här. 

Den självattestering som görs mot kontroller i Swift CSCF utförs i Swifts verktyg KYC-SA och måste understödjas av en oberoende granskning. Resultatet från självattesteringen visas för alla motparter samt för eventuella tillsynsmyndigheter. Skulle en organisation inte efterleva kraven i Swift CSCF syns det i Swifts verktyg och det kan innebära att organisationens motparter slutar skicka och ta emot finansiella meddelanden från organisationen. Skulle organisationen fortsatt påvisa dålig efterlevnad mot Swift CSCF, eller uppvisar särskilt avvikande resultat, kan organisationen stängas av från att använda Swifts nätverk. Därmed riskerar en otillräcklig efterlevnad att leda till en utestängning från Swifts internationella nätverk och därmed ingen möjlighet att skicka internationella finansiella transaktioner.

Ramverkets mål och principer

Swift CSCF består av tre övergripande mål som understödjs av sju principer. Dessa principer och mål står i sin tur på 32 kontroller. En övergripande bild av de mål och principer som finns kan ses i figuren nedan.

De 32 kontroller (25 obligatoriska och 7 valfria) som finns med i Swift CSCF utgår från de vanligaste risker förknippade med distribuering av finansiella Swift-meddelanden, så som exempelvis:

• Icke-autentiserad sändning eller modifiering av finansiella transaktioner
• Utförande av transaktioner med en icke-autentiserad motpart
• Brott mot konfidentialitet och riktighet

Riskerna ovan kan få legala och finansiella konsekvenser, samt negativt påverka ryktet för en organisation.

Granskning av en Swift implementation

Simovits Consulting har granskare som har Swift-certifierade och vi är med i databasen över leverantörer som är certifierade av Swift. Swift-användare behöver inte använda en certifierad Swift granskare och kan använda interna granskare eller externa granskare. Däremot ställer Swift krav på att granskarna inte ska vara påverkade av intressekonflikter så att granskningen kan bedrivas oberoende och objektivt. Så om en organisation har en avdelningen för intern revision som uppfyller Swifts krav på oberoende granskningar kan dessa användas. Swift ställer även krav på vilka kvalifikationer granskarna, intern eller extern, ska ha och de som ska genomföra en Swiftgranskning skall ha följande kvalifikationer:

• De oberoende granskarna ska inom de senaste två åren genomfört en cybersäkerhetsrelaterad granskning mot exempelvis PCI DSS 4.0, ISO27002, NIST SP 800-53, SOC2 eller liknande ramverk som erbjuder samma nivå av robusthet.
• Personen som leder granskningen (lead assessor) skall minst ha en industrirelevant cybersäkerhetsutbildning. Swift har inte en uttömmande lista på godkända certifieringsorgan eller certifieringar men nämner bland annat CISSP, ISO27001 LA, CISA och utbildningar från SANS. Inga krav ställs på att övriga personer som genomför granskningen ska ha genomgått liknande utbildningar men Swift nämner att det är önskvärt.

Att använda en Swift CSP certifierad granskare är alltså inget krav men genom att använda en Swift-certifierad granskare kan det säkerställas att granskarna har relevanta utbildningar och har genomfört liknande granskningar de senaste två åren. Vid användning av en Swiftcertifierad granskare måste det skrivas in vem som utfört granskningen i självattesteringen, vilket då visas för motparter, eventuella tillsynsmyndigheter och Swift och fungerar då som ett slags godkännandestämpel. Databasen är inte begränsande, men väljer man en granskare som inte är med i Swifts databas måste man säkerställa att granskaren uppfyller kraven ovan.