Očekivanja Agencije u vezi implementacije sigurnosnih kontrola u informacionom sistemu u procesu SWIFT usluga
U posljednje vrijeme učestala je pojava cyber napada na mrežu usluga servisa za međubankarsku komunikaciju (SWIFT). Na osnovu do sada poznatih informacija, napadi se nisu desili na dijelu mreže koji je pod ingerencijom servisa SWIFT, nego u dijelovima infrastrukture koja je pod odgovornošću banke. Napadi su se desili na jedan od sljedećih načina:
• krađom legalnih kredencijala bančinih uposlenika za pristup sistemu SWIFT-a,
• korištenjem slabosti u bančinoj infrastrukturi (nedostatak ili neadekvatna konfiguracija firewall-a, neadekvatni routeri, upotreba default-nih ili dobro poznatih lozinki i slično) i
• sistemom socijalnog inžinjeringa koristeći tzv „phishing“ napade, koji su odigrali ključnu ulogu.
Nedavni cyber napadi su pokazali mogućnost sljedećeg:
• upada u i kompromitovanja infrastrukture banke, pri čemu se zaobilaze sigurnosne kontrole,
• nabave i korištenja validnih kredencijala sa pravima kreiranja, odobrenja i slanja SWIFT poruka,
• primjene sofisticiranih znanja i razumjevanja načina transfera operacija slanja novca,
• korištenje visoko prilagođenih malicioznih kodova kako bi se onemogućilo logiranje (sistem zapisa) i izvještavanje, kao i druge operativne kontrole za prevenciju i detekciju lažnih transakcija i
• prebacivanje ukradenih sredstava preko više različitih nadležnosti u kratkom vremenskom periodu kako bi se onemogućio povrat sredstava.
Servis SWIFT je poduzeo niz aktivnosti na budućoj prevenciji i detekciji cyber upada u mrežu međubankovne komunikacije. Neke od njih su sljedeće:
• definisana je lista od 16 obaveznih i 11 preporučenih sigurnosnih kontrola koje bi banke trebale implementirati u svrhu zaštite od neželjenih upada u sistem (lista objavljena na Web stranici SWIFT-a je u razmatranju, te se zvanična potvrda liste i kontrola očekuje u martu 2017. godine).
• SWIFT će počev od Q2 2017. godine zahtijevati od svojih klijenata da obave detaljnu samoprocjenu usaglašenosti sa obaveznim kontrolama. Primjena 16 obaveznih kontrola će biti obavezna, počev od januara 2018. godine. Također, SWIFT će provesti pregled odabranih klijenata, pregledom revizorskih izvještaja sačinjenih od strane internih i eksternih revizora kako bi se uvjerio u kvalitet primjene gore definisanih kontrola. Detaljni status implementacije kontrola kod svih klijenata će biti omogućen zainteresovanim stranama putem SWIFT-a.
• također, SWIFT je uveo Program za podršku sigurnosti klijenata, koji sadrži niz alata, između ostalih i tzv. „Daily Validation report“, servis kojim se omogućava potvrda svih dnevnih transakcija odvojenim kanalom od samog kanala putem kojeg su obavljene transakcije, kao i slanje liste dnevnih transakcija različitom timu osoblja na potvrdu.
U nastavku je dat pregled obaveznih i preporučenih SWIFT kontrola, te očekivanja Agencije u vezi konkretnog načina implementacije kontrole u okviru informacionog sistema banke, kao i korespondirajući član regulative Agencije (Odluka o minimalnim standardima upravljanja informacionim sistemima u bankama i Odluka o minimalnim standardima upravljanja eksternalizacijom), koji zahtijeva implementaciju navedene kontrole.
