Das neue Jahr ist zwar noch relativ jung, aber Zeit zum Aufwärmen bleibt nicht – im Gegenteil. Es ist höchste Zeit, sich mit den Compliance-Anforderungen des Customer Security Control Frameworks (CSCF), dem Herzstück des SWIFT Customer Security Programme (CSP), vertraut zu machen und diese umzusetzen. Für Finanzdienstleister besonders wichtig ist SWIFT: DAS Nervensystem des globalen Finanzmarktes, das von so gut wie jedem aus der Branche in Anspruch genommen wird. An den Compliance-Anforderungen führt kein Weg vorbei. Was es mit dem SWIFT CSCF auf sich hat und was bis wann zu tun ist, erfahren Sie in diesem Artikel.
Die SWIFT – kurz für Society for Worldwide Interbank Financial Telecommunication – ist besonders in der Finanzbranche ein stehender Begriff. Die Organisation sorgt für einen weltweit sicheren Zahlungs- und Nachrichtenverkehr, konkret bei über 11'000 Banken mit täglich 26 Millionen Nachrichten und 10 Billionen Euro Geldtransfers. Kein Wunder, dass die SWIFT für Cyberkriminelle besonders attraktiv ist, was u.a. ein erfolgreicher Angriff 2016 bestätigt (hier geht's zum passenden Blogartikel).
Als Folge davon wurde das SWIFT CSP ins Leben gerufen. Das Ziel ist es, die Cyber-Sicherheit im SWIFT-Umfeld massiv zu verbessern, um auch in Zukunft gegen Cyber-Bedrohungen gerüstet zu sein.
SWIFT Customer Security Controls Framework
Das CSCF definiert eine Reihe von verbindlichen und empfohlenen Sicherheitsmassnahmen für die Teilnehmer am SWIFT-Netzwerk. Die verbindlichen Massnahmen (Mandatory Controls) müssen von allen Teilnehmern zwingend eingehalten werden. Sie dienen dazu, einen durchgehenden Grundschutz in der SWIFT Community zu etablieren. Empfohlene Massnahmen (Advisory Controls) basieren auf Best Practices und sollten, wenn möglich, berücksichtigt werden.
CSCF Aktualisierungsprozess
Seit der Einführung wurde das CSCF kontinuierlich weiterentwickelt: Ab 2018 sind jedes Jahr Advisory Controls (empfohlene) zu Mandatory Controls (verpflichtende) aufgestiegen und neue Advisory Controls hinzugekommen. Diese Tendenz wird unserer Meinung nach auch in Zukunft anhalten.
Die Strategie der SWIFT dahinter: die Sicherheit kontinuierlich zu verbessern.
Im Rahmen des Change-Management-Prozesses für das CSCF werden die Updates in der Regel in der Jahresmitte kommuniziert. Zwischen Juli und Dezember des Folgejahres (ca. 1 Jahr Latenzzeit) ist durch die SWIFT-Anwender eine Bescheinigung (attestation) über die Einhaltung der verpflichtenden Massnahmen erforderlich.
Quelle: SWIFT Customer Security Programme Controls
Bescheinigung der Compliance auf Basis des SWIFT Independent Assessment Frameworks (IAF)
Wie oben erwähnt, muss ein SWIFT-Anwender jährlich seine Compliance mit den für seine Architektur relevanten Mandatory Controls in Form einer «Self-Attestation» bescheinigen. Die Einhaltung muss im Rahmen eines Assessments überprüft werden.
Quelle: In Anlehnung an das SWIFT Independent Assessment Framework (Stand: 09.02.2020)
Update - Juni 2020: Angesicht von COVID-19 hat SWIFT diese Timeline angepasst.
Ab kommendem Jahr muss dieses Assessment von einer unabhängigen Stelle durchgeführt werden. Im üblichen Community-Standard-Assessment kann dies entweder eine interne Kontrollstelle sein (z.B. interne Revision; Risk oder Compliance Manager) oder ein qualifizierter externer Dienstleister (z.B. InfoGuard).
Bei einer durch SWIFT selbst initiierte Prüfung (SWIFT-Mandated Assessment), muss zwingend ein externer Dienstleister beauftragt werden.
SWIFT Compliance sicherstellen – handeln Sie jetzt
Angesichts der COVID-19-Pandemie fordert SWIFT die Benutzer auf, sich bis Ende 2020 erneut mit den Kontrollen von 2019 zu befassen. Von Juli 2021 bis Dezember 2021 erwartet SWIFT eine erneute Überprüfung im Einklang mit den Anforderungen des kombinierten Kontrollrahmens für 2020 und 2021, die durch eine unabhängige Bewertung gestützt wird.
Sind Sie sich über den aktuellen Stand Ihrer Compliance im Klaren? Benötigen Sie Unterstützung bei der Interpretation und Umsetzung der notwendigen Massnahmen? Suchen Sie einen qualifizierten externen Dienstleister, der bei Ihnen das Assessment durchführen kann?
InfoGuard verfügt über grosses Fachwissen und Erfahrung in der Bereitstellung von Cyber Security Services und der Unterstützung bei der Beurteilung von CSPs im Zusammenhang mit dem SWIFT-CSP-Programm. InfoGuard ist eines der wenigen Schweizer Unternehmen, die in Verzeichnissen* aufgeführt sind, in denen SWIFT Cyber Security Service Provider und CSP Assessment Provider auflistet. Dadurch haben Sie als Kunde den Vorteil, einen Partner an Ihrer Seite zu haben, der genau weiss, worauf es ankommt. Fragen Sie uns jetzt unverbindlich an – wir helfen Ihnen gerne.
* Note: SWIFT does not certify, warrant, endorse or recommend any service provider listed in its directory and SWIFT customers are not required to use providers listed in the directory.