Chương trình Bảo mật Khách hàng (CSP) của Hiệp hội Viễn thông Tài chính Liên ngân hàng toàn cầu (SWIFT) giúp các tổ chức tài chính đảm bảo năng lực phòng thủ của họ được cập nhật và hiệu quả trước các cuộc tấn công mạng, nhằm bảo vệ tính toàn vẹn của mạng lưới tài chính một cách tổng quát. Các tổ chức có thể so sánh các biện pháp bảo mật mà họ đã triển khai với các biện pháp được nêu chi tiết trong Khung Kiểm soát Bảo mật Khách hàng (CSCF), trước khi chứng thực mức độ tuân thủ của họ hàng năm.
Với mức độ tuân thủ và chứng thực vững chắc, CSP hướng tới một cộng đồng người dùng có độ gắn kết cao sẵn sàng cam kết ngăn chặn các cuộc tấn công mạng.
Cuối năm 2015, một ngân hàng tại Việt Nam đã bị xâm nhập và trở thành nạn nhân của một cuộc tấn công mạng vào hệ thống SWIFT, khi kẻ tấn công nhắm vào việc đánh cắp 1,36 triệu USD từ tài khoản của ngân hàng. Năm 2016, sự gia tăng số lượng các cuộc tấn công mạng vào hệ thống SWIFT đã được báo cáo trên toàn cầu với trường hợp nghiêm trọng nhất là sự thỏa hiệp của Ngân hàng Trung ương Bangladesh dẫn đến các chỉ dẫn chuyển tiền gian lận với tổng trị giá là 951 triệu đô la, trong đó 101 triệu đô la đã được xử lý bởi Ngân Hàng Dự Trữ Liên Bang New York.
Để đối phó với các cuộc tấn công và vi phạm mạng trong suốt năm 2015-2016, vào năm 2017 SWIFT đã ban hành 16 biện pháp kiểm soát bảo mật bắt buộc và 11 kiểm soát tùy chọn cho tất cả 11.000 khách hàng trên toàn thế giới. Tất cả khách hàng được yêu cầu chứng thực việc đáp ứng các kiểm soát hàng năm và kết quả của việc này sẽ được chia sẻ với các đối tác và cơ quan quản lý.
SWIFT CSP đã phát triển và sẽ tiếp tục như vậy kể từ khi xác lập. Khách hàng sẽ cần tiếp tục thực hiện các biện pháp kiểm soát an ninh và nâng cao giới hạn để đảm bảo tuân thủ CSCF. Trước đây, khách hàng SWIFT được yêu cầu tự chứng thực CSCF v2019 trước ngày 31 tháng 12 năm 2019. Khung cập nhật này bao gồm 19 biện pháp kiểm soát bảo mật bắt buộc và 10 biện pháp kiểm soát bảo mật mang tính tư vấn.
Vào năm 2020, SWIFT đã thúc đẩy 2 biện pháp kiểm soát mang tính tư vấn hiện hành thành bắt buộc và đưa ra 2 biện pháp kiểm soát tư vấn mới dẫn đến 21 biện pháp kiểm soát bắt buộc và 10 biện pháp kiểm soát tư vấn trong CSCF v2020.
Đến năm 2021, SWIFT chuyển đổi 01 kiểm soát tư vấn thành bắt buộc, qua đó nâng số lượng kiểm soát bắt buộc lên 22 kiểm soát và 9 kiểm soát tư vấn trong CSCF v2021. Kể từ giữa năm 2021, các tổ chức sẽ cần hỗ trợ chứng thực của họ đối với CSCF v2021 bằng một cuộc đánh giá nội bộ hoặc đánh giá độc lập được thực hiện bởi bên thứ 3.
Tháng 7 năm 2021, SWIFT công bố tài liệu CSCF v2022 với 23 kiểm soát bắt buộc và 9 kiểm soát tư vấn. Theo đó, các tổ chức cung cấp dịch vụ liên quan phải chứng thực mức độ tuân thủ vào nửa cuối năm 2022.
Nhóm làm việc CSCF đã tập trung, ưu tiên và rà soát các phản hồi từ cộng đồng trước khi ghi nhận hoàn tất các thay đổi theo như lộ trình dưới đây:
Nguồn: https://www.swift.com/
Để tuân thủ các yêu cầu của SWIFT CSP, các tổ chức cần áp dụng một phương pháp tiếp cận có hệ thống, đòi hỏi có sự phối hợp trên ba tuyến phòng thủ, sự hỗ trợ của cấp lãnh đạo và một đội ngũ gồm các thành viên đa dạng có hiểu biết đầy đủ về nghiệp vụ chuyên môn. Tổ chức của bạn đã sẵn sàng đáp ứng với các yêu cầu tuân thủ từ SWIFT CSP này chưa?
Kinh nghiệm đánh giá, kiểm toán SWIFT CSP đã được minh chứng
Nhóm cố vấn am hiểu về SWIFT
Thích ứng với yêu cầu của tổ chức
Chương trình bảo mật khách hàng (CSP) của SWIFT hướng đến việc ngăn chặn và phát hiện hoạt động gian lận thông qua một loạt các biện pháp kiểm soát bảo mật bắt buộc, các hoạt động chia sẻ thông tin trên toàn cộng đồng và các tính năng bảo mật nâng cao trên các sản phẩm của họ.
Khách hàng của SWIFT được yêu cầu gửi chứng thực của họ hàng năm tới cổng KYC của SWIFT trước ngày 31 tháng 12 hàng năm.
Vào năm 2020, khách hàng có thể chứng thực việc tuân thủ với CSCF v2019 hoặc CSCF v2020. Từ năm 2021, cần có một cuộc đánh giá độc lập cùng với sự chứng thực của khách hàng.
Có hai hình thức mà khách hàng SWIFT có thể đạt được sự đánh giá độc lập:
Có 23 biện pháp kiểm soát bắt buộc tập trung vào bảo vệ môi trường của tổ chức, nhận biết và hạn chế quyền truy cập, phát hiện và xử lý.
SWIFT báo cáo tất cả các trường hợp không tuân thủ và các trường hợp các thành viên chưa chứng thực cho các cơ quan quản lý nội địa. Ngoài ra, SWIFT sẽ chọn một mẫu chứng thực để xác nhận mỗi năm.
Điều quan trọng là tổ chức phải chia sẻ tất cả thông tin liên quan cho SWIFT về việc tổ chức đang có sự cố càng sớm càng tốt, nhằm có được sự hỗ trợ kịp thời và cũng để bảo vệ các tổ chức khác trong mạng lưới.
Phó Tổng Giám đốc, Lãnh đạo Dịch vụ Tư vấn Quản lý rủi ro, PwC Việt Nam
ĐT: +84 28 3823 0796
Phó Đức Giang
Giám đốc, An ninh mạng và Bảo mật thông tin, Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam
ĐT: +84 28 38230796
Nguyễn Phi Lan
Phó Tổng Giám đốc, Lãnh đạo Dịch vụ Kiểm toán, PwC Việt Nam
ĐT: +84 24 3946 2246
Phó Tổng Giám đốc, Lãnh đạo Dịch vụ Tư vấn Quản lý rủi ro, PwC Việt Nam
ĐT: +84 28 3823 0796
Phó Đức Giang
Giám đốc, An ninh mạng và Bảo mật thông tin, Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam
ĐT: +84 28 38230796