Chương trình Bảo mật Khách hàng (CSP) của Hiệp hội Viễn thông Tài chính Liên ngân hàng toàn cầu (SWIFT) giúp các tổ chức tài chính đảm bảo năng lực phòng thủ của họ được cập nhật và hiệu quả trước các cuộc tấn công mạng, nhằm bảo vệ tính toàn vẹn của mạng lưới tài chính một cách tổng quát. Các tổ chức có thể so sánh các biện pháp bảo mật mà họ đã triển khai với các biện pháp được nêu chi tiết trong Khung Kiểm soát Bảo mật Khách hàng (CSCF), trước khi chứng thực mức độ tuân thủ của họ hàng năm.
Với mức độ tuân thủ và chứng thực vững chắc, CSP hướng tới một cộng đồng người dùng có độ gắn kết cao sẵn sàng cam kết ngăn chặn các cuộc tấn công mạng.
- Tại sao vấn đề này quan trọng?
- Vấn đề này sẽ tác động đến khách hàng của SWIFT như thế nào?
- Các mốc quan trọng tổ chức của bạn cần biết…
- Điều kiện để triển khai thành công chương trình bảo mật khách hàng SWIFT
Tại sao vấn đề này quan trọng?
Cuối năm 2015, một ngân hàng tại Việt Nam đã bị xâm nhập và trở thành nạn nhân của một cuộc tấn công mạng vào hệ thống SWIFT, khi kẻ tấn công nhắm vào việc đánh cắp 1,36 triệu USD từ tài khoản của ngân hàng. Năm 2016, sự gia tăng số lượng các cuộc tấn công mạng vào hệ thống SWIFT đã được báo cáo trên toàn cầu với trường hợp nghiêm trọng nhất là sự thỏa hiệp của Ngân hàng Trung ương Bangladesh dẫn đến các chỉ dẫn chuyển tiền gian lận với tổng trị giá là 951 triệu đô la, trong đó 101 triệu đô la đã được xử lý bởi Ngân Hàng Dự Trữ Liên Bang New York.
Để đối phó với các cuộc tấn công và vi phạm mạng trong suốt năm 2015-2016, vào năm 2017 SWIFT đã ban hành 16 biện pháp kiểm soát bảo mật bắt buộc và 11 kiểm soát tùy chọn cho tất cả 11.000 khách hàng trên toàn thế giới. Tất cả khách hàng được yêu cầu chứng thực việc đáp ứng các kiểm soát hàng năm và kết quả của việc này sẽ được chia sẻ với các đối tác và cơ quan quản lý.
Vấn đề này sẽ tác động đến khách hàng của SWIFT như thế nào?
SWIFT CSP đã phát triển và sẽ tiếp tục như vậy kể từ khi xác lập. Khách hàng sẽ cần tiếp tục thực hiện các biện pháp kiểm soát an ninh và nâng cao giới hạn để đảm bảo tuân thủ CSCF. Trước đây, khách hàng SWIFT được yêu cầu tự chứng thực CSCF v2019 trước ngày 31 tháng 12 năm 2019. Khung cập nhật này bao gồm 19 biện pháp kiểm soát bảo mật bắt buộc và 10 biện pháp kiểm soát bảo mật mang tính tư vấn.
Vào năm 2020, SWIFT đã thúc đẩy 2 biện pháp kiểm soát mang tính tư vấn hiện hành thành bắt buộc và đưa ra 2 biện pháp kiểm soát tư vấn mới dẫn đến 21 biện pháp kiểm soát bắt buộc và 10 biện pháp kiểm soát tư vấn trong CSCF v2020.
Đến năm 2021, SWIFT chuyển đổi 01 kiểm soát tư vấn thành bắt buộc, qua đó nâng số lượng kiểm soát bắt buộc lên 22 kiểm soát và 9 kiểm soát tư vấn trong CSCF v2021. Kể từ giữa năm 2021, các tổ chức sẽ cần hỗ trợ chứng thực của họ đối với CSCF v2021 bằng một cuộc đánh giá nội bộ hoặc đánh giá độc lập được thực hiện bởi bên thứ 3.
Tháng 7 năm 2021, SWIFT công bố tài liệu CSCF v2022 với 23 kiểm soát bắt buộc và 9 kiểm soát tư vấn. Theo đó, các tổ chức cung cấp dịch vụ liên quan phải chứng thực mức độ tuân thủ vào nửa cuối năm 2022.
Nhóm làm việc CSCF đã tập trung, ưu tiên và rà soát các phản hồi từ cộng đồng trước khi ghi nhận hoàn tất các thay đổi theo như lộ trình dưới đây:
Các mốc quan trọng tổ chức của bạn cần biết…
Nguồn: https://www.swift.com/
Điều kiện để triển khai thành công chương trình bảo mật khách hàng SWIFT
Để tuân thủ các yêu cầu của SWIFT CSP, các tổ chức cần áp dụng một phương pháp tiếp cận có hệ thống, đòi hỏi có sự phối hợp trên ba tuyến phòng thủ, sự hỗ trợ của cấp lãnh đạo và một đội ngũ gồm các thành viên đa dạng có hiểu biết đầy đủ về nghiệp vụ chuyên môn. Tổ chức của bạn đã sẵn sàng đáp ứng với các yêu cầu tuân thủ từ SWIFT CSP này chưa?
Đánh giá chi tiết về các kiểm soát SWIFT CSP bằng cách sử dụng các thư viện và hướng dẫn được phát triển bởi PwC.
Kiểm tra việc triển khai các kiểm soát dựa trên hướng dẫn SWIFT CSP và phát hành một báo cáo kiểm toán theo tiêu chuẩn được công nhận.
Phối hợp làm việc cùng với bộ phận kiểm toán nội bộ của khách hàng như một thành viên để rà soát, đánh giá và báo cáo về việc tuân thủ kiểm soát SWIFT CSP.
Tại sao chọn PwC?
Kinh nghiệm đánh giá, kiểm toán SWIFT CSP đã được minh chứng
- Chúng tôi đã thực hiện nhiều hoạt động đánh giá SWIFT CSP trên nhiều vùng lãnh thổ và ngành công nghiệp trong đó có Việt Nam.
Nhóm cố vấn am hiểu về SWIFT
- Chúng tôi am hiểu về các yêu cầu an toàn bảo mật của SWIFT và đội ngũ của chúng tôi bao gồm các chuyên gia bảo mật CNTT trong và ngoài nước có trình độ với kinh nghiệm đánh giá, rà soát các hệ thống SWIFT. Nhóm chuyên gia Việt Nam cũng được hỗ trợ bởi các chuyên gia SWIFT CSP của mạng lưới PwC toàn cầu.
Thích ứng với yêu cầu của tổ chức
- PwC sẽ tận dụng các thư viện/hướng dẫn đã được phát triển nội bộ kết hợp với kiến thức và kinh nghiệm chuyên môn sâu rộng về SWIFT CSP để đề xuất các khuyến nghị phù hợp, hỗ trợ các kiểm soát của tổ chức đáp ứng với yêu cầu đánh giá độc lập của SWIFT trong thời hạn yêu cầu như đã được thông báo.
Chương trình bảo mật khách hàng SWIFT: Các câu hỏi thường gặp
- SWIFT CSP là gì?
- Thời hạn tuân thủ SWIFT CSP là khi nào?
- Đánh giá độc lập các yêu cầu SWIFT cần thực hiện theo hình thức nào?
- 23 kiểm soát bắt buộc của SWIFT CSP là gì?
- Điều gì xảy ra nếu tổ chức thực sự không tuân thủ?
- Điều gì xảy ra nếu tôi nghi ngờ tổ chức đang trong nằm mục tiêu của tội phạm mạng hoặc đang vi phạm các yêu cầu kiểm soát của SWIFT?
SWIFT CSP là gì?
Chương trình bảo mật khách hàng (CSP) của SWIFT hướng đến việc ngăn chặn và phát hiện hoạt động gian lận thông qua một loạt các biện pháp kiểm soát bảo mật bắt buộc, các hoạt động chia sẻ thông tin trên toàn cộng đồng và các tính năng bảo mật nâng cao trên các sản phẩm của họ.
Thời hạn tuân thủ SWIFT CSP là khi nào?
Khách hàng của SWIFT được yêu cầu gửi chứng thực của họ hàng năm tới cổng KYC của SWIFT trước ngày 31 tháng 12 hàng năm.
Vào năm 2020, khách hàng có thể chứng thực việc tuân thủ với CSCF v2019 hoặc CSCF v2020. Từ năm 2021, cần có một cuộc đánh giá độc lập cùng với sự chứng thực của khách hàng.
Đánh giá độc lập các yêu cầu SWIFT cần thực hiện theo hình thức nào?
Có hai hình thức mà khách hàng SWIFT có thể đạt được sự đánh giá độc lập:
- Đánh giá nội bộ: Điều này tương tự như kiểm toán nội bộ, được thực hiện bởi nhóm/phòng/ban kiểm toán nội bộ của khách hàng và độc lập với phòng ban vận hành và gửi thông tin chứng thực.
- Đánh giá độc lập bên ngoài: Điều này tương tự như kiểm toán bên ngoài, được thực hiện bởi các tổ chức như PwC, những người sẽ cung cấp đánh giá độc lập đối với các kiểm soát của SWIFT CSP.
23 kiểm soát bắt buộc của SWIFT CSP là gì?
Có 23 biện pháp kiểm soát bắt buộc tập trung vào bảo vệ môi trường của tổ chức, nhận biết và hạn chế quyền truy cập, phát hiện và xử lý.
Điều gì xảy ra nếu tổ chức thực sự không tuân thủ?
SWIFT báo cáo tất cả các trường hợp không tuân thủ và các trường hợp các thành viên chưa chứng thực cho các cơ quan quản lý nội địa. Ngoài ra, SWIFT sẽ chọn một mẫu chứng thực để xác nhận mỗi năm.
Điều gì xảy ra nếu tôi nghi ngờ tổ chức đang trong nằm mục tiêu của tội phạm mạng hoặc đang vi phạm các yêu cầu kiểm soát của SWIFT?
Điều quan trọng là tổ chức phải chia sẻ tất cả thông tin liên quan cho SWIFT về việc tổ chức đang có sự cố càng sớm càng tốt, nhằm có được sự hỗ trợ kịp thời và cũng để bảo vệ các tổ chức khác trong mạng lưới.
Liên hệ
Phó Tổng Giám đốc, Lãnh đạo Dịch vụ Tư vấn Quản lý rủi ro, PwC Việt Nam
ĐT: +84 28 3823 0796
Phó Đức Giang
Giám đốc, An ninh mạng và Bảo mật thông tin, Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam
ĐT: +84 28 38230796
Liên hệ
Nguyễn Phi Lan
Phó Tổng Giám đốc, Lãnh đạo Dịch vụ Kiểm toán, PwC Việt Nam
ĐT: +84 24 3946 2246
Phó Tổng Giám đốc, Lãnh đạo Dịch vụ Tư vấn Quản lý rủi ro, PwC Việt Nam
ĐT: +84 28 3823 0796
Phó Đức Giang
Giám đốc, An ninh mạng và Bảo mật thông tin, Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam
ĐT: +84 28 38230796