La compliance al Customer Security Controls Framework di SWIFT

A partire dal 2016, la Society for Worldwide Interbank Financial Telecomunication (SWIFT) ha predisposto per i suoi clienti un programma che ha lo scopo di migliorare la sicurezza di tutto l’ecosistema dei servizi finanziari istituzionali, riducendo i rischi di attacchi informatici e minimizzando l'impatto delle transazioni fraudolente.

All’interno di questo programma, SWIFT ha definito un framework di controlli di sicurezza rispetto al quale ogni istituzione finanziaria deve attestare la propria compliance: dal 2021, tale attestazione deve necessariamente essere supportata da un assessment indipendente.

Cosa richiede il framework? E in quale modo deve essere attestata la compliance dell’istituzione finanziaria?

SWIFT è una società cooperativa con sede in Belgio la quale, a partire dagli anni 70 del secolo scorso, ha sviluppato una serie di servizi a supporto delle transazioni finanziarie internazionali. Sebbene forniti da una società privata, i servizi SWIFT sono diventati uno standard de facto per quel che riguarda le transazioni finanziarie internazionali.

SWIFT fornisce alle istituzioni finanziarie un’infrastruttura standardizzata, la quale permette lo scambio di messaggi di pagamento internazionali in modo sicuro e affidabile. SWIFT ha sviluppato allo scopo:

• la rete SWIFTNet con associati protocolli di comunicazione;
• un insieme di standard che definiscono la sintassi dei messaggi relativi alle transazioni finanziarie;
• un insieme di software e servizi per lo scambio di messaggi all’interno della SWIFTNet (con possibilità per il cliente di utilizzare software di terze parti certificato da SWIFT).

All’interno del sistema SWIFT, ogni istituzione finanziaria è identificata da un codice univoco, detto BIC o SWIFT code, definito dallo standard ISO 9362. 

Un’infrastruttura di questo tipo è certamente molto critica e soggetta a possibili attacchi e tentativi di frode i quali, nel caso andassero a buon fine, potrebbero causare impatti finanziari e reputazionali considerevoli. È piuttosto noto quanto capitato nel febbraio 2016, quando alcuni cybercriminali mai identificati hanno utilizzato in maniera fraudolenta l’infrastruttura SWIFT e alcuni account di operatori della Banca del Bangladesh, inviando 25 istruzioni di pagamento per un totale di 1 Miliardo di dollari.

In seguito a questo episodio, SWIFT ha rilevato come, nonostante gli standard e i protocolli utilizzati siano stati progettati con il chiaro obiettivo di tutelare la sicurezza delle informazioni, la sicurezza di tutto il sistema finanziario è necessariamente una responsabilità condivisa tra tutti i clienti e i fornitori di servizi SWIFT (service bureau). Per tale ragione SWIFT ha creato per i suoi clienti il Customer Security Program (CSP), iniziativa pluriennale, globale e multiforme che mira a trasformare l'ecosistema dei servizi finanziari istituzionali alzando il livello di sicurezza, riducendo il rischio di attacchi informatici e minimizzando l'impatto delle transazioni fraudolente.

Il CSP, oltre a prevedere modalità e fornire strumenti per la condivisione delle informazioni all’interno della community SWIFT, per la risposta agli incidenti e la gestione del rischio, fornisce il “Customer Security Controls Framework”, il quale stabilisce una serie di controlli di sicurezza progettati per aiutare i clienti a proteggere i loro ambienti locali e promuovere un ecosistema finanziario più sicuro.

Il Customer Security Controls Framework elenca 31 tipi di controlli (di cui 22 obbligatori e 9 opzionali), che permettono di raggiungere 3 obiettivi.

• Rendere sicuro l’ambiente
• Conoscere e controllare gli accessi
• Individuare e rispondere

Tali obiettivi sono a loro volta supportati da 7 principi, secondo il seguente schema:

Come mostrato in figura, i controlli del framework di sicurezza si applicano a:

• l’infrastruttura locale SWIFT, ovvero tutto l’hardware e il software specifico per l’ambiente SWIFT, compresi gli apparati di rete e di sicurezza utilizzati per la segmentazione dell’ambiente SWIFT e l’ambiente fisico dove è ospitato l’hardware;
• il flusso di scambio dati tra l’infrastruttura SWIFT locale e il software di back office;
• l’eventuale componente server del middleware utilizzato;
• gli operatori (utenti e amministratori) che interagiscono direttamente con l’infrastruttura SWIFT e i PC utilizzati per connettersi all’infrastruttura.

Per facilitare il cliente nell’individuazione dello scope, SWIFT ha identificato alcune tipologie di architettura di riferimento. Il cliente deve identificare quale delle architetture di riferimento corrisponde maggiormente alla propria per determinare quali componenti rientrano nello scope. Inoltre, a seconda del tipo di architettura implementata, alcuni controlli di sicurezza possono essere applicati o meno.

I controlli obbligatori costituiscono una baseline per l’intera comunità delle aziende del settore finanziario e devono essere quindi implementati da tutti i clienti SWIFT. I controlli opzionali rappresentano best practice raccomandate da SWIFT a tutti i suoi clienti.

Per ogni controllo di sicurezza il framework, oltre a indicare se si tratta di controllo obbligatorio od opzionale, indica per quali architetture SWIFT è applicabile, quali sono gli obiettivi, le componenti architetturali al quale esso è applicabile, i rischi indirizzati, e una guida all’implementazione.

La verifica della compliance rispetto ai controlli obbligatori (ed, eventualmente, a quelli opzionali) avviene attraverso una self-attestation annuale effettuata da tutti clienti, sottoposta successivamente a SWIFT fra il 1° luglio e il 31 dicembre di ogni anno.

Il Customer Security Controls Framework viene aggiornato annualmente da parte di SWIFT. Ad ogni nuova versione, nuovi controlli di sicurezza possono essere aggiunti, alcuni controlli facoltativi possono diventare obbligatori, nuovi componenti possono essere inseriti nello scope.

La versione 2021 del framework contiene alcune delle novità elencate e introduce una nuova architettura di riferimento. Inoltre, essa è destinata ad avere un certo impatto per i clienti SWIFT. Dal luglio 2021, infatti, la sola self-attestation non risulterà più sufficiente. Essa dovrà necessariamente essere supportata da un assessment indipendente, basato su evidenze oggettive, effettuato da una struttura di audit interno o da un’organizzazione esterna che abbia esperienza in materia di assessment tecnologici, ad esempio relativi a standard quali PCI-DSS, ISO 27001, NIST SP800-53, NIST Cybersecurity Framework.

Nell’ambito dell’assessment SWIFT indipendente, per ognuno dei controlli applicabili dovranno essere raccolte tutte le evidenze disponibili a dimostrare l’effettiva implementazione del controllo stesso, e dovranno essere fornite eventuali raccomandazioni qualora il controllo non risulti implementato o risulti parzialmente implementato.

Il Customer Security Controls Framework di SWIFT è molto ampio e copre numerosi aspetti della sicurezza dell’ambiente IT dedicato a SWIFT, dalla rete, agli utenti, fino alle procedure in essere. A causa di tale complessità e considerando il nuovo requisito che richiede un assessment indipendente rispetto alla compliance al framework, può accadere che le strutture di audit interne alle organizzazioni non possano effettuare l’attestazione della compliance allo standard SWIFT.