infoguard-cyber-security-blog-swift-cscf

SWIFT Customer Security Programme – bereit für das anstehende Assessment?

Das neue Jahr ist zwar noch relativ jung, aber Zeit zum Aufwärmen bleibt nicht – im Gegenteil. Es ist höchste Zeit, sich mit den Compliance-Anforderungen des Customer Security Control Frameworks (CSCF), dem Herzstück des SWIFT Customer Security Programme (CSP), vertraut zu machen und diese umzusetzen. Für Finanzdienstleister besonders wichtig ist SWIFT: DAS Nervensystem des globalen Finanzmarktes, das von so gut wie jedem aus der Branche in Anspruch genommen wird. An den Compliance-Anforderungen führt kein Weg vorbei. Was es mit dem SWIFT CSCF auf sich hat und was bis wann zu tun ist, erfahren Sie in diesem Artikel.

Die SWIFT – kurz für Society for Worldwide Interbank Financial Telecommunication – ist besonders in der Finanzbranche ein stehender Begriff. Die Organisation sorgt für einen weltweit sicheren Zahlungs- und Nachrichtenverkehr, konkret bei über 11'000 Banken mit täglich 26 Millionen Nachrichten und 10 Billionen Euro Geldtransfers. Kein Wunder, dass die SWIFT für Cyberkriminelle besonders attraktiv ist, was u.a. ein erfolgreicher Angriff 2016 bestätigt (hier geht's zum passenden Blogartikel).

Als Folge davon wurde das SWIFT CSP ins Leben gerufen. Das Ziel ist es, die Cyber-Sicherheit im SWIFT-Umfeld massiv zu verbessern, um auch in Zukunft gegen Cyber-Bedrohungen gerüstet zu sein.

SWIFT Customer Security Controls Framework 

Das CSCF definiert eine Reihe von verbindlichen und empfohlenen Sicherheitsmassnahmen für die Teilnehmer am SWIFT-Netzwerk. Die verbindlichen Massnahmen (Mandatory Controls) müssen von allen Teilnehmern zwingend eingehalten werden. Sie dienen dazu, einen durchgehenden Grundschutz in der SWIFT Community zu etablieren. Empfohlene Massnahmen (Advisory Controls) basieren auf Best Practices und sollten, wenn möglich, berücksichtigt werden.

CSCF Aktualisierungsprozess

Seit der Einführung wurde das CSCF kontinuierlich weiterentwickelt: Ab 2018 sind jedes Jahr Advisory Controls (empfohlene) zu Mandatory Controls (verpflichtende) aufgestiegen und neue Advisory Controls hinzugekommen. Diese Tendenz wird unserer Meinung nach auch in Zukunft anhalten.

Die Strategie der SWIFT dahinter: die Sicherheit kontinuierlich zu verbessern.
infoguard-swift-csp-cscf-controls-evolution

Im Rahmen des Change-Management-Prozesses für das CSCF werden die Updates in der Regel in der Jahresmitte kommuniziert. Zwischen Juli und Dezember des Folgejahres (ca. 1 Jahr Latenzzeit) ist durch die SWIFT-Anwender eine Bescheinigung (attestation) über die Einhaltung der verpflichtenden Massnahmen erforderlich.

infoguard-swift-csp-change-managementQuelle: SWIFT Customer Security Controls Policy (Stand 8.7.2019)

Bescheinigung der Compliance auf Basis des SWIFT Independent Assessment Frameworks (IAF)

Wie oben erwähnt, muss ein SWIFT-Anwender jährlich seine Compliance mit den für seine Architektur relevanten Mandatory Controls in Form einer «Self-Attestation» bescheinigen. Die Einhaltung muss im Rahmen eines Assessments überprüft werden.

infoguard-swift-csp-cscf-types-applicability-NEW

Quelle: In Anlehnung an das SWIFT Independent Assessment Framework (Stand: 09.02.2020)

 

Ab diesem Jahr muss dieses Assessment von einer unabhängigen Stelle durchgeführt werden. Im üblichen Community-Standard-Assessment kann dies entweder eine interne Kontrollstelle sein (z.B. interne Revision; Risk oder Compliance Manager) oder ein qualifizierter externer Dienstleister (z.B. InfoGuard).

Bei einer durch SWIFT selbst initiierte Prüfung (SWIFT-Mandated Assessment), muss zwingend ein externer Dienstleister beauftragt werden.

SWIFT Compliance sicherstellen – handeln Sie jetzt

Die Attestation-Phase für CSCF v2020 beginnt im Juli und endet im Dezember 2020. Sind Sie sich über den aktuellen Stand Ihrer Compliance im Klaren? Benötigen Sie Unterstützung bei der Interpretation und Umsetzung der notwendigen Massnahmen? Suchen Sie einen qualifizierten externen Dienstleister, der bei Ihnen das Assessment durchführen kann?

Unsere InfoGuard-Experten haben bereits eine Vielzahl von Unternehmen im Bereich Compliance und Assessment, beraten und begleitet – sei es auf Projekt- oder Mandatsbasis. Als einer der wenigen Schweizer Unternehmen ist InfoGuard Mitglied des SWIFT Cyber Security Partner Programms – sowohl als Partner als auch Assessor. Dadurch haben Sie als Kunde den Vorteil, einen Partner an Ihrer Seite zu haben, der genau weiss, worauf es ankommt. Fragen Sie uns jetzt unverbindlich an – wir helfen Ihnen gerne.

InfoGuard SWIFT-Assessment

<< >>

Data Governance

Cornelia Bucher
Über den Autor / Cornelia Bucher

InfoGuard AG - Cornelia Bucher, Cyber Security Consultant

Weitere Artikel von Cornelia Bucher


Ähnliche Artikel
[Teil 2] Home Office? Aber «sicher» – inkl. Checkliste
[Teil 2] Home Office? Aber «sicher» – inkl. Checkliste

Corona hier, Corona da – verständlich, wenn Sie nicht noch einen Artikel darüber lesen möchten. [...]
Bankraub 2.0 ‒ SWIFT greift energisch durch im Kampf gegen Cyberattacken
Bankraub 2.0 ‒ SWIFT greift energisch durch im Kampf gegen Cyberattacken

Hacker nutzen Sicherheitslücken der Bankinstitute aus, um über die Zahlungsverkehrssysteme und die lokale [...]
Data Privacy Strategy – Wie steht es um Ihre Datenschutzstrategie?
Data Privacy Strategy – Wie steht es um Ihre Datenschutzstrategie?

In der heutigen datenfokussierten Gesellschaft gehören Informationen zu den wertvollsten Ressourcen – [...]

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.

Blog Updates abonnieren
Social Media
infoguard-checkliste-sicheres-home-office-download