Dünya çapında finansal mesajlaşma ve para transferi hizmetleri sağlayıcısı olan ve kısa adıyla SWIFT olarak da bilinen “Society for Worldwide Interbank Financial Telecommunication”, uçtan uca işletilen küresel mesajlaşma ağı ve bu ağ üzerinde yürütülen işlemler konusunda gerekli tedbirlerin alındığından emin olmak için bir güvenlik çerçevesi oluşturdu. Buna bağlı olarak bütün kullanıcılar için zorunlu hale gelecek bir dizi temel güvenlik standardı yayınladı. 2017 yılı içerisinde yürürlüğe giren SWIFT Müşteri Güvenlik Programı (Customer Security Program - CSP), üye kuruluşların ortamlarını ve veri akışlarını güvence altına almalarına, sistemlere erişimi yönetmelerine, tehditleri tespit etmelerine ve bu tehditlere yanıt vermelerine yardımcı olmak için tasarlandı.

SWIFT halihazırda, müşterilerine finansal mesajlaşma hizmeti için bir platform ve iletişim standartları sağlıyor. Aynı zamanda; erişim, entegrasyon, tanımlama, analiz ve finansal suç uyumu konularını kolaylaştırmak için bazı ürün ve hizmetler de sunuyor. SWIFT, sunmakta olduğu finansal mesajlaşma platformu, ürün ve hizmetlerle; 200’den fazla ülkede; 11.000’den fazla banka ve diğer finansal hizmetler kuruluşunu birbirine bağlıyor. Böylece, üyelerin güvenilir bir şekilde iletişim kurması ve standartlaşmış finansal mesajları güvenilir bir şekilde değiş tokuş etmesi sağlanıyor. Ancak, geçtiğimiz yıl bankaların SWIFT sistemlerine yapılan saldırılar; Türkiye, Bangladeş ve Vietnam başta olmak üzere, birçok ülkede ciddi tutarda zararla sonuçlandı. SWIFT Müşteri Güvenlik Programı, bu ve benzeri güvenlik vakalarının ardından gelecekte gerçekleşebilecek saldırılara ve vakalara engel olmak amacıyla oluşturuldu.

Haziran 2016’da başlatılan SWIFT Müşteri Güvenlik Programı, küresel bankacılığın güvenliğini güçlendirmek ve geliştirmek adına, mevcut SWIFT ve piyasa uygulamalarını birleştiren ve geliştiren bir girişim. Yayınlanan standartların uygulanması, müşteriler için SWIFT ağı üzerinde güvenlik çıtasını yükseltecek. Kullanıcıların, altyapılarının hileli bir şekilde kullanılmasını engelleme ve tespit etme konusundaki çabalarına destek olacak. Diğer taraftan bu yeni program ile güvenlik konusundaki farkındalık artacak. Elektronik dolandırıcılığa karşı devam etmekte olan mücadelede eğitim ve farkındalık konusunda da gelişme gösterilmesini sağlayacak.

Müşteri Güvenlik Programı, bilgi paylaşımının kolaylaştırılmasından yeni denetim çerçevelerinin oluşturulmasına kadar beş stratejik adımı içeriyor. Bu adımların ortak amacı ise, küresel mesajlaşma ağının güvenliğini artırmak.

Söz konusu program aşağıda belirtilen stratejik adımlara odaklanıyor:

1. Küresel toplum arasında bilgi paylaşımının iyileştirilmesi
2. Müşteriler için SWIFT ile ilgili araçların geliştirilmesi
3. Yönergelerin geliştirilmesi ve güvence çerçevelerinin hazırlanması
4. Artan işlem modeli kontrollerinin desteklenmesi
5. Üçüncü taraf sağlayıcılar tarafından desteğin geliştirilmesi

SWIFT, finansal sektörde günlük bazda milyonlarca finansal işlemi gerçekleştirmek için yaygın bir şekilde kullanılıyor. SWIFT Müşteri Güvenlik Programı kapsamındaki temel güvenliğe ilişkin gereksinimler üç ana hedef ve sekiz ilkeye dayanıyor. Bu ana hedeflere ve ilkelere bağlı olarak ise; 16’sı zorunlu, 11’i tavsiye niteliğinde olmak üzere toplamda 27 kontrol noktası bulunuyor.

1. İnternet erişimini kısıtlamak
2. Kritik sistemleri genel BT ortamından ayırmak
3. Saldırı yüzeyini ve güvenlik açıklarını azaltmak
4. Ortamın fiziksel güvenliğini sağlamak
5. Kimlik bilgilerinin ele geçirilmesini engellemek
6. Kimlikleri yönetmek ve imtiyazları ayırmak
7. Sistemlerdeki veya işlem kayıtlarındaki anormal aktiviteleri tespit etmek
8. Olaylara müdahale ve bilgi paylaşımı için plan yapmak

2017 yılı içerisinde nihai kontrol tanımları yayımlandı. Söz konusu değişikliklerin benimsenmesini sağlamak amacıyla SWIFT, 2017 yılının sonuna kadar kullanıcılardan zorunlu kontrollere ilişkin detaylı bir beyan talep ediyor.

Ocak 2018’ten itibaren ise zorunlu gereksinimler yürürlüğe girecek ve bu tarihe kadar üyelerin ilk beyanlarını SWIFT ile paylaşmaları beklenecek. Ayrıca, SWIFT’in üyelerini önceden belirli olmayan bir biçimde denetimlere tabi tutması ve uyumlu olmayan kuruluşları ilgili düzenleyicilere raporlaması da bekleniyor.

Sunulan bu takvim ışığında, önümüzdeki dönemde üyelerin yayınlanan program detaylarına ve kontrol noktalarına uyum için mevcut durumlarını değerlendirmeleri, eksikliklerini belirlemeleri ve iyileştirmeleri önem kazanıyor. Diğer yandan, birçok kuruluşta halihazırda yürütülen sızma testi çalışmalarının; ödeme sistemleri ve bağlantı sistemler özelinde detaylı olarak gerçekleştirilmesi ve ödeme sistemlerine odaklanan bir kimlik ve erişim yönetimi yapısı tesis edilmesi, programa uyum çalışmalarını tamamlar nitelikte fayda sağlayacak.