SWIFT’te siber güvenlik SWIFT’te siber güvenlik

Dünyadaki bankalar arasında elektronik fon transferi standardını oluşturan SWIFT topluluğu, yakın gelecekte yaşanacak olası siber saldırılara karşı duvarı yükseltiyor. SWIFT, siber güvenliği artırmak amacıyla hazırladığı ‘Müşteri Güvenlik Çerçevesi’nin yeni versiyonunu yayımladı

Küresel ölçekte bankaların SWIFT sistemlerine yapılan siber saldırılar önemli finansal zararlarla sonuçlandı. Bu tür tehdit ve saldırıların, bilinmeyen açıkların keşfiyle önümüzdeki yıllarda daha da artabileceği öngörülüyor. Kısaca SWIFT topluluğu olarak da bilinen 'Society for Worldwide Interbank Financial Telecommunication', uçtan uca işletilen küresel mesajlaşma ağı ve bu ağ üzerinde yürütülen işlemler konusunda gerekli tedbirlerin alındığından emin olmak için 2017 yılında yayınladığı Müşteri Güvenlik Çerçevesi’nin (Customer Security Framework) 2019 versiyonunu çıkardı. Yeni versiyonla birlikte, tüm üye kuruluşlar tarafından 2019 sonuna kadar 19’u zorunlu, 10’u tavsiye niteliğinde olmak üzere toplamda 29 kontrol hedefine uyumluluğu gösteren bir beyan hazırlanması bekleniyor. 

Beyanın yanı sıra, SWIFT tarafından dünya genelindeki üye kuruluşlar arasından seçilen üyelerden, Müşteri Güvenlik Politikası madde 6.1.2’ye istinaden bağımsız bir denetim kuruluşu tarafından hazırlanmış Müşteri Güvenlik Çerçevesi değerlendirme/denetim çalışması talep edilmeye başlandı. Üye kuruluşlara gönderilen talep zorunlu olup, talebin ulaştığı tarihten itibaren 6 ay içinde, üye kuruluşun mimari tipine uygun olarak bütün zorunlu kontrollere uyum durumunu gösteren bağımsız denetim/değerlendirme raporunun SWIFT’e iletilmesi gerektiği belirtiliyor. Üye kuruluşların beyan değerlendirmesini gerçekleştirmeden önce ilgili bağımsız değerlendirmeyi yapması bekleniyor. 

Zorunlu güvenlik kontrolleri, tüm SWIFT üyeleri için bir güvenlik temeli oluşturmak ve tüm kullanıcılar tarafından yerel SWIFT altyapılarında uygulanmak amacıyla yayımlandı. SWIFT, kısa vadede riski azaltmak ve kullanıcıların güvenliğini artırmak amacıyla zorunlu kontrollerin öncelikli olarak uygulanmasını talep etti. Tavsiye kontrolleri ise SWIFT'in kullanıcılarına önerdiği iyi uygulamalara dayanıyor. Zaman içinde, zorunlu kontrollerin gelişen tehdit ortamı nedeniyle değişeceği ve bazı tavsiye niteliğindeki kontrollerin ise zorunlu hale geleceği kullanıcılarına duyuruldu.

Müşteri Güvenlik Kontrolü Çerçevesi (Customer Security Controls Framework - CSCF) 2019 versiyonu, 'ortamlarını koru', 'erişimleri tanı ve sınırla' ve 'tespit et ve yanıtla' kontrol hedefleri altında sekiz adet ilke barındırıyor. 2019 versiyonu ile birlikte bir önceki versiyonda tavsiye niteliğinde olan 'Operatör Oturumu Gizliliği ve Bütünlüğü', 'Zafiyet Taraması' ve 'Fiziksel ve Mantıksal Şifre Depolaması' kontrolleri zorunlu hale getirildi. 'Sanallaştırma Platformu Koruması' ve 'Uygulama Güçlendirme' kontrolleri ise yeni tavsiye niteliğinde kontrol olarak çerçeveye eklendi:

• Internet erişimini kısıtla
• Kritik sistemleri genel BT ortamından ayır
• Atak yüzeylerini ve zafiyetleri azalt
• Fiziksel ortamı koru
• Kimlik bilgilerini koru
• Kimlikleri yönet ve imtiyazları ayır
• Anormal aktiviteleri ve işlemleri tespit et 
• Veri paylaşımını ve olaylara müdahaleyi planla 

SWIFT tarafından 'Müşteri Güvenlik Kontrolü Çerçevesi'ni geliştirmek için işletilen 'Değişim Yönetimi' süreci ile SWIFT üyelerine Kontrol Çerçevesi’nde gerçekleştirilecek kontrol gereksinimi değişikliklerini anlamak ve uygulamak için yeterli zamanı tanıyor. 

Yeni kontrollerin eklenmesi ve güvenlik seviyesinin yükseltilmesi sürecinde, mevcut ve yeni ortaya çıkan tehditler ele alınarak güçlü bir siber güvenlik uygulaması yaratılması amaçlanıyor. SWIFT tarafından, tüm yeni zorunlu kontrollerin ilk önce tavsiye olarak sunulacağı, böylelikle tüm kullanıcılara planlama, bütçe ve uygulama için en az iki döngü sağlanacağı da duyurulmuş durumda.

Beyan sürecinin devam etmesi planlanmakla birlikte, SWIFT dünya genelinde değişik büyüklüklerdeki kullanıcıları arasından örnek seçerek bağımsız bir kuruluş tarafından uyumluluğunun değerlendirmesini talep ediyor. SWIFT, bu uygulama ile birlikte beyan sürecinin verimliliğini ve doğruluğunu da test ederek, bütün SWIFT evreninin güvenliğini önemli derecede artırıyor. Kuruluşlar tarafından müşteri güvenliği programına uyum anlamında beyan çalışmalarının kontrol hedefleri seviyesinde detaylandırılması, eksiklerin tespit edilip teknik, organizasyonel ve süreçle ilgili iyileştirmelerin gerçekleştirilmesi ve bağımsız bir kuruluş tarafından gerçekleştirilen çalışmaların değerlendirmeye tabi tutulması öneriliyor.