Computerbeveiliging en het beheer van cyberrisico’s in het bijzonder zijn niet alleen voor financiële instellingen, maar ook voor de toezichthouders een belangrijk aandachtspunt. SWIFT is in dat opzicht een voorloper en publiceerde reeds in 2017 het Customer Security Programme (CSP), dat alle verbonden financiële instellingen gemeenschappelijke basisprincipes biedt voor het beheer van cyberrisico’s. Het programma legde de basis voor een Control Framework (CSCF), dat ondertussen al meermaals werd bijgesteld: in 2017 waren er 16 verplichte controles, in 2021 zijn dat er 22. Bovendien moeten gebruikers vanaf 2021 jaarlijks een onafhankelijke CSCF-evaluatie laten uitvoeren. Een hele uitdaging, waarbij BDO u graag ondersteunt.
SWIFT Customer Security Programme (CSP) - Community-Standard Assessment
SWIFT exploiteert een telecommunicatienetwerk dat het betalingsverkeer wereldwijd regelt. Het platform heeft meer dan 11.000 gebruikers, die via het netwerk met elkaar verbonden zijn. Dit zeer gevoelige netwerk wordt geconfronteerd met een groot risico op cyberaanvallen met een groot bereik.
Om aan dat risico het hoofd te bieden, keurde SWIFT in 2016 het Customer Security Programme (CSP) goed. Het doel is om basisprincipes voor het beheer van ’cyberrisico’s te definiëren, die gelden voor alle verbonden financiële instellingen. Daartoe heeft SWIFT een uitgebreide catalogus van veiligheidscontroles opgesteld. Het jaarlijks hernieuwde Customer Security Control Framework (CSCF) legt sinds 2017 de veiligheidsstandaarden en -vereisten van het CSP vast.
Customer Security Control Framework (CSCF)
Sinds de publicatie in 2017 werd het CSCF voortdurend versterkt en aangepast aan de evolutie van de cyberrisico’s. Terwijl er in 2017 slechts 16 verplichte controles waren, nam hun aantal geleidelijk toe tot 22 verplichte en 9 facultatieve controles in 2021. Voor 2022 wordt dit weer verhoogd tot 23 verplichte en 9 facultatieve. Naast de versterking van de bestaande controles werden over de jaren heen facultatieve controles verplicht en werden er ook nieuwe controles ingevoerd.
“Het CSCF werd gemapt ten opzichte van de in de sector erkende normen, met als doel de integratie van de SWIFT-controledoelstellingen in de bestaande organisaties te verbeteren.” Het gaat onder meer om de normen NIST Cybersecurity Framework v1.1, ISO 27002 (2013) en PCI DSS 3.2.1, die veel financiële instellingen toepassen.
Onafhankelijke evaluatie
Sinds dit jaar zijn gebruikers verplicht om jaarlijks een onafhankelijke CSCF-evaluatie uit te voeren. Tot eind 2020 was de evaluatie op basis van het Control Framework facultatief. Bovendien was er onduidelijkheid over de vraag of de evaluatie een zelfevaluatie door het bevoegde departement mocht zijn, of door een onafhankelijke derde moest worden uitgevoerd.
| Aard van de evaluatie |
Selectiecriteria |
Evaluator |
Agenda 2020 |
Agenda 2021 |
| Zelf-evaluatie |
Optioneel - op initiatief van de gebruiker |
Intern of extern |
X |
|
| Onafhankelijke evaluatie volgens CSP-norm |
Verplicht voor alle gebruikers |
Intern of extern |
|
X |
| SWIFT-verplichte evaluatie |
Verplicht – Steekproef samengesteld door QA-analyse |
Alleen extern |
X |
X |
Vanaf 2021 moeten alle instellingen die op het SWIFT-netwerk aangesloten zijn, zich door een onafhankelijke partij laten evalueren. In dat opzicht laat SWIFT de mogelijkheid om de evaluatie toe te vertrouwen aan een interne of een externe evaluator. Mogelijke interne evaluatoren zijn de Risk Office, de interne audit of een ander onafhankelijk orgaan dat deel uitmaakt van de 2e of 3e verdedigingslinie (Lines of Defense) van de onderneming. Het is van fundamenteel belang dat de evaluator over het gepaste competentieniveau beschikt om de technische en organisatorische controles te evalueren en uit te voeren.
Bovendien behoudt SWIFT zich al sinds 2018 het recht voor om de juistheid van de bevindingen voor een steekproef van instellingen door een extern orgaan te laten controleren. In dat geval is de tussenkomst van een onafhankelijke interne evaluator niet toegestaan.
Aanbevelingen
In de wereld van financiële dienstverlening volgen de ontwikkelingen elkaar in hoog tempo op. Dit plaatst financiële instellingen, vooral kleine en middelgrote, voor grote uitdagingen. . Om de normen efficiënt en tijdig te implementeren, raden we aan om alle belanghebbende partijen tijdig te betrekken. Het is met name noodzakelijk om beleidsmakers bewust te maken van langetermijnoplossingen voor een continue evaluatie van het CSCF.
Hoewel tot op heden nog nooit een beroep werd gedaan op een onafhankelijke externe evaluator, is het belangrijk zich ervan te vergewissen dat het mogelijk is te steunen op eerder werk. De betrokkenen kunnen reeds gedocumenteerde en niet-gewijzigde CSP-controles gebruiken om de externe evaluatie efficiënter te laten verlopen.
De resultaten van het jaarlijkse CSCF moeten tussen 1 juli en 31 december aan SWIFT worden meegedeeld. Typisch stellen we het onderstaande verloop voor:
Onze stapsgewijze aanpak maakt het mogelijk om eventuele openstaande punten of tekortkomingen te corrigeren vooraleer de resultaten van de finale evaluatie worden meegedeeld. Zo verzekeren we een optimale operationele efficiëntie van de uitgevoerde controles en de daaruit voortvloeiende SWIFT-conformiteit.