Платежи в системе Swift: станет ли PCI DSS руководством по их защите?
Прочность любой цепи определяется ее самым слабым звеном, поэтому создание программы безопасности клиентов Swift является необходимым шагом в борьбе с киберпреступностью. Глобальная сеть Swift обеспечивает возможность обмена данными между различными типами банков - от самых крупных многонациональных институтов до очень мелких банков. Некоторые из более мелких банков, возможно, не воспринимают кибербезопасность с должной степенью серьезности, что создает слабые места в сети Swift.
Атаки мошенников на сеть Swift разбудили многих участников Swift. Поэтому программа CSP очень своевременна, и все сообщество Swift должно к ней подключиться. CSP обеспечит прозрачность сети Swift для всех участников и сильные стимулы для всех банков, благодаря которым они будут стремиться показать, что они не отстают в вопросах кибербезопасности.
Сначала оценка банков в рамках CSP будет производиться ими самими, но со временем эта функция может быть передана внешней организации. Стандарт PCI DSS хорошо показывает, как настроена программа CSP. Большинство игроков карточной индустрии соблюдают требования стандарта PCI DSS, которые обеспечивают надежную и обязательную защиту карт, и очень важно, чтобы в аналогичном проекте участвовало сообщество Swift.
В свете последних мер, предпринятых регуляторами, растет понимание необходимости активного управления рисками «Знай своего клиента» (KYC), особенно во взаимоотношениях между банками. Свою лепту вносит и Swift, поддерживая реестр KYC. Более мелкие банки, которые могут быть сильнее подвержены кибер-рискам, уже будут оцениваться как рисковые крупными банками из-за их размера.
Финансовые учреждения прилагают определенные усилия, чтобы оптимизировать свой подход к оценке рисков контрагента и KYC, чтобы быть уверенными, что они имеют дело только с одобренными контрагентами. К этим мерам относится внедрение приложения Swift Relationship Management Application+ (RMA +), которое представляет собой фильтр, позволяющий финансовым институтам определять, каким типом или типами FIN-сообщений они хотят обмениваться с каждым из своих контрагентов. Такие тактические подходы помогают банкам гарантировать, что они не оставят ни одного открытого «звена», которое не поддерживалось бы полным соблюдением KYC.
В сфере розничных платежей попытки мошенничества уже стали обычным делом. В системе Swift, для которого характерна высокая стоимость при сравнительно небольших суммах платежей, они случаются намного реже. Société Générale вообще не сталкивался с мошенническими транзакциями при проведении платежей через Swift. Это не значит, что они вообще исключены, но попытки до сегодняшний день были довольно примитивны. Хакерская атака на Банк Бангладеш показала, что Swift под прицелом преступников, и поэтому необходимо усилить защиту.
Научиться бороться с мошенничеством или кибератаками еще до того, как они произошли, непросто. Банки должны объединить специалистов по платежам, Swift, науку о данных и технологии для, того чтоб этот комплекс успешно работал и выявлял возможные способы попыток мошенничества, которые могут быть предприняты через Swift. Глубокое понимание потоков, ежедневно проходящих по каналам Swift, поможет выявить подозрительные транзакции. В случае розничных платежей большие объемы означают, что системам машинного обучения проще самостоятельно учиться, основываясь на отслеживании истории попыток мошенничества. В случае платежей в сети Swift – дело обстоит не так.
В идеальном случае внутренняя защита в банках должна сочетаться с защитой внутри самой сети Swift. В глобальной сети, какой и является Swift, часто легче обнаружить мошеннические транзакции, чем в отдельном банке. Такой подход может предусматривать управление со стороны Swift, набором общих правил, основанных на опыте участников Swift. Такая комбинация мер безопасности в самих финансовых институтах и в Swift обеспечит наиболее безопасный подход. Построение этой модели займет время, но это именно то направлении, в котором должна идти платежная индустрия.
По материалам PLUSworld.ru, finextra.com