Появление единой системы SWIFT — это закономерная реакция на увеличение количества проводимых международных сделок в области торговли. Потребность в быстрой межбанковской коммуникации и сокращении путей движения информации была удовлетворена с помощью автоматизации банковского сектора. Система всемирных межбанковских финансовых телекоммуникаций позволила стандартизировать передачу данных, значительно ускорить осуществление операций.
С введением системы SWIFT был решен целый спектр задач банковской системы.
1) был открыт доступ услуг для корпоративных клиентов и физических лиц в различных регионах;
2) развитие получил ретейлорный бизнес;
3) произошел реинжиниринг систем управления финансовыми организациями и их деятельностью;
4) транспарантной бизнеса поднялась на новый уровень.
В 2001 году после сентябрьского теракта в США, доступ к информации системы с целью защиты баз от атак террористов получили ЦРУ, ФБР и Министерство финансов Штатов. В 2006 данные были опубликованы в New York Times. Обнародованные сведения вызвали возмущение членов общества, в связи с чем компания SWIFT приняла решение о переводе архитектуры в распределенный режим. Сообщение, передаваемые посредством системы, начали направляться в операционные центры в Соединенных Штатах Америки и Голландии.
С целью повышения эффективности управления SWIFT постоянно внедряются методы контроля и усиления прозрачности банков. Для этого простраиваются процедуры контроля рисков деятельности, оптимизируются издержки внутрибанковсих операций. В SWIFT проводится финансово-стоимостный анализ, а также анализ прибыльности для оценки новых продуктов и услуг.
2,5 миллиарда платежных сообщение ежегодно курсируют через SWIFT. Подобные объемы информации необходимо защищать от взломов. До 2016 года компания SWIFT использовала стандартные средства обеспечения безопасности данных. Однако в 2016 хакеры обнаружили слабое место в программном коде системы и взломали его. Тогда из Центрального банка Бангладеш ушел 81 миллиард долларов.
В 2017 компания обнародовала требования для банков и сервис провайдеров — SWIFT Customer Security Controls Framework (далее — CSCF). При создании списка учитывались международные стандарты PCI DSS и ISO27001. Всего в перечень входить 27 требований. 16 пунктов были обязательны, 11 — рекомендованы к исполнению. Они классифицированы по 8 принципам и 3 целевым направлениям. Соответствие организаций подтверждалось специальными документами, выпущенными в том же году. До конца 2017 все банки и сервис-провайдеры были обязаны провести оценку собственного соответствия требованиям, результаты выгружались в программу SWIFT. С начала 2018 года к организациям, не выполнившим предписания, применяются ограничительные меры.
Согласно требованиям компании SWIFT, сервис-провайдеры и банки должны внедрить сетевые экраны с целью отделения компонентов SWIFT от прочих банковских систем. Системные администраторы ограничиваются в своих полномочиях, за исключением определенных служебных. Организациям необходимо было вести учет изменений технологической инфраструктуры. Передача по сети критичных данных обязательно должна выполняться с шифрованием. Все настройки IT-систем производятся исключительно по рекомендациям производителя.
Одним из важнейших факторов обеспечения безопасности SWIFT выделила многофакторную аутентификацию. Пароли для доступа к критичным данным должны быть максимально усложненными. Специалистами банков должен обеспечиваться контроль целостности баз данных и программ. Обязательным было и внедрение антивирусного программного обеспечения для защиты от программ-шифровальщиков.
Все инциденты и аномальная активность в работе IT-систем должны быть отслежены, а данные о них мгновенно передаваться в компанию SWIFT. Непосредственно банки и сервер-провайдеры обязывались разработать систему реагирования на подобные случаи. Персонал, в свою очередь, должен быть обучен. Требования к уровню готовности сотрудников к отражению кибератак различного рода повышались.
Выполнение требований SWIFT усложняло работу банков, поскольку острым вопросом стала необходимость внедрения сложных программных продуктов, возросли затраты на квалифицированных специалистов и обучение сотрудников.
Для пользователей SWIFT был создан специализированный сервис по управлению взаимоотношениями, он же RMA (Relationship Management Application). Им осуществляется контроль передаваемой информации. Транзакции с помощью этого сервиса проверяются, благодаря чему предотвращаются несанкционированные переводы средств. Использование RMA смягчает риски, связанные с несоблюдением требований компании.
Помочь пользователям направлены и ежедневные отчеты по валидации. Механизмы отслеживания мошенничества усиливаются за счет независимых средств проверки сообщений. Отчеты получаются на следующий день после проведения транзакций, а потому являются вторичным способом контроля.
Рыночная практика также позволяет регулировать отношения между контрагентами. Важность изучения выписок на конец дня была изложена в информационном бюллетене SWIFT от 2016 года. Уже в 2017 PMPG (Группой по анализу практики платежного рынка) были разработаны специальные рекомендации по рыночной практике для осуществления отмены подозрительных мошеннических транзакций.
На конец 2017 года SWIFT сообщил о подтверждении 89 % организаций соответствия выдвинутым требованиям безопасности. Подтвержденные банки выполняют практически 100 % финансовых операций. Компании предстоит дальнейшее совершенствование систем безопасности. В конце 2018 года банки обязаны пройти переаттестацию. О финорганизациях, не соответствующих требованиям SWIFT, компания сообщает в местные надзорные органы, принимающие решения по дальнейшей работе структур. Повторные проверки проводятся ежегодно с целью максимальной защиты данных от хакерских атак и незаконного проникновения.
На территории Российской Федерации вопросами соответствия организаций требованиям занимается Центробанк и Россвифт. На данный момент, все банки прошли проверку, подтвердив возможность своего участия в работе системы SWIFT. Угрозы отключения России от сети привели к необходимости создания собственной системы финансовых телекоммуникаций. Безопасность отечественного аналога осуществляется схожими механизмами. Впрочем, российская система пока не способна конкурировать со SWIFT как в отношении функциональных возможностей, так и в плане защиты от рисков.
Литература:
- Erykhailova A. N., Bass A. B. Risks of using international payment systems in the Russian banking system // Инновационная наука. 2015. № 7–1. URL: https://cyberleninka.ru/article/n/risks-of-using-international-payment-systems-in-the-russian-banking-system (дата обращения: 01.12.2018).
- Журавлева Надежда Владимировна, Хачпанов Гия Вячеславович Операции swift на рынке банковских услуг // Сервис +. 2011. № 1. С. 100–107.
- Крахмалев С. В. Swift — глобальная телекоммуникационная система, обеспечивающая проведение международных финансовых операций // Финансы и кредит. 2007. № 9 (249). С. 21–28.
- Программа безопасности пользователей SWIFT — усиление безопасности финансовой экосистемы // «BIS Journal» 2(29)/2018. URL: https://journal.ib-bank.ru/post/667.
- Рудакова О. С. Банковские электронные услуги. — М.: Банки и биржи, ЮНИТИ, 1997. С. 160–161.
