نظرة عامة على برنامج أمن معلومات العملاء لدى سويفت
تم إنشاء برنامج أمن العملاء (CSP) في عام 2017 استجابةً لزيادة مستوى الهجمات الإلكترونية على القطاع المالي. على الرغم أنه تقع على عاتق العملاء مسؤولية حماية بيئات العمل لديهم والاتصال بشبكة جمعية الاتصالات المالية العالمية بين البنوك (“سويفت”)، إلا أنه تم استحداث هذا البرنامج لمساعدة العملاء وتعزيز التعاون على مستوى القطاع في مكافحة الهجمات الإلكترونية والاحتيال.
يشتمل برنامج أمن العملاء على إطار ضوابط أمن العملاء (CSCF)، وهو عبارة عن مجموعة مشتركة من ضوابط الأمن التي صممت لمساعدة العملاء في تأمين بيئات العمل الداخلية لديهم وتعزيز النظام المالي ليكون أكثر أماناً.
إطار ضوابط أمن العملاء (CSCF) لدى سويفت
يتكون الإطار العام لبرنامج أمن العملاء (CSCF) لدى سويفت من ضوابط أمنية “إلزامية وموصى بها“ لأعضاء شبكة سويفت، حيث تضع هذة الضوابط أساساً للمتطلبات الأمنية لكافة الأعضاء بشأن البنية التحتية الداخلية لشبكة سويفت، وتستند “الضوابط الموصى بها” إلى الممارسات السليمة التي توصي سويفت أعضائها بتطبيقها. ونظراً لتطور نطاق التهديدات، فقد تشهد “الضوابط الإلزامية” تغييرات على مدار الوقت، وقد تصبح بعض الضوابط الموصى بها إلزامية.
وقد تم تطوير الضوابط باستخدام تحليل سويفت لبيانات التهديدات السيبرانية، بالإضافة إلى آراء الخبراء في هذا المجال وأعضاء الشبكة، كما تهدف تعريفاتهم إلى التوافق مع المعايير الحالية السائدة في مجال أمن المعلومات.
تتمحور كافة الضوابط حول ثلاثة أهداف عامة:
- تأمين بيئة العمل
- معرفة وتحديد الوصول
- الكشف والاستجابة
ونجد أن هذه الأهداف العامة الثلاثة تدعمها ثمانية مبادئ أمنية. وضمن كل هدف، تتناول المبادئ ذات الصلة أهم مجالات التركيز كما هو مبين في الجدول 1.
| الأهداف | المبادئ | الضوابط |
| 1. تأمين بيئة العمل | تقييد الوصول الداخلي | الضوابط الأمنية البالغ عددها 31 (منها 22 ضابط إلزامي و9 ضوابط موصى بها) تدعم هذه الأهداف والمبادئ.
تساعد الضوابط في الحد من مخاطر الأمن السيبراني المحددة التي تواجه أعضاء شبكة سويفت بسبب التهديدات السيبرانية. |
| حماية الأنظمة بالغة الأهمية من البيئة العامة لتكنولوجيا المعلومات | ||
| تخفيض النقاط المعرضة للهجمات ونقاط الضعف | ||
| تأمين بيئة العمل المادية | ||
| 2. معرفة وتحديد الوصول | منع تعرض بيانات المستخدمين وكلمات السر للمخاطر | |
| إدارة الهويات والفصل بين الصلاحيات | ||
| 3. الكشف والاستجابة | كشف النشاط غير الاعتيادي في الأنظمة أو سجلات المعاملات | |
| التخطيط للاستجابة للحوادث ومشاركة المعلومات |
الجدول 1: أهداف ومبادئ الإطار
ولتحديد العناصر التي يشملها النطاق ومن ثم الضوابط التي تطبق عليها، يجب على كل عضو في شبكة سويفت تحديد أي من أنواع البنية المرجعية الخمسة الأكثر تطابقاً مع بنية النظام الموجودة لديه. وعلى حسب بنية النظام، قد تكون بعض الضوابط الأمنية قابلة للتطبيق وقد لا تطبق.
وللتأكد من التزام الأعضاء، وضعت سويفت إجراءات تتطلب من أعضائها إثبات الالتزام بالضوابط الأمنية الإلزامية والموصى بها. ويجب على الأعضاء تعبئة نموذج مصادقة وتقديمه على نظام المصادقة الأمنية لإجراءات اعرف عميلك قبل نهاية كل سنة، وذلك كما هو منصوص عليه في إطار ضوابط أمن العملاء المعمول به في ذلك الوقت.
تأثير إصدار برنامج سويفت لأمن معلومات العملاء لسنة 2021
تم إصدار إطار ضوابط أمن العملاء لسنة 2021 من سويفت (CSCF v2021) في شهر يوليو 2020، ووفقًا لسياسة برنامج أمن العملاء، يجب على أعضاء شبكة سويفت إثبات وتوثيق مستوى التزامهم بالضوابط الإلزامية السارية على نوع بنية النظام لديهم A1، A2، A3، A4، أو B كما هو محدد في إطار ضوابط أمن العملاء بحلول نهاية عام 2021.
وقد تم إبقاء التغييرات عند الحد الأدنى مقارنةً بإصدار CSCF v2020 من أجل إتاحة الوقت الكافي لأعضاء شبكة سويفت لتطبيق الضوابط بالكامل، وفقًا للإرشادات الواردة في إطار ضوابط أمن العملاء CSCF v2021.
فيما يلي التغييرات الرئيسية في إصدار إطار ضوابط أمن العملاء لسنة 2021:
- تم تغيير أحد الضوابط وهو “تقييد الوصول إلى الإنترنت” من تصنيف “الموصى بها” إلى تصنيف “إلزامي”.
- تم استحداث نوع جديد لبنية النظام يسمى A4، بغرض استيعاب البيئات الأخرى من خارج سويفت.
- تم توسيع نطاق المصادقة متعددة العوامل 4.2 (MFA) لتتطلب المصادقة أيضاً عند الوصول إلى خدمة أو تطبيق متعلق بشبكة سويفت يوفره طرف خارجي.
- إعادة استحداث التقييم المستقل.
يستعرض الجدول 2 عدد الضوابط الإلزامية والموصى بها ذات الصلة بكل نوع من بنية النظام في إطار ضوابط أمن العملاء لسنة 2021
| بنية النظام | A1 | A2 | A3 | A4 | B |
| الإلزامية | 22 | 22 | 21 | 17 | 14 |
| الموصى بها | 9 | 9 | 9 | 9 | 8 |
| الإجمالي | 31 | 31 | 30 | 26 | 22 |
الجدول 2: عدد الضوابط لكل نوع من بنية النظام
إطار التقييم المستقل
بحلول نهاية ديسمبر 2021، يجب أن يكون كافة أعضاء شبكة سويفت قد استكملوا أول تقييم موحد على مستوى الشبكة، وتستوجب شبكة سويفت أن يتم تقييم كافة الضوابط الإلزامية في المصادقات بناءً على إطار ضوابط أمن العملاء لسنة 2021 بشكل مستقل لتعزيز نزاهة واتساق وصحة المصادقات وفقاً لما أقره مجلس المشرفين.
يجب تحقيق ذلك من خلال أحد نوعي التقييم التاليين أو كليهما:
التقييم الخارجي المستقل
يتم إجراؤه من قبل جهة خارجية تتمتع بخبرة سابقة في تقييم الأمن السيبراني، وكذلك خبراء تقييم أفراد يتمتعون بمؤهلات وخبرات ذات صلة في مجال أمن المعلومات.
التقييم الداخلي المستقل
- يتم إجراؤه من قبل إدارة من خط الدفاع الثاني أو الثالث لدى العضو (مثل إدارة الالتزام الرقابي أو إدارة المخاطر أو التدقيق الداخلي) أو ما يعادلها وظيفياً (حسب الاقتضاء)، والتي تكون مستقلة عن إدارة خط الدفاع الأول التي قدمت المصادقة (مثل مكتب رئيس مسؤولي أمن المعلومات) أو ما يعادله وظيفياً (حسب الاقتضاء).
- يجب أن يتمتع العضو بخبرة حالية وذات صلة في تقييم إجراءات الأمن السيبراني بالإضافة إلى المؤهلات المناسبة.
كما تحتفظ سويفت بحقها، كما هو منصوص عليه في سياسة ضوابط أمن العملاء، في طلب تأكيد خارجي مستقل للتحقق من دقة المصادقات الذاتية. وتُعرف هذه التقييمات باسم “التقييمات الإلزامية من سويفت”.
المراجع
- https://www.swift.com/about-us/history
- https://www.swift.com/myswift/customer-security-programme-csp/security-controls
- https://www.swift.com/news-events/news/swift-announces-updates-customer-security-controls-framework-attestation-2020
- SWIFT Customer Security Controls Framework v2020 & v2021