Biznet BilişimBiznet Bilişim

SWIFT Customer Security Programme

Yazar: Serra Özkurt

Bankacılık ve finans sektöründe hayatımızı kolaylaştıran yeni teknolojilere her gün bir yenisi eklenmekte, artan dijitalleşmeyle beraber siber tehditler de aynı oranda artarak kullanıcıları ve kurumları tehdit etmektedir. Ancak siber tehditler sadece sayı olarak artmamakta aynı zamanda kullanılan yöntemler, saldırganların tecrübe ve kaynakları her geçen yıl gelişmekte ve saldırılar da giderek sofistike hale gelmektedir. Dünya finans ekosisteminin önemli oyuncularından olan, 200’den fazla ülkede 11.000’den fazla kuruluşta her gün 21 milyondan fazla finansal işlemin yapıldığı SWIFT (Society for Worldwide Interbank Financial Telecommunication) sistemi de geçtiğimiz yıllarda önemli saldırıların hedefi olmuştur. Pek çok ülkede, bankaların zarar gördüğü ve sadece Bangladeş Merkez Bankası’ndan 81 milyon doların çalındığı saldırılarda, saldırganlar tamamıyla bankaların kendi sistemlerindeki güvenlik açıklarından yararlandılar. SWIFT, her ne kadar kendi sistemi zarar görmemiş olsa da siber saldırılarla mücadele etmek ve müşterilerine bu mücadelede destek olmak için Customer Security Programme’ı yayınladı.

Gerçekleşen Bazı SWIFT Saldırıları

Vietnam

Saldırganlar, bir Vietnam Bankasının kullandığı PDF okuyucularının türü hakkında bilgi topladılar. Bu bilgiler, sosyal mühendislik yoluyla kolayca elde edilebilir ve görünüşte masum olan sorulara verilen cevaplar bir kurumu tehlikeye atabilir türdendi. Bu sayede, markası belirlenen PDF okuyucunun belirli versiyonunun zafiyetini hedefleyen bir zararlı yazılım oluşturdular. Banka yetkilileri durumu fark ederek yasadışı para transferlerinin yapılmasını önledi.

Ekvador

Saldırganlar bir çalışanın kimlik bilgilerini çaldıktan sonra bankanın sistemine erişmeyi başardılar. Saldırganlar daha sonra, iyi bir e-posta temizliğinin yapılması ve mesajların gönderildiğinden emin olunması gibi kontrol eksikliklerinden de faydalanarak, e-posta giden kutusunda bırakılan FIN (Para transferlerini içeren finansal mesaj)  mesajlarını değiştirerek saldırıyı gerçekleştirdiler.

Bangladeş

Bangladeş saldırısından sorumlu saldırganlar, ‘SysMon’ u (Microsoft Activity Monitoring), SWIFTLive’a keşif aracı olarak yükledi. Yazılımın yönetici ayrıcalıkları vardı ve saldırganlara bankadaki SWIFT terminalini kullanarak çalışanların etkileşimlerini gözlemleme imkanı verdi. İddialara göre SysMon, ağa SWIFT terminaline erişimi olan bir çalışanı hedefleyen oltalama saldırısı ile yüklendi. Raporlamalara göre bankaya konumlandırılan düşük fiyatlı ve kurumsal bir bankanın kullanımına uygun olmayan switch’lerin de ihlalin kaynağı olduğu belirtilmektedir.

Aynı bankadaki bir diğer zararlı yazılım, yazdırma için gönderilen SWIFT mesajlarını manipüle ederek değiştirdi. Saldırganlar, zararlı yazılımlarını, SWIFT mesajlaşma servisinin son sürecindeki bu zafiyetten yararlanmak için özel olarak uyarladılar. Bu saldırılar sonucunda Bangladeş Merkez Bankası’ndan 81 Milyon dolar saldırganların eline geçti.

CUSTOMER SECURITY PROGRAMME (CSP) NEDİR?

Customer Security Programme (CSP), SWIFT tarafından, müşterilerinin halihazırda sağladığı ve sürdürdüğü bilgi güvenliği sistemlerine katkıda bulunmak için oluşturulmuş bir güvenlik çerçevesidir. CSP bilgi güvenliği sektöründe yabancı olmadığımız ISO27002, PCI DSS, NIST gibi standartlar örnek alınarak oluşturulmuş bir programdır.

CSP, SWIFT ekosisteminde her daim birbirini desteklemesi gereken üç öğe etrafında konumlanmaktadır;

  • Siz (You) – Güvenliği Sağlama ve Koruma (Secure and Protect)
  • İş Ortaklarınız (Your Counterparts) – Önleme ve Fark Etme (Prevent and Detect)
  • Sektörünüz (Your Community) – Paylaşma ve Hazırlanma (Share and Prepare)

 

 

Şekil -1 CSP Öğeleri

 

CSP kapsamında tüm SWIFT müşterilerinin uyması gereken 17 adet zorunlu ve 10 adet tavsiye niteliğinde güvenlik kontrolü bulunmaktadır. Zorunlu ve tavsiye niteliğinde olan toplam 27 kontrol, 3 ana başlık ve 8 prensip altında toplanmıştır;

  • Ortamın Güvenliğini Sağlama (Secure Your Enviroment)
  • Erişimleri Bilme ve Kısıtlama (Know and Limit Access)
  • Tespit Etme ve Tepki Verme (Detect and Respond)

 

Şekil-2 SWIFT CSP Mimarisi

 

SWIFT CSP Güvence Planı

SWIFT, CSP programı için 3 aşamalı bir güvence planı belirlemiştir;

  • Kurumun kendisi tarafından yapılacak Uyumluluk Beyanı
  • İç Denetim
  • Kurumdan bağımsız firmalar tarafından yapılacak Dış Denetim

Şekil-3 SWIFT CSP Güvence Planı

CSP Neden Önemli?

SWIFT, müşterilerinin sistemlerindeki güvenlik açıklarının kendi sistemlerini de tehdit etmesi ve geçmişte yaşanan saldırılar sebebiyle CSP’ye uyumlu olmayı bütün müşterilerine zorunlu kılmaktadır. Gerçekleşen saldırılarda kurumların sistemlerindeki çeşitli açıklardan yararlanılmış olması, SWIFT müşterisi her kurum için benzer risklerin mevcut olabileceğini ortaya koymaktadır. SWIFT sistemlerinin yer aldığı kapsama odaklanmış olan CSP sayesinde güvenlik açıklarının kapatılması ve mevcut güvenlik altyapısının sıkılaştırılması öngörülmektedir.

 CSP’YE UYUM SAĞLANMASI

 CSP’ye Uyum için Önemli Tarihler

  • 2017 ikinci çeyreğiyle beraber SWIFT müşterisi her kurum zorunlu kontrollere ilişkin mevcut durumunu içeren uyumluluk beyanını SWIFT’te göndermeye başlayacak.
  • Uyumluluk beyanının gönderilmesi için son tarih 31 Aralık 2017’dir.
  • 1 Ocak 2018’den itibaren ise tüm SWIFT müşterilerinin programa uyması zorunlu hale gelecektir.

CSP’ye Uyumlu Olunmaması Durumunda Oluşabilecek Sonuçlar

2018’den itibaren SWIFT her yıl örneklem şeklinde seçeceği bazı müşterilerine, ek bir dış denetim yapabilecek. Her bir Swift müşterisinin CSP uyumluluk durumu “SWIFT KYC Registry” üzerinden iş ortaklarına görünür hale getirilecek, bu sayede müşteriler iş yapacakları diğer müşterilerin CSP uyumluluk durumuna göre karar verme şansına sahip olabilecekler.

serra.ozkurt
Yazar: serra.ozkurt