風險

環球銀行金融電信協會SWIFT扮演提供安全的跨境轉帳溝通體系，其系統允許銀行與銀行間相互認證、進行外匯交易、額度風險控管等機制，後續會員型態轉型，允許具有大量跨國交易需求的企業組織也加入會員，方便會員間外匯交易的進行，其角色極為重要。

總部位於比利時的國際組織「環球銀行金融電信協會（Society for Worldwide Interbank Financial Telecommunication，簡稱SWIFT）」，其角色是全球200多國區域，數以千計金融機構使用的合作社。

環球銀行金融電信協會SWIFT扮演提供安全的跨境轉帳溝通體系，其系統允許銀行與銀行間相互認證、進行外匯交易、額度風險控管等機制，後續會員型態轉型，允許具有大量跨國交易需求的企業組織也加入會員，方便會員間外匯交易的進行，其角色極為重要。因為2016年2月初發生了全球金融界的孟加拉央行的資料系統遭駭客非法使用SWIFT交易系統發送非法交易得逞，引發了一場極為轟動資安事件，也因為這事件SWIFT短期內迅速做出了幾個規範要求金融機構實施，以防範日後事件的發生。

SWIFT「客戶安全計畫」（CSP）

當年，2016年孟加拉央行SWIFT事件進一步調查後發現非單一個案遭駭，而是全球多家銀行金融機構被鎖定且進行大規模廣泛性的攻擊資料係統，因此SWIFT國際組織特別於2016年3月發布「SWIFT 安全指引」(SWIFT Security Guidance)緊接著為了擴大安全考量與提升適用性，讓SWIFT會員們可以作為提升安全防護的參考方向，SWIFT於同年7月大幅修訂「SWIFT 安全指引」，8月宣布啟動「客戶安全計劃（Customer Security Programme，CSP），並且隔年2017年4月SWIFT國際組織要求SWIFT會員機構需要於2017年12月自行辦理提交CSP安全評估，但從2021年起，須由獨立第三方來執行安全評估。換言之，此後SWIFT會員需由第三方評定CSP的客戶安全控制框架( Customer Security Controls Framework，CSCF)的合規成效。

SWIFT「客戶安全計畫」（CSP）是一個每年更新的規範，對於多數的金融機構並不清楚如何達到合規要求。安華聯網資安合規處資深資安顧問楊士賢表示，每年7月SWIFT會公布新版新年度的CSCF文件。綜整2020~2022年CSCF當中的必要項目，從21、22逐步增至23個，也開始針對不同資訊系統架構區分要求的項目；因此即便項目數量僅微幅增加，但內容變得更加嚴格。

SWIFT CSP合規評估作業五步驟

楊士賢顧問歸納，如欲進行SWIFT CSP合規評估作業，提供五步驟:

第一步: 確認「安全控制範圍」

第二步:「確認CSCF適用版本」，因為SWIFT未強制規定採用最新版，即今年7月公布2023年規範，但仍接受選用2022年甚或2021年版本。

第三步: 「執行SWIFT CSP安全評估作業」，第三方獨立評估者採用SWIFT制式查核底稿(查檢表)，依該表所列項目逐一進行填寫。待完成細項評估後，即進入。

第四步: 「向SWIFT提交CSCF Assessment Completion Letter」。

第五步: 彙整安全評估報告及填寫KYC-SA問卷，最終完成並結案。

結論

顧問楊士賢總括而論說道，隨著近年上市櫃公司遭駭事件頻傳，已使多數企業備感壓力，急欲有效盤點安全漏洞、加速掌握防禦趨勢與資安策略，以提高金融交易的安全防護力。因此，再次提醒大家，當談及FinTech資安議題時，舉凡資通安全法合規、金融APP安全檢測、SWIFT CSP合規評估，皆是大家應該持續關注的重點。