Công văn 758/CNTH8 2016 đảm bảo an toàn thông tin với Hệ thống thanh toán quốc tế SWIFT

thuộc tính Công văn 758/CNTH8

Công văn 758/CNTH8 của Cục Công nghệ tin học về việc tăng cường, đảm bảo an toàn thông tin đối với Hệ thống thanh toán quốc tế SWIFT
Cơ quan ban hành: Cục Công nghệ tin học
Số công báo:
Đã biết

Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Số công báo. Nếu chưa có tài khoản Quý khách đăng ký tại đây!

Số hiệu:758/CNTH8
Ngày đăng công báo:Đang cập nhật
Loại văn bản:Công văn
Người ký:Phan Thái Dũng
Ngày ban hành:10/06/2016
Ngày hết hiệu lực:Đang cập nhật
Áp dụng:
Đã biết

Vui lòng đăng nhập tài khoản để xem Ngày áp dụng. Nếu chưa có tài khoản Quý khách đăng ký tại đây!

Tình trạng hiệu lực:
Đã biết

Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Tình trạng hiệu lực. Nếu chưa có tài khoản Quý khách đăng ký tại đây!

Lĩnh vực: Tài chính-Ngân hàng, Khoa học-Công nghệ
LuatVietnam.vn độc quyền cung cấp bản dịch chính thống Công báo tiếng Anh của Thông Tấn Xã Việt Nam.
Tình trạng hiệu lực: Đã biết
Hiệu lực: Đã biết
Tình trạng: Đã biết

NGÂN HÀNG NHÀ NƯỚC
VIỆT NAM
CỤC CÔNG NGHỆ TIN HỌC

-------
Số: 758/CNTH8
V/v
: Tăng cường, đảm bảo an toàn thông tin đối với Hệ thống SWIFT
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
Hà Nội, ngày 10 tháng 06 năm 2016
 
 

Kính gửi:
- Các tổ chức tín dụng;
- Các chi nhánh ngân hàng nước ngoài.
 
Trong thời gian qua, tình hình tội phạm mạng tấn công vào hệ thống tài chính ngân hàng, đặc biệt là hệ thống thanh toán quốc tế SWIFT (Hệ thống SWIFT) có nhiều diễn biến phức tạp, đã tác động và ảnh hưởng đến hoạt động của hệ thống Ngân hàng.
Qua rà soát và đánh giá, Cục Công nghệ tin học - Ngân hàng Nhà nước nhận thấy trong quản trị, vận hành và sử dụng Hệ thống SWIFT có một số rủi ro như sau:
- Rủi ro về quy trình đối với nghiệp vụ thanh toán SWIFT: chưa ban hành hoặc đã ban hành các quy trình đối với các nghiệp vụ liên quan trong Hệ thống SWIFT nhưng tính thực thi chưa cao và không có sự kiểm soát tuân thủ. Ví dụ: cho mượn tài khoản người dùng; có thành viên SWIFT chỉ mua 1 license concurrent hoặc bố trí nhân sự chưa hợp lý nên không đảm bảo tách biệt nhân sự giữa việc tạo tin điện và kiểm duyệt; thực hiện đối chiếu tra soát tin điện không thường xuyên hoặc không kiểm soát kỹ; ...
- Rủi ro trong việc tích hợp và triển khai Hệ thống SWIFT:
+ Một số đơn vị đang thuê đối tác cung cấp dịch vụ thanh toán SWIFT, tuy nhiên không có biện pháp quản lý, giám sát dịch vụ đảm bảo an toàn, bảo mật.
+ Một số đơn vị triển khai tích hợp hệ thống khác (như corebank) với Hệ thống SWIFT sử dụng giải pháp kết nối không đảm bảo tính xác thực dẫn đến phần mềm độc hại hoặc một máy nghiệp vụ khác có thể gửi tin điện gian lận vào Hệ thống SWIFT.
- Rủi ro trong cấu hình Hệ thống SWIFT:
+ Không giới hạn số lượng máy chủ được phép kết nối với mạng SWIFT (SWIFTNet).
+ Không thiết lập kiểm duyệt tin điện trước khi gửi sang SWIFTNet.
+ Thiết lập Relationship Management Application (RMA) kết nối với các đơn vị không còn là đối tác (counterparty’s BIC).
- Xác thực đăng nhập Hệ thống SWIFT và kiểm duyệt (authozire) tin điện: Hiện tại phần lớn chỉ thông qua tên đăng nhập và mã khóa bí mật. Do đó trong trường hợp đơn vị không thiết lập độ khó của mã khóa bí mật của tài khoản người dùng hoặc tài khoản đặc quyền của ứng dụng, hệ điều hành và cơ sở dữ liệu của Hệ thống SWIFT không được quản lý và kiểm soát hợp lý dẫn đến lộ lọt thông tin tài khoản, tin tặc có thể lợi dụng để truy cập thực hiện giao dịch gian lận và sửa đổi cơ sở dữ liệu trực tiếp, xóa các nhật ký, cài đặt thêm các phần mềm trái phép, thay đổi cấu hình hệ thống, ...
+ Không thiết lập thời gian timeout của Hệ thống SWIFT hoặc có nhưng thời gian timeout quá dài.
- Rủi ro về yếu tố con người: cán bộ quản trị, vận hành và sử dụng không được phổ biến quy trình, không được đào tạo về nhận thức an toàn thông tin.
- Các rủi ro khác:
+ Không kiểm soát, giới hạn các máy trạm thực hiện nghiệp vụ được phép truy cập vào Hệ thống SWIFT.
+ Các máy trạm thực hiện nghiệp vụ SWIFT có thể truy cập mạng Internet hoặc kết nối tới các vùng mạng không an toàn; người dùng có thể cài đặt phần mềm mới và chỉnh sửa ở mức hệ điều hành; không cài đặt phần mềm phòng chống mã độc hại; không kiểm soát kết nối với các thiết bị ngoại vi.
Qua phân tích các rủi ro trên, Cục Công nghệ tin học - Ngân hàng Nhà nước đề nghị các đơn vị đang sử dụng hệ thống thanh toán SWIFT triển khai thực hiện các công việc:
- Ban hành các quy trình, quy định trong vận hành hệ thống SWIFT, tối thiểu phải có các nội dung sau:
+ Quy định trong một giao dịch:
• Đối với giao dịch thủ công, một giao dịch thanh toán cần có sự tham gia thực hiện của tối thiểu 3 người: người tạo điện, người kiểm tra và người kiểm duyệt;
• Đối với giao dịch tự động từ hệ thống ngân hàng lõi (corebanking) chuyển sang Hệ thống SWIFT, Cục Công nghệ tin học - Ngân hàng Nhà nước khuyến cáo phải qua bước kiểm duyệt trên Hệ thống SWIFT trước khi tin điện được gửi tới SWIFTNet. Trường hợp các đơn vị xây dựng quy trình chuyển tự động không qua bước kiểm duyệt trên hệ thống SWIFT cần rà soát toàn bộ quy trình, hạ tầng kỹ thuật và chịu trách nhiệm về các rủi ro (nếu có).
+ Thực hiện tra soát, đối chiếu, kiểm tra để phát hiện sớm sự sai lệch thông tin của các tin điện giữa Hệ thống SWIFT với hệ thống corebanking của đơn vị; giữa Hệ thống SWIFT của đơn vị với các đối tác.
+ Phân công và quy định rõ trách nhiệm của cán bộ quản trị, vận hành và sử dụng Hệ thống SWIFT.
+ Quy định bộ phận kiểm tra, báo cáo việc tuân thủ các quy trình, quy định liên quan đến Hệ thống SWIFT đã ban hành.
- Đối với các đơn vị đang thuê đối tác cung cấp dịch vụ thanh toán SWIFT, cần có kế hoạch chuyển Hệ thống SWIFT về đơn vị để trực tiếp quản lý và thiết lập các biện pháp đảm bảo an toàn thông tin cho hệ thống.
- Nghiên cứu, triển khai giải pháp kết nối giữa hệ thống khác với Hệ thống SWIFT nhằm đảm bảo an toàn, tính xác thực và tính toàn vẹn của tin điện.
- Rà soát, tối ưu cấu hình Hệ thống SWIFT nhằm tăng cường an toàn thông tin trong quản trị, vận hành SWIFT:
- Giới hạn các máy chủ trong Hệ thống SWIFT được phép kết nối sang SWIFTNet.
+ Đánh giá Hệ thống SWIFT theo tài liệu KB tip 5020788 - Security Guidance for Alliance và thực hiện khắc phục các rủi ro phát hiện được đồng thời nghiên cứu, triển khai các khuyến nghị an ninh bảo mật của SWIFT (tham khảo tại địa chỉ:
https://www2.swift.com/uhbonline/books/protected/en_uk/aa_7_1_10_sec_guid/index.htm)
+ Tăng cường độ mạnh trong xác thực đăng nhập: thiết lập độ khó cho mã khóa bí mật của tài khoản người dùng; thiết lập thời gian timeout hợp lý; nghiên cứu việc tích hợp OTP hoặc PKI trong xác thực đăng nhập hoặc giao dịch.
+ Rà soát các tài khoản người dùng và quản trị, kết nối trong hệ thống đảm bảo người sử dụng được phân quyền đúng, loại bỏ những tài khoản không còn sử dụng, thay đổi mã khóa bí mật các tài khoản mặc định của hệ thống và đồng thời có biện pháp quản lý, bảo vệ phù hợp đối với các tài khoản đặc quyền như tài khoản thuộc các Profile SuperKey, SuperVisor, MsgEntry, MsgPartner; Administrator/Root của hệ điều hành; tài khoản quản trị cơ sở dữ liệu...
+ Rà soát các RMA và loại bỏ các RMA không sử dụng.
- Rà soát tối ưu các cấu hình hệ thống liên quan hoặc trang bị các giải pháp an ninh bảo mật hoặc dịch vụ khác để tăng cường an toàn thông tin đối với Hệ thống SWIFT:
+ Kiểm soát, giới hạn các máy trạm thực hiện nghiệp vụ kết nối vào Hệ thống SWIFT và tăng cường các biện pháp an ninh bảo mật cho các máy này, cụ thể như: đặt các máy này vào vùng mạng riêng được bảo vệ; cài đặt và cập nhật thường xuyên bản vá hệ điều hành, phần mềm phòng chống mã độc hại; hạn chế truy cập internet; phân quyền cho tài khoản người dùng đủ để người dùng sử dụng ứng dụng nghiệp vụ, không thể cài đặt phần mềm mới hoặc thay đổi hệ thống ở mức hệ điều hành; giới hạn sử dụng các thiết bị ngoại vi...
+ Nghiên cứu triển khai các giải pháp nhằm phát hiện và phòng chống các giao dịch gian lận trên Hệ thống SWIFT; phân tích và cảnh báo các giao dịch bất thường dựa trên nhật ký Hệ thống SWIFT và các hệ thống liên quan.
- Cán bộ quản trị, vận hành và sử dụng Hệ thống SWIFT được đào tạo nhận thức về an toàn thông tin, biết cách phòng tránh các rủi ro như: phát hiện các email, website độc hại; trách nhiệm trong việc quản lý và sử dụng tài khoản người dùng, thông tin nhạy cảm.
Cục Công nghệ tin học - Ngân hàng Nhà nước đề nghị các đơn vị tổ chức thực hiện.
Mọi thông tin chi tiết xin liên hệ: Phòng An ninh thông tin - Cục Công nghệ tin học, 64 Nguyễn Chí Thanh - Đống Đa - Hà Nội, số điện thoại 04.38354775, fax: 04.38358135, email: cnth8@sbv.gov.vn./.
Trân trọng./.
 

Nơi nhận:
- Như trên;
- Cục trưởng (để b/c);
- Lưu CNTH, CNTH8.
KT. CỤC TRƯỞNG
PHÓ CỤC TRƯỞNG




Phan Thái Dũng
 
 
LuatVietnam.vn độc quyền cung cấp bản dịch chính thống Công báo tiếng Anh của Thông Tấn Xã Việt Nam.
Tình trạng hiệu lực: Đã biết

THE STATE BANK OF VIETNAM
THE INFORMATION TECHNOLOGY DEPARTMENT

Official Dispatch No. 758/CNTH8dated June 10, 2016 of the State Bank of Vietnam on strengthening and ensuring information security of SWIFT system

 

To:

-Credit institutions;
- Branches of foreign banks.

In the past period, the fact that cybercrime offenders attacking banks financial systems, especially SWIFT international payment system (hereinafter referred to as SWIFT system), has happened in a complicated manner, caused adverse impacts and influences on operations of banking system.

TheInformation Technology Department, affiliated to the State Bank of Vietnam, upon the inspection and assessment, finds that the management, operation and use of SWIFT System are facing certain risks. To be specific:

-Risks in processes of SWIFT payment operations: processes ofrelevant operations in SWIFT System are notformulated or have been available but the enforcement thereof is not strict without the supervision of compliance thereof. For example: lending user account; a SWIFT member only buys 1 concurrent user license or fails to make appropriate arrangement of personnel resulting in that the separation between personnel creating messages and that verifying existing messages is not ensured; conducting irregular comparison and control of messages or failing to carry out careful control, etc.

-Risks in integration and development of SWIFT System;

+ A number of institutions enter into lease contracts with SWIFT payment service providers but fail to take measures for managing and supervising safety and security of such services.

+ A number of institutions carry out the integration of other systems (such as core banking system) into SWIFT System by using connectivity solutions which cannot ensure the authentication resulting in fraudulent messages sent over SWIFT System from a malware or another operational computer.

- Risks inconfigurationof SWIFT System:

+ There is no limitation on the number of host computers which can be connected to SWIFT Network (SWIFTNet).

+ Fail to set up prior authorization before messages are sent overSWIFTNet.

+ Financial institution still remains a Relationship ManagementApplication (RMA)with institutions who are no longer its counterparties (counterparty’s BIC).

-Authentication of login in SWIFT system and prior authorization of messages: Presently, almost users log in on SWIFT system by using a private username and corresponding password. Therefore, if an institution fails to create a strong password for a user account or application privileged account, it is unable to manage and control the operating system and database of SWIFT System in an appropriate manner resulting in account information leaked and hackers may take advantage of this situation to access swift system for conducting fraudulent transactions and changing database, deleting and/or removing any transactions from the hacked account history, installing illegal software or changing the system configuration, etc.

+ Failing to set up timeout period for SWIFT System or the existing timeout period is so long.

-Risks in human factors: Administrators, operators and users are not disseminated and provided with operational process and training courses in awareness of information security.

-Other risks:

+ Failing to monitor or limit the number of servers performing connection operations to SWIFT System.

+ Servers performing connection operations to SWIFT System may access to Internet or be connected with unsecure network areas; users may install new software and modified software at the level of operating system; failing to install anti-malware software; failing to monitor the connection withperipheralequipment.

TheInformation Technology Department, affiliated to the State Bank of Vietnam, upon the above-mentioned risk analysis, requests any institutions that are using SWIFT payment system to perform the following duties:

-Adopt processes and regulations for operations of SWIFT system in compliance with the following contents:

+ Regulations on a transaction:

With regard to manual transactions, a payment transaction is conducted with the participation of at least 3 persons: message creator, verifier and tracker;

With regard to transactions automatically generated on the core banking system and transmitted to SWIFT System, the Information Technology Department, affiliated to the State Bank of Vietnam, encourages involved institutions to set up the step of verification on SWIFT system before messages are sent toSWIFTNet.If involved institutions set up automatic transmission without going through the verification on SWIFT system, they must check the entire process, infrastructure and assume responsibility for any risks incurred thereof (if any).

+ Checking and comparing information in order to timely discover the variation of information of message between SWIFT System and core banking system of a given institution; or between the SWIFT System of a given institution with its counterparties.

+ Carrying out assignment and determination of duties of administrator, operators and users of SWIFT system.

+ Establishing a division in charge of inspecting and reporting of the compliance with prevailing processes and regulations relating to SWIFT system.

-If an institution is usingSWIFT payment services provided by a service provider under lease contract, it should make plan for move the SWIFT system to its base for managing and adopting measures for ensuring information security.

-Doing research and implementing solutions for connectivity between other systems and SWIFT system in order to ensure security, authentication and integrity of a message.

-Checking and optimizing the configuration of SWIFT System for the purpose of improving the security of information in administration and operation of SWIFT system.

-Limitingthe number of host computersin SWIFT Systemwhich can be connected to SWIFTNet.

+ Evaluating SWIFT System according toKB tip 5020788 - Security Guidance for Allianceand carrying out remedial measures against discovered risks as well as research and implementation of SWIFT’s security guidelines(referred athttps://www2.swift.com/uhbonline/books/protected/en_uk/aa_7_1_10_sec_guid/index.htm)

+ Improving the strength in login verification: setting up strength of passwords of user accounts; setting up appropriate timeout period; doing research on OTP or PKI integration for verification of login or transactions.

+ Checking user accounts and managing and/or connecting such accounts to the system for ensuring users’ correct rights, removing all unused accounts, changing passwords of the system’s default accounts and adopting appropriate measures for managing and protecting privileged accounts such as accounts ofProfile SuperKey, SuperVisor, MsgEntry, MsgPartner; Administrator/Rootof the operating system; accounts for database administration, etc.

+ Checking RMAs and removing unused RMAs.

-Checking and optimizing configuration of relevant systems or adopting security solutions or other services for improving SWIFT system’s information security:

+ Monitoring and limiting the number of servers performing connection operations to SWIFT System and adopting information security measures for these servers. To be specific: locating these servers in a separate secured network area; installing and updating hotfixes and anti-malware software on a regular basis; limiting the internet access; determining rights to user accounts in order that users can use appropriate operational applications and cannot install new software or modified software at the level of operating system; limiting the user ofperipheralequipment, etc.

+ Doing research on implementing measures for detecting and preventing fraudulent transactions on SWIFT System; analysis and warning on abnormal transactions on the basis of history of SWIFT System and that of relevant systems.

-Administrators, operators and users of SWIFT System should be provided with training courses in information security in order to how to prevent risks such as discovery of malicious emails and websites, and aware of their responsibility for management and use of user accounts and sensitive information.

TheInformation Technology Departmentaffiliated to the State Bank of Vietnam hereby requests involved institutions to implement this document.

For further details, please contact the Information Security Division -Information Technology Department, No. 64 Nguyen Chi Thanh Street, Dong Da District, Hanoi City, telephone:04.38354775, fax: 04.38358135, email: cnth8@sbv.gov.vn./.

Sincerely./.

For the General Director

The Deputy General Director

Phan Thai Dung

 

 

 

 

Vui lòng Đăng nhập tài khoản gói Nâng cao để xem đầy đủ bản dịch.

Chưa có tài khoản? Đăng ký tại đây

Lược đồ

Vui lòng Đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Lược đồ.

Chưa có tài khoản? Đăng ký tại đây

Văn bản này chưa có chỉ dẫn thay đổi
văn bản TIẾNG ANH
Bản dịch tham khảo
Official Dispatch 758/CNTH8 DOC (Word)
Vui lòng Đăng nhập tài khoản gói Tiếng Anh hoặc Nâng cao để tải file.

Chưa có tài khoản? Đăng ký tại đây

* Lưu ý: Để đọc được văn bản tải trên Luatvietnam.vn, bạn cần cài phần mềm đọc file DOC, DOCX và phần mềm đọc file PDF.

Để được giải đáp thắc mắc, vui lòng gọi

19006192

Theo dõi LuatVietnam trên

TẠI ĐÂY

văn bản cùng lĩnh vực
văn bản mới nhất