Entre otras cosas, Swift es una organización cooperativa de instituciones financieras que aceptan usar el mismo sistema de mensajería estandarizado para las transacciones financieras. Como tales, promueven públicamente el uso de ISO 20022 como su principal estándar para la mensajería entre instituciones financieras. Dicho esto, cada miembro puede implementar este estándar utilizando una variedad muy amplia de software en diferentes plataformas, cada una de las cuales puede tener sus propias vulnerabilidades de seguridad. El estándar en sí está un poco anticuado y probablemente podría mejorarse, pero el problema más grande que genera vulnerabilidades para las instituciones financieras es la implementación y la elección de los controles de seguridad de cada entidad.
El estándar ISO 20022 es accesible para su revisión, pero la implementación de cada proveedor probablemente no lo sea. En lo que respecta a la certificación, es muy probable que estos componentes estén certificados para la compatibilidad con ISO 20022, y no para la seguridad desde la perspectiva de un atacante; por lo que probablemente esto no sea algo significativo desde el punto de vista de su pregunta.
Creo que sería prudente para la organización crear un conjunto más riguroso de estándares de seguridad que los miembros también deben cumplir, posiblemente similar pero más fuerte que el PCI-DSS, pero sospecho que habrá muchas objeciones a esto por parte de Organizaciones afiliadas que no quieren los requisitos adicionales. Dicho esto, creo que está planteando puntos muy válidos y creo que sería muy sensato que las organizaciones que usan Swift presionen a sus pares para ayudar a abordar las necesidades de seguridad. Más importante aún, creo que muchas de estas organizaciones miembros están actualmente atascadas usando métodos de seguridad tradicionales para luchar contra adversarios de alta tecnología. Ahora sería un buen momento para que esa organización ponga un mayor énfasis en aumentar la solidez de su red para reducir los gastos futuros relacionados con las infracciones.
Una cosa que también parece haber surgido durante la reciente serie de ataques es que SWIFT envió una solicitud a todos los bancos conectados pidiéndoles que informen sobre posibles infracciones y ciberataques. Como tal, parece que SWIFT dejó gran parte de la responsabilidad de seguridad en manos de los bancos individuales y no tuvo en cuenta a los bancos que no realizarían las medidas de seguridad adecuadas para defender la red de SWIFT. Los aspectos de los ataques que han ocurrido también pueden implicar que hay muy poco monitoreo interno de las transacciones SWIFT desde un punto de vista puramente de detección de fraude. El siguiente artículo de Reuters señala que parece que las relaciones entre los bancos también son frágiles y que es poco probable que muchos de los bancos más débiles admitan sus fallas en la seguridad y que estas fallas pueden ser algo comunes entre todos los bancos más pequeños que participan en la red. Del mismo modo, el artículo continúa hablando sobre la importancia de que los participantes de SWIFT también aumenten sus propios métodos de verificación que no sean SWIFT para agregar seguridad al proceso SWIFT menos seguro, ya que esto parece implicar que los expertos de la industria no tienen mucha fe en la seguridad de la red SWIFT y que es un riesgo conocido de muchas maneras.
enlace
Finalmente, se debe tener en cuenta que la norma ISO 20022 no tiene mucha seguridad dentro de la misma norma. Este es un estándar de comunicación muy antiguo sin requisitos para muchos controles de seguridad modernos que probablemente se requerirían si se diseñara una red similar hoy en día.