Tra le altre cose, Swift è un'organizzazione cooperativa di istituzioni finanziarie che accettano di utilizzare lo stesso sistema di messaggistica standardizzato per le transazioni finanziarie. In quanto tali, promuovono pubblicamente l'uso della ISO 20022 come principale standard per la messaggistica tra istituti finanziari. Detto questo, ogni membro può implementare questo standard utilizzando un'ampia varietà di software su piattaforme diverse, ognuna delle quali può avere le proprie vulnerabilità di sicurezza. Lo standard stesso è un po 'datato e probabilmente potrebbe essere migliorato, ma il problema più grande che crea vulnerabilità per le istituzioni finanziarie è l'implementazione di ciascuna entità e la scelta dei controlli di sicurezza.
Lo standard ISO 20022 è accessibile per la revisione ma probabilmente l'implementazione di ciascun fornitore non lo è. Per quanto riguarda la certificazione, questi componenti dovrebbero molto probabilmente essere certificati per la compatibilità ISO 20022, se non altro, e non per la sicurezza dal punto di vista di un aggressore; quindi probabilmente non è qualcosa di significativo dal punto di vista della tua domanda.
Penso che sarebbe saggio per l'organizzazione creare un insieme più rigoroso di standard di sicurezza che i membri devono rispettare anche, possibilmente simili ma più forti di PCI-DSS, ma sospetto che ci sarebbero molte obiezioni a questo da organizzazioni membri che non desiderano i requisiti aggiuntivi. Detto questo, ritengo che tu stia sollevando punti molto validi e penso che sarebbe molto saggio per le organizzazioni che utilizzano Swift esercitare pressioni sui loro pari per contribuire a soddisfare le esigenze di sicurezza. Ancora più importante, penso che molte di queste organizzazioni membro siano attualmente bloccate usando i tradizionali metodi di sicurezza per combattere molti più avversari high-tech. Ora sarebbe un grande momento per quell'organizzazione porre maggiore enfasi sull'aumento della forza della sua rete per ridurre le spese future legate alle violazioni.
Una cosa che sembra essere emersa durante la recente serie di attacchi è che SWIFT ha fatto una richiesta a tutte le banche collegate chiedendo loro di segnalare potenziali informazioni sulle violazioni e attacchi informatici. Sembra quindi che SWIFT abbia lasciato molte responsabilità in materia di sicurezza nelle mani delle singole banche e non abbia tenuto conto delle banche che non avrebbero eseguito misure di sicurezza adeguate per difendere la rete SWIFT. Aspetti degli attacchi verificatisi possono anche implicare che il monitoraggio interno delle transazioni SWIF da un punto di vista puramente antifrode è molto limitato. Il seguente articolo di Reuters sottolinea che sembra che le relazioni tra le banche siano anche fragili e che molte delle banche più deboli difficilmente ammetteranno le loro carenze di sicurezza e che queste carenze potrebbero essere un po 'comuni tra tutte le banche più piccole partecipanti nella rete. Allo stesso modo, l'articolo continua a parlare dell'importanza dei partecipanti SWIFT ad aumentare i propri metodi di verifica non SWIFT per aggiungere sicurezza al processo SWIFT meno sicuro in quanto sembrerebbe implicare che gli addetti ai lavori del settore non hanno molta fede nella sicurezza della rete SWIFT e che è un rischio noto in molti modi.
link
Infine, va notato che lo standard ISO 20022 non ha molto in termini di sicurezza all'interno dello standard stesso. Questo è uno standard di comunicazione molto vecchio, senza requisiti per molti moderni controlli di sicurezza che sarebbero probabilmente necessari se una rete simile fosse stata progettata oggi.