SWIFT 的客戶安全控制框架以一種容易被低估的方式發生了改變。從 2026 年週期起,Control 7.3A 不再讀作一次單純的年度掃描。指引如今描述了一組應在滾動式三年週期內演練的測試情境,涵蓋訊息傳遞介面、安全區域及其分段,以及真實入侵所利用的操作員工作站路徑(SWIFT 2025)。該控制屬建議性,但對任何自我聲明遵循的機構,評估者會期待一份關於範圍、方法、發現與補救的連貫紀錄,而非一紙證書。
那正是做出一個悄然決定您未來三年測試預算之選擇的時刻。
昂貴的做法,與卓越的做法
昂貴的做法把每一項法規讀作一份各自獨立的工作。您將 SWIFT 測試窄化界定範圍,然後為數位營運韌性法另行委託一次韌性測試,以第三次演練回應紐約的年度測試規則,再按第四套時程為加拿大監管機關準備證據。四次委託、四個偵察階段、四個補救週期,以及四套彼此無法契合的證據。更糟的是,這四者沒有一者像對手那樣端到端地看待您的機構。
卓越的做法始於多數團隊忽略的一項事實:這並非四種不同的測試。SWIFT 銳化後的 7.3A 指引、DORA 的威脅導向滲透測試、紐約的 23 NYCRR Part 500,以及加拿大的 OSFI B-13 指引,是同一理念的四種監管表述。如今各地監管機關都想要情報導向、威脅知情、能證明您的控制有效(而非證明它們存在)的測試。依其中最嚴苛者進行設計,就共享框架記錄結果,其餘者便作為附帶產物落定。
卓越的樣貌
卓越是風險導向的,而非合規導向的。滲透測試是您用以找出並退役最具後果之暴險的工具,而通過該控制,是您把這件事做好後自然發生的結果。四個動作造就了差別。
第一,依後果界定範圍。盤點您的 SWIFT 資產,並依一次入侵會造成的損害、而非依測試的難易來為各路徑排序。那是真實攻擊者會選擇的範圍,也是 OSFI B-13 與紐約規則皆獎賞的以後果為本的姿態。
第二,以威脅情報構築框架。讓關於鎖定金融訊息傳遞之行為者的當前情報塑造情境,使測試演練的是合理的入侵而非通用的入侵。這單獨一步便是把滲透測試轉化為威脅導向測試的關鍵,也是使同一演練在 DORA 與 B-13 之下可採信的關鍵。
第三,衡量偵測與應變,而不只是發現。重點不只是弱點的清單,而是您自身的監控是否看見了測試的發生,以及您的團隊是否予以遏制。那份衡量正是現代框架真正要求的證據。
第四,將結果一次性歸檔。將範圍、情境、攻擊敘事、發現、補救與偵測表現,記錄於 NIST 網路安全框架 2.0 之上,那是在大西洋兩岸、橫跨美國與加拿大皆受認可的唯一參照,然後標記至每一套法制。您並非通過了一次測試,而是建立了一項可重複使用的韌性證據資產。
一句話講完的對應
SWIFT 7.3A 要的是一場橫跨三年、情境導向、知曉安全區域的測試。DORA 要的是對重要實體至少每三年一次的情報導向測試,而 NIS2 為金融公司讓位於它。紐約要的是至少每年一次、從邊界內外兩側進行的滲透測試。OSFI B-13 要的是對科技足跡龐大的機構進行情報導向、以成果為本的測試。依每一者中最強的那一欄一次性設計,一次委託便能回應它們全部。
這把您帶到了何處
若您 2026 年的 SWIFT 評估正在逼近,問題已不再是該不該跑一次滲透測試,而是該跑四次還是一次。一家依後果界定範圍、以情報構築框架、衡量自身防禦、並就共享主幹歸檔證據的機構,花得更少,卻證明得更多。
本公司的 SWIFT CSP 評估服務會依此標準界定範圍並執行 7.3A 測試,而 PenTeva 則驗證並追蹤發現直至結案,使證據在四套法制中任一者之下都站得住腳。完整的論證,連同逐一法制的對應與參考文獻,載於我們的工作論文《一次測試,多方滿足》。
若您希望在聲明窗口之前進行一場範圍界定的對話,與我們的評估團隊交談。