除其他外，Swift 是一个由金融机构组成的合作组织，它们同意使用相同的标准化消息传递系统进行金融交易。因此，他们公开宣传使用 ISO 20022 作为金融机构之间消息传递的主要标准。也就是说，每个成员都可以在不同平台上使用各种各样的软件来实施这个标准，每个平台都有自己的安全漏洞。该标准本身有点过时，可能还可以改进，但给金融机构造成漏洞的更大问题是每个实体的安全控制实施和选择。

ISO 20022 标准可供审查，但每个供应商的实施可能不是。就认证而言，这些组件很可能通过 ISO 20022 兼容性认证（如果有的话），而不是从攻击者的角度来看的安全性；所以从你的问题的角度来看，这可能不是有意义的事情。

我认为组织创建一套更严格的安全标准是明智的，成员也必须遵守这些标准，可能类似于但比 PCI-DSS 更强，但我怀疑成员组织会对此提出很多反对意见不想要额外的要求。也就是说，我认为你提出了非常有效的观点，我认为使用 Swift 的组织向他们的同行施加压力以帮助解决安全需求是非常明智的。更重要的是，我认为这些成员组织中的很多目前都被困在使用传统的安全方法来对抗更多的高科技对手。现在将是该组织更加重视增强其网络实力以减少与违规相关的未来费用的好时机。

在最近的一系列攻击中似乎也出现了一件事情，那就是 SWIFT 向所有连接的银行发出请求，要求它们报告潜在的违规信息和网络攻击。因此，SWIFT 似乎将很多安全责任留给了各个银行，并且没有考虑那些不会采取适当安全措施来保护 SWIFT 网络的银行。已经发生的攻击的各个方面也可能意味着从纯粹的欺诈检测角度来看，对 SWIFT 交易的内部监控非常少。以下路透社文章指出，银行之间的关系似乎也很脆弱，许多实力较弱的银行不太可能承认其安全缺陷，而这些缺陷在所有参与的小型银行中可能有些普遍在网络中。同样，该文章继续讨论 SWIFT 参与者的重要性，即增加他们自己的非 SWIFT 验证方法，以增加安全性较低的 SWIFT 流程的安全性，因为这似乎意味着业内人士不太相信在 SWIFT 网络的安全性方面，它在许多方面都是已知的风险。

http://www.reuters.com/article/us-cyber-heist-swift-specialreport-idUSKCN0YB0DD

最后应该指出的是，ISO 20022 标准在标准本身内没有太多的安全方式。这是一个非常古老的通信标准，对许多现代安全控制没有要求，如果今天构建类似的网络可能需要这些控制。

• 迅速
• SWIFT 标准
• ISO 20022

重要的是要记住，与许多其他互连协议和方法不同，SWIFT 交易旨在在完全隔离的环境中运行（即仅在银行之间建立的、受保护的链路上运行）。相信连接安全的有效性可能是一个错误的决定（纵深防御失败），但在这一点上，“对 SWIFT 的攻击”已经构成了损害银行系统的一个不同的、更易受攻击的方面（例如将恶意软件安装到银行家的个人电脑），然后使用该漏洞作为支点，向 SWIFT 系统移动并使用该访问权限执行盗窃。

这类似于闯入银行金库（通常需要付出很大的努力，但有时不会），然后用撬棍轻松撬开所有小保险箱门以获得拖运：您可以说保险箱应该得到更好的保护以抵抗简单的肘部油脂攻击，但通常会花费更多精力来保护对整个保险库的访问。