تفويض الثقة المعدومة من SAMA: متطلبات إلزامية للمؤسسات المالية في 2026

أعلن البنك المركزي السعودي (SAMA) رسمياً أن نموذج الأمن المحيطي التقليدي — المعروف بنموذج "القلعة والخندق" — لم يعد مقبولاً لحماية البنية التحتية المالية. اعتباراً من الربع الأول من 2026، بات مطلوباً من جميع البنوك وشركات التقنية المالية وشركات التأمين إثبات نضج واضح في تطبيق بنية الثقة المعدومة (Zero Trust)، وإلا فإنها تواجه عقوبات قد تصل إلى تعليق التراخيص وغرامات مالية ثقيلة.

ما هي بنية الثقة المعدومة ولماذا تتبناها SAMA الآن؟

بنية الثقة المعدومة (Zero Trust Architecture) تقوم على مبدأ بسيط وجذري: لا تثق بأي مستخدم أو جهاز أو تطبيق تلقائياً، سواء كان داخل الشبكة أو خارجها. كل طلب وصول يجب التحقق منه بشكل مستقل، في كل مرة، بناءً على هوية المستخدم وحالة الجهاز وسياق الطلب. الهجمات المتقدمة التي استهدفت القطاع المالي في المنطقة خلال 2025 أثبتت أن المهاجمين يتجاوزون الدفاعات المحيطية بسهولة عبر تقنيات التصيد المتطور وسرقة بيانات الاعتماد والتنقل الأفقي داخل الشبكات. هذا الواقع دفع SAMA إلى تحويل الثقة المعدومة من توصية إلى متطلب إلزامي ضمن إطار الأمن السيبراني المحدّث (CSCC).

تفاصيل التفويض: ماذا تطلب SAMA تحديداً؟

وفقاً للتحديثات الصادرة، يتضمن التفويض الجديد عدة محاور أساسية. أولاً، يجب على كل مؤسسة مالية تقديم خارطة طريق واضحة لتطبيق الثقة المعدومة أثناء عمليات التدقيق من SAMA. ثانياً، يُشترط تطبيق المصادقة متعددة العوامل (MFA) لجميع حسابات الوصول المميز والاتصالات عن بُعد، وهو ما يتوافق أيضاً مع ضوابط NCA ECC-1 للحوكمة السيبرانية و ECC-3 للتحكم في الوصول. ثالثاً، يجب تطبيق مبدأ الحد الأدنى من الصلاحيات (Least Privilege) على جميع الأنظمة التي تعالج البيانات المالية. رابعاً، يُطلب تفعيل التجزئة المصغّرة (Micro-segmentation) للشبكات لمنع التنقل الأفقي للمهاجمين بين الأنظمة الحساسة.

العقوبات: ماذا يحدث عند عدم الامتثال؟

عدم تقديم خارطة طريق للثقة المعدومة أثناء التدقيق لم يعد ملاحظة هامشية — بل يمكن أن يؤدي إلى تعليق ترخيص المؤسسة المالية وفرض غرامات مالية كبيرة بموجب إطار الأمن السيبراني المحدّث. هذا التشدد يعكس توجهاً أوسع في دول مجلس التعاون الخليجي نحو ربط الامتثال السيبراني بالترخيص التشغيلي مباشرة، مما يرفع الأمن السيبراني من مسؤولية تقنية إلى مسؤولية على مستوى مجلس الإدارة.

التأثير على المؤسسات المالية السعودية

هذا التفويض يمثل تحولاً جوهرياً في كيفية تعامل المؤسسات المالية مع أمن المعلومات. البنوك التي استثمرت تاريخياً في جدران الحماية وأنظمة كشف التسلل كخط دفاع أساسي تحتاج الآن إلى إعادة هندسة نهجها الأمني بالكامل. التحدي مضاعف لشركات التقنية المالية (Fintech) الناشئة التي قد لا تملك البنية التحتية أو الكوادر اللازمة لتنفيذ تحول بهذا الحجم. كما أن متطلبات استضافة البيانات داخل المملكة (Data Residency) تضيف طبقة إضافية من التعقيد، إذ يجب أن تعمل بنية الثقة المعدومة جنباً إلى جنب مع ضوابط سيادة البيانات لضمان بقاء بيانات العملاء الحساسة وسجلات المعاملات على بنية تحتية داخل الحدود السعودية.

من جانب آخر، فإن التوافق بين متطلبات SAMA وضوابط NCA ECC يعني أن المؤسسات التي تحقق الامتثال لأحدهما ستكون في وضع أفضل للامتثال للآخر، مما يقلل من ازدواجية الجهود إذا تمت إدارة المشروع بذكاء.

التوصيات والخطوات العملية

1. تقييم الوضع الحالي: أجرِ تقييماً شاملاً للفجوات بين وضعك الأمني الحالي ومتطلبات الثقة المعدومة. حدد الأصول الحرجة ومسارات الوصول إليها ونقاط الضعف في آليات التحقق الحالية.
2. بناء خارطة طريق مرحلية: لا تحاول تطبيق الثقة المعدومة دفعة واحدة. ابدأ بالأنظمة الأكثر حساسية (الأنظمة المصرفية الأساسية وقواعد بيانات العملاء) ثم توسّع تدريجياً. وثّق كل مرحلة بما يكفي لتقديمها في تدقيق SAMA.
3. تفعيل المصادقة المتقدمة: طبّق MFA على جميع نقاط الوصول المميز فوراً إذا لم تكن مفعّلة بالفعل. استخدم حلول المصادقة التكيفية (Adaptive Authentication) التي تأخذ بعين الاعتبار سياق الطلب وسلوك المستخدم والمخاطر المرتبطة.
4. تنفيذ التجزئة المصغّرة: قسّم شبكتك إلى مناطق معزولة باستخدام تقنيات Micro-segmentation. هذا يمنع المهاجم الذي يخترق نقطة واحدة من التنقل بحرية إلى أنظمة أخرى. أدوات مثل Illumio و Guardicore و VMware NSX توفر قدرات متقدمة في هذا المجال.
5. مراقبة مستمرة وتحليل سلوكي: اعتمد حلول UEBA (User and Entity Behavior Analytics) لاكتشاف الأنماط الشاذة في سلوك المستخدمين والأجهزة. الثقة المعدومة ليست مشروعاً ينتهي — بل هي عملية مراقبة وتحسين مستمرة.
6. توثيق وتقارير الامتثال: أنشئ آلية توثيق مستمرة تربط كل ضابط في خارطة الطريق بمتطلبات SAMA CSCC و NCA ECC المقابلة. هذا يُسهّل عملية التدقيق ويُظهر النضج التنظيمي.

ثلاث قدرات أساسية يجب إثباتها

وفقاً للمعايير الجديدة في دول الخليج، يجب على المؤسسات المالية إثبات ثلاث قدرات جوهرية: أولاً، التحقق المتقدم من الهوية الذي يتجاوز كلمات المرور إلى الإشارات البيومترية والسلوكية. ثانياً، فرض السياسات الديناميكية التي تتكيف لحظياً مع مستوى المخاطر المُقدَّر. ثالثاً، القدرة على إثبات الامتثال المستمر من خلال سجلات تدقيق شاملة وتقارير آلية تُظهر فعالية الضوابط المطبقة.

الخلاصة

تفويض SAMA بتبني بنية الثقة المعدومة ليس مجرد متطلب تنظيمي إضافي — إنه إعادة تعريف لمعنى الأمن السيبراني في القطاع المالي السعودي. المؤسسات التي تتحرك الآن ستحول هذا التحدي إلى ميزة تنافسية، بينما المتأخرون يخاطرون بتراخيصهم التشغيلية. الوقت ليس في صالح الانتظار.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وبناء خارطة طريق عملية لتطبيق الثقة المعدومة تلبي متطلبات التدقيق.