تصديق SWIFT CSP 2026: 80% من البنوك تفشل في التقييم الأول — درس لبنوك SAMA

كشف تقرير حديث صادر عن Deloitte بعد إجراء أكثر من 200 تقييم لبرنامج SWIFT CSP خلال عام 2025 أن 80% من المؤسسات المالية الكبرى فشلت في اجتياز التقييم الأولي. ومع دخول إطار CSCF v2026 حيز التنفيذ، تتزايد الضغوط على البنوك السعودية المرتبطة بشبكة SWIFT لإثبات الالتزام قبل الموعد النهائي لتقديم التصديق السنوي في ديسمبر 2026.

ما هو برنامج SWIFT CSP ولماذا يهم بنوك SAMA؟

برنامج Customer Security Programme (CSP) هو إطار إلزامي أطلقته SWIFT بعد سلسلة الاختراقات الشهيرة التي استهدفت بنك بنغلاديش المركزي عام 2016. يتمحور البرنامج حول إطار ضوابط أمن العملاء (Customer Security Controls Framework - CSCF) الذي يفرض على كل عضو في شبكة SWIFT إجراء تصديق ذاتي سنوي عبر بوابة KYC-Security Attestation (KYC-SA).

بالنسبة لبنوك SAMA، يُعد هذا التصديق طبقة إضافية فوق متطلبات SAMA CSCC، حيث تنظر البنوك المراسلة الدولية إلى حالة تصديق CSP قبل الإبقاء على علاقات المراسلة. أي فشل في التصديق أو تأخر في تقديمه يُبلَّغ مباشرة للمشرفين عبر سجل KYC، مما يهدد قدرة البنك على إجراء التحويلات الدولية وقد يؤثر على تدفق المدفوعات بالدولار واليورو.

التغييرات الجوهرية في CSCF v2026

أصدرت SWIFT تحديثات على إطار الضوابط لعام 2026 ركزت على ثلاثة محاور رئيسية: تشديد متطلبات إدارة الهوية والوصول المميز (PAM)، وتوسيع نطاق المراقبة للمعاملات الشاذة، ورفع متطلبات الكشف عن الحوادث الأمنية إلى 24 ساعة. كما تم تعزيز ضوابط البيئة المعزولة (Secure Zone) لخوادم SWIFT Alliance، وأصبح الفصل بين الشبكة العامة وشبكة الدفع متطلبًا إلزاميًا (Mandatory) بدلًا من كونه موصى به.

أحد أهم التغييرات هو ضرورة إجراء تقييم مستقل (Independent Assessment) — إما عبر وظيفة تدقيق داخلية مستقلة أو من خلال مُقيّم خارجي معتمد من SWIFT. هذا المتطلب موجود منذ 2021، لكن SWIFT شددت في 2026 على ضرورة توثيق منهجية التقييم وشواهد الامتثال لكل ضابط على حدة، مما رفع سقف الجودة المطلوب.

أكثر نقاط الفشل شيوعًا في التقييمات

كشف تحليل التقييمات الفاشلة عن أنماط متكررة تستحق انتباه فرق الأمن في بنوك SAMA. على رأس القائمة يأتي ضعف ضوابط حسابات الخدمة المستخدمة لتشغيل خدمات SWIFT، حيث وُجدت كلمات مرور غير محدّثة منذ سنوات وعدم وجود مصادقة متعددة العوامل (MFA) للوصول الإداري. كذلك تكرر فشل الفصل المنطقي بين بيئة SWIFT وبقية شبكة البنك، وغياب مراقبة جلسات RDP وSSH للوصول إلى خوادم Alliance Access.

كما رصد المُقيّمون قصورًا في إدارة سجلات SWIFT، إذ تُحفظ السجلات لفترات لا تتوافق مع متطلبات CSCF (12 شهرًا كحد أدنى)، مع غياب التكامل مع منصات SIEM المركزية. ومن النقاط الحرجة أيضًا، عدم وجود اختبار اختراق سنوي مخصص لبيئة SWIFT بمعايير CSCF، مما يُعد إخلالًا جوهريًا بالضابطين 1.1 و2.6.

التأثير على المؤسسات المالية السعودية

تتقاطع متطلبات SWIFT CSP مع ضوابط SAMA CSCC في عدة مجالات، خاصة ضوابط إدارة الهوية والوصول (3.3) ومراقبة الأمن (3.5) والاستجابة للحوادث (3.6). الفشل في تصديق SWIFT CSP لا يعرض البنك لمخاطر علاقات المراسلة فحسب، بل يُعد أيضًا مؤشر ضعف في حوكمة الأمن السيبراني وفق متطلبات ساما.

إضافة إلى ذلك، يتقاطع التصديق مع متطلبات NCA ECC في المجالات المتعلقة بحماية البنية التحتية الحرجة وإدارة الموردين الخارجيين، خصوصًا أن SWIFT تُعد طرفًا ثالثًا حيويًا (Critical Third Party). كذلك تتطلب مادة 19 من نظام حماية البيانات الشخصية PDPL ضمان حماية بيانات العملاء أثناء نقلها عبر الشبكات، وهو ما يدعمه ضابط 4.2 في CSCF بفرض تشفير الاتصالات.

التوصيات والخطوات العملية

1. إجراء تقييم فجوة (Gap Assessment) فوري ضد إطار CSCF v2026 وتحديد الضوابط ذات المخاطر العالية قبل بدء التقييم الرسمي
2. توثيق هندسة بيئة SWIFT بشكل دقيق مع رسم خرائط الشبكة والتدفقات لإثبات الفصل المنطقي والمادي عن باقي البيئة
3. تفعيل المصادقة متعددة العوامل (MFA) لجميع المستخدمين الإداريين والعاديين في بيئة SWIFT دون استثناء، مع توثيق عملية إدارة الاستثناءات
4. مراجعة كافة حسابات الخدمة المرتبطة بـ Alliance Access وAlliance Gateway، وتطبيق دوران كلمات مرور تلقائي عبر حل PAM
5. دمج سجلات SWIFT في منصة SIEM المركزية وتفعيل قواعد كشف للأنماط الشاذة مثل المحاولات المتكررة للدخول وتعديلات قوالب MT الحساسة
6. جدولة اختبار اختراق متخصص لبيئة SWIFT يُجريه فريق محايد مؤهل في معايير CSCF قبل موعد التصديق بثلاثة أشهر على الأقل
7. إعداد ملف الأدلة (Evidence Pack) بشكل منهجي لكل ضابط من ضوابط CSCF لتجنب الاعتراضات أثناء التقييم المستقل

الخلاصة

مع تشديد SWIFT لمتطلبات CSCF v2026 وارتفاع نسب الفشل في التقييمات الأولية إلى 80%، لم يعد التصديق إجراءً شكليًا بل اختبارًا حقيقيًا لنضج البنك السيبراني. على بنوك SAMA البدء فورًا في الاستعداد، واستثمار التقاطع مع ضوابط ساما لتوحيد جهود الامتثال بدلًا من العمل في صوامع منفصلة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وSWIFT CSCF v2026.