متطلبات SWIFT CSP الإلزامية لعام 2026: ما يجب على بنوك SAMA معرفته

مع اقتراب الموعد النهائي في 31 ديسمبر 2026، يدخل إطار SWIFT Customer Security Controls Framework (CSCF) مرحلة جديدة تجعل ضوابط كانت اختيارية بالأمس إلزامية غداً. بنوك المملكة العربية السعودية المتصلة بشبكة SWIFT تواجه استحقاقاً مزدوجاً: الالتزام بمتطلبات SWIFT العالمية، والمواءمة المتزامنة مع إطار SAMA Cyber Security Framework. أي تأخير في الإثبات السنوي قد يُحوَّل تلقائياً إلى البنك المركزي السعودي والجهات الرقابية المحلية.

ما الذي يتغير فعلياً في إصدار CSCF 2026

اعتمد SWIFT في النسخة الأخيرة من إطار الضوابط ترقية عدد من الضوابط من فئة "Advisory" إلى "Mandatory"، أبرزها الضابط 1.5 المتعلق بحماية بيئة الاتصال الخاصة بالعميل (Customer Connector)، والضابط 6.2 الخاص بسلامة البرمجيات، إضافة إلى تعزيز متطلبات 2.4A لإدارة جلسات SWIFTNet. هذه الضوابط لم تعد قابلة للتأجيل، ويجب أن يُثبت البنك تطبيقها عبر تقييم مستقل قبل انتهاء العام.

التغيير الجوهري الآخر هو توسيع نطاق "Architecture Type" ليشمل بيئات الحوسبة السحابية الهجينة. كثير من البنوك السعودية انتقلت إلى نموذج A4 أو B بعد تبني خدمات سحابية معتمدة، وهذا يفرض تطبيق ضوابط إضافية لم تكن مطلوبة سابقاً مثل تشفير الاتصال بين البنية السحابية ومراكز البيانات المحلية.

أعلى المخاطر التي يستهدفها الإطار الجديد

وفقاً لتقارير SWIFT ISAC، فإن 67% من الهجمات الناجحة على بنية SWIFT تضمنت سرقة بيانات اعتماد المشغلين، فيما استغل 45% منها ثغرات غير مُرقَّعة في أجهزة الشبكة المحيطة بالمنطقة الآمنة. هنا تأتي أهمية الضابط 5.1 الذي يفرض المصادقة متعددة العوامل على كل وصول، والضابط 2.3 الذي يلزم بتقوية أنظمة التشغيل ومراجعة قواعد الجدار الناري بشكل دوري.

التهديدات التي رصدتها مجموعات مثل Lazarus وLuna Moth تستهدف تحديداً مرحلة التحقق الثانوي للحوالات (Second Operator Approval)، ولهذا شدّد SWIFT في الإصدار الجديد على فصل المهام (Segregation of Duties) ومنع تجاوز السلسلة الكاملة لاعتماد رسائل MT103/MT202 من جهاز واحد أو حساب واحد.

التأثير على المؤسسات المالية السعودية

بنوك المملكة الخاضعة لرقابة SAMA تعمل ضمن منظومة رقابية صارمة. المتطلبات الجديدة لـ SWIFT CSP تتقاطع مع نطاقات متعددة في إطار SAMA CSF، خاصة المجال الثالث (Cyber Security Operations) والمجال الرابع (Third Party Cyber Security). الفشل في الإثبات السنوي قبل ديسمبر 2026 يعني أن SWIFT سيُبلِّغ تلقائياً البنك المركزي السعودي، وهذا قد يُترجَم إلى ملاحظات تفتيشية أو غرامات ضمن صلاحيات SAMA.

كذلك، اللائحة الجديدة NCNICC-1:2025 من الهيئة الوطنية للأمن السيبراني توسّع نطاق الإبلاغ عن الحوادث، ما يعني أن أي خرق في بيئة SWIFT لم يعد شأناً داخلياً بل يستوجب إخطار أكثر من جهة خلال نوافذ زمنية ضيقة. الامتثال لـ PDPL يضيف طبقة إضافية لأن سجلات الحوالات المالية تتضمن بيانات شخصية لعملاء البنك ومستفيديه.

التوصيات والخطوات العملية لفِرق الأمن وCISOs

1. إجراء فجوة تحليلية فورية ضد إصدار CSCF 2026 وتحديد الضوابط التي تحوّلت من Advisory إلى Mandatory في بيئتك تحديداً.
2. مراجعة Architecture Type المسجَّل في بوابة KYC-SA الخاصة بـ SWIFT، والتأكد من أنه يعكس البنية الفعلية بعد أي تحديثات سحابية أو هجينة.
3. تطبيق فصل صارم للشبكات بين منطقة SWIFT الآمنة (Secure Zone) وبقية بيئة البنك، مع تطبيق Jump Server مخصص ومراقبة كل جلسة.
4. تفعيل MFA مقاومة للتصيّد (FIDO2 أو شهادات رقمية) لجميع المشغلين والمسؤولين، بدلاً من OTP عبر SMS الذي لم يعد مقبولاً.
5. تنفيذ مراقبة سلوكية مستمرة على رسائل MT/MX، وربط الإنذارات بمركز عمليات الأمن (SOC) لرصد أي حوالة شاذة في الوقت الفعلي.
6. التعاقد مع مُقيِّم مستقل معتمد من قائمة SWIFT قبل الربع الثالث من 2026، لأن الجدول الزمني مزدحم وأماكن المُقيِّمين في المنطقة محدودة.
7. توثيق كل ضابط بأدلة قابلة للتدقيق (سياسات، إعدادات، سجلات اختبار) جاهزة للعرض على مُقيِّم SWIFT ومراجعي SAMA في آن واحد.

الخلاصة

الفترة المتبقية حتى استحقاق SWIFT CSP 2026 ليست رفاهية. البنوك التي تبدأ المعالجة الآن ستدخل ديسمبر 2026 بثقة، أما من يؤجل إلى الربع الأخير فسيواجه ضغطاً مضاعفاً من جداول المُقيِّمين وانعكاسات الإبلاغ الرقابي. الاستثمار في الامتثال اليوم أرخص بكثير من تكلفة هجوم ناجح أو ملاحظة تفتيشية من SAMA.

هل بنكك جاهز لاستحقاق SWIFT CSP 2026؟ تواصل مع فريق فنترالينك للحصول على تقييم فجوة مجاني يربط ضوابط SWIFT CSCF بمتطلبات SAMA CSF وNCA ECC في خارطة طريق واحدة قابلة للتنفيذ.