تغيّر إطار ضوابط أمن العملاء في SWIFT على نحو يسهل التقليل من شأنه. فمن دورة عام 2026، لم يعد الضابط 7.3A يُقرأ بوصفه مسحًا سنويًا واحدًا. فالتوجيه يصف الآن مجموعة من سيناريوهات الاختبار التي ينبغي ممارستها عبر دورة متجدّدة من ثلاث سنوات، تغطّي واجهة المراسلة، والمنطقة الآمنة وتجزئتها، ومسارات محطات عمل المشغّل التي تستغلّها الاقتحامات الحقيقية (SWIFT 2025). والضابط إرشادي، لكن بالنسبة لأي مؤسسة تصدّق ذاتيًا في مواجهته، سينتظر المُقيّم سجلًّا متماسكًا للنطاق والمنهج والنتائج والمعالجة، لا شهادة.
تلك هي اللحظة لاتخاذ خيار يقرّر بهدوء ميزانية اختبارك للسنوات الثلاث القادمة.
الطريقة المكلفة، والطريقة المتميّزة
الطريقة المكلفة تقرأ كل لائحة بوصفها وظيفة منفصلة. فتحدّد نطاق اختبار SWIFT ضيّقًا، ثم تكلّف باختبار صمود منفصل لقانون الصمود التشغيلي الرقمي، وتجيب على قاعدة الاختبار السنوي في نيويورك بتمرين ثالث، وتعدّ أدلة لمنظّم كندي على جدول زمني رابع. أربعة ارتباطات، وأربع مراحل استطلاع، وأربع دورات معالجة، وأربع مجموعات أدلة لا يتلاءم بعضها مع بعض. والأسوأ أن لا واحدة من الأربع ترى مؤسستك كما يراها خصم، من طرف إلى طرف.
الطريقة المتميّزة تنطلق من حقيقة تغفلها معظم الفرق: هذه ليست أربعة اختبارات مختلفة. فتوجيه 7.3A المشحوذ في SWIFT، واختبار الاختراق المبني على التهديد في DORA، وقاعدة 23 NYCRR Part 500 في نيويورك، والتوجيه B-13 الصادر عن OSFI في كندا، أربعة تعبيرات إشرافية عن فكرة واحدة. فالمنظّمون في كل مكان يريدون الآن اختبارًا مقادًا بالمعلومات الاستخباراتية ومبنيًّا على التهديد يثبت أن ضوابطك تعمل، لا اختبارًا يثبت أنها قائمة. صمّم إلى أكثرها تطلّبًا، وسجّل النتيجة في مواجهة إطار مشترك، فيتساقط الباقي بوصفه منتجًا ثانويًا.
ما الذي يبدو عليه التميّز
التميّز مقاد بالمخاطر لا بالامتثال. فاختبار الاختراق هو الأداة التي تستخدمها لإيجاد أكثر مكامن تعرّضك عاقبةً وإزالتها، واجتياز الضابط هو ما يحدث حين تفعل ذلك على نحو جيد. وأربع حركات تصنع الفرق.
أولًا، حدّد النطاق بحسب العاقبة. اجرد عقار SWIFT لديك ورتّب المسارات بحسب الضرر الذي قد يسبّبه اختراق، لا بحسب سهولة اختبارها. تلك هي النطاق الذي سيختاره مهاجم حقيقي، وهي الوضعية المقادة بالعاقبة التي يكافئها كلّ من OSFI B-13 وقاعدة نيويورك.
ثانيًا، أطّر بالمعلومات الاستخباراتية عن التهديدات. دع المعلومات الراهنة عن الفاعلين الذين يستهدفون المراسلة المالية تشكّل السيناريوهات، كي يتمرّن الاختبار على اقتحامات معقولة لا عامة. وهذه الخطوة المنفردة هي ما يحوّل اختبار اختراق إلى اختبار مبني على التهديد، وهي ما يجعل التمرين نفسه ذا مصداقية تحت DORA وB-13.
ثالثًا، قِس الكشف والاستجابة، لا النتائج وحدها. فالغاية ليست مجرّد قائمة الثغرات. بل ما إن كانت مراقبتك أنت رأت الاختبار يقع وما إن كان فريقك قد احتواه. وذلك القياس هو الدليل الذي تطلبه الأطر الحديثة فعلًا.
رابعًا، سجّل النتيجة مرة واحدة. سجّل النطاق والسيناريوهات وسرد الهجوم والنتائج والمعالجة وأداء الكشف في مواجهة إطار الأمن السيبراني للمعهد الوطني للمعايير والتقنية النسخة 2.0، المرجع الوحيد المعترَف به على جانبي الأطلسي وعبر الولايات المتحدة وكندا، ثم وسمها لكل نظام. لم تجتَز اختبارًا. بل بنيت أصل أدلة صمود قابلًا لإعادة الاستخدام.
التخطيط، في سطر واحد لكل نظام
يريد SWIFT 7.3A اختبارًا قائمًا على السيناريو وواعيًا بالمنطقة الآمنة على مدى ثلاث سنوات. ويريد DORA اختبارًا مقادًا بالمعلومات الاستخباراتية مرة كل ثلاث سنوات على الأقل للكيانات المهمّة، مع تنحّي NIS2 جانبًا للشركات المالية. وتريد نيويورك اختبار اختراق مرة سنويًا على الأقل، من داخل الحدود ومن خارجها. ويريد OSFI B-13 اختبارًا مقادًا بالمعلومات الاستخباراتية وقائمًا على النتيجة للمؤسسات ذات البصمة التقنية الكبيرة. صمّم مرة واحدة إلى أقوى عمود في كل منها، فيجيب ارتباط واحد عليها جميعًا.
أين يتركك هذا
إن كان تقييم SWIFT لديك لعام 2026 يقترب، فالسؤال لم يعد ما إن كان عليك إجراء اختبار اختراق. بل ما إن كان عليك إجراؤه أربع مرات أو مرة واحدة. والمؤسسة التي تحدّد النطاق بحسب العاقبة، وتؤطّر بالمعلومات الاستخباراتية، وتقيس دفاعاتها هي، وتحفظ الأدلة في مواجهة عمود فقري مشترك، تنفق أقلّ وتثبت أكثر.
تتولّى خدمة تقييم SWIFT CSP لدينا تحديد نطاق اختبار 7.3A وإجراءه إلى هذا المستوى، ويتحقّق PenTeva من النتائج ويتتبّعها حتى الإغلاق كي تصمد الأدلة تحت أي من الأنظمة الأربعة. والتعليل الكامل، مع التخطيط نظامًا نظامًا والمراجع، في ورقتنا البحثية، اختبِر مرة، تُرضِ الكثيرين.
وإن رغبت في محادثة لتحديد النطاق قبل نافذة تصديقك، تحدّث إلى فريق التقييم لدينا.