بنك إنجلترا: فشل القطاع المالي في تنفيذ ضوابط الأمن السيبراني الأساسية

هل تشعر بالقلق إزاء المنظمات التي تحمي أموالك؟ تشير المراجعة السنوية للأمن السيبراني في المملكة المتحدة لعام 2025 إلى أنه ينبغي عليك القيام بذلك. على الرغم من سنوات من التنظيم، لا تزال المؤسسات المالية تفتقد ضمانات الأمن السيبراني الأساسية.

أحدث النتائج تأتي من”https://www.bankofengland.co.uk/financial-stability/operational-resilience-of-the-financial-sector/2025-cbest-thematic” rel=”nofollow”> تقرير سي بيست، والذي شارك في تأليفه ممثلون عن هيئة التنظيم الاحترازي، وهيئة السلوك المالي، وبنك إنجلترا.

من خلال أخذ أبرز النتائج التي توصل إليها عام 2025 من 13 تقييمًا من CBEST واختبارات الاختراق المدعومة من الجهات التنظيمية للشركات المالية، وجد بنك إنجلترا أن نقاط الضعف مثل ضعف ضوابط الوصول وكلمات المرور كانت شائعة بين الشركات والبنى التحتية للإدارة المالية (FMIs).

من الناحية الفنية، تم تكوينه بشكل خاطئ وغير متسق”https://www.theregister.com/2026/01/16/patch_tuesday_secure_launch_bug_no_shutdown/”> الأنظمة المصححة تم تسليط الضوء عليها باعتبارها قضايا متكررة، وكذلك آليات الكشف عن التدخلات المحتملة ونقاط الضعف.

وأشار التقرير إلى أنه “نظرًا لتطور بعض المهاجمين، فمن المهم أن تكون الشركات والمؤسسات المالية الفيدرالية مستعدة للتعامل مع الخروقات بفعالية، بدلاً من الاعتماد فقط على الضوابط الوقائية.

“In addition to technical measures, we continue to observe challenges in staff culture, awareness, and training, highlighting that technical measures alone are not sufficient.”

كشفت تقييمات CBEST أن المجرمين يستخدمون”https://www.theregister.com/2025/08/21/impersonation_as_a_service/”> الهندسة الاجتماعية يمكن أن تتجاوز التكتيكات الضوابط عند استهداف المنظمات ذات الثقافة الأمنية الضعيفة. ويعتقد المقيمون ذلك”https://www.theregister.com/2025/10/16/ai_makes_phishing_45x_more_effective/”>التصيد الاحتيالي يمكن أن يكون ناجحًا في بعض الحالات، وكان كشف الموظفين عن معلومات حساسة من خلال وسائل التواصل الاجتماعي والتوصيف الوظيفي احتمالًا واقعيًا.

كانت مؤسسات FMI التي لم يكن لديها بروتوكولات صارمة لمكاتب المساعدة الخاصة بها، مثل التحقق من هوية المتصلين، عرضة أيضًا للمهاجمين الذين وصلوا عن طريق الاحتيال إلى بيانات الاعتماد المشروعة.

وقد أثرت NCSC في هذا الأمر، قائلة إن هذه الأنواع من الهجمات هي مصدر الخبز لمجموعات مثل”https://www.theregister.com/2025/05/18/ex_nsa_scattered_spider_call/”>العنكبوت المتفرق. ويُعتقد أن المجموعة تتألف من متحدثين أصليين للغة الإنجليزية، ويتوقع رجال الشرطة الإلكترونية أنها تقف وراء بعض الهجمات على الأقل.”https://www.theregister.com/2025/06/23/experts_count_the_staggering_costs/”> هجمات رفيعة المستوى على الشركات البريطانية العام الماضي.

“They are known to use phishing and spear phishing to leverage established trust in organizations,” قال NCSC. “Therefore, it is important to ensure that all individuals in an organization are aware of potential tricks and methods to counter these attempts.”

كانت هجمات الهندسة الاجتماعية واحدة من المجالات القليلة التي تم التركيز عليها في تقييمات CBEST في عام 2025، والتي كانت مطلوبة لمحاكاة التهديدات الأكثر خطورة ومعقولة لـ FMIs.

وشملت الأنواع الأخرى من الهجمات التي تم اختبارها ضد المنظمات المالية تلك التي تشنها مجموعات متطورة ترعاها الدولة، وأطراف ثالثة وسلاسل التوريد المخترقة، والمطلعين الخبيثين.

تمت ملاحظة هذه المواضيع الأربعة بشكل متكرر في الهجمات الواقعية على مدار العام. وقالت المنظمات إن الكيانات الخاضعة للتنظيم بحاجة إلى تحسين مرونتها ضدها.

إن مقارنة نتائج تقييمات 2025 مع السنوات السابقة تجعل القراءة مثيرة للاهتمام، وإن لم تكن مفاجئة.

العديد من نقاط الضعف الرئيسية التي أبرزتها التقييمات على مدى الأشهر الاثني عشر الماضية كانت هي القضايا الأساسية في العام الماضي أيضًا.

وكانت التكوينات الضعيفة، وضوابط الوصول المفرطة في التساهل، ومراقبة الشبكة والثغرات غير الفعالة، والموظفين الذين كانوا عرضة للهندسة الاجتماعية والتصيد الاحتيالي، كلها سمات في تقارير بنك إنجلترا في الفترة من 2023 إلى 2024.

لكن الأمر ليس سيئًا تمامًا. وجد مقيمو CBEST أن المنظمات وFMIs “demonstrated a range of maturities across cyber threat intelligence (CTI) management domains.”

لقد حكموا على أن معظم المنظمات التي تم تقييمها لديها “relatively effective foundations” عبر نماذج تشغيل CTI، على الرغم من أن التقرير قال إن المعلومات الاستخبارية لم تكن في كثير من الأحيان متكاملة بشكل جيد عبر الأعمال.

• يسأل النواب من المسؤول عندما يعطل الذكاء الاصطناعي النظام المالي في المملكة المتحدة
• فقاعة الذكاء الاصطناعي سوف تنكمش مع تأجيل الشركات الإنفاق حتى عام 2027
• تضاعف فاتورة ترحيل Oracle Cloud من بنك إنجلترا ثلاث مرات مع استمرار المشروع
• يخطط بنك إنجلترا لفرض المجهر الإلكتروني على المصرفيين في البلاد

بالإضافة إلى ذلك، على الرغم من أن العديد من نقاط الضعف الرئيسية التي تم تحديدها في السنوات السابقة ظلت دون معالجة في عام 2025، إلا أنه يمكن رؤية التحسينات، كما هو الحال مع”https://www.theregister.com/2025/12/06/multifactor_authentication_passkeys/”> وزارة الخارجية.

وفقًا لتقريري 2023 و2024، كانت المنظمات تكافح من أجل طرح برامج فعالة MFA، ولكن لم يتم ذكر التحكم جنبًا إلى جنب مع الإخفاقات الأساسية في المراجعة السنوية الأخيرة.

إن الغرض من تقييمات CBEST ليس تقديم متطلبات تنظيمية جديدة على تلك الموجودة في القطاع المالي، والتي تعد بالفعل من بين أكثر القطاعات تنظيمًا في مجال الأمن السيبراني.

يقول بنك إنجلترا إن التقييمات بمثابة أدلة لجميع الكيانات الخاضعة للتنظيم لفهم الثغرات الأمنية الأكثر شيوعًا التي من المحتمل أن تؤدي إلى هجوم إلكتروني ناجح، والعواقب الضارة المحتملة الناتجة عن ذلك. ®