عندما شهدت باركليز انقطاعًا لمدة ثلاثة أيام في وقت سابق من هذا العام ، بسبب فشل الحاسبات المركزية ، لم يتمكن ملايين عملاء المملكة المتحدة من الوصول إلى الخدمات المصرفية الأساسية.
إن الاضطراب لا يسبب تلف سمعة البنك فحسب ، بل تركه أيضًا يواجه فاتورة تعويض تصل إلى 7.5 مليون جنيه إسترليني. أصبحت حوادث مثل هذه شائعة بشكل مثير للقلق في قطاع الخدمات المالية.
على الرغم من استثمار مليارات الدولارات في أدوات الأمان الحديثة والسعي إلى طمأنة العملاء والمنظمين من مرونتها ، فإن البنوك لا تزال ضعيفة للغاية. يعد التعقيد المتزايد للنظم الإيكولوجية للبرمجيات وسلاسل التوريد الطويلة المتشابكة المطلوبة لدعمها من الجناة الرئيسيين.
في المملكة المتحدة ، عانى باركليز من 33 فشل في النظام بين يناير 2023 وفبراير 2025 ، وفقا لبيانات لجنة مختارة وزارة الخزانة مجلس العموم. على مدار نفس الفترة ، تعرض كل من HSBC و Santander إلى 32 انقطاعًا.
لا تقتصر التحديات على انقطاع التيار الكهربائي. في العام الماضي ، قامت Citigroup بتقدير حساب العميل بمبلغ 81 تريليًا عندما كان يعني إرسال 280 دولارًا فقط ، بعد أن قام موظف في Wall Street Bank بخطأ في المدخلات أثناء استخدام نظام النسخ الاحتياطي مع واجهة مستخدم مرهقة.
يقول Alois Reitbauer ، كبير الخبراء الاستراتيجيين في مجموعة البرمجيات الأمريكية Dynatrace: “تعمل البنوك في بيئات معقدة تحتوي على عدد لا يحصى من تطبيقات ، بدءًا من منصات التداول إلى أدوات الكشف عن الاحتيال”.
ويضيف قائلاً: “حتى سوء تقدير بسيط أو حالة شذوذ في سلسلة إمداد البرمجيات يمكن أن يؤدي إلى انقطاع واسع النطاق يعطل الخدمات”.
مع تقدم المؤسسات المالية إلى التحديث-التحول إلى السحابة واعتماد التقنيات الناشئة مثل الذكاء الاصطناعي والحوسبة الكمومية-لا يزال الكثيرون يتعاطفون مع ما يسمى “الدين الفني”. يتم استخدام المصطلح لوصف تكلفة تصاعد الحفاظ على الكود القديم المكتوب ، والذي يعد أحد الأسباب الرئيسية للاشتعال.
يقول جاستن كوروفيلا ، كبير استراتيجيات الأمن السيبراني في ليدجر ، وهو أخصائي أمن في سلسلة التوريد في لندن: “إن الأخطاء الأخيرة من باركليز وسيتي جروب تتعلق بأنظمة تكنولوجيا المعلومات القديمة ، والتي من المحتمل أن يتم تطويرها خلال دورات التطوير الأقل نضجًا. إن وجود دورات حياة أكثر صرامة مع اختبار الضعف المناسبين يمكن أن يساعد في الإشارة إلى القضايا المحتملة في وقت مبكر”.
يوافق أليكا كادي ، مديرة مكتب كبير موظفي أمن المعلومات في Google Cloud. وتقول: “غالبًا ما تتناقض المؤسسات المالية مع التكنولوجيا القديمة والعمليات القديمة ، مما يؤدي إلى هشاشة التشغيلية والأخطاء البسيطة عند تمديدها بمطالب جديدة” ، مضيفة أن “الاختبارات غير الكافية في سياقات جديدة وأنظمة مترابطة تزيد من زيادة هذه المخاطر”.
وجد استطلاع عام 2024 أجرته 10x من 200x صانعي قرار لتكنولوجيا المعلومات أن 53 في المائة استشهدوا بصواميل البيانات واختناقات الإنتاج كحواجز أمام تحجيم الأنظمة القديمة. من شأن معالجة الديون الفنية أيضًا أن تساعد البنوك على تحسين أمن أنظمة تكنولوجيا المعلومات الخاصة بها في مواجهة تهديد إلكتروني متزايد من كل من الدول القومية والمجرمين الذين يتطلعون إلى استنزاف الأموال أو سرقة البيانات من أجل الابتزاز أو التجسس.
لكن إجراء تغييرات واسعة النطاق على أنظمة الترقية ، بالإضافة إلى الاختبار ، يمكن أن يكون مكلفًا ومضطربًا. تحجم البنوك عن تقديم وقت التوقف ، خاصة بالنظر إلى “الاستهلاك” الأساسي لتجربة المستخدم المالي ، وفقًا لجوشوا ماكينتي ، الرئيس التنفيذي والمؤسس المشارك لـ Polyguard.
يقول مكنتي: “يتوقع العملاء أن تكون تطبيقات الأجهزة المحمولة مريحة وفورية مثل Instagram أو PayPal ، وكان على البنوك زيادة وتوسيع نطاق تطوير تطبيقاتها ودعمها”. “ضغوط التوقعات الخاصة بـ” الميزات الجديدة ، بشكل أسرع ، وللجميع ، والتعقيد المتزايد لبيانات العمليات المالية ، قد نشر الأمن. “
لمواكبة ، تتولى البنوك الاستعانة بمصادر خارجية بشكل متزايد من أنظمة تكنولوجيا المعلومات الخاصة بهم لمقدمي الخدمات السحابية. يجادل المؤيدون بأن القيام بذلك يوفر فرصًا لتعزيز الأمن ، وربما السماح بالتحديثات الآلية ، والمراقبة العالمية في الوقت الفعلي ، والعلاج الأسرع إذا كان هناك حادثة. لكن البعض الآخر يختلفون ، مشيرًا إلى أنه يمكن أن يترك البيانات أكثر تعرضًا في موقع مركزي.
يقول جايانت ديف ، كبير موظفي أمن المعلومات في Check Point Software Technologies في آسيا والمحيط الهادئ واليابان ، إن “انتشار البنية الهجينة-التي تمتد إلى الأنظمة المحلية والمنصات السحابية والبيئات المتنقلة-تضيف طبقات من التعقيد.”
تفقد المنظمات بعض السيطرة والرؤية للبنية التحتية الأساسية لأن مزود السحابة يتحمل المزيد من المسؤولية. يشير جوليان ريتشارد ، نائب رئيس أمن المعلومات في Lastwall ، إلى أن هذا يمكن أن يعقد العمليات حول الاستجابة للواحد والامتثال.
يقول: “لا يزال نموذج المسؤولية المشتركة-على الرغم من توثيقه جيدًا-مصدرًا للارتباك ، وخاصة في البيئات المعقدة مع العديد من البائعين والخدمات. عندما يحدث شيء خاطئ ، يعرف بالضبط من المسؤول عن ما هو غير واضح دائمًا ، وهذا الغموض يمكن أن يخلق مخاطر حقيقية”.
وهذا يجعل العناية الواجبة بائعًا من طرف ثالث ورسم الخرائط والإدارة أكثر أهمية. ويضيف ريتشارد: “تحتاج المنظمات إلى إنشاء عمليات واضحة لتقييم الأطراف الثالثة التي تعمل معها – ليس فقط في التنقل ، ولكن بشكل مستمر بمرور الوقت – لضمان عدم أن تصبح هذه العلاقات بقع عمياء”.
يقول أليكس لوري ، نائب الرئيس الأول لهوية بينغ: “في هذه البيئة المكشوفة ، يجب أن تتذكر منظمات الخدمات المالية أنها فقط قوية مثل سلسلة التوريد الخاصة بهم”.
تم تسليط الضوء على حقائق مخاطر سلسلة التوريد من خلال حادثة في قطاع التكنولوجيا العام الماضي ، عندما قام تحديث CrowdStrike الفاشل بخفض ملايين أجهزة الكمبيوتر والخوادم من Microsoft Windows في انقطاع مع تكنولوجيا المعلومات العالمي.
يقول جون شير ، كبير ضباط أمن المعلومات في Sophos: “تحتاج المؤسسات إلى نشر عناصر تحكم تمنع كل من الأفعال الخبيثة والأخطاء غير المقصودة ، مع جمع القياس عن بُعد المطلوب لاكتشاف متى فشلت السيطرة أو تم تجاوزها”. “توفر مجموعات متداخلة من عناصر التحكم والاكتشافات ، في نقاط مختلفة في سلسلة العمليات ، التكرار وستقلل من تأثير فشل واحد.”
يدافع بعض خبراء الأمن إلى مزيد من أنظمة الأتمتة ، لا سيما بالنظر إلى ظهور الذكاء الاصطناعي. يحث Dave's Check Point المجموعات المالية على الاستفادة من الذكاء الاصطناعى إلى “تسريع تحديث مداخنها التكنولوجية وسير العمل ، وتقليل نقاط اللمس اليدوية وتقليل الخطأ البشري”.
يوافق Reitbauer ، وحث البنوك على التحول من التفاعل إلى الأساليب الاستباقية لانقطاع التيار الكهربائي أو الحوادث الأمنية ، وذلك باستخدام الذكاء الاصطناعى للمساعدة في التنبؤ ومنع الحوادث قبل حدوثها. يقول: “يكمن المفتاح في الوقت الفعلي في صحة النظام ، وتجربة المستخدم ، وأي شذوذ في العمليات التجارية العادية”.
ومع ذلك ، فإن السباق اللامع من قبل العديد من شركات الخدمات المالية لتقديم منظمة العفو الدولية لأعمالها دون العناية الواجبة يجلب التحديات في حد ذاتها. يقول Google Cloud's Cade: “يغير الذكاء الاصطناعى بشكل أساسي ملف تعريف المخاطر للبنك ، حيث يقدم نقاط ضعف جديدة مثل التلاعب النموذجي ، ويطالب باستجابة استراتيجية”.
“مع دمج استخدام نموذج الذكاء الاصطناعى في قطاعات البنية التحتية الحرجة ، مثل الخدمات المالية ، فإنهم يستهدفون من قبل المهاجمين ، وبالتالي يمكن أن يؤدي الذكاء الاصطناعى المضمون أو المتحيز بشكل سيء إلى الخسائر والعقوبات والأضرار السمعة”.
يجب أن تفكر البنوك أيضًا مرة أخرى في احتضان الاتجاه للدفع من أجل تحرير مزيد من القيود ، ويجب أن تأخذ حكاية تحذيرية لعدم الاستقرار والانتهاكات في قطاع العملة المشفرة الأقل تنظيمًا ، وفقًا لريتشارد لاسه “.
يقول: “إن التخفيف من هذه المخاطر يرجع إلى تطبيق الأساسيات-السياسات القوية ، والعمليات المحددة جيدًا ، والأشخاص المخولين والمستلمين ، ومبدأ” الثقة ولكن التحقق “” ، كما يقول. “ما هو حاسم الآن هو مضاعفة تلك الممارسات ، وليس الابتعاد عنهم.”
