بانک مرکزی اروپا به وامدهندگان منطقه یورو دستور داد تا اکتبر برنامه اقدام برای ریسک سایبری ناشی از هوش مصنوعی ارائه کنند
بانک مرکزی اروپا به بانکهای بزرگ منطقه یورو تا ۳۱ اکتبر مهلت داده است تا برنامههای دفاعی جامع خود را در برابر مدلهای پیشرفته هوش مصنوعی ارائه دهند. این بانک هشدار داده است که این فناوری، زمان بین کشف آسیبپذیری و بهرهبرداری از آن را به شدت کاهش میدهد.
به قلم تیم سردبیری کوهستان
این خبر را به اشتراک بگذارید
- تنظیمکنندگان ریسک سیستمی
- تهدیدات سایبری هوش مصنوعی را به عنوان یک خطر سیستمی و شدید میبینند که نیازمند پاسخگویی فوری هیئت مدیره و اصلاحات ساختاری در فناوری اطلاعات است.
- مؤسسات مالی
- بر بار عملیاتی ناشی از بازسازی سیستمهای قدیمی فناوری اطلاعات و لزوم ایجاد تعادل بین ضربالاجلهای تهاجمی جدید و الزامات انطباق موجود تمرکز دارند.
- متخصصان امنیت سایبری
- تأکید میکنند که چالش واقعی غلبه بر بوروکراسی داخلی برای دستیابی به اصلاحات سریع و تأیید شده است، نه صرفاً تدوین برنامهها.
زوایای پوششدادهنشده
- · توسعهدهندگان هوش مصنوعی غیر اتحادیه اروپا
- · مشتریان بانکداری خرد
چرا مهم است
اگر مدلهای پیشرفته هوش مصنوعی بتوانند آسیبپذیریهای روز صفر (zero-day) را سریعتر از توانایی بانکها برای وصله کردن آنها کشف و بهرهبرداری کنند، امنیت بنیادی سیستم مالی اروپا به خطر میافتد. این دستور، تخصیص مجدد و فوری بودجههای فناوری اطلاعات و توجه هیئت مدیره را در سراسر منطقه یورو الزامی میکند.
نکات کلیدی
- بانک مرکزی اروپا به ۱۱۰ بانک بزرگ منطقه یورو دستور داده است تا ۳۱ اکتبر ۲۰۲۶ برنامههای جامع دفاع سایبری مبتنی بر هوش مصنوعی را ارائه دهند.
- تنظیمکنندگان هشدار میدهند که مدلهای پیشرفته هوش مصنوعی، زمان بین کشف آسیبپذیری و بهرهبرداری از آن را فشرده میکنند و چرخههای وصلهگذاری سنتی را منسوخ میسازند.
- هیئت ریسک سیستمی اروپا ارزیابی خود از ریسک سایبری سیستمی را به «شدید» افزایش داد و هوش مصنوعی را به عنوان یک تغییر پارادایم در امنیت سایبری ذکر کرد.
- بانکها موظفند سطوح حمله رو به اینترنت را کاهش دهند، مدیریت وصله را تسریع بخشند و تصمیمات ریسک سایبری را به سطح هیئت مدیره ارتقا دهند.
- ESRB همچنین ریسکهای ژئوپلیتیکی را برجسته کرد و به وابستگی شدید اروپا به ارائهدهندگان هوش مصنوعی غیر اتحادیه اروپا برای زیرساختهای مالی حیاتی اشاره نمود.
- بانک مرکزی اروپا پیشاپیش اعلام کرد که دستورالعملهای نظارتی مشابهی در مورد تهدید محاسبات کوانتومی برای رمزنگاری، در زمان مقتضی صادر خواهد شد.
بانک مرکزی اروپا (ECB) یک دستورالعمل بیسابقه را برای حدود ۱۱۰ مؤسسه مالی مهم که مستقیماً تحت نظارت آن هستند، صادر کرده است. این دستورالعمل، ارائه برنامههای اقدام جامع برای مقابله با تهدیدات سایبری ناشی از هوش مصنوعی را تا ۳۱ اکتبر ۲۰۲۶ الزامی میکند. این فرمان که در نامهای رسمی با امضای کلودیا بوخ، رئیس هیئت نظارت بانک مرکزی اروپا، ابلاغ شده است، از وامدهندگان منطقه یورو میخواهد که بدون تأخیر، چشمانداز تهدیدات در حال تحول را ارزیابی کنند. بانکها موظفند اقدامات دفاعی مشخص، تخصیص بودجههای معین، تعیین نقشهای اجرایی واضح و تعریف جدولهای زمانی دقیق برای اجرا را تشریح کنند. این اولین بار در بیش از چهار سال گذشته است که بانک مرکزی اروپا از کانال مستقیم «نامهنگاری به بانکها» برای رسیدگی به یک تهدید خاص فناوری استفاده میکند، که نشاندهنده تشدید چشمگیر فوریت نظارتی در مورد امنیت سیستم مالی اروپا است.[1][3]
ادعای اصلی و مستند که زیربنای مداخله بانک مرکزی اروپا قرار دارد، این است که مدلهای پیشرفته هوش مصنوعی، اقتصاد و مکانیک ریسک سایبری را به طور اساسی تغییر دادهاند. در تأیید این موضع، هیئت ریسک سیستمی اروپا (ESRB) همزمان یک هشدار رسمی صادر کرد و ارزیابی خود از ریسک سایبری سیستمی را به سطح «شدید» ارتقا داد. تحلیل ESRB نشان میدهد که آخرین نسل از مدلهای هوش مصنوعی قادرند آسیبپذیریها را به صورت خودکار کشف کنند، کدهای بهرهبرداری (exploits) عملیاتی تولید نمایند و حملات سایبری تمامعیار را با سرعتی و مقیاسی اجرا کنند که بسیار فراتر از قابلیتهای قبلی است. تنظیمکنندگان استدلال میکنند که این امر یک تغییر پارادایم در امنیت سایبری محسوب میشود و هوش مصنوعی را از یک ریسک نظری به یک آسیبپذیری فعال و سیستمی تبدیل میکند که شبکههای پرداخت و زیرساختهای بازار مالی را تهدید میکند.[2][6]
به نظر میرسد کاتالیزور فوری برای این بسیج نظارتی، استقرار و آزمایش خصوصی مدلهای پیشرفتهای مانند «میتوس» (Mythos) شرکت آنتروپیک (Anthropic) باشد. گزارشهای صنعتی و جلسات توجیهی نظارتی نشان میدهند که این مدل به سرعت هزاران نقص امنیتی شدید و کشفنشده را در سیستمعاملها و مرورگرهای وب اصلی پیدا کرده است. این نمایش ثابت کرد که هوش مصنوعی میتواند به طور مؤثری پنجره زمانی سنتی را که مدافعان برای وصله کردن آسیبپذیریها قبل از بهرهبرداری فعال به آن تکیه میکنند، از بین ببرد. با توجه به اینکه هوش مصنوعی موانع ورود برای بازیگران مخرب را کاهش داده و چرخه عمر حمله را تسریع میبخشد، بانک مرکزی اروپا به این نتیجه رسید که ضعفهای موجود و حلنشده – که برخی از آنها سالها در شبکههای بانکی باقی ماندهاند – اکنون تهدیدی قریبالوقوع برای تابآوری عملیاتی محسوب میشوند.[4][5]
برای کاهش این جدول زمانی فشرده، دستورالعمل بانک مرکزی اروپا الزامات اصلاحی خاص و مبتنی بر شواهد را تشریح میکند. به بانکها صراحتاً دستور داده شده است که مدیریت آسیبپذیری و وصله را در مقیاس وسیع تسریع بخشند و از وصله کردن صرفاً بر اساس شدت، به سمت اولویتبندی مبتنی بر قابلیت بهرهبرداری واقعی در دنیای واقعی حرکت کنند. علاوه بر این، مؤسسات باید سطوح حمله رو به اینترنت خود را به حداقل برسانند، فناوریهای قدیمی که عمر مفیدشان به پایان رسیده را جایگزین کنند و نظارت بر نرمافزارهای شخص ثالث و اجزای منبع باز را سختتر کنند. نکته حیاتی این است که بانک مرکزی اروپا مسئولیت را مستقیماً به هیئت مدیره منتقل میکند. این نامه تصریح میکند که مسئولیت در درجه اول بر عهده نهادهای مدیریتی بانکها است و هشدار میدهد که تصمیمات تاریخی در مورد هزینههای فناوری، سطح کارکنان و تحمل ریسک سازمانی باید فوراً مورد بازنگری قرار گیرند.[1][3]
برای کاهش این جدول زمانی فشرده، دستورالعمل بانک مرکزی اروپا الزامات اصلاحی خاص و مبتنی بر شواهد را تشریح میکند.
فراتر از آسیبپذیریهای فنی فوری، هشدار ESRB یک ادعای ثانویه و ژئوپلیتیکی را در مورد آسیبپذیری استراتژیک اروپا برجسته میکند. این هیئت هشدار داد که تمرکز توسعهدهندگان پیشرو هوش مصنوعی پیشرفته در خارج از اتحادیه اروپا یک وابستگی استراتژیک خطرناک ایجاد میکند. از آنجا که زیرساختهای مالی اروپا به شدت به ارائهدهندگان هوش مصنوعی و پلتفرمهای ابری غیر اتحادیه اروپا متکی هستند، ESRB استدلال میکند که این تمرکز، ریسکهای ژئوپلیتیکی را معرفی میکند که نمیتوان تنها با وصلههای فنی آنها را کاهش داد. در نتیجه، این هیئت از مقامات اروپایی خواسته است تا ظرفیت داخلی، تخصص و استقلال استراتژیک بلوک در زمینه هوش مصنوعی را برای مقابله با این عدم تعادل ساختاری گسترش دهند.[2][5]
جایی که شواهد نامطمئن باقی میماند، این است که مؤسسات مالی قدیمی تا چه حد میتوانند این خواستههای گسترده را در یک بازه زمانی چهار ماهه به طور مؤثر اجرا کنند. تحلیلگران امنیت سایبری اشاره میکنند که برای بانکهای بزرگ، گلوگاه اصلی به ندرت کمبود دید نسبت به تهدید است؛ بلکه اصطکاک بوروکراتیک در اولویتبندی، اختلافات مالکیتی، بررسی استثناها و نگهداری سیستمهای قدیمی است. پیشرفتهای هوش مصنوعی این مدل عملیاتی امنیتی سنتی را از نظر ساختاری ناکافی میسازد. مشخص نیست که آیا یک دستور نظارتی میتواند با موفقیت بانکها را مجبور کند که کشف ریسک را به کاهش فوری و تأیید شده آسیبپذیری متصل کنند، یا اینکه برنامههای اقدام حاصل صرفاً منجر به تولید کاغذبازیهای انطباقی بیشتر بدون تسریع معنادار در روند اصلاح خواهند شد.[7]

بانک مرکزی اروپا با اذعان به بار عملیاتی عظیمی که این الزامات بر دوش مؤسسات مالی میگذارد، امتیازات نظارتی هدفمندی را ارائه کرده است. برای آزاد کردن پهنای باند برای برنامهریزی دفاع سایبری هوش مصنوعی، این نهاد نظارتی مهلت پرسشنامه سالانه جامع ریسک فناوری اطلاعات خود را از سپتامبر ۲۰۲۶ به فوریه ۲۰۲۷ تمدید میکند و ممکن است سایر بازرسیهای نظارتی در محل را به صورت موردی تنظیم کند. در حالی که عدم رعایت مهلت ۳۱ اکتبر هیچ جریمه مالی فوری در پی ندارد، بانک مرکزی اروپا اعلام کرده است که یک تحلیل افقی از تمام برنامههای ارسالی انجام خواهد داد. ناظران قصد دارند از این دادهها برای شناسایی ضعفهای مشترک صنعت، رتبهبندی وامدهندگان در مقایسه با همتایانشان و اعمال فشار مستمر بر مؤسساتی که در تابآوری سایبری عقب هستند، استفاده کنند.[3][5]
دستورالعمل بانک مرکزی اروپا همچنین به عنوان یک سیگنال واضح عمل میکند که هوش مصنوعی تنها موج اول از یک چشمانداز گستردهتر و قریبالوقوع ریسکهای فناورانه است. در بخش پایانی نامه، این نهاد نظارتی صراحتاً راهنماییهای آتی در مورد ریسکهای سایبری ناشی از محاسبات کوانتومی را پیشاپیش اعلام میکند. بانک مرکزی اروپا به بانکها هشدار داد که ورود نهایی کامپیوترهای کوانتومی عملی، روشهای رمزنگاری سنتی را به خطر میاندازد و خاطرنشان کرد که مهاجرت به رمزنگاری پسا کوانتومی نیازمند سرمایهگذاری استراتژیک و مستمر است که باید فوراً آغاز شود. بانک مرکزی اروپا با مرتبط ساختن تهدیدات هوش مصنوعی و کوانتومی، بانکهای منطقه یورو را مجبور میکند تا رویکردهای امنیتی واکنشی را کنار بگذارند و پیشبینی فناوری پیشرفته را به طور دائمی در چارچوبهای اصلی ثبات مالی خود بگنجانند.[4][8]
روند رویداد
مارس ۲۰۲۶
هیئت ریسک سیستمی اروپا در بحبوحه نگرانیهای فزاینده در مورد تابآوری عملیاتی دیجیتال، ریسک سایبری سیستمی را «بالا» ارزیابی میکند.
آوریل ۲۰۲۶
آزمایش مدل هوش مصنوعی «میتوس» شرکت آنتروپیک، هزاران نقص امنیتی کشفنشده را در پلتفرمهای نرمافزاری اصلی آشکار میکند و مقامات نظارتی جهانی را نگران میسازد.
ژوئن ۲۰۲۶
ESRB رسماً ارزیابی خود از ریسک سایبری سیستمی را به «شدید» افزایش میدهد و قابلیتهای مدلهای پیشرفته هوش مصنوعی را عامل آن ذکر میکند.
۷ ژوئیه ۲۰۲۶
بانک مرکزی اروپا نامهای رسمی به ۱۱۰ بانک بزرگ صادر میکند و ارائه برنامههای اقدام دفاع سایبری هوش مصنوعی را الزامی میسازد.
۳۱ اکتبر ۲۰۲۶
مهلت نهایی برای وامدهندگان منطقه یورو جهت ارائه برنامههای جامع تابآوری سایبری خود به بانک مرکزی اروپا.
فوریه ۲۰۲۷
مهلت به تعویق افتاده برای بانکها جهت ارائه پرسشنامه سالانه ریسک فناوری اطلاعات، که برای تطبیق با دستورالعمل برنامهریزی هوش مصنوعی به تعویق افتاد.
بررسی عمیق دیدگاهها
تنظیمکنندگان اروپایی
ریسک سیستمی نیازمند اقدام فوری هیئت مدیره و تغییرات ساختاری در فناوری اطلاعات است.
از نظر بانک مرکزی اروپا و ESRB، ادغام هوش مصنوعی پیشرفته در چشمانداز تهدیدات سایبری یک مشکل روتین فناوری اطلاعات نیست، بلکه یک ریسک سیستمی شدید برای ثبات مالی منطقه یورو است. تنظیمکنندگان استدلال میکنند که چون مدلهای هوش مصنوعی میتوانند آسیبپذیریها را با سرعت بیسابقهای به صورت خودکار کشف و بهرهبرداری کنند، مدل امنیتی سنتی بانکداری منسوخ شده است. آنها معتقدند که تنها مداخله مستقیم در سطح هیئت مدیره – که تخصیص مجدد سرمایه به سمت وصلهگذاری سریع، جایگزینی سیستمهای قدیمی و کاهش سطوح حمله رو به اینترنت را اجباری میکند – میتواند از یک شکست آبشاری در سیستمهای پرداخت و تسویه اروپایی جلوگیری کند.
مدیریت صنعت بانکداری
جدول زمانی بسیار فشرده است و نیازمند انتقال منابع از سایر وظایف انطباقی است.
مدیران اجرایی مؤسسات مالی، ضمن اذعان به شدت تهدیدات سایبری ناشی از هوش مصنوعی، مهلت ۳۱ اکتبر را به عنوان یک بار کاری بسیار سنگین میبینند. بانکها در حال حاضر در حال پیمایش چارچوبهای نظارتی پیچیدهای مانند قانون تابآوری عملیاتی دیجیتال (DORA) و مدیریت داراییهای فناوری اطلاعات قدیمی و گستردهای هستند که قدمت آنها به دههها میرسد. برای مدیریت، چالش صرفاً تدوین یک برنامه نیست، بلکه بازسازی اساسی نحوه اولویتبندی ریسک، تعیین مالکیت و استقرار وصلهها بدون ایجاد اختلال در عملیات مالی روزمره است. تصمیم بانک مرکزی اروپا برای به تعویق انداختن پرسشنامه سالانه ریسک فناوری اطلاعات به عنوان یک امتیاز ضروری، هرچند حداقلی، برای واقعیت پهنای باند عملیاتی آنها تلقی میشود.
تحلیلگران امنیت سایبری
گلوگاه، یافتن نقصها نیست، بلکه اصطکاک بوروکراتیک در وصلهگذاری سیستمهای قدیمی است.
متخصصان امنیت استدلال میکنند که دستور بانک مرکزی اروپا به درستی تهدید را شناسایی کرده اما چالش اجرا را دست کم میگیرد. تحلیلگران اشاره میکنند که بانکها در حال حاضر ابزارهایی دارند که حجم عظیمی از دادههای تلهمتری آسیبپذیری تولید میکنند؛ نقطه شکست، بوروکراسی انسانی مورد نیاز برای تأیید و اجرای اصلاحات است. از این منظر، مگر اینکه بانکها از این دستورالعمل برای خودکارسازی خطوط لوله اصلاحی خود استفاده کنند و اختلافات مالکیتی داخلی را بیرحمانه از میان بردارند، برنامههای اقدام صرفاً منجر به داشبوردهای بیشتر و مستندات انطباقی خواهند شد تا کاهش تأیید شده آسیبپذیری.
آنچه نمیدانیم
- اینکه آیا مؤسسات مالی قدیمی میتوانند مدلهای عملیاتی فناوری اطلاعات چند دههای و فرآیندهای بوروکراتیک وصلهگذاری را با موفقیت در پنجره برنامهریزی چهار ماهه بازسازی کنند یا خیر.
- بانک مرکزی اروپا چگونه بانکهایی را که برنامههای اقدامشان ناکافی یا بیش از حد متکی بر چارچوبهای امنیتی موجود و نامناسب تشخیص داده شود، به طور ملموس جریمه خواهد کرد.
- میزان همکاری توسعهدهندگان هوش مصنوعی غیر اتحادیه اروپا با تنظیمکنندگان اروپایی برای محدود کردن استفاده از مدلهایشان جهت نقشهبرداری از آسیبپذیریهای بخش مالی.
اصطلاحات کلیدی
- هوش مصنوعی پیشرفته (Frontier AI)
- مدلهای هوش مصنوعی بسیار پیشرفته و در مقیاس بزرگ که قابلیتهایی برابر یا فراتر از پیشرفتهترین سیستمهای موجود را دارند و اغلب مهارتهای جدید یا غیرمنتظرهای از خود نشان میدهند.
- سطح حمله (Attack Surface)
- مجموع کل آسیبپذیریها، نقاط پایانی و سیستمهای رو به اینترنت که یک کاربر غیرمجاز میتواند از آنها برای ورود یا استخراج داده از یک شبکه استفاده کند.
- آسیبپذیری روز صفر (Zero-Day Vulnerability)
- نقص نرمافزاری که برای فروشنده یا مدافعان ناشناخته است، به این معنی که آنها «صفر روز» فرصت دارند تا قبل از بهرهبرداری توسط مهاجمان، آن را رفع کنند.
- رمزنگاری پسا کوانتومی (Post-Quantum Cryptography)
- الگوریتمهای رمزنگاری جدیدی که برای ایمن ماندن در برابر قابلیتهای عظیم رمزگشایی کامپیوترهای کوانتومی آینده طراحی شدهاند.
- ریسک سیستمی (Systemic Risk)
- ریسک ناشی از این احتمال که شکست یک نهاد یا یک آسیبپذیری خاص میتواند باعث فروپاشی آبشاری کل یک صنعت یا اقتصاد شود.
پرسشهای متداول
بانک مرکزی اروپا دقیقاً چه چیزی از بانکها میخواهد؟
بانک مرکزی اروپا از ۱۱۰ مؤسسه مهم تحت نظارت خود میخواهد تا برنامههای اقدام جامعی را تا ۳۱ اکتبر ۲۰۲۶ ارائه دهند. این برنامهها باید جزئیات نحوه دفاع بانکها در برابر حملات سایبری مبتنی بر هوش مصنوعی، همراه با بودجههای تخصیص یافته، مالکان اجرایی مشخص و جدولهای زمانی دقیق اجرا را مشخص کنند.
چرا هوش مصنوعی نوع جدیدی از تهدید سایبری محسوب میشود؟
مدلهای پیشرفته هوش مصنوعی میتوانند آسیبپذیریهای نرمافزاری را به صورت خودکار کشف کرده و کدهای بهرهبرداری عملیاتی را با سرعت بیسابقهای تولید کنند. این امر به طور چشمگیری زمان در دسترس مدافعان برای وصله کردن سیستمها قبل از نفوذ مهاجمان را کاهش میدهد.
اگر بانکی مهلت اکتبر را از دست بدهد چه اتفاقی میافتد؟
اگرچه بانک مرکزی اروپا تهدیدی مبنی بر جریمههای مالی فوری نکرده است، اما از برنامههای ارسالی برای رتبهبندی وامدهندگان در مقایسه با همتایانشان استفاده خواهد کرد. بانکهایی که عقب بمانند، با فشار نظارتی شدید و مستمر و تحریمهای احتمالی در آینده مواجه خواهند شد.
آیا یک رویداد خاص باعث این دستورالعمل شد؟
این دستورالعمل به دنبال آزمایشهای خصوصی مدلهای پیشرفتهای مانند «میتوس» شرکت آنتروپیک صادر شد، که طبق گزارشها هزاران آسیبپذیری شدید و کشفنشده قبلی را در سیستمعاملها و مرورگرهای وب اصلی کشف کرد و مقامات نظارتی اروپا را نگران ساخت.
منابع
[1]European Central Bankتنظیمکنندگان ریسک سیستمی
Artificial intelligence: a structural shift in the cyber threat landscape
مطالعه در European Central Bank →[2]European Systemic Risk Boardتنظیمکنندگان ریسک سیستمی
ESRB warning on systemic cyber risk stemming from frontier AI models
مطالعه در European Systemic Risk Board →[3]American Bankerمؤسسات مالی
ECB tells banks: Fix AI cyber gaps by Oct. 31
مطالعه در American Banker →[4]Computer Weeklyمتخصصان امنیت سایبری
ECB gives banks four months to outline AI cyber defences
مطالعه در Computer Weekly →[5]The Next Webمتخصصان امنیت سایبری
Europe's banking regulator has a new fear: an AI model clever enough to break into the financial system
مطالعه در The Next Web →[6]PYMNTSمؤسسات مالی
ESRB, BOE Warn of AI Cyber Risks to Financial Institutions
مطالعه در PYMNTS →[7]Tonic Securityمتخصصان امنیت سایبری
The ECB's AI Warning is Really a Remediation Warning
مطالعه در Tonic Security →[8]Post-Quantumمتخصصان امنیت سایبری
The ECB's AI Cybersecurity Letter to Banks Is Also a Quantum Announcement
مطالعه در Post-Quantum →
هر زاویه. هر روز.
دریافت هوش مصنوعی اخبار همراه با پوشش کامل منابع و تحلیل دیدگاهها، مستقیم در صندوق ورودی شما.










