لماذا تشكل القرارات الأمنية المستقلة غير الخاضعة للرقابة عبئًا على البنية التحتية الحيوية

• تعد الأتمتة عنصراً أساسياً في العمليات الحديثة المتعلقة بتطبيق التصحيحات، وتحديد أولويات الثغرات الأمنية، ومراقبة التكوينات، وإجراءات التصحيح.

• إن تنفيذ الإجراءات الأمنية بشكل مستقل ودون رقابة، بما في ذلك نشر التصحيحات أو إجراء تغييرات في التكوين أو الإصلاح التلقائي، ينطوي على مخاطر تشغيلية في البيئات التي قد يؤدي فيها التوقف عن العمل إلى عواقب تتعلق بالسلامة أو عواقب مالية.

• إن أي تغيير يتم تطبيقه في الوقت غير المناسب في شبكة الكهرباء أو خط الإنتاج أو شبكة الدفاع لا يُعد مجرد إزعاج بسيط، بل هو حادث.

• هناك ثلاثة أطر عمل تحكم هذا المجال: NERC CIP (الطاقة/المرافق العامة)، وIEC 62443 (أنظمة التحكم الصناعية)، وNIST SP 800-82 (أمن أنظمة التحكم الصناعية). وتشدد هذه الأطر الثلاثة جميعها على ضرورة توثيق عمليات التفويض والتحقق من الصحة والاختبار والمساءلة فيما يتعلق بالتغييرات الأمنية.

• يمكن أن تدعم سير العمل المستقلة الحوكمة عندما يتم دمج مراحل الموافقة والسياسات وسجلات التدقيق في العملية. لكنها تصبح عبئًا عندما يحل «قرار النظام» محل التفويض البشري الخاضع للمساءلة.

• تقدم الذكاء الاصطناعي (AI) أكبر قيمة في طبقة التحليل: النتائج المصنفة حسب المخاطر، وإشارات انحراف التكوين، وقائمة التصحيحات مرتبة حسب الأولوية، وليس في طبقة التنفيذ.

• النموذج الفعال: يقوم الذكاء الاصطناعي باستخراج المعلومات، ويقوم البشر بالموافقة على الإجراءات، ويتم تسجيل كل تغيير تحت هوية خاضعة للمساءلة.

يتم نشر تصحيح خارج نطاق فترة الصيانة في محطة فرعية. يتم تعديل إحدى قواعد جدار الحماية بواسطة نظام تصحيح آلي خلال دورة الإنتاج. ينتشر تغيير في التكوين عبر شبكة OT موزعة قبل أن يقوم أي مشغل بمراجعته.

تختلف السيناريوهات، لكن نمط الفشل واحد: فقد تصرف نظام آلي دون إذن بشري، وبحلول الوقت الذي لاحظ فيه أحدهم الأمر، كان التغيير قد وصل بالفعل إلى بيئة الإنتاج.

أصبحت الأتمتة الآن عنصراً أساسياً في العمليات الأمنية الحديثة، لا سيما مع تقلص الفترات الزمنية بين ظهور الثغرات الأمنية وإصدار التصحيحات. ولا تكمن المخاطر في الأتمتة بحد ذاتها، بل في التنفيذ الأمني الذاتي الذي يطبق تغييرات تؤثر على بيئة الإنتاج دون موافقة بشرية خاضعة للمساءلة، ودون مراعاة السياق التشغيلي، ودون سجل موثق للتفويض.

في بيئات البنية التحتية الحيوية، تنطوي هذه القرارات على مخاطر تشغيلية، وهو ما يُهدف الإشراف البشري المنظم إلى تجنبه.

تعكس الموجة الحالية من منصات الذكاء الاصطناعي ذات الطابع الفاعل الكيفية التي يعيد بها التنفيذ المستقل تشكيل العمليات الأمنية، لا سيما في بيئات تكنولوجيا المعلومات المؤسسية حيث تُعد السرعة الهدف الأساسي للتصميم.

تعمل البنية التحتية الحيوية في ظل قيود تختلف اختلافًا جوهريًّا.

لا يمكن إعادة تشغيل مرحل الحماية في شبكة الكهرباء في منتصف الدورة. ولا يمكن التراجع عن تغيير في إعدادات وحدة التحكم المنطقية القابلة للبرمجة (PLC) التي تتحكم في خط الإنتاج في غضون ثوانٍ. كما أن خطوة التصحيح الآلية التي يتم تفعيلها أثناء عملية الإنتاج تؤثر على العمليات المادية، وليس على الخوادم فحسب.

يتعين على فرق الأمن في هذه البيئات تقييم القدرات الذاتية في ضوء سؤال مختلف: ليس «ما مدى سرعة استجابتها؟» بل «من يتحمل المسؤولية عندما تخطئ؟»

قبل إجراء التدقيق القادم وفقًا لمعايير NERC CIP أو IEC 62443، أجب عن السؤال التالي: هل تنتج منصة الأمان الحالية لديك سجلاً موثقًا ومؤرخًا يوضح من الذي أذن بإجراء كل تغيير أمني؟

تتطلب معيار NERC CIP-007 إجراءات محددة لإدارة التصحيحات لكل تغيير يُجرى على الأصول السيبرانية في نظام توزيع الكهرباء بالجملة: تقييم موثق، وأدلة الاختبار، والجداول الزمنية للنشر. يحدد المعيار IEC 62443-2-3 مسؤوليات التفويض المتعلقة بإدارة التصحيحات وتغييرات التكوين في أنظمة الأتمتة والتحكم الصناعية، بما في ذلك تحديد الجهة المسؤولة عن كل إجراء. ويحدد المعيار NIST SP 800-82 أن التغييرات الأمنية في أنظمة التحكم الصناعية (ICS) تتطلب تقييم المخاطر، واختبارات التحقق، والتنسيق مع الأطراف المعنية بالتشغيل قبل النشر، وليس بعده.

يمكن أن تدعم سير العمل المستقلة نموذج التحكم هذا عندما تكون الحوكمة جزءًا لا يتجزأ من العملية من خلال عمليات الموافقة القائمة على السياسات، وحلقات النشر، وضوابط فترات الصيانة، وسجلات التدقيق التفصيلية.

لكن التنفيذ الذاتي لا يتناسب مع هذا النموذج عندما يحجب سلسلة التفويض. فحين يحدث التغيير، ويُظهر السجل أن النظام قد اتخذ إجراءً ما، يسأل المراجع: «من الذي وافق على هذا الإجراء؟». وعندما لا يوجد حدث تفويض بشري يمكن المساءلة عنه، يكون السجل غير مكتمل.

تُنتج المنصات التي يتحكم فيها البشر، والتي يتم تسجيل خطوات التفويض فيها، سجلًا للتدقيق. أما المنصات المستقلة غير الخاضعة للرقابة، فتؤدي إلى تحمل المسؤولية القانونية.

تتمتع منصات إدارة الأمن بطبيعتها بحقوق وصول مميزة. فالمنصة المصرح لها بإجراء تغييرات في التكوين، ونشر التصحيحات، وإدارة السياسات عبر مئات عمليات النشر، هي بالضبط نوع الأصول التي سيضعها المهاجم في مقدمة أولوياته.

وعندما تعمل تلك المنصة بشكل مستقل، يتسع نطاق الهجوم بشكل كبير. فالنظام المستقل الذي يتعرض للاختراق يمكنه تنفيذ إجراءات على نطاق واسع عبر كل النظم المتصلة قبل أن يدرك المشغل البشري حدوث الاختراق. ويستحوذ المهاجم على صلاحيات التنفيذ الخاصة بالمنصة ويستخدمها في إدارة التصحيحات وتغييرات التكوين وتطبيق السياسات في آن واحد.

هذا الأمر ليس مجرد نظرية. ففي أوائل عام 2026، سمحت ثلاث ثغرات أمنية حرجة من نوع «صفر يوم» في منصة لإدارة التصحيحات تُستخدم على نطاق واسع بتنفيذ تعليمات برمجية عن بُعد دون مصادقة عبر بيئات المؤسسات. وقد صنفت وكالة الأمن السيبراني والبنية التحتية الوطنية (CISA) هذه الثغرات وغيرها من الثغرات المماثلة على أنها «ثغرات معروفة تم استغلالها» تتطلب معالجة فورية. ويمكن لمنصة مستقلة تتعرض للاختراق عبر مثل هذه الثغرات أن تقوم بدفع تغييرات ضارة إلى كل نقطة طرفية متصلة قبل أن ينطلق أي تنبيه.

إن المنصة التي تتطلب موافقة بشرية قبل تنفيذ التغييرات تحد من نطاق انتشار هذه الهجمات. وعندما تكون الموافقة البشرية مطلوبة قبل التنفيذ، فمن غير المرجح أن تؤدي بيانات الاعتماد المسروقة وحدها إلى إحداث تغييرات آلية على نطاق واسع.

الحجة الموجهة ضد التنفيذ الذاتي غير الخاضع للرقابة ليست حجة ضد الذكاء الاصطناعي أو الأتمتة في مجال الأمن. فالذكاء الاصطناعي يحقق أقصى قيمة في المستويات المناسبة: التحليل، وتحديد الأولويات، ودعم التنسيق، وتمكين اتخاذ القرار.

تُبرز إرشادات وكالة الأمن السيبراني والبنية التحتية الوطنية (CISA) باستمرار ثغرات الرؤية باعتبارها تحديًا أساسيًا يواجه مؤسسات البنية التحتية الحيوية التي تدير أصولًا موزعة. وتعالج الذكاء الاصطناعي هذه المشكلة بشكل مباشر: من خلال تجميع بيانات الأحداث، وربط الإشارات عبر مختلف نقاط النشر، والإبلاغ عن أي انحراف في التكوين، وإبراز النتائج المرتبة حسب الأولوية لتتم مراجعتها من قبل البشر. ولا يزال المحلل هو من يتخذ القرار، لكن الذكاء الاصطناعي يساعده على القيام بذلك بشكل أسرع، وبناءً على معلومات أفضل.

تتجلى فوائد هذا النهج بشكل أوضح في إدارة الثغرات الأمنية والتصحيحات المصنفة حسب المخاطر. فالتصنيف السريع لمئات الثغرات الأمنية وفقًا لإمكانية استغلالها، وأهمية الأصول المعرضة لها، ومدى التعرض لها، يزود فرق الأمن بقائمة مرتبة حسب الأولوية يمكنهم العمل عليها خلال فترة الصيانة، بدلاً من الحصول على بيانات خام يتعين عليهم فرزها بأنفسهم.

وينطبق المبدأ نفسه على الحالات الشاذة في التكوين: حيث تظهر الانحرافات في الذكاء الاصطناعي عبر مئات النقاط الطرفية؛ ويقرر البشر التغييرات التي يجب التراجع عنها ومتى يتم ذلك.

السؤال المهم الذي ينبغي طرحه بشأن أي قدرة للذكاء الاصطناعي في منصة أمنية ليس «هل يمكنها العمل بشكل مستقل؟» بل «هل تزيد من فعالية فريق الأمن؟»

هذه فلسفات تصميم مختلفة، وفي البيئات الخاضعة للتنظيم، فإن هذا التمييز له أهميته.

إن إدارة الأمن التي يتولى البشر زمامها لا تعني إدارة أمنية بطيئة. بل تعني إدارة أمنية منظمة: حيث يعمل الذكاء الاصطناعي على استخلاص المعلومات، والأتمتة على تسريع سير العمل، بينما يتولى البشر اتخاذ القرارات. ويتم تسجيل كل إجراء مرتبطًا بهوية يمكن محاسبتها.

من الناحية العملية: تعمل لوحة التحكم المركزية على تجميع الأحداث الأمنية، ومدى الامتثال لتصحيحات نقاط النهاية، وسلامة التكوين، والنتائج التي تشير إلى وجود حالات شاذة عبر جميع عمليات النشر المتصلة. ويقوم المسؤولون بمراجعة النتائج المصنفة حسب درجة المخاطر، وتقييم السياق التشغيلي (بما في ذلك ما إذا كانت فترة الصيانة مفتوحة حاليًا في الموقع المستهدف، أو ما إذا كان قد تم التحقق من صحة تغيير التكوين على تلك الأجهزة المحددة)، واتخاذ الإجراءات اللازمة من خلال خطوة تفويض مدروسة.

بالنسبة للمؤسسات التي تدير بيئات موزعة، يتطلب ذلك منصة تتيح الوصول إلى كل عملية نشر من خلال واجهة واحدة، بما في ذلك البيئات المعزولة عن الشبكة والبيئات غير المتصلة بالإنترنت حيث لا تتوفر خيار الإدارة القائمة على السحابة. وتوفر هذه المنصة البيانات التي يحتاجها المسؤولون لاتخاذ الإجراءات بثقة.

واجهت شركة EPAM Systems (وهي مزود عالمي الخدمات هندسة المنصات الرقمية وتطوير الخدمات ما يقارب 40,000 موظف في 30 دولة) ضغوطًا متزايدة لتأمين قوة عاملة موزعة تعتمد بشكل كبير على نهج «أحضر جهازك الخاص» (BYOD) دون إبطاء أدائها. ومن خلال الاستفادة من Central Management My Central Management MetaDefender تمكنت المؤسسة من تحقيق الرؤية والتحكم في الامتثال لأكثر من 70,000 جهاز يستخدمها الموظفون والعملاء والمتعاقدون في جميع أنحاء العالم.

مكّنت المنصة فريق الأمن في EPAM من التحقق من امتثال الأجهزة للمعايير، وكشف التطبيقات غير المرغوب فيها، وتحديد الثغرات الأمنية التي لم يتم إصلاحها، وفرض سياسات الوصول، كل ذلك دون التأثير على إنتاجية المستخدمين. كما قامت EPAM بدمج MetaDefender لفحص الملفات التي يتم تحميلها إلى مخزنها المركزي، حيث تمت معالجة أكثر من 50 مليون ملف يوميًا في أوقات الذروة. وكان لدى فرق الأمن رؤية شاملة للوضع، وظلت كل القرارات في أيديهم. اقرأ القصة كاملة هنا.

استخدم الذكاء الاصطناعي في المجالات التي يضيف فيها قيمة دون التسبب في مخاطر تنفيذية: مثل تصنيف الثغرات الأمنية حسب درجة المخاطر، وكشف الانحرافات في التكوين، وربط الحالات الشاذة، وترتيب النتائج حسب الأولوية لتتم مراجعتها يدويًّا.

تجنب المنصات التي تخلط بين القيمة التحليلية للذكاء الاصطناعي وسلطة التنفيذ غير الخاضعة للرقابة. قم بتقييم ما إذا كانت المنصة تنتج سجلات التفويض التي يتطلبها إطار الامتثال الخاص بك. إذا كان الجواب هو «قرر النظام ذلك»، فإن هذا لا يُعد سجل تفويض كافياً في بيئات البنية التحتية الحيوية الخاضعة للتنظيم.