درس 3: مبادئ CIA الثلاثية — السرية والسلامة والتوفر

ماذا ستتعلم في هذا الدرس

• ما هو ثالوث CIA ولماذا يُعتبر حجر الأساس في الأمن السيبراني
• كيف تعمل السرية (Confidentiality) وما الأدوات التي تحققها
• كيف تضمن سلامة البيانات (Integrity) وتكتشف أي تلاعب
• كيف تحقق التوفر (Availability) وتحمي خدماتك من التوقف

ثالوث CIA: الإطار الذي يحكم كل قرار أمني

لو سألت أي متخصص أمن سيبراني "ما الهدف النهائي من عملك؟"، ستجد الإجابة تدور حول ثلاثة مبادئ: السرية والسلامة والتوفر. هذا الثالوث — المعروف اختصاراً بـ CIA Triad — ليس مجرد نظرية أكاديمية، بل هو المعيار الذي تُبنى عليه كل سياسة أمنية، وكل ضابط رقابي، وكل قرار تقني تتخذه مؤسستك. عندما تُصنّف بياناتك، فأنت تطبّق السرية. عندما تضع checksums على الملفات، فأنت تحمي السلامة. وعندما تبني بنية تحتية متكررة (redundant)، فأنت تضمن التوفر.

الخطأ الشائع هو التعامل مع هذه المبادئ كقائمة تحقّق منفصلة. الحقيقة أنها متشابكة: تقوية أحدها قد تُضعف الآخر إذا لم تُوازن بينها. التشفير القوي يحمي السرية لكنه قد يبطئ الأداء ويؤثر على التوفر. صلاحيات الوصول المشددة تحمي السرية لكنها قد تعيق العمليات اليومية. فهم هذا التوازن هو ما يميّز المتخصص الحقيقي.

السرية (Confidentiality): من يحق له أن يرى؟

السرية تعني أن المعلومات لا يصل إليها إلا من يملك الصلاحية. هذا المبدأ يبدو بسيطاً، لكن تطبيقه في مؤسسة مالية سعودية يتطلب طبقات متعددة. تبدأ من تصنيف البيانات (Data Classification) — هل هذه بيانات عامة، داخلية، سرية، أم شديدة السرية؟ ثم تنتقل إلى التحكم في الوصول (Access Control) عبر نماذج مثل RBAC أو ABAC. وأخيراً، تحمي البيانات أثناء النقل وأثناء التخزين بالتشفير.

مثال عملي: تخيّل بنكاً سعودياً يحتفظ ببيانات عملائه في قاعدة بيانات مركزية. موظف خدمة العملاء يحتاج الاسم ورقم الحساب فقط، بينما مدير المخاطر يحتاج السجل الائتماني الكامل. بدون تصنيف واضح ونموذج صلاحيات دقيق، قد يصل موظف الخدمة إلى بيانات لا يحتاجها — وهذا انتهاك لمبدأ الحاجة للمعرفة (Need-to-Know) الذي يُلزم به إطار SAMA CSCC.

الأدوات الأساسية لتحقيق السرية تشمل: التشفير باستخدام AES-256 للبيانات المخزنة و TLS 1.3 للبيانات المنقولة، أنظمة إدارة الهوية والوصول (IAM) مثل Microsoft Entra ID أو Okta، حلول منع تسرب البيانات (DLP) مثل Microsoft Purview أو Symantec DLP، والتصنيف الآلي للبيانات باستخدام أدوات مثل Varonis أو Trellix.

السلامة (Integrity): هل البيانات جديرة بالثقة؟

السلامة تضمن أن البيانات لم تُعدَّل أو تُتلَف بشكل غير مصرّح به، سواء أثناء التخزين أو النقل أو المعالجة. في القطاع المالي، هذا المبدأ حرج: تخيّل أن مهاجماً غيّر رقماً واحداً في حوالة بنكية — المبلغ يتحول من 10,000 ريال إلى 100,000 ريال. أو أن سجلات المراجعة (Audit Logs) تُعدَّل لإخفاء عملية احتيال.

تقنياً، تعتمد حماية السلامة على عدة آليات:

# التحقق من سلامة ملف باستخدام SHA-256
sha256sum financial_report.pdf
# الناتج: a3f2b8c9d4e5... financial_report.pdf

# مقارنة القيمة المحسوبة بالقيمة المرجعية المخزنة
echo "a3f2b8c9d4e5..." | sha256sum --check

# استخدام HMAC للتحقق من سلامة الرسائل بين الأنظمة
openssl dgst -sha256 -hmac "secret_key" message.json

إلى جانب دوال التجزئة (Hashing)، تشمل أدوات حماية السلامة: التوقيع الرقمي (Digital Signatures) للتحقق من مصدر البيانات وعدم تعديلها، أنظمة كشف التغييرات في الملفات (File Integrity Monitoring - FIM) مثل OSSEC أو Tripwire، وقواعد البيانات التي تدعم سجلات التدقيق غير القابلة للتعديل (Immutable Audit Logs). كما أن مبدأ الفصل بين المهام (Separation of Duties) يُعتبر ضابطاً إدارياً أساسياً: الشخص الذي يُدخل الحوالة ليس هو من يعتمدها.

التوفر (Availability): هل الخدمة متاحة عند الحاجة؟

التوفر يعني أن الأنظمة والبيانات متاحة للمستخدمين المصرّح لهم في الوقت الذي يحتاجونها. في بنك سعودي، توقّف نظام المدفوعات لساعة واحدة قد يعني خسائر بالملايين وضرراً كبيراً بالسمعة — ناهيك عن المخالفات التنظيمية. لهذا يُقاس التوفر عادةً بنسب مثل 99.9% (يسمح بـ 8.7 ساعات توقف سنوياً) أو 99.99% (52 دقيقة فقط سنوياً).

مثال عملي: شركة تقنية مالية (FinTech) سعودية تقدم خدمة محفظة رقمية. هجوم DDoS استهدف خوادمها أثناء موسم رمضان حيث تتضاعف المعاملات. بدون بنية تحتية متكررة وخدمة حماية مثل Cloudflare أو AWS Shield، توقفت الخدمة 4 ساعات. النتيجة: آلاف المعاملات الفاشلة، شكاوى العملاء، وتحقيق من SAMA بسبب انتهاك متطلبات استمرارية الأعمال.

تحقيق التوفر يتطلب: بنية تحتية متكررة (Redundancy) على مستوى الخوادم والشبكات ومراكز البيانات، نسخ احتياطية منتظمة ومُختبرة (3-2-1 Rule: ثلاث نسخ، وسيطتان مختلفتان، نسخة واحدة خارج الموقع)، خطط استمرارية أعمال (BCP) وتعافي من الكوارث (DRP) مُحدّثة ومُمارسة دورياً، وأنظمة موازنة الأحمال (Load Balancing) والتوسّع التلقائي (Auto-Scaling) في البيئات السحابية.

الربط بالواقع السعودي

ثالوث CIA ليس مجرد مفهوم نظري — إنه مُضمَّن في كل إطار تنظيمي سعودي. إطار SAMA CSCC يتطلب صراحةً تصنيف البيانات وحمايتها (السرية)، وسلامة سجلات المعاملات والمراجعة (السلامة)، واستمرارية الخدمات المالية الحرجة (التوفر). ضوابط NCA ECC تُلزم الجهات الحكومية والحيوية بتحقيق الأهداف الثلاثة مع التركيز على حماية البنية التحتية الوطنية. أما نظام PDPL فيركّز بشكل خاص على سرية البيانات الشخصية وسلامتها، مع فرض غرامات تصل إلى 5 ملايين ريال على المخالفات. عندما تفهم CIA، تفهم لماذا كُتب كل ضابط تنظيمي بالطريقة التي كُتب بها.

أخطاء شائعة يجب تجنبها

• التركيز على السرية وإهمال التوفر: بعض المؤسسات تفرض قيوداً أمنية مشددة لدرجة أن الموظفين لا يستطيعون أداء عملهم. الحل هو تحليل المخاطر لتحديد المستوى المناسب من الحماية لكل نوع بيانات.
• افتراض أن التشفير يكفي لحماية السلامة: التشفير يحمي السرية، لكنه لا يكتشف التلاعب بالضرورة. تحتاج إلى دوال تجزئة (Hashing) وتوقيع رقمي (Digital Signatures) بشكل منفصل لضمان السلامة.
• عدم اختبار النسخ الاحتياطية: كثير من المؤسسات تأخذ نسخاً احتياطية يومياً لكنها لا تختبر استعادتها أبداً. يوم الكارثة تكتشف أن النسخ تالفة أو غير مكتملة. اختبر الاستعادة شهرياً على الأقل.

ملخص الدرس

• ثالوث CIA (السرية والسلامة والتوفر) هو الأساس الذي تُبنى عليه كل سياسة وضابط أمني في مؤسستك
• المبادئ الثلاثة متشابكة ويجب الموازنة بينها — تقوية أحدها على حساب الآخر يخلق ثغرات جديدة
• كل إطار تنظيمي سعودي (SAMA CSCC, NCA ECC, PDPL) مبني على هذه المبادئ، وفهمها يسهّل رحلة الامتثال

الدرس القادم

في الدرس التالي سنتناول: فهم طبقات الدفاع: نموذج Defense in Depth — ستتعلم كيف تبني حماية متعددة الطبقات بحيث لا يؤدي اختراق طبقة واحدة إلى انهيار أمن مؤسستك بالكامل.

هل تريد تطبيق ما تعلمته على مؤسستك؟ تواصل مع فريق فنترالينك للحصول على تقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.