سامي
سامي الغامدي
مستشار Fyntralink · متاح الآن
مدعوم بالذكاء الاصطناعي · Fyntralink
0536890919 info@fyntralink.com

درس 5: إدارة الهوية والوصول — المصادقة والتفويض

المسار 1: أساسيات الأمن السيبراني — الدرس 5 من 10. تعرّف على إدارة الهوية والوصول IAM وكيف تحمي مؤسستك من الوصول غير المصرح به وفق متطلبات SAMA و NCA.

F
FyntraLink Team
أساسيات الأمن السيبراني (Cybersecurity Fundamentals) الدرس 5 من 10 المستوى: مبتدئ — متوسط مدة القراءة: 9 دقائق

ماذا ستتعلم في هذا الدرس

  • الفرق الجوهري بين المصادقة (Authentication) والتفويض (Authorization) ولماذا الخلط بينهما خطير
  • المكونات الأساسية لنظام إدارة الهوية والوصول (IAM) في المؤسسات المالية
  • كيفية تطبيق مبدأ الحد الأدنى من الصلاحيات (Least Privilege) عملياً
  • متطلبات SAMA CSCC و NCA ECC المتعلقة بإدارة الوصول وكيفية الامتثال لها

لماذا تبدأ كل الاختراقات تقريباً من هنا؟

تخيّل أن مبنى مؤسستك المالية فيه باب رئيسي واحد. كل شخص يدخل يحتاج شيئين: بطاقة تثبت هويته (هذه المصادقة)، ثم تصريح يحدد أي الأدوار والغرف يُسمح له بدخولها (هذا التفويض). إذا أعطيت موظف الاستقبال نفس مفاتيح المدير التنفيذي، فأنت لم تخطئ في التحقق من هويته — أنت أخطأت في تحديد صلاحياته. هذا بالضبط ما يحدث في أكثر من 60% من حوادث الاختراق: الهوية صحيحة لكن الصلاحيات مفرطة.

إدارة الهوية والوصول — أو ما يُعرف بـ Identity and Access Management (IAM) — ليست مجرد أداة تقنية. هي منظومة سياسات وعمليات وتقنيات تضمن أن الشخص المناسب يصل إلى المورد المناسب في الوقت المناسب ولأسباب مشروعة. في بيئة البنوك وشركات التأمين والتقنية المالية في السعودية، تُعتبر IAM العمود الفقري للامتثال التنظيمي.

المصادقة: إثبات "أنت مَن تدّعي"

المصادقة (Authentication) هي عملية التحقق من هوية المستخدم قبل منحه أي وصول. تعتمد على ثلاثة عوامل أساسية يمكن استخدامها منفردة أو مجتمعة: شيء تعرفه (كلمة مرور أو PIN)، شيء تملكه (هاتف أو بطاقة ذكية أو مفتاح أمان FIDO2)، وشيء أنت عليه (بصمة إصبع أو التعرف على الوجه). كلما جمعت أكثر من عامل، زادت قوة المصادقة — وهذا ما نسميه المصادقة متعددة العوامل (MFA).

في السياق السعودي، تفرض SAMA على المؤسسات المالية استخدام MFA للوصول إلى الأنظمة الحساسة. لا يكفي اسم مستخدم وكلمة مرور للدخول إلى النظام البنكي الأساسي (Core Banking). يجب إضافة عامل ثانٍ على الأقل. والأفضل: التخلي تدريجياً عن كلمات المرور كلياً والانتقال إلى Passwordless Authentication باستخدام مفاتيح FIDO2 أو تطبيقات المصادقة مثل Microsoft Authenticator.

مثال عملي: بنك سعودي كان يعتمد على كلمة مرور فقط للدخول إلى بوابة إدارة التحويلات الدولية (SWIFT). بعد حادثة تصيّد إلكتروني نجح فيها المهاجم بسرقة بيانات دخول أحد الموظفين، تمكّن من تنفيذ تحويل تجريبي قبل اكتشافه. بعد الحادثة، فعّل البنك MFA إلزامياً مع مفاتيح أمان مادية (YubiKey) لكل من يصل إلى أنظمة التحويلات، وانخفضت محاولات الوصول غير المصرح به بنسبة 98%.

التفويض: تحديد "ماذا يُسمح لك أن تفعل"

بعد أن تثبت هويتك، يأتي السؤال الأهم: ما الذي يحق لك الوصول إليه؟ التفويض (Authorization) هو عملية تحديد الصلاحيات والموارد المتاحة لكل مستخدم. وهنا يظهر المبدأ الذهبي في أمن المعلومات: مبدأ الحد الأدنى من الصلاحيات (Principle of Least Privilege — PoLP).

الفكرة بسيطة: امنح كل مستخدم الحد الأدنى من الصلاحيات اللازمة لأداء عمله فقط، ولا شيء أكثر. موظف خدمة العملاء يحتاج قراءة بيانات الحساب لكنه لا يحتاج صلاحية تعديل الحدود الائتمانية. مدير تقنية المعلومات يحتاج إدارة الخوادم لكنه لا يحتاج الوصول إلى قاعدة بيانات العملاء.

هناك عدة نماذج لإدارة التفويض:

التحكم بالوصول المبني على الأدوار (RBAC): تُعرَّف أدوار وظيفية (محلل مالي، مدير فرع، مطوّر) ولكل دور مجموعة صلاحيات محددة. هذا النموذج الأكثر شيوعاً في المؤسسات المالية السعودية لأنه يتوافق مع الهياكل الوظيفية القائمة.

التحكم بالوصول المبني على السمات (ABAC): يأخذ قرار الوصول بناء على سمات متعددة: مَن المستخدم، ما الجهاز الذي يستخدمه، من أي موقع جغرافي، في أي وقت. مثلاً: موظف المالية يستطيع الموافقة على تحويل أقل من 50,000 ريال من جهاز الشركة خلال ساعات العمل فقط.

مثال عملي: شركة تقنية مالية (Fintech) سعودية كانت تمنح جميع المطورين صلاحية Admin على قاعدة بيانات الإنتاج "لتسهيل العمل". خلال مراجعة SAMA، ظهر أن 15 شخصاً يملكون صلاحية حذف جداول العملاء بالكامل. الحل: تطبيق RBAC مع فصل بيئة التطوير عن الإنتاج، وتقييد الوصول المباشر لقاعدة الإنتاج لشخصين فقط عبر حسابات طوارئ (Break Glass Accounts) تخضع لمراقبة ومراجعة فورية.

المكونات العملية لنظام IAM متكامل

بناء نظام IAM فعال في مؤسسة مالية سعودية يتطلب عدة مكونات تعمل معاً:

دليل الهويات المركزي (Identity Directory): مصدر واحد للحقيقة يحتوي جميع هويات المستخدمين. عادة يكون Microsoft Entra ID (Azure AD سابقاً) أو حلول مثل Okta أو ForgeRock. الخطأ الشائع: وجود عدة أدلة غير متزامنة — موظف غادر المؤسسة لكن حسابه نشط في نظام آخر.

تسجيل الدخول الموحد (SSO): يسمح للمستخدم بتسجيل دخول واحد للوصول إلى جميع التطبيقات المصرح له بها. يقلل عدد كلمات المرور، يحسّن تجربة المستخدم، ويسهّل المراقبة المركزية.

إدارة الوصول المتميز (PAM): أدوات مثل CyberArk أو BeyondTrust لإدارة الحسابات ذات الصلاحيات العالية (Admin، Root، SA). هذه الحسابات هي الهدف الأول للمهاجمين وتحتاج حماية إضافية: تسجيل جلسات، موافقة مزدوجة، وتدوير كلمات المرور التلقائي.

إدارة دورة حياة الهوية (Identity Lifecycle): من لحظة تعيين الموظف (Onboarding) إلى نقله بين الأقسام (Role Change) إلى مغادرته (Offboarding). كل مرحلة تتطلب تحديث صلاحياته تلقائياً. وأخطر لحظة هي المغادرة: يجب تعطيل جميع الحسابات خلال ساعات وليس أيام.

# مثال: سياسة Conditional Access في Microsoft Entra ID
# منع الوصول من خارج السعودية لأنظمة المالية

Policy Name: Block-Finance-External-Access
Conditions:
  Users: Finance-Department-Group
  Applications: Core-Banking, SWIFT-Portal, Treasury-System
  Locations: 
    Include: All locations
    Exclude: Saudi-Arabia-Named-Location
  Device Platforms: All
Access Controls:
  Grant: Block access
Session Controls:
  Sign-in frequency: 4 hours
  Persistent browser: Disabled

الربط بالواقع السعودي

إطار SAMA CSCC يخصص مجالاً كاملاً لإدارة الهوية والوصول ضمن نطاق "التحكم بالوصول" (Access Control). يشترط الإطار تطبيق MFA للأنظمة الحساسة، ومراجعة دورية للصلاحيات (Access Review) كل 90 يوماً على الأقل، وتوثيق كل عملية منح أو سحب صلاحية. كذلك، ضوابط NCA ECC تتطلب في البند 2-6 تطبيق مبدأ الحد الأدنى من الصلاحيات وفصل المهام (Segregation of Duties) لمنع أي شخص من تنفيذ عملية حساسة كاملة بمفرده. نظام PDPL أيضاً يُلزم بتقييد الوصول إلى البيانات الشخصية للموظفين المخولين فقط مع توثيق كل عملية وصول.

أخطاء شائعة يجب تجنبها

  • تراكم الصلاحيات (Privilege Creep): موظف ينتقل بين ثلاثة أقسام خلال سنتين ويحتفظ بصلاحيات جميعها. الحل: مراجعة ربع سنوية للصلاحيات وربط التفويض بالدور الوظيفي الحالي فقط عبر نظام HR مدمج مع IAM.
  • مشاركة الحسابات الإدارية: فريق من خمسة أشخاص يتشارك حساب Admin واحد "لأنه أسهل". النتيجة: استحالة التتبع عند وقوع حادثة. الحل: حساب فردي لكل مستخدم مع PAM لإدارة الحسابات المتميزة وتسجيل كل جلسة.
  • إهمال تعطيل حسابات الموظفين المغادرين: دراسة من Ponemon Institute تُظهر أن 48% من المؤسسات تستغرق أكثر من يوم لتعطيل حسابات الموظفين المغادرين. الحل: أتمتة عملية Offboarding وربط نظام الموارد البشرية بـ IAM بحيث يُعطَّل الحساب تلقائياً فور تأكيد المغادرة.

ملخص الدرس

  • المصادقة تتحقق من الهوية (مَن أنت)، والتفويض يحدد الصلاحيات (ماذا يحق لك). الخلط بينهما أو إهمال أحدهما يفتح ثغرات خطيرة.
  • مبدأ الحد الأدنى من الصلاحيات (Least Privilege) هو أقوى ضابط أمني يمكنك تطبيقه اليوم — ابدأ بمراجعة الحسابات ذات الصلاحيات العالية في مؤسستك.
  • نظام IAM المتكامل يشمل: دليل هويات مركزي، SSO، MFA، PAM، وإدارة دورة حياة الهوية — وكلها مطلوبة للامتثال لـ SAMA CSCC و NCA ECC.

الدرس القادم

في الدرس التالي سنتناول: أمن الشبكات — الجدران النارية وأنظمة كشف التسلل — ستتعلم كيف تبني طبقات حماية للشبكة تكشف التهديدات وتوقفها قبل وصولها إلى أنظمتك الحساسة، مع أمثلة من بيئات المؤسسات المالية السعودية.

هل تريد تطبيق ما تعلمته على مؤسستك؟ تواصل مع فريق فنترالينك للحصول على تقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.

الوسوم

#أساسيات الأمن السيبراني #إدارة الهوية والوصول #IAM #المصادقة #التفويض #دروس أمنية #فنترالينك #SAMA #NCA