Shadow AI: كيف يسرّب موظفوك بيانات مؤسستك المالية إلى أدوات الذكاء الاصطناعي دون علمك

في الربع الأول من 2026، رصدت شركة Netskope أن 47% من الموظفين الذين يستخدمون أدوات الذكاء الاصطناعي التوليدي في بيئات العمل يفعلون ذلك عبر حسابات شخصية خارج نطاق رقابة المؤسسة. هذا الاستخدام غير المرئي — المعروف بـ Shadow AI — تحوّل من مصدر قلق نظري إلى تهديد تشغيلي حقيقي يُسرّب بيانات العملاء والملكية الفكرية ومعلومات الامتثال خارج حدود السيطرة المؤسسية.

ما هو Shadow AI ولماذا يهدد القطاع المالي السعودي؟

Shadow AI يشير إلى استخدام الموظفين لتطبيقات الذكاء الاصطناعي التوليدي — مثل ChatGPT وGoogle Gemini وClaude وCopilot — دون إذن رسمي من إدارة تقنية المعلومات أو فريق الأمن السيبراني. الفرق الجوهري بين Shadow AI والتهديدات الداخلية التقليدية أن المستخدم لا ينوي الإضرار بالمؤسسة؛ بل يحاول إنجاز عمله بكفاءة أعلى. لكن النتيجة واحدة: بيانات حساسة تغادر البيئة المؤسسية بلا رجعة.

القطاع المالي السعودي يواجه مخاطر مضاعفة لأن طبيعة البيانات المتداولة — سجلات العملاء، تقارير الامتثال، نتائج التدقيق، البيانات المالية — تخضع لأنظمة صارمة من SAMA وهيئة البيانات الوطنية (PDPL). أي تسريب لهذه البيانات عبر أداة GenAI خارجية قد يُعدّ انتهاكاً تنظيمياً مباشراً.

الأرقام التي يجب أن تقلق كل CISO سعودي

أبحاث Cyberhaven لعام 2026 كشفت أرقاماً صادمة عن حجم المشكلة. 77% من الموظفين يلصقون بيانات مباشرة في أدوات GenAI أثناء العمل. نسبة 39.7% من التفاعلات مع هذه الأدوات تتضمن بيانات حساسة تشمل كود المصدر والسجلات المالية وبيانات العملاء. المؤسسات ترصد بالمتوسط 66 تطبيق GenAI مختلفاً في بيئاتها، منها 10% مصنّف عالي الخطورة. حوادث تسريب البيانات المرتبطة بـ GenAI ارتفعت بنسبة 250% لتشكّل الآن 14% من إجمالي حوادث DLP.

الأخطر من ذلك أن تقرير Verizon DBIR 2026 أكد أن بيانات الاعتماد المسروقة لا تزال أكثر أساليب الاختراق الأولي شيوعاً بنسبة 22%، وأن 14% من الموظفين يستخدمون أدوات GenAI على أجهزة الشركة، بينما 72% منهم يدخلون هذه الأدوات عبر بريد إلكتروني شخصي أو بدون أي نظام مصادقة مؤسسي.

سيناريوهات التسريب الأكثر شيوعاً في المؤسسات المالية

السيناريو الأول: محلل ائتمان يلصق بيانات طلب تمويل عميل في ChatGPT لتلخيصها — اسم العميل ورقم هويته ودخله الشهري أصبحت الآن خارج نطاق سيطرة البنك. السيناريو الثاني: مطوّر يرسل كود المصدر الخاص بنظام الدفع الإلكتروني إلى أداة Copilot لإصلاح خطأ برمجي — الكود يحتوي على مفاتيح API وعناوين خوادم داخلية. السيناريو الثالث: موظف امتثال ينسخ تقرير التدقيق الداخلي لـ SAMA في أداة GenAI لإعادة صياغته — نتائج الفحص والثغرات المكتشفة أصبحت مكشوفة لمزوّد الخدمة.

في كل هذه السيناريوهات، لا يوجد نية خبيثة. لكن بمجرد إرسال البيانات إلى نموذج لغوي خارجي، تفقد المؤسسة كل سيطرة على مصيرها. بعض مزودي الخدمة يستخدمون هذه البيانات لتحسين نماذجهم، مما يعني إمكانية ظهور معلومات حساسة في ردود لمستخدمين آخرين.

التبعات التنظيمية: PDPL وSAMA CSCC وNCA ECC

نظام حماية البيانات الشخصية (PDPL) في المادتين 10 و24 يُلزم الجهات المتحكمة بالبيانات بضمان عدم نقل البيانات الشخصية خارج المملكة دون ضوابط محددة. استخدام موظف لأداة GenAI مستضافة على خوادم خارج السعودية يُعدّ نقلاً عابراً للحدود بدون أساس قانوني. العقوبات قد تصل إلى 5 ملايين ريال سعودي لكل انتهاك.

إطار SAMA CSCC في البند 3.3.4 المتعلق بإدارة أمن المعلومات يتطلب تصنيف البيانات وتطبيق ضوابط مناسبة لكل مستوى حساسية. السماح بنسخ بيانات مصنفة "سرية" أو "مقيدة" إلى أدوات خارجية غير معتمدة يمثل إخلالاً مباشراً بمتطلبات الإطار. أما NCA ECC في ضابط 2-6-3 فيشترط حماية البيانات من التسريب غير المصرح به عبر تقنيات منع فقدان البيانات (DLP).

التوصيات والخطوات العملية لمواجهة Shadow AI

1. وضع سياسة استخدام مقبول لأدوات GenAI: حدد بوضوح أي أدوات مسموحة وأي بيانات يُمنع إدخالها. اربط السياسة بتصنيف البيانات المعتمد لديك وفق SAMA CSCC. وزّع السياسة على جميع الموظفين واطلب توقيعهم عليها.
2. نشر حلول DLP مدركة للذكاء الاصطناعي: أدوات مثل Microsoft Purview AI Hub أو Netskope One أو Cyberhaven تستطيع رصد ومنع نسخ البيانات الحساسة إلى تطبيقات GenAI في الوقت الفعلي. فعّل سياسات تمنع لصق البيانات المصنفة "سرية" أو أعلى في أي تطبيق GenAI غير معتمد.
3. اعتماد بوابة GenAI مؤسسية: بدلاً من حظر الأدوات كلياً — مما يدفع الموظفين لاستخدامها سراً — وفّر بيئة مؤسسية آمنة مثل Azure OpenAI Service أو AWS Bedrock بإعدادات تمنع استخدام البيانات في التدريب وتبقي كل شيء داخل حدود المملكة.
4. تدريب وتوعية مستمرة: نفّذ برامج توعية ربع سنوية تشمل سيناريوهات عملية لتسريب البيانات عبر GenAI. ركّز على أن النية الحسنة لا تُعفي من المسؤولية التنظيمية.
5. مراقبة وتدقيق دوري: فعّل سجلات CASB لتتبع استخدام تطبيقات SaaS غير المصرح بها. أجرِ تدقيقاً شهرياً على أنماط الاستخدام واربط النتائج بتقارير الامتثال لـ SAMA.
6. تحديث سجل المخاطر: أضف Shadow AI كفئة مخاطر مستقلة في سجل المخاطر المؤسسي مع تقييم الأثر والاحتمالية وخطة المعالجة، وفق منهجية إدارة المخاطر في NCA ECC.

الخلاصة

Shadow AI ليس مشكلة تقنية فحسب — إنه فجوة حوكمة تتوسع كل يوم مع تزايد اعتماد الموظفين على أدوات الذكاء الاصطناعي التوليدي. المؤسسات المالية السعودية التي لا تتحرك الآن لوضع ضوابط واضحة ونشر أدوات DLP ذكية وتوفير بدائل مؤسسية آمنة ستجد نفسها أمام تسريبات بيانات قد تكلفها غرامات تنظيمية وخسائر سمعية لا يمكن تداركها.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى نضج ضوابط حماية البيانات وسياسات استخدام الذكاء الاصطناعي وفق SAMA CSCC وPDPL.