اخفاقات شركات كبرى في تأمين الهوية السحابية يهدد الامتثال التنظيمي والأمن السيبراني

كشف تقرير جديد صادر عن شركة “Unosecur” للأمن السيبراني، أن الغالبية الساحقة من المؤسسات تفتقر إلى الضوابط الأساسية لأمن الهوية في بيئات الحوسبة السحابية، ما يجعلها عرضة للاختراقات، والإخفاق في التدقيقات، ومخاطر عدم الامتثال التنظيمي.

ويستند التقرير، الذي يغطي الفترة من يناير إلى يونيو 2025، إلى عمليات فحص تشخيصية لـ50 مؤسسة من مختلف القطاعات والمناطق الجغرافية، وتم تنفيذه عبر اختبارات مباشرة على ضوابط الحماية، وليس من خلال استبيانات ذاتية، مما يعكس واقعاً دقيقاً وقابلاً للتكرار لمدى التزام الشركات بالمعايير الدولية مثل ISO 27001/27002، وPCI DSS، وSOC 2.

نتائج مقلقة في أغلب المؤسسات

أظهرت البيانات أن كل شركة تقريباً شملها المسح تحتوي على خلل واحد على الأقل عالي الخطورة، بمتوسط 40 خللاً في كل مؤسسة. وتوزعت 70% من النتائج ذات الخطورة العالية على أربع فئات فقط: غياب المصادقة متعددة العوامل (MFA)، الصلاحيات المفرطة، المفاتيح غير المستخدمة أو طويلة الأجل، والمفاتيح الآلية غير المدارة.

وقال سانتوش جايابراكاش، الرئيس التنفيذي لشركة Unosecur: “تشير هذه البيانات بوضوح إلى أن معظم الشركات التي تستخدم إحدى المنصات السحابية الثلاث الكبرى لديها سجل جاهز بأكثر مخالفات الامتثال شيوعاً، وغالباً ما تُغفل المؤسسات متعددة السحابات عن تفاوت مستويات الخطر بين بيئاتها المختلفة”.

أخطاء شائعة في منصات كبرى

وفي تفاصيل النتائج، أشار التقرير إلى أن أبرز المشكلات تتوزع كالتالي:

• في AWS: عدد كبير من الحسابات الإدارية لا يستخدم المصادقة متعددة العوامل.
• في Google Cloud: الاعتماد على صلاحيات TokenCreator على مستوى المشاريع يمنح إمكانية واسعة لإنشاء رموز النفاذ.
• في Azure: احتفاظ العملاء بصلاحيات “Owner” أو “Contributor” المفتوحة عبر الاشتراكات بأكملها يزيد من خطر إساءة الاستخدام.

التقرير وصف هذه الإخفاقات بأنها ليست تهديدات متطورة، بل “أبواب مفتوحة” يسهل على جماعات الفدية أو المدققين اكتشافها مبكراً.

الآثار التنظيمية والتجارية

وأبرز التقرير أيضاً الأثر المباشر لهذه الثغرات على عمليات التدقيق وطلبات التأمين السيبراني، مؤكداً أن الشركات التي تطبق أربع ضوابط رئيسية – المصادقة متعددة العوامل للحسابات ذات الامتيازات، ترفيع الصلاحيات عند الطلب (Just-in-Time Access)، المفاتيح قصيرة الأجل، وتخزين المفاتيح الآلية في خزائن آمنة – تحقّق نتائج أفضل في المراجعات وتحظى بموثوقية أعلى في الصفقات التجارية الكبرى.

ضغط تشريعي متصاعد

يتزامن ذلك مع تصاعد الضغوط التنظيمية خلال العام الجاري، حيث فرضت تشريعات مثل DORA وeIDAS 2.0 في أوروبا، وقانون حماية البيانات الرقمية في الهند، وسياسات الثقة الصفرية في الولايات المتحدة، متطلبات جديدة أكثر صرامة في حوكمة الهوية الرقمية. وقد امتدت هذه المتطلبات لتشمل حتى الاستخدامات الاحتيالية للذكاء الاصطناعي، مثل التزييف العميق (Deepfakes).

واختتم التقرير بتحذير مباشر: “إذا كان منافسوك يُظهرون مؤشرات سيئة مثل ضعف المصادقة والمفاتيح المهملة، فعليك أن تعرف أين تقف قبل أن تتصدر أخبار الاختراق أو الفشل في التدقيق العناوين”.