كشفت وكالة الأمن القومي الأميركية (NSA) عن إصدار المرحلة الأولى والثانية ضمن سلسلة إرشادات تنفيذ هندسة الثقة الصفرية (Zero Trust Implementation Guidelines)، وهي خطوة تهدف إلى وضع خارطة طريق تفصيلية للوصول إلى مستوى الهدف في التطبيقات الأمنية داخل بيئات وزارة الدفاع، وقاعدة الصناعات الدفاعية، وأنظمة الأمن القومي.
وتعد هذه الإرشادات امتداداً لمنتجين تأسيسيين صدرا في مطلع يناير 2026، هما الدليل التمهيدي (Primer) ومرحلة الاستكشاف (Discovery Phase). وتسعى السلسلة في جوهرها إلى توحيد مسار النضج التقني لمالكي الأنظمة والفرق الفنية وقادة الأمن السيبراني، مع إتاحة المجال للاستفادة منها في القطاعات الأكاديمية والصناعية.
تحول جذري في معايير التحقق
تقدم وكالة الأمن القومي عبر هذه السلسلة صياغة تنفيذية دقيقة لمبادئ الثقة الصفرية، تتجاوز المفاهيم النظرية إلى إجراءات تطبيقية تعتمد على المصادقة والتخويل المستمرين لكل مستخدم أو كيان بشري (PE)، وكل جهاز أو كيان غير بشري (NPE)، بالإضافة إلى التطبيقات.
ويستند هذا التوجه إلى مبدأي عدم الثقة مطلقاً، والتحقق دائماً وافتراض حدوث الاختراق. وبحسب التحليلات المتخصصة، فإن الرسالة الأساسية لهذه الإرشادات تكمن في دفع المؤسسات لتجاوز مرحلة الثقة عند تسجيل الدخول، والانتقال نحو قرارات وصول ديناميكية تتجدد باستمرار بناء على السياق، والسلوك اللحظي، ومستوى المخاطر المحتملة.
بنية السلسلة: 152 نشاطاً تقنياً
وفقاً لوثيقة الدليل التمهيدي، يتضمن إطار استراتيجية وزارة الدفاع للثقة الصفرية 152 نشاطاً تم تنظيمها بالتعاون مع مكتب محفظة الثقة الصفرية التابع لرئيس مسؤولي المعلومات في الوزارة. وتتوزع هذه الأنشطة على 5 مراحل رئيسية:
- مرحلة الاستكشاف (Discovery): تشمل 14 نشاطاً لدعم 13 قدرة، وتركز على بناء صورة دقيقة للبيئة المعلوماتية (بيانات، تطبيقات، أصول، وخدمات).
- المرحلة الأولى (Phase One): تضم 36 نشاطاً لدعم 30 قدرة، تهدف إلى بناء الأساس الأمني اللازم لتفعيل الحلول.
- المرحلة الثانية (Phase Two): تشمل 41 نشاطاً لدعم 34 قدرة، وتبدأ فيها عملية دمج الحلول الجوهرية للثقة الصفرية.
- المرحلتان الثالثة والرابعة: مخصصتان للمستويات المتقدمة، ومن المقرر تطويرهما في وقت لاحق.
وتستهدف الحزمة الحالية دعم تطبيق 42 قدرة على مستوى الهدف من خلال 91 نشاطاً تنفيذياً موزعاً بين المراحل المتاحة.
التنفيذ التشغيلي والحياد التقني
تؤكد وثيقة المرحلة الأولى دورها كحلقة وصل عملية مع مراجع (NIST) و(CISA)، حيث تفكك الأنشطة إلى مهام إجرائية قابلة للتطبيق. وتتسم هذه الإرشادات بالمرونة؛ فهي غير إلزامية بصيغتها الحالية كدليل، ومصممة لتلائم نقطة البداية الخاصة بكل جهة، كما أنها تلتزم بالحياد تجاه الموردين والشركات التقنية.
ومن جانبها، تعتزم وكالة الأمن القومي تحديث نشرات الثقة الصفرية السابقة (CSIs) خلال عام 2026 لمواءمتها مع السلسلة الجديدة. وفي الوقت ذاته، شددت وثائق المرحلة الثانية على أن ذكر أي منتج أو خدمة لا يعني التوصية به، محذرة من استخدام هذه الإرشادات للترويج التجاري، وذلك لضمان النزاهة في تطوير المعالجات الأمنية لأنظمة الأمن القومي.
المرجعية القانونية والتقنية
تستند السلسلة إلى منظومة من المراجع الحكومية الأميركية، من أبرزها معايير المعهد الوطني للمعايير والتقنية (NIST SP 800-207)، ونموذج نضج الثقة الصفرية الخاص بوكالة الأمن السيبراني وأمن البنية التحتية (CISA v2.0)، بالإضافة إلى الاستراتيجيات والهندسة المرجعية الصادرة عن وزارة الدفاع في عام 2022.
