مدير الأمن السيبراني في JPMorgan يطالب بتحول جذري في أمن البرمجيات كخدمة (SaaS)

حثّ المدير التنفيذي للأمن السيبراني في بنك JPMorgan Chase، باتريك أوبيت، مزوّدي خدمات البرمجيات كخدمة (SaaS) على إجراء مراجعة جذرية لنموذجهم الأمني، محذرًا من أن هذا النموذج الحالي “يمكّن المهاجمين السيبرانيين بهدوء”.

في رسالة مفتوحة وجهها إلى المورّدين من الأطراف الثالثة، سلط أوبيت الضوء على ثلاث مشكلات رئيسية:

1. مخاطر التركّز (Concentration Risk): نظرًا لأن تطبيقات SaaS أصبحت الخيار الوحيد تقريبًا، فإن أي خلل أو اختراق لدى مزوّد واحد يمكن أن يؤدي إلى تأثير منهجي واسع.
2. أولوية الخصائص على حساب الأمان: المنافسة الشديدة بين المزوّدين تدفعهم لإطلاق ميزات جديدة على حساب تطوير منتج أكثر أمانًا.
3. تحوّل الحدود الأمنية التقليدية: أدى نموذج SaaS إلى تآكل الفاصل بين الأنظمة الداخلية الموثوقة والخارجية غير الموثوقة، مما جعل الاعتماد على التحقق من الهوية أكثر أهمية. غير أن النماذج الحالية للتوثيق والتفويض قد أصبحت مبسطة بشكل مفرط، حيث تتيح ما يُعرف بـ “الثقة الصريحة أحادية العامل” (Single-Factor Explicit Trust) بين الموارد الداخلية والخارجية​.

وأضاف أوبيت أن الوضع يزداد سوءًا بسبب عوامل مثل:

• الرموز المميزة (Tokens) غير المؤمّنة بالشكل الكافي والتي يمكن سرقتها وإعادة استخدامها.
• الوصول الامتيازي الذي يحصل عليه مقدمو البرمجيات لأنظمة العملاء دون موافقة صريحة أو شفافية.
• التبعية الخفية لمورّدين من المستوى الرابع، ما يوسّع دائرة الخطر.

وأشار أيضًا إلى أن النمو المتسارع في مجالات مثل إدارة البيانات، والأتمتة، والذكاء الاصطناعي، ووكلاء الذكاء الاصطناعي، يزيد من سرعة وانتشار هذه التهديدات.

دعوة إلى تبنّي نموذج أمني جديد

دعا أوبيت مزوّدي SaaS إلى:

• تقديم إعدادات آمنة افتراضيًا (Secure-by-default).
• معالجة مشكلة “التكامل الموثوق” باستخدام تقنيات مثل الحوسبة السرية (Confidential Computing)، واستضافة الخدمة ذاتيًا من قبل العملاء، ونماذج “اجلب سحابتك الخاصة” (Bring-Your-Own-Cloud).
• اعتماد مبادئ أمان جديدة وإجراءات صارمة تمكّن من اعتماد الخدمات السحابية بسرعة مع حماية العملاء من ثغرات المورّدين.

وأكد أن الإجراءات التقليدية مثل تقسيم الشبكات (Segmentation)، والطبقات الأمنية (Tiering)، وإنهاء البروتوكولات (Protocol Termination) لم تعد كافية في بيئة SaaS الحالية، داعيًا إلى أساليب أكثر تقدمًا في التفويض، والرصد، والاستباق في التصدي للهجمات.

من جهته، أعرب مارك تاونسند، الشريك المؤسس والرئيس التقني في AcceleTrex، عن أمله في أن تسهم هذه الدعوة في دفع مزودي SaaS نحو التغيير، مضيفًا أن “التغيير لن يحدث إلا عندما يطالب به المزيد من العملاء”.