أمن الهوية والبيانات في بنوك البحرين أمام التهديدات الذاتية

قبل سنوات كان الاختراق «حدثًا» يقع على مؤسسة ثم تُغلق الملف. اليوم صار الاختراق عملية مستمرة: هجمات تعمل 24/7، تتعلم من ردّك، وتُعيد المحاولة بصيغ مختلفة—وأحيانًا بلا تدخل بشري مباشر. هذا ما يُسمّى عمليًا بـالتهديدات الذاتية (Autonomous Threats): برمجيات وأدوات مدعومة بالذكاء الاصطناعي تُنفّذ الاستطلاع، والتصيّد، وتجاوز الضوابط، وحتى تحسين الرسائل، بشكل شبه آلي.

في البحرين، حيث تتسارع رقمنة الخدمات المصرفية وتكنولوجيا المالية ضمن بيئة تنظيمية داعمة وقطاع مالي نشط، يصبح سؤال تأمين الهوية والبيانات أكثر إلحاحًا من أي وقت مضى. لأن كل تجربة رقمية أسرع—فتح حساب عن بُعد، اعتماد عميل إلكتروني (eKYC)، مدفوعات فورية—تضيف نقاط تلامس جديدة يمكن استهدافها.

الواقع؟ أمن المعلومات لم يعد «طبقة» تضاف في النهاية. في الخدمات المالية الحديثة، الأمن هو المنتج نفسه: هو ما يجعل العميل يثق، والجهة الرقابية تطمئن، وفِرق الابتكار تجرّب بسرعة من دون أن تخاطر بسمعة المؤسسة.

لماذا تغيّرت طبيعة التهديدات: من أدوات ثابتة إلى خصم يتعلّم

النقطة الأساسية: الهجمات أصبحت أسرع وأكثر تخصيصًا، وتستهدف الهوية كأقصر طريق للبيانات والأموال.

1) الذكاء الاصطناعي خفّض تكلفة الهجوم ورفع جودة الخداع

في السابق، كانت حملات التصيّد الجيّدة تتطلب كاتبًا ماهرًا، وقتًا طويلًا، ومعرفة بالسياق المحلي. الآن، الأدوات التوليدية تُنتج رسائل مقنعة لغويًا، وتُعدّل اللهجة والأسلوب، وتُخصّص المحتوى بسرعة، وتُجري اختبار A/B للهجمات كما تفعل فرق التسويق.

في قطاع الخدمات المالية بالبحرين، هذا يعني أن رسائل مثل: «تأكيد تحديث بيانات KYC» أو «تعطّل مؤقت في تطبيق البنك—أعد تسجيل الدخول» قد تبدو حقيقية تمامًا، خصوصًا حين تتوافق مع مواسم ضغط مثل نهاية السنة المالية أو فترات السفر والإجازات.

2) الهوية الرقمية هي الهدف المفضل

المهاجم الذكي لا يحتاج لاختراق قاعدة بيانات ضخمة إذا استطاع السيطرة على جلسة دخول واحدة أو رمز تحقق أو رمز استعادة كلمة المرور. ومن هنا تتحول الهوية (Identity) إلى مركز المعركة:

• الاستيلاء على الحسابات (ATO)
• سرقة رموز OTP أو خداع تطبيقات المصادقة
• استغلال ثغرات «استعادة الحساب» عبر مراكز الاتصال
• انتحال عبر deepfakes (صوت/فيديو) في حالات التحقق عن بُعد

3) التهديدات الذاتية تعني “هجومًا في حلقة مغلقة”

الخصم لا يجرّب مرة ثم يتوقف. بل يراقب الإشارات: هل حُظر عنوان IP؟ هل فشل الدخول؟ هل تغيّر مسار التحقق؟ ثم يُبدّل تكتيكه تلقائيًا. إذا كان الدفاع بطيئًا أو يدويًا، فالمؤسسة تخسر سباق الزمن.

جملة مختصرة يمكن الاستشهاد بها: عندما يصبح الهجوم آليًا، يجب أن يصبح الدفاع آليًا أيضًا—وبالسرعة نفسها.

ما الذي يعنيه ذلك للبنوك وشركات الفنتك في البحرين؟

النقطة الأساسية: التحول الرقمي في البحرين يرفع قيمة تجربة العميل، لكنه يرفع أيضًا حساسية نقاط الدخول الرقمية.

1) التوسع في القنوات الرقمية يخلق “سلسلة هوية” أطول

اليوم العميل قد يبدأ رحلته من إعلان، ثم صفحة هبوط، ثم تطبيق، ثم محادثة واتساب/دردشة، ثم توثيق هوية، ثم توقيع إلكتروني. كل خطوة تضيف بيانات وهوية وسلوكًا.

إدارة المخاطر هنا ليست فقط منع الاختراق، بل منع الاحتيال بدون كسر التجربة. كثير من الشركات تقع في خطأ بسيط: تجعل التحقق قاسيًا لدرجة أن العملاء الحقيقيين يغادرون، أو تجعله خفيفًا لدرجة أن المحتالين يمرّون.

2) منظومات الدفع والتمويل الفوري لا تسامح التأخير

كلما اقتربت المؤسسة من المدفوعات الفورية، ارتفع الضغط على أنظمة الكشف عن الاحتيال: القرار يجب أن يُتخذ في أجزاء من الثانية. وفي هذا السياق، حلول التحليل السلوكي وتقييم المخاطر اللحظي تصبح ضرورية.

3) الامتثال ليس ورقًا—هو تصميم

في بيئة مثل البحرين، حيث تتداخل متطلبات الخصوصية، وأمن المعلومات، ومبادئ الحوكمة، يصبح من العملي اعتماد مبدأ: الخصوصية والأمن بالتصميم (Security & Privacy by Design). الفكرة ليست تقليل الابتكار، بل تمكينه ضمن ضوابط واضحة.

كيف يستخدم الذكاء الاصطناعي لحماية الهوية والبيانات فعليًا؟ (أمثلة تطبيقية)

النقطة الأساسية: أفضل استخدام للذكاء الاصطناعي أمنيًا هو دمجه في سلسلة التحقق بأقل احتكاك وأعلى دقة.

1) التحقق الذكي من الهوية (AI Identity Verification)

بدل الاعتماد على خطوة واحدة (صورة هوية + سيلفي)، الأنظمة المتقدمة تجمع إشارات متعددة:

• مطابقة الوثيقة (جودة الصورة، علامات التلاعب، تناسق الخطوط)
• فحص الحيوية (liveness detection) للحد من صور/فيديوهات مزيفة
• بصمة الجهاز (Device fingerprinting)
• تقييم مخاطر الشبكة (VPN، بروكسي، موقع غير متسق)
• توافق السلوك مع نمط المستخدم

المكسب في البحرين: تسريع eKYC وفتح الحساب عن بُعد مع تقليل قبول الهويات المزيفة—خصوصًا في سيناريوهات تسجيل العملاء لشركات الفنتك أو المحافظ الرقمية.

2) التحليل السلوكي لمكافحة الاستيلاء على الحساب (ATO)

الذكاء الاصطناعي لا “ينظر” فقط لكلمة المرور، بل يراقب سلوك الجلسة:

• سرعة الكتابة وحركة الماوس/اللمس
• نمط التنقل داخل التطبيق
• توقيت تسجيل الدخول وتغيره المفاجئ
• تغير الجهاز أو المتصفح بشكل غير معتاد

الميزة هنا أن المؤسسة تستطيع رفع مستوى التحقق فقط عندما ترتفع المخاطر، بدل معاملة كل العملاء كأنهم مشتبه بهم.

3) حماية البيانات عبر تصنيف تلقائي ومنع تسرب (DLP + AI)

تسريب البيانات في المؤسسات غالبًا لا يحدث عبر “اختراق خارجي” فقط؛ أحيانًا يكون عبر مشاركة ملف، أو نسخ بيانات حساسة في أدوات دردشة، أو رفعها لمنصة غير معتمدة.

الذكاء الاصطناعي يساعد في:

• تصنيف المستندات تلقائيًا (بيانات عميل، أرقام حسابات، وثائق امتثال)
• اكتشاف سياقات مشاركة خطرة (إرسال خارج النطاق، مشاركة عامة)
• تطبيق ضوابط تلقائية: تشفير، إخفاء بيانات (masking)، أو منع الإرسال

4) مراكز عمليات أمنية مدعومة بالذكاء الاصطناعي (AI-SOC)

عندما ترتفع الإشعارات إلى آلاف يوميًا، الإرهاق البشري يصبح خطرًا. أنظمة AI-SOC تقوم بـ:

• تجميع التنبيهات المتشابهة
• ترتيب الأولويات حسب أثر العمل (Impact)
• اقتراح خطوات الاستجابة
• أتمتة أجزاء من الاحتواء (عزل جهاز، تعطيل جلسة، فرض إعادة تحقق)

عبارة قابلة للاقتباس: الهدف ليس استبدال فريق الأمن، بل تحريره من الضوضاء ليركز على الهجمات الحقيقية.

نموذج عملي: “رحلة دخول آمنة” لبنك أو فنتك في البحرين

النقطة الأساسية: بناء رحلة دخول آمنة يعني تنسيق الهوية، السلوك، والبيانات ضمن قرار مخاطر واحد.

إليك نموذجًا قابلًا للتطبيق خلال 8–12 أسبوعًا كمبادرة أولى:

1. تجميع إشارات الهوية في طبقة واحدة (IAM/CIAM): الجهاز، الموقع، السمعة، سجل الجلسات.
2. تقييم مخاطر لحظي (Risk Scoring) لكل دخول/عملية حساسة.
3. مصادقة تكيفية (Adaptive MFA):
   • مخاطر منخفضة: دخول سريع
   • مخاطر متوسطة: تحقق إضافي (رمز/تطبيق)
   • مخاطر عالية: تحقق أقوى (بصمة/مكالمة موثقة/إيقاف مؤقت)
4. تحقق من المعاملات (Transaction Monitoring) باستخدام نماذج سلوك.
5. قناة دعم مؤمنة: سياسات صارمة لاستعادة الحساب عبر مركز الاتصال لمنع الهندسة الاجتماعية.
6. قياس مؤشرات واضحة أسبوعيًا:
   • نسبة محاولات ATO الموقوفة
   • معدل الاحتكاك (كم عميل طُلب منه MFA)
   • زمن اتخاذ القرار في المعاملة

هذه الخطة تساعد على تحقيق توازن صعب لكنه ضروري: خفض الاحتيال دون قتل النمو.

أسئلة شائعة يطرحها التنفيذيون (والإجابات التي تنفع)

النقطة الأساسية: قرار الأمن المدعوم بالذكاء الاصطناعي ليس “شراء أداة”، بل تغيير طريقة تشغيل.

هل الذكاء الاصطناعي يزيد المخاطر بسبب أخطاء النماذج؟

نعم إذا تم استخدامه بلا حوكمة. الحل هو نماذج قابلة للتفسير في القرارات الحساسة، واختبارات انحياز، ومراجعات دورية، وخيارات تصعيد للبشر في الحالات الرمادية.

هل يمكن الجمع بين الخصوصية وتحليل السلوك؟

نعم عبر مبدأ تقليل البيانات (Data Minimization)، واستخدام pseudonymization، وتحديد فترات احتفاظ قصيرة، وتطبيق ضوابط وصول دقيقة، والتوثيق الشفاف للعميل.

ما أسرع مكسب يمكن تحقيقه؟

من خبرتي، أسرع مكسب يأتي من المصادقة التكيفية وربطها بإشارات الجهاز والسلوك. ستلاحظ انخفاضًا في محاولات الاستيلاء على الحساب خلال أسابيع، مع تحسن تجربة العملاء الحقيقيين.

ما الذي ينبغي فعله الآن في البحرين؟ (خطوات عملية خلال 30 يومًا)

النقطة الأساسية: البدء لا يحتاج مشروعًا ضخمًا؛ يحتاج ترتيب أولويات واضح.

• رسم خريطة رحلة الهوية: أين يبدأ العميل؟ أين يتم التحقق؟ أين يتم استرجاع الحساب؟
• حصر “العمليات الحساسة”: تغيير رقم الهاتف، إضافة مستفيد، تحويل كبير، تغيير البريد.
• تفعيل سياسات مصادقة تكيفية بدل MFA ثابت لكل الحالات.
• مراجعة نقاط الاستعادة: غالبًا هي الحلقة الأضعف.
• تمارين محاكاة تصيّد موجهة لموظفي الفروع وخدمة العملاء، لأنهم خط الدفاع الأول.
• تحديد مالك واضح للهوية الرقمية (Product Owner للأمن في القنوات الرقمية)، حتى لا تتشتت المسؤوليات بين الأمن والـIT والمنتج.

ملاحظة مهمة ضمن سلسلة “كيف يُحوّل الذكاء الاصطناعي قطاع الخدمات المالية والتكنولوجيا المالية في البحرين”: كلما زادت أتمتة خدمة العملاء والعمليات، زادت الحاجة إلى أتمتة الثقة—أي أمن الهوية والبيانات بنفس سرعة التحول الرقمي.

الخلاصة: أمن الهوية هو شرط النمو، لا تكلفة إضافية

التهديدات الذاتية تغيّر قواعد اللعبة: مهاجم أسرع، أذكى، وأكثر صبرًا. وفي البحرين—حيث تتقدم البنوك وشركات الفنتك نحو تجارب رقمية أوسع—يصير الاستثمار في أمن الهوية والبيانات المدعوم بالذكاء الاصطناعي قرارًا تجاريًا بقدر ما هو قرار تقني.

إذا كنت تقود بنكًا أو شركة فنتك، اسأل فريقك سؤالًا واحدًا: هل قراراتنا الأمنية تُتخذ بالسرعة نفسها التي تُنفّذ بها الهجمات؟ إذا كانت الإجابة “لا”، فهذه هي نقطة البداية.