وداعًا لكلمات المرور: أمن النفط والغاز في الكويت بالذكاء

كيف يُحوّل الذكاء الاصطناعي قطاع الطاقة والنفط والغاز في الكويتBy 3L3C

أزمة كلمات المرور تهدد الوصول لأنظمة الطاقة. تعرّف كيف تعتمد شركات النفط والغاز في الكويت مفاتيح الوصول ومصادقة بالذكاء الاصطناعي.

الأمن السيبرانيالهوية الرقميةمفاتيح الوصولالنفط والغازالذكاء الاصطناعيإدارة المخاطر
Share:

Featured image for وداعًا لكلمات المرور: أمن النفط والغاز في الكويت بالذكاء

وداعًا لكلمات المرور: أمن النفط والغاز في الكويت بالذكاء

قبل أشهر، تم الإبلاغ عن اكتشاف قاعدة بيانات ضخمة تضم نحو 16 مليار بيانات دخول مجمّعة من ملفات مخترقة. هذا الرقم وحده يكفي ليغيّر طريقة تفكير أي شركة في “كلمة المرور” كخط دفاع أول. المشكلة ليست أن كلمات المرور “سيئة” فقط؛ المشكلة أنها غير مناسبة لقطاع لا يتحمّل الخطأ مثل الطاقة والنفط والغاز.

في الكويت، حيث تتقاطع الأصول التشغيلية (OT) مع أنظمة تقنية المعلومات (IT)، وحيث تتسارع مشاريع التحول الرقمي، تصبح الهوية الرقمية هي نقطة البداية لكل شيء: الوصول إلى أنظمة الصيانة، لوحات التحكم، التقارير، الموردين، وحتى منصات الذكاء الاصطناعي التي تحلل بيانات الحقول والمصافي. وهنا تأتي الفكرة المحورية: الانتقال من كلمات المرور إلى مصادقة حديثة مدعومة بالذكاء الاصطناعي ليس رفاهية، بل شرط عمل.

هذه المقالة جزء من سلسلة “كيف يُحوّل الذكاء الاصطناعي قطاع الطاقة والنفط والغاز في الكويت”، لكن تركيزها عملي جدًا: كيف نستفيد من موجة “ما بعد كلمة المرور” التي تقودها شركات التقنية الكبرى، ونُطبّقها بطريقة تناسب بيئة الطاقة الكويتية، مع تقليل التعطّل والمخاطر ورفع الامتثال.

لماذا أصبحت كلمات المرور نقطة الضعف الأخطر في شركات الطاقة؟

الإجابة المباشرة: لأن كلمات المرور تعتمد على سلوك بشري قابل للتنبؤ، بينما الهجمات أصبحت آلية وسريعة وتستهدف “الهوية” قبل أي شيء.

1) الضعف ليس تقنيًا فقط… بل سلوكي

خبراء الأمن السيبراني يكررون الملاحظة نفسها: الناس تعيد استخدام كلمات المرور عبر خدمات متعددة، وتختار كلمات سهلة، وتتعامل مع إعادة التعيين كحل سريع. في بيئات الطاقة، هذا السلوك يتحول إلى خطر مضاعف بسبب:

  • تعدد الأطراف: موظفون، مقاولو صيانة، مورّدون، استشاريون.
  • تعدد الأنظمة: ERP، إدارة أصول، SCADA/OT gateways، منصات بيانات، بريد، أدوات تعاون.
  • ضغط العمليات: “أوقف كلمة المرور لاحقًا” قد يعني اليوم “ادخل بسرعة لأي شيء”.

2) كلمات المرور أصبحت “غنيمة” التسريبات

حين تُخزَّن كلمات المرور بطريقة غير سليمة أو تُسرّب قواعد بيانات، تصبح بيانات الدخول عملة جاهزة للبيع والاستخدام. والأسوأ: كثير من الهجمات لا تحتاج “اختراقًا” بمعناه التقليدي؛ تحتاج فقط تسجيل دخول صحيح.

3) التصيّد لا يزال يعمل… لأنه يستهدف العادة

صفحات التصيّد (Phishing) تنجح لأنها تقلّد صفحة تسجيل الدخول وتستغل لحظة تشتت. وفي قطاع الطاقة، رسائل مثل “تحديث جدول مناوبة”، “فاتورة مورد”، “تقرير سلامة” قد تكون الطُعم المثالي.

جملة مفيدة للاقتباس: إذا كانت الهوية قابلة للسرقة بكلمة مرور، فكل أنظمة الحماية بعدها تصبح محاولة متأخرة.

ما الذي تفعله شركات التقنية الكبرى؟ وما الذي يهم الكويت؟

الإجابة المباشرة: الاتجاه العالمي يسير نحو تسجيل دخول دون كلمة مرور باستخدام مفاتيح الوصول (Passkeys) والقياسات الحيوية، لأن ذلك يقلل التصيّد ويصعّب سرقة الاعتماديات.

في 2025، اتجهت شركات كبرى إلى جعل البدائل “الأكثر أمانًا” هي الخيار الافتراضي للمستخدمين الجدد. وهناك تحالفات صناعية مثل FIDO تجمع شركات كبرى بهدف تعميم تسجيل الدخول دون كلمة مرور.

كيف تعمل مفاتيح الوصول عمليًا؟

مفتاح الوصول يعتمد غالبًا على جهاز موثوق (مثل الهاتف) لإتمام الدخول باستخدام:

  • رقم PIN على الجهاز
  • بصمة أو وجه
  • أو وسيلة محلية مشابهة

الميزة الحاسمة التي تهم قطاع الطاقة: لا يمكنك “إعطاء” مفتاح وصولك بالخطأ لصفحة تصيّد بالطريقة نفسها التي تعطي بها كلمة المرور، لأن عملية المصادقة مرتبطة بالجهاز وبالسياق.

لكن… لماذا لم تختف كلمات المرور بعد؟

لسبب بسيط: الاعتياد وسهولة الفهم. كثير من الأنظمة القديمة، وبوابات الموردين، وتطبيقات داخلية “على قدّها” ما زالت تعتمد على اسم مستخدم/كلمة مرور. لذلك في شركات الطاقة الكويتية، القرار الواقعي ليس “حذف كلمات المرور غدًا”، بل خريطة انتقال تقلل الاعتماد عليها سنة بعد سنة.

أين يدخل الذكاء الاصطناعي في المصادقة والأمن السيبراني؟

الإجابة المباشرة: الذكاء الاصطناعي يجعل المصادقة “سياقية” وذكية، فيكتشف السلوك غير الطبيعي قبل أن يتحول إلى حادثة تشغيلية.

الانتقال إلى مفاتيح الوصول خطوة ممتازة، لكن في قطاع حساس مثل النفط والغاز، تحتاج أيضًا إلى طبقة ذكية تُجيب: هل هذا الدخول منطقي أصلًا؟

1) المصادقة القائمة على السلوك (Behavioral Biometrics)

بدل الاعتماد على “شيء تعرفه” (كلمة مرور)، يمكن للذكاء الاصطناعي مراقبة أنماط مثل:

  • أسلوب الكتابة على لوحة المفاتيح
  • طريقة تحريك الماوس
  • نمط استخدام التطبيق (ترتيب النقرات، زمن الاستجابة)

إذا تغيرت البصمة السلوكية بشكل غير طبيعي، يرفع النظام مستوى التحقق أو يوقف الجلسة.

2) تقييم المخاطر لحظيًا (Risk-Based Authentication)

الذكاء الاصطناعي يقرر مستوى التحقق المطلوب حسب السياق:

  • موقع الدخول (داخل الشبكة/خارجها)
  • الجهاز (مُدار من الشركة أو غير معروف)
  • وقت الدخول (ساعات عمل/منتصف الليل)
  • حساسية النظام المطلوب (بوابة بريد vs نظام تحكم أو بيانات تشغيل)

النتيجة: أمان أعلى مع احتكاك أقل للمستخدمين “الطبيعيين”، وتشدد أعلى للحالات المشبوهة.

3) اكتشاف التصيّد والاحتيال بالهوية

نماذج الذكاء الاصطناعي قادرة على تحليل البريد والروابط والسياق اللغوي، وربط ذلك بسلوك المستخدم. في قطاع الطاقة، هذا مهم لأن الهجوم غالبًا يبدأ برسالة واحدة ذكية.

خطة انتقال واقعية لشركات النفط والغاز في الكويت (بدون فوضى)

الإجابة المباشرة: ابدأ بالأصول الأعلى خطورة، ثم عمّم تدريجيًا عبر هوية موحدة، مع إدارة أجهزة قوية وخطة استعادة واضحة.

هذه الخطوات هي ما رأيته يعمل فعليًا في المؤسسات الكبيرة: خطوات قصيرة، وقياس أثر، ثم توسّع.

1) صنّف الهويات والأنظمة حسب الخطر

ابدأ بمصفوفة بسيطة:

  • أنظمة تشغيلية حرجة (OT/SCADA وصول غير مباشر): أعلى تشدد
  • أنظمة بيانات وإنتاج وتقارير: تشدد عالٍ
  • أنظمة إدارية وبريد وتعاون: تشدد متوسط
  • بوابات موردين ومقاولين: تشدد عالٍ + قيود زمنية/جغرافية

2) طبّق “عدم الثقة” على الوصول (Zero Trust) بشكل عملي

لا تتعامل مع الشبكة الداخلية كمنطقة آمنة تلقائيًا. اجعل القرار على مستوى:

  • المستخدم
  • الجهاز
  • التطبيق
  • الجلسة

3) قدّم مفاتيح الوصول أولًا حيث المكاسب سريعة

أماكن “المكاسب السريعة” عادة:

  • البريد وأدوات التعاون
  • بوابات الخدمة الذاتية للموظفين
  • بوابات الوصول إلى منصات البيانات والتحليلات

4) لا تنسَ سيناريو “ضياع الهاتف” أو “نسيان PIN”

هذا هو المكان الذي تفشل فيه مبادرات كثيرة. جهّز سياسة استعادة واضحة:

  • أجهزة احتياطية مُسجّلة مسبقًا
  • إجراءات هوية قوية عبر مركز دعم
  • مفاتيح أمان مادية لبعض الأدوار الحساسة

5) اربط الهوية بالأدوار (RBAC) وبالسياق (ABAC)

في الطاقة، “من أنت” لا يكفي. الأهم: ما دورك، وما موقعك، وما حالتك التشغيلية.

  • RBAC: صلاحيات حسب الدور (مشغل، مهندس، مقاول)
  • ABAC: صلاحيات حسب السمات (الموقع، الوردية، نوع الجهاز، حساسية الأصل)

أسئلة شائعة داخل شركات الطاقة (وإجابات مختصرة)

هل القياسات الحيوية تعني تخزين بصمات الموظفين في السيرفرات؟ ليس بالضرورة. كثير من تطبيقات مفاتيح الوصول تعتمد على التحقق محليًا على الجهاز (الهاتف/الكمبيوتر) دون رفع “صورة البصمة” إلى الخوادم.

هل يمكن تطبيق ذلك مع الأنظمة القديمة؟ نعم عبر بوابات هوية (Identity Providers) وطبقات وصول وسيطة. الواقعية هنا هي “التدرّج” بدل الاستبدال الشامل.

ما أكبر خطأ يقع فيه المدراء؟ اعتبار المشروع “تقني فقط”. نجاح المصادقة الحديثة يعتمد على التغيير السلوكي والتدريب وسياسات الاستعادة.

ماذا يعني هذا لسلسلة: كيف يُحوّل الذكاء الاصطناعي قطاع الطاقة بالكويت؟

الذكاء الاصطناعي في الطاقة لا يقتصر على التنبؤ بالأعطال أو تحسين الإنتاج. إذا كانت منصات التحليلات والروبوتات البرمجية والتقارير الذكية تُبنى فوق هوية ضعيفة، فالعائد كله يصبح هشًا.

الخطوة الأذكى التي تستطيع شركات النفط والغاز في الكويت اتخاذها في 2026 ليست شراء “أداة أمن” إضافية فقط، بل إعادة بناء الهوية الرقمية: تقليل كلمات المرور، اعتماد مفاتيح الوصول، وتفعيل مصادقة سياقية مدعومة بالذكاء الاصطناعي.

إذا كنت تقود التحول الرقمي أو الأمن السيبراني في شركة طاقة، ابدأ بسؤال واحد بسيط: كم نظامًا حرجًا ما زال يثق بكلمة مرور وحدها؟ الإجابة ستحدد أولوياتك للأشهر القادمة.