إدارة التعرض بالذكاء الاصطناعي: درس لقطاع الطاقة السعودي

قبل أسابيع، صرّح أحد قادة الأمن السيبراني بأن %1 إلى %3 فقط من “التعرّضات” هي التي تُحدث الفرق فعلاً—أما البقية فمجرد ضجيج تشغيلي يستهلك وقت الفرق ويؤخر القرار الصحيح. هذه الفكرة ليست حكرًا على الأمن السيبراني. في قطاع الطاقة والنفط والغاز بالسعودية، المشهد مشابه: آلاف الحساسات، أنظمة تشغيل صناعي (OT)، سحابة، هويات رقمية، مقاولون، وسلاسل توريد… ومع كل هذا التعقيد، المشكلة الحقيقية ليست قلة البيانات؛ بل كيف نرى الصورة الكاملة ونُرتّب الأولويات بسرعة.

في هذه الحلقة من سلسلة «كيف تُحوّل الذكاء الاصطناعي قطاع الطاقة والنفط والغاز في المملكة العربية السعودية»، سأستخدم ما طرحته Tenable حول إدارة التعرض (Exposure Management) كنموذج ذهني عملي يصلح للطاقة: الانتقال من “مطاردة التنبيهات” إلى “هندسة المرونة”. الفكرة الجوهرية: ذكاء اصطناعي دفاعي يدمج الرؤية عبر الأنظمة ويُخرج لك قائمة قصيرة بما يجب إصلاحه الآن—وهذا بالضبط ما يحتاجه التشغيل في المنصات، المصافي، الشبكات، ومشاريع البنية التحتية العملاقة.

ما المقصود بإدارة التعرض؟ ولماذا أصبحت مهمة الآن؟

إدارة التعرض هي أسلوب تشغيلي يجعل الأمن (وإدارة المخاطر عمومًا) قائمًا على رؤية موحّدة وأولوية واضحة، لا على ردّات الفعل. بدل أن تتعامل مع كل ثغرة أو تنبيه بنفس الوزن، تُحدِّد “ما الذي يمكن استغلاله فعلاً” و“ما أثره على الأعمال” ثم تتحرك.

هذا التحول أصبح ضروريًا لأن الهجمات—ومعها الأعطال التشغيلية—تسير بسرعة “الآلة”. في بيئات الطاقة، زمن الاستجابة ليس ترفًا: تأخير ساعات في إغلاق مسار خطير أو تصحيح إعداد خاطئ قد يعني توقف إنتاج، مخاطر سلامة، أو مخالفة تنظيمية.

ومن زاوية السعودية تحديدًا، توسّع مشاريع التحول الرقمي والاعتماد على إنترنت الأشياء الصناعي والأنظمة الذاتية يزيد سطح التعرض. كل إضافة تقنية تمنح قيمة… لكنها تفتح بابًا جديدًا يجب إدارته بذكاء.

من إطفاء الحرائق إلى منعها

أعجبتني صياغة “الانتقال من firefighting إلى fireproofing” لأنها تنطبق حرفيًا على التشغيل الصناعي. معظم المؤسسات لا ينقصها الحلول، بل ينقصها مخطط واحد للمخاطر: مكان واحد يجيب بسرعة عن ثلاثة أسئلة:

1. ما الذي نملكه فعليًا (الأصول، الهويات، الخدمات)؟
2. ما الذي يمكن أن ينكسر أو يُستغل؟
3. ما الذي نُصلحه أولًا ولماذا؟

رؤية موحّدة عبر السحابة وIT وOT: نفس التحدي في الطاقة

القيمة الأكبر في إدارة التعرض هي “توحيد الرؤية” عبر عوالم متفرقة. Tenable تتحدث عن دمج الرؤية عبر السحابة وIT والهوية وOT. في الطاقة، هذه ليست كلمات عامة؛ بل طبقات فعلية تعمل غالبًا بأدوات مختلفة وفرق مختلفة.

في شركة طاقة نموذجية، ستجد:

• بيئة OT للتحكم: SCADA/DCS/PLC وأجهزة قياس وحماية.
• بيئة IT للمكاتب والأنظمة المؤسسية: ERP، بريد، أجهزة المستخدمين.
• بيئة سحابية لتحليلات البيانات، التنبؤ، الصيانة التنبؤية.
• إدارة هويات وصلاحيات لموظفين ومقاولين وأنظمة طرف ثالث.

المشكلة؟ كل طبقة قد تكون “مؤمنة” محليًا، لكن المخاطر تظهر في الوصلات: حساب مقاول بصلاحيات واسعة، بوابة بعيدة غير مُراقبة، مخزن بيانات سحابي مهيأ خطأ، أو جهاز OT قديم لا يمكن ترقيته بسهولة.

مثال عملي قريب من الواقع

تخيل مصفاة لديها:

• بوابة وصول عن بُعد للصيانة.
• حسابات مقاولين تتغير باستمرار.
• حساسات ترسل بيانات إلى منصة سحابية.

لو ظهرت ثغرة في مكوّن يُستخدم في بوابة الوصول، فالتعامل التقليدي قد ينتج 300 تنبيه. إدارة التعرض تحاول اختصار السؤال إلى: هل يمكن استغلالها هنا؟ هل هذا الأصل مكشوف؟ هل له مسار وصول إلى OT؟ ما أثر توقفه؟ ثم تضعها في أعلى القائمة إذا كانت الإجابة “نعم”.

الذكاء الاصطناعي ليس لزيادة التنبيهات… بل لتقليلها

الفكرة التي تستحق التوقف عندها هي قول Tenable إن “عادةً 1–3% فقط من التعرضات تهم”. هذه ليست عبارة تسويقية بقدر ما هي منهجية: أي مؤسسة كبيرة لديها آلاف “نقاط محتملة”، لكن القليل منها يجتمع فيه ثلاثة عناصر:

• قابلية الاستغلال (Exploitability)
• التعرض الفعلي (Exposure) مثل الاتصال بالإنترنت أو مسار داخلي مفتوح
• أثر الأعمال (Business Impact) مثل السلامة، التوقف، السمعة، الامتثال

هنا يأتي دور الذكاء الاصطناعي الدفاعي: ترتيب الأولويات بناءً على إشارات متعددة بدل “درجة CVSS” وحدها، أو بدل مقياس واحد لا يعكس السياق التشغيلي.

وفي قطاع الطاقة، هذا يشبه تمامًا ما تفعله خوارزميات تحسين التشغيل: لا تركز على كل انحراف صغير في القياسات، بل تركز على الانحراف الذي يؤثر على الإنتاج أو السلامة أو كفاءة الطاقة.

ما الذي يعنيه ذلك للعمليات في النفط والغاز؟

إذا أردنا ترجمة “إدارة التعرض” إلى لغة التشغيل، فالمخرجات التي نريدها بسيطة وواضحة:

• قائمة أسبوعية بأعلى 20 مخاطرة سيبرانية مرتبطة بأصول حرجة.
• ربط كل مخاطرة بإجراء: تحديث، تغيير إعداد، إغلاق منفذ، تقليل صلاحيات.
• تقدير أثر الأعمال: ساعات توقف محتملة، مخاطر سلامة، أو خطر امتثال.

الأهم: تقليل دورة القرار. بدل اجتماعات طويلة بين IT وOT والأمن، تريد منصة تعطي “صورة مشتركة” وتُخرج قرارًا قابلاً للتنفيذ.

الامتثال في السعودية: عندما يصبح الذكاء الاصطناعي أداة تدقيق يومية

اللافت في محتوى Tenable هو ربط إدارة التعرض بالامتثال التنظيمي، مثل مواءمة المتطلبات مع ضوابط الهيئة الوطنية للأمن السيبراني.

في الطاقة، الامتثال ليس ملفًا يُفتح وقت التدقيق فقط. الامتثال الحقيقي هو أن تكون قادرًا على الإجابة في أي يوم:

• من لديه صلاحية الوصول إلى الأنظمة الحرجة؟
• هل هناك أصول غير مُسجلة أو “ظلّية”؟
• ما حالة التصحيحات للأصول عالية الحساسية؟
• هل تغيّر أي إعداد يرفع مستوى المخاطر؟

“الامتثال المستمر” بدل “الامتثال الموسمي”

الذكاء الاصطناعي هنا يساعد بطريقتين عمليتين:

1. اكتشاف الانحرافات بسرعة: تغيّر في سياسة وصول، أو خدمة جديدة على السحابة.
2. إثبات قابل للتدقيق: سجل موحد لما تم اكتشافه وما تم إصلاحه ومتى.

ولأننا في نهاية 2025، كثير من فرق الطاقة أصبحت تقيس نضجها الرقمي بقدرتها على العمل بعمليات “مستمرة” لا “دفعات”. نفس المنطق ينطبق على الأمن والامتثال.

نحو “نظام ذاتي القيادة” للأمن… ولماذا يتطابق مع أتمتة الطاقة

تحدثت Tenable عن مستقبل تتحول فيه إدارة التعرض إلى نظام ذاتي القيادة: الذكاء الاصطناعي لا يكتفي بالتوصية، بل ينفذ—يفتح تذاكر، يتحقق من التصحيحات، ويعيد الفحص خلال ثوانٍ.

أنا أميل إلى هذا الاتجاه، لكن بشرط واضح: الحوكمة. في النفط والغاز، أي أتمتة بلا ضوابط يمكن أن تُربك التشغيل.

نموذج أتمتة آمن يصلح للطاقة

أفضل نهج رأيته يعمل (وسأتبناه لو كنت أبني برنامجًا من الصفر) هو ثلاث طبقات:

1. أتمتة منخفضة المخاطر (Auto-Approve)

   • إغلاق منافذ غير مستخدمة في بيئة IT
   • تعطيل حسابات خاملة
   • تدوير مفاتيح وصول سحابية

2. أتمتة بشرط (Human-in-the-Loop)

   • تغييرات قد تؤثر على الاتصال بين IT وOT
   • تحديثات لبوابات الوصول عن بُعد

3. لا أتمتة (Manual Only)

   • أي تغيير داخل حلقات التحكم الحرجة في OT دون نافذة صيانة واضحة

الفائدة؟ تتحقق السرعة التي تتحدث عنها منصات إدارة التعرض، بدون التضحية باستقرار التشغيل.

أسئلة شائعة يطرحها قادة الطاقة عند تطبيق إدارة التعرض

هل نبدأ بالأداة أم بالبيانات؟

ابدأ بـجرد الأصول والهوية. الأداة تساعد، لكن إن كانت بيانات الأصول ناقصة، ستبني أولوية على صورة غير مكتملة.

كيف نُقنع التشغيل (OT)؟

لا تتحدث عن “ثغرات”. تحدث عن سلامة وتوقف وإنتاج. اربط كل مخاطرة بمؤشر تشغيلي: احتمالية توقف، احتمال تأثير على جودة المنتج، أو زيادة خطر حادث.

ما أسرع مكسب يمكن تحقيقه خلال 30 يومًا؟

هذه خطة قصيرة ومباشرة:

1. توحيد رؤية الأصول الحرجة (Top 50) عبر IT/OT والسحابة.
2. ضبط الوصول عن بُعد: MFA، تقليل الصلاحيات، مراقبة الجلسات.
3. تطبيق أولويات تصحيح مبنية على “قابلية الاستغلال + الأثر”.
4. إنشاء لوحة أسبوعية للمديرين: 10 مخاطر + 10 إجراءات منجزة.

كيف يخدم هذا موضوع السلسلة: الذكاء الاصطناعي الذي يحمي التحول في الطاقة

الذكاء الاصطناعي في قطاع الطاقة السعودي لا يقتصر على التنبؤ بالطلب أو تحسين الصيانة؛ بل يشمل أيضًا حماية البنية الرقمية التي أصبحت جزءًا من الإنتاج نفسه. عندما تقول Tenable إن النماذج التقليدية “التفاعلية” لا تواكب هجمات بسرعة الآلة، فهذه رسالة مباشرة لقطاع يعمل بسرعة العمليات ويعتمد على الاستمرارية.

الواقع؟ لا يوجد تحول رقمي آمن بدون إدارة تعرض ناضجة. ولا يوجد ذكاء اصطناعي تشغيلي موثوق إن كانت الهويات والأصول والاتصالات غير مرئية أو غير مُدارة.

إذا كنت تقود برنامجًا في الطاقة أو النفط والغاز—سواء في الأمن أو التحول الرقمي أو التشغيل—فابدأ من السؤال الأهم: هل نرى مخاطرنا في مكان واحد؟ وهل نُصلح أهم 1–3% بسرعة وبثقة؟ هذا هو الفارق بين مؤسسة تلاحق التنبيهات… ومؤسسة تبني مرونة تتماشى مع طموح المملكة.

إذا رغبت، يمكنني مساعدتك بقائمة تحقق (Checklist) جاهزة لتقييم نضج “إدارة التعرض” في بيئات الطاقة، مع مؤشرات قياس عملية تناسب فرق IT وOT والحوكمة.