لماذا 27% من خروقات البيانات عالمياً تستهدف شركات التكنولوجيا المالية؟ وكيف يمكن تجنبها؟

تشهد المنطقة العربية وخاصة منطقة الخليج تسارعاً غير مسبوق في تبني التكنولوجيا المالية، ما يجعلها حجر الزاوية في أجندات التحول الوطني، حيث من المتوقع أن يشهد سوقها توسعاً قد يصل الى نحو 2.40 مليار دولار بحلول عام 2029، ويدعم هذا النمو بشكل كبير من المبادرات الحكومية، بما في ذلك إنشاء بيئات تنظيمية صارمة ومراكز مالية واعدة.

وعلى مستوى الدول على سبيل المثال، نما قطاع التكنولوجيا المالية في السعودية من 90 شركة عام 2021 إلى 261 شركة بحلول نهاية عام 2024، مدفوعاً باستراتيجيتها الوطنية التي تهدف إلى إنشاء 525 شركة تقنية مالية بحلول عام 2030، وفقاً لتقرير برنامج تطوير القطاع المالي السنوي لعام 2024.

هذا النمو السريع يجعل القطاع هدفاً بالغ الأهمية لمجرمي الإنترنت. ففي عام 2023 شكلت الخدمات المالية نحو 27% من خروقات البيانات جميعها عالمياً، إذ مع توسع الاقتصاد الرقمي تتوسع أيضاً مساحة الهجوم، ما يجعل الأمن السيبراني المتمثل في تأمين بيانات العملاء والمعاملات المالية أمراً بالغ الأهمية وأولوية مستمرة.

وبالنسبة لشركات التكنولوجيا المالية العاملة في هذه البيئة الديناميكية، فإن الأمن السيبراني ليس مجرد وظيفة تقنية أو معيار تنظيمي، بل هو الأساس الذي لا غنى عنه لثقة المستهلك والاستقرار التشغيلي. فما هي أبرز استراتيجيات حماية بيانات العملاء والمعاملات المالية التي ينبغي تطبيقها؟

لماذا تعد شركات التكنولوجيا المالية خصوصاً جذابة بشكل فريد لمجرمي الإنترنت؟

يمثل قطاع التكنولوجيا المالية مركزاً مثالياً من الأصول عالية القيمة وحجم المعاملات المتطور، ما يجعله هدفاً لا يقاوم لمجرمي الإنترنت، إذ يتعرض لمخاطر سيبرانية مستمرة نظراً للكميات الهائلة من البيانات الحساسة والمعاملات المالية التي يديرها، حيث غالباً ما يستهدف هذا القطاع بهدف سرقة الأموال مباشرة أو تعطيل النشاط.

على المستوى العالمي، تمثل الهجمات السيبرانية على شركات التكنولوجيا المالية نحو 5% من إجمالي عدد الحوادث السيبرانية، حيث يكمن عامل الجذب الأبرز لمجرمي الإنترنت في احتفاظها وإدارتها للكم الهائل من بيانات المستخدمين الحساسة، التي غالباً ما توصف بـ "كنز البيانات" مثل المعلومات الشخصية القابلة للتحديد وبيانات الاعتماد المالية.

وتعتبر الإمارات العربية المتحدة والمملكة العربية السعودية باستمرار أهدافاً رئيسية، إذ أظهر التقرير السنوي لقمة الأمن السيبراني في الشرق الأوسط وشمال إفريقيا لعام 2025 أن الأولى كانت نصيبها نحو 21% من الهجمات الموجهة في المنطقة العربية، بينما كان نصيب الثانية 18%. وعلى الصعيد العالمي تجاوز القطاع المالي الرعاية الصحية ليصبح أكثر القطاعات اختراقاً عام 2023، وفقاً لتقرير صادر عن شركة تحليل البيانات كرول عام 2024.

علاوة على ذلك، يركز المهاجمون بشكل متزايد على الأفراد أصحاب الثروات الكبيرة الذين يستخدمون الأدوات الرقمية لإدارة الأصول، لإدراكهم أن هؤلاء الأفراد يمتلكون القدرة على دفع فدية أو تحمل خسائر مالية كبيرة، ما يجعلهم مستعدين للاستثمار في أفضل أدوات الهجوم السيبراني والأساليب المصممة خصيصاً للحصول على أكبر ربح مالي يمكن الوصول إليه.

إذ إن الترابط المتزايد المتأصل في التكنولوجيا المالية الحديثة يعني وفقاً لتقرير الاستقرار المالي العالمي لعام 2024 الذي أصدره صندوق النقد الدولي أن الهجوم الإلكتروني الناجح لديه القدرة على إحداث تأثيرات غير خطية على مستوى النظام، ويمكن أن يؤثر الحادث الذي يعطل الخدمات الأساسية بشدة في النشاط الاقتصادي، وقد يؤدي إلى زعزعة استقرار النظام المالي.

ما هي استراتيجيات الأمن السيبراني الأساسية لحماية بيانات العملاء والمعاملات المالية؟

لإنشاء عمليات مرنة في مجال التكنولوجيا المالية، ينبغي أن تغطي استراتيجيات الأمن السيبراني دورة حياة العميل بأكملها، وتعد الاستراتيجيات الرئيسية الخمس التالية أساسية، حيث تربط كل منها مباشرة التدابير التقنية بحماية العملاء وتجربتهم الملموسة.

1. الاستراتيجية الأولى: تطبيق بنية الثقة الصفرية وحوكمة قوية للهوية

يعد التسجيل الآمن خط الدفاع الأول والخطوة الأكثر أهمية في بناء الثقة، إذ إن نماذج الأمان التقليدية القائمة على المحيط أو ما يسمى بنموذج "القلعة والخندق" غير كافية في بيئات السحابة المترابطة اليوم، ومن ثم يعد تطبيق استراتيجية الثقة الصفرية التي تعمل بمبدأ: "لا تثق أبداً، تحقق دائماً" أمراً إلزامياً.

علاوة على المهاجمين الخارجيين، تعد التهديدات الداخلية -سواء كانت ناتجة عن إهمال أو سوء نية من الموظفين- من أكثر المخاطر التي تواجه القطاع. ولذلك، فإن نموذج الثقة الصفرية يعمل كآلية حماية مزدوجة، فهو لا يتحقق فقط من هوية العميل، بل يفرض أيضاً التحقق المستمر داخل الشبكة، لضمان أن كل موظف لا يصل إلا إلى الموارد الضرورية جداً لأداء وظيفته.

التأثير في العميل: من خلال التحقق الدقيق من الهويات عند كل نقطة وصول، يمكن التقليل بشكل كبير من مخاطر الوصول غير المصرح به والاستيلاء على الحساب، وهذا ضروري لتحقيق رضا العملاء وولائهم الدائمين.

2. الاستراتيجية الثانية: أمان قوي لواجهة برمجة التطبيقات وسلامة المعاملات

تعتمد وظائف التكنولوجيا المالية بشكل كبير على واجهة برمجة التطبيقات، حيث تعمل بمثابة الوسيط بين الأنظمة الداخلية وبوابات الدفع والشركاء الخارجيين، ونظراً لأهميتها فإنها معرضة بشدة لهجمات مثل نقاط النهاية غير الآمنة، ما يتطلب تأمينها بضوابط فعالة مثل أمان طبقة النقل المتبادل وتطبيق آليات صارمة للحد من معدل الهجمات الآلية عالية التردد التي تستغل الأتمتة لتحقيق كفاءة لا يمكن للمهاجم البشري مجاراتها، والمراقبة المستمرة لأنماط الوصول غير النمطية مثل المواقع الجغرافية غير المعتادة، لأن نقاط الضعف فيها قد تؤدي إلى خسائر مالية فورية وضرر بالسمعة.

التأثير في العميل: يضمن أمان واجهات برمجة التطبيقات القوي موثوقية المعاملات وسلامتها. ومن خلال منع التلاعب بها أو إساءة استخدامها، تضمن شركات التكنولوجيا المالية للعميل تنفيذ تحويلات الأموال بشكل صحيح وآمن، ما يحمي أمواله ويضمن توفر الخدمة.

3. الاستراتيجية الثالثة: التشفير الشامل ومنع فقدان البيانات

نظراً للقيمة العالية للبيانات التي تحتفظ بها شركات التكنولوجيا المالية، فإن حمايتها في أثناء التخزين أو أثناء النقل مهم للغاية، ويأتي ذلك من خلال استخدام أساليب تشفير متقدمة مثل استراتيجية منع فقدان البيانات الاستباقية، وفي حالة البيانات المالية الضخمة، يعد التشفير المتماثل أمراً بالغ الأهمية نظراً لكفاءته وسرعته.

التأثير في العميل: يعد التشفير بمثابة الحماية القصوى لبيانات العميل والشركة معاً، فحتى في حالة اختراق نظام الشركة واستخراج البيانات، فإن التشفير من طرف إلى طرف الفعال يجعل البيانات المسروقة عديمة الفائدة للمهاجمين.

4. الاستراتيجية الرابعة: دمج الأمان من خلال التصميم

كثيراً ما تعطي شركات التكنولوجيا المالية الأولوية للإصدار السريع للمنتجات والابتكار على المراجعة الأمنية الدقيقة، وهو تحدٍ أساسي غالباً ما يؤدي إلى ثغرات أمنية تنسى، ومن ثم فإن دمج الأمان في دورة حياة تطوير البرمجيات أو ما يعرف باسم "الأمان من خلال التصميم" منذ بدايتها بدلاً من اعتباره خطوة نهائية مهم للغاية.

إذ يلزم هذا النهج بإجراء فحوص أمنية آلية مدمجة في الأكواد، بما في ذلك اختبار أمان التطبيقات الثابتة واختبار أمان التطبيقات الديناميكي، كما تعد إدارة التكوين الآمن والتقييم المستمر للثغرات الأمنية من المكونات التقنية الأساسية.

التأثير في العميل: من خلال دمج الأمان في مرحلة التصميم تطور شركات التكنولوجيا المالية تطبيقات موثوقة وقوية مع ثغرات أمنية أقل بكثير، ما ينعكس مباشرة في تقليل فترات توقف الخدمة وتجربة مستخدم موثوقة باستمرار ويعزز رضا العملاء.

5. الاستراتيجية الخامسة: إدارة شاملة لمخاطر الجهات الخارجية

غالباً ما تعتمد شركات التكنولوجيا المالية على منظومة معقدة من موردي الجهات الخارجية، مثل الاستضافة السحابية وبوابات الدفع والخدمات المتخصصة. هذا الاعتماد يعني أن مخاطر الموردين تصبح فعلياً مخاطر داخلية.

نتيجة لذلك تتطلب إدارة هذه السلسلة إطار عمل قوياً لإدارة مخاطر الجهات الخارجية ومراقبة مستمرة ومتطلبات أمنية تعاقدية ومسارات تدقيق دقيقة للجهات جميعها التي تصل إلى بيانات العملاء الحساسة.

التأثير في العميل: تحمي هذه الاستراتيجية العملاء من خروقات سلسلة التوريد الكارثية المحتملة، وتحمي بيانات العميل على مستوى العمليات التشغيلية بالكامل، مع الحفاظ على استمرارية الأمن بغض النظر عن التبعيات الخارجية.

ما هو دور تثقيف العملاء في منع الهجمات الشائعة على شركات التكنولوجيا المالية؟

حتى أكثر استراتيجيات الأمن السيبراني التقنية تطوراً يمكن تجاوزها في حال تعرض المستخدم للاختراق، ومن ثم يمثل تثقيف العملاء وتوعيتهم خط دفاع أساسياً ضد التهديدات واسعة النطاق مثل التصيد الاحتيالي والهندسة الاجتماعية.

وتتطلب الاستراتيجية الاستباقية أن يكون التثقيف مستمراً ويعالج أحدث عمليات الاحتيال المتطورة سواء للعميل أو الموظف، إذ تشير الدراسات إلى أن المؤسسات التي تتلقى تدريباً أمنياً منتظماً تتعرض لحوادث سيبرانية أقل بنسبة 40%، ويمكن أن تقدم المواد التثقيفية من خلال القنوات التي يستخدمها العملاء بانتظام.

مثل: إشعارات التطبيق، أو رسائل البريد الإلكتروني مع التشديد في الرسائل التثقيفية الرئيسية باستمرار على أهمية استخدام الممارسات الأمنية الرقمية المعتادة مثل: تفعيل المصادقة الثنائية واستخدام كلمات مرور قوية وعدم مشاركتها حتى مع الشركة نفسها. والأهم من ذلك، تدريب العملاء على "التمهل والحذر من الاستعجال" عند تلقي طلبات مالية غير مرغوب فيها.

ومن ثم من خلال تحويل العملاء إلى مشاركين واعين وحذرين في أمنهم الرقمي الشخصي، تقلل شركات التكنولوجيا المالية بشكل كبير تعرضها للاحتيال على الهوية والخسائر المالية الناتجة عن الأخطاء البشرية، إذ إن هذا الاستثمار التعليمي يبني الثقة والولاء ويعزز دوره عنصراً أساسياً في منع الاحتيال.

التوقعات المستقبلية: التكيف والابتكار في مجال الأمن السيبراني ضرورة حتمية

من المتوقع أن تستمر شركات التكنولوجيا المالية بالظهور بكثافة في المنطقة العربية، حيث تشير التوقعات إلى أنها ستكون أسرع المناطق نمواً على مستوى العالم، مع توقع نمو سنوي بنسبة 35% في صافي الإيرادات حتى عام 2028.

يعود هذا الظهور القوي إلى استثمارات كبيرة، فوفقاً لشركة فوربس جمعت 119 شركة ناشئة في مجال التكنولوجيا المالية في منطقة الشرق الأوسط وشمال إفريقيا 700 مليون دولار عام 2024، بنسبة 30% من إجمالي التمويل للشركات الناشئة في المنطقة، ما يؤكد اهتمام المستثمرين القوي بقطاع التكنولوجيا المالية المزدهر.

من المتوقع أن يتحول التركيز المستقبلي من مجرد الكشف عن التهديدات إلى الاستجابة الاستباقية التلقائية، وهنا، يتجلى دور الذكاء الاصطناعي والتعلم الآلي في توفير قدرات تحليل سلوك المستخدم والكيان، التي تتعرف إلى الأنماط الطبيعية لسلوك العميل والموظف وتطلق تنبيهاً فورياً عند اكتشاف أي انحراف مثل: محاولة الوصول إلى سجلات مالية حساسة من موقع جغرافي غير معتاد أو في ساعة متأخرة.

وعند وقوع الهجوم، يتيح الذكاء الاصطناعي الانتقال إلى الاستجابة التلقائية للحادث، حيث تتمكن الأنظمة من عزل الحسابات المخترقة، وتغيير قواعد جدران الحماية، ووقف المعاملات المشبوهة في غضون ثوانٍ، بدلاً من ساعات، ما يحد من الخسارة المالية ويضمن استمرارية الخدمة.

في نهاية المطاف، ستكون شركات التكنولوجيا المالية الناجحة والمستمرة هي التي تدمج الأمن السيبراني عاملاً أساسياً في بنيتها التشغيلية، من أجل بناء ثقة العملاء وتعزيز الشفافية والمرونة والابتكار، وفي عصر يشهد توسعاً متزايداً في التمويل الرقمي ينبغي لفرق الأمن السيبراني التكيف باستمرار مع التهديدات السيبرانية الناشئة، لأن بيانات العملاء وأموالهم تستحق الحماية دائماً.