ابتداءً من 27 أبريل 2026، ستواجه المؤسسات التي تحمل شهادة “Cyber Essentials” وتواصل عدم تفعيل ميزة التحقق من تسجيل الدخول عبر جميع خدماتها السحابية تقييمًا فوريًا بالفشل، ولن يكون هناك فرصة لتصحيح الأمر خلال دورة الشهادة الحالية. لن تكون المشكلة مجرد عدم الامتثال بشكل تدريجي أو نقطة تصحيح، بل ستكون فشلًا مباشرًا دون فرصة ثانية.
ما هي شهادة “Cyber Essentials”؟
“Cyber Essentials” هي شهادة الأمن السيبراني الرائدة في المملكة المتحدة، وتدعمها هيئة الأمن السيبراني الوطنية (NCSC) وتُدار بواسطة IASME. تُمنح هذه الشهادة لما يقارب 50 ألف منظمة سنويًا، وتُعد إلزامية للموردين الذين يتعاملون مع الحكومة المركزية ويُعالجون معلومات حساسة. بالإضافة إلى ذلك، أصبحت متطلبًا أساسيًا للعديد من المؤسسات الخاصة للحصول على تأمينات ضد الهجمات الإلكترونية والمشتريات من القطاع الخاص.
تحديثات هامة في الإصدار 3.3
أُطلقت نسخة 3.3 من المعايير، والتي أصبحت سارية منذ 27 أبريل، وتعتبر الأكبر من نوعها منذ بدء تطبيق البرنامج. التغيير الرئيسي يكمن في ضرورة تفعيل ميزة التحقق متعدد العوامل (MFA) على جميع خدمات السحابة التي تقدمها المؤسسات.
وفي حال كانت الخدمة تقدم هذه الميزة مقابل ترقية مدفوعة، فإن عدم تفعيلها على جميع المستخدمين يؤدي إلى فشل التقييم مباشرة. سابقًا، كانت الإجابة غير المطابقة قابلة للتحمل، ولكن الآن أصبح ذلك غير مسموح، مما يعكس أهمية تعزيز أمن الدخول.
التحديات التي تواجه المؤسسات
بالنسبة لمعظم المؤسسات، يمكن حل هذه المشكلة عبر مشروع تقني بسيط نسبياً. لكن، هناك فئة من المنظمات التي تواجه تحديات أكبر، خاصة تلك التي تعتمد على بيئات مشتركة، وتغير الموظفين بسرعة، وتحتاج إلى وصول سريع للمعلومات.
على سبيل المثال، يمكن أن يكون هناك غرفة عمليات مشتركة يتبادل فيها العاملون أجهزة الدخول، أو جمعية خيرية لديها عدة فروع ومتطوعون يعملون لفترات قصيرة، مما يصعب إدارة هويات المستخدمين بشكل فردي. في هذه الحالات، توفر الخدمات السحابية ميزة التحقق، لكن عدم تفعيلها يرجع إلى الواقع العملي، وليس للإهمال.
أهمية تصميم عمليات العمل
في النسخة السابقة، كانت هذه الحالة قابلة للتسامح، لكن مع إصدار 3.3، تعتبر مخالفة تلقائية. رغم ذلك، فإن الحاجة إلى المصادقة القوية تظل ضرورية، بل أصبحت أكثر أهمية.
المشكلة ليست في وجود السياسات الأمنية المتطورة، بل في كيفية جعل آليات التحقق أكثر عملية وسهولة للاستخدام في بيئات العمل المتغيرة. يتطلب الأمر رسم خريطة لكل خدمة سحابية مشمولة، وتحديد أين تتوفر خيارات التحقق، بما في ذلك تلك التي تتطلب ترقية مدفوعة.
كما يُنصح بمراجعة طرق التوثيق الحالية، والنظر في حلول مثل مفاتيح الأمان FIDO2، أو “Passkeys”، أو أنظمة الهوية المرتبطة بالبطاقات، أو التحكم في الوصول بناءً على السياق، التي تساهم في تقليل العقبات دون تقليل مستوى الأمان.
توجيهات هيئة الأمن السيبراني الوطني
تؤكد إرشادات هيئة NCSC على أهمية الاعتماد على أساليب مقاومة الاحتيال عبر البريد الإلكتروني، بعيدًا عن الاعتماد فقط على الرموز والتنبيهات. ويُعد الإصدار 3.3 خطوة مهمة في هذا الاتجاه، حيث يوسع نطاق الخدمات السحابية ليشمل أي خدمة تخزن أو تعالج بيانات المنظمة، ولا يمكن بعد الآن تجاهل التحديات التشغيلية.
الاستعداد المبكر مهم
الكيانات التي ستنجح في تلبية متطلبات الإصدار 3.3 هي تلك التي اعتبرت التحقق القوي تحديًا تصميميًا، وليس مجرد أمر للامتثال. ويجب البدء في العمل الآن، وليس عند موعد التجديد، لأن تطبيق حلول التحقق الجديدة وتدريب المستخدمين يتطلب وقتًا.
إذا كانت خدماتك السحابية توفر ميزة التحقق ولم تُفعّل بعد، فإن 27 أبريل أصبح أقرب مما تتوقع. إذن، لا تنتظر حتى اللحظة الأخيرة، وابدأ الآن في تحسين أنظمة التحقق لضمان أمان فعال يلبي متطلبات الواقع العملي.
المصدر: Latest from TechRadar
