الموظفون يستخدمون الذكاء الاصطناعي التوليدي في العمل بالفعل. بعضهم يستخدمه لتلخيص البريد الإلكتروني، أو صياغة التقارير، أو تحليل الجداول، أو إعادة كتابة العروض، أو مراجعة الأكواد، أو تسريع الردود على العملاء. المشكلة ليست في الذكاء الاصطناعي نفسه. المشكلة في الذكاء الاصطناعي غير المُدار.

لهذا السبب أصبحت الامتثال السيبراني لـ Shadow AI/NCA قضية حوكمة خطيرة للمؤسسات السعودية في 2026. عندما يلصق الموظفون بيانات الشركة داخل أدوات AI غير معتمدة، أو يربطون إضافات المتصفح بأنظمة الشركة، أو يستخدمون حسابات AI شخصية لأعمال وظيفية، قد تفقد المؤسسة السيطرة على المعلومات الحساسة، وموقع معالجة البيانات، وصلاحيات الوصول، وسجلات التدقيق، ومخاطر المعالجة لدى الأطراف الثالثة.

بالنسبة لرؤساء أمن المعلومات، ومديري تقنية المعلومات، ومديري المخاطر، ومسؤولي الامتثال، وقادة التحول الرقمي، فالهدف ليس منع كل أدوات الذكاء الاصطناعي. الهدف الحقيقي هو جعل استخدام AI داخل المؤسسة مرئيًا، ومحكومًا، ومقيدًا بالصلاحيات، وخاضعًا للمراقبة، ومتوافقًا مع توقعات الأمن السيبراني في السعودية.

تنويه مهم: هذا المقال لأغراض تعليمية فقط. قد تتغير ضوابط NCA، ومتطلبات الحوسبة السحابية، والتزامات القطاع الخاص، وتوقعات حوكمة الذكاء الاصطناعي. يجب على المؤسسات تأكيد المتطلبات الحالية من خلال الهيئة الوطنية للأمن السيبراني، ومستشاري الأمن السيبراني المؤهلين، والفرق القانونية وفرق الامتثال الداخلية.

مسار Shadow AI: كيف تُنشئ أدوات AI غير المعتمدة تسربات بيانات صامتة؟

Shadow AI هو استخدام أدوات الذكاء الاصطناعي داخل المؤسسة دون اعتماد رسمي، أو مراجعة أمنية، أو تصنيف للبيانات، أو ضبط للصلاحيات. قد يشمل ذلك روبوتات المحادثة العامة، أو إضافات المتصفح، أو أدوات التفريغ الصوتي، أو مساعدي الاجتماعات بالذكاء الاصطناعي، أو أدوات البرمجة، أو محللات المستندات، أو مولدات الصور، أو واجهات API غير رسمية، أو حسابات AI شخصية مدفوعة.

الخطر بسيط: قد يعتقد الموظفون أنهم يحسنون الإنتاجية، لكنهم قد يرسلون بيانات الشركة إلى أنظمة لم تقيّمها المؤسسة أمنيًا أو قانونيًا.

تشمل نقاط تسرب Shadow AI الشائعة:

هذا مهم خصوصًا في السعودية لأن ضوابط الأمن السيبراني للحوسبة السحابية الصادرة عن NCA تم تحديثها لتعكس تغييرات مرتبطة بمتطلبات توطين البيانات، وتركز على مقدمي خدمات الحوسبة السحابية ومشتركي الخدمات السحابية. إذا كانت بيانات الشركة تُدفع إلى بيئات AI سحابية أجنبية دون مراجعة، فقد تخلق المؤسسة مشكلة حوكمة سحابية وتوطين بيانات قبل أن تدرك ذلك.

الخطوة الأولى ليست الذعر. بل الرؤية. لا يمكنك حوكمة ما لا تراه.

تفويض Non-CNI الجديد لعام 2026: لماذا يجب على شركات القطاع الخاص الانتباه؟

التحول الكبير في 2026 هو أن ضوابط الأمن السيبراني لم تعد تهم الجهات الحكومية أو مشغلي البنية التحتية الحرجة فقط.

أصدرت السعودية ضوابط أمن سيبراني جديدة للقطاع الخاص غير المصنف كبنية تحتية وطنية حرجة، ويُشار إليها غالبًا باسم NCNICC-1:2025. توضح ملخصات قانونية أن هذه الضوابط تنطبق على كيانات القطاع الخاص غير المصنفة كبنية تحتية وطنية حرجة، وتقسم الشركات إلى فئتين: الفئة A للشركات الكبيرة، والفئة B للمنشآت الصغيرة والمتوسطة. وتشمل الفئة A المؤسسات التي يزيد عدد موظفيها بدوام كامل على 250 موظفًا أو تزيد إيراداتها السنوية على 200 مليون ريال، بينما تشمل الفئة B المنشآت الصغيرة والمتوسطة التي تضم 6 إلى 249 موظفًا بدوام كامل أو إيرادات سنوية بين 3 ملايين و200 مليون ريال، وفق شرح ضوابط الأمن السيبراني الجديدة للقطاع الخاص غير CNI.

هذا مهم في حوكمة Shadow AI في السعودية لأن أدوات AI غالبًا تقع عند تقاطع ثلاثة مجالات رقابية:

1. الحوكمة؛

2. الدفاع السيبراني؛

3. الأمن السيبراني للأطراف الثالثة والحوسبة السحابية.

قد تحتاج الشركة الكبيرة إلى إطار حوكمة وضوابط تقنية أكثر اكتمالًا، بينما قد يكون على المنشأة الصغيرة والمتوسطة التزام أخف لكنه ما زال حقيقيًا. وفي كلتا الحالتين، الرسالة واضحة: الأدوات الرقمية غير المُدارة لم تعد “ابتكارًا فقط”. إنها جزء من إدارة مخاطر الأمن السيبراني.

النهج الأكثر أمانًا هو التعامل مع Shadow AI كقضية GRC، وليس كقضية تقنية فقط.

إرشادات الحوسبة السحابية من NCA ومشكلة أدوات AI

معظم أدوات AI هي أدوات سحابية. حتى عندما يراها الموظف كموقع بسيط، قد تتم المعالجة عبر بنية سحابية معقدة، وواجهات API، ومعالجات فرعيين، ومزودي نماذج، أو مراكز بيانات خارج سيطرة الشركة المباشرة.

تصف NCA ضوابط الأمن السيبراني للحوسبة السحابية بأنها امتداد للضوابط الأساسية للأمن السيبراني، وتهدف إلى تحقيق أهداف أمن سيبراني وطنية أعلى من خلال التركيز على مقدمي خدمات الحوسبة السحابية ومشتركيها. كما تشير صفحة NCA إلى أن تحديث CCC لعام 2024 يعكس تغييرات مرتبطة بمتطلبات توطين البيانات.

وهذا يخلق سؤالًا عمليًا لحوكمة AI:

إذا رفع موظف بيانات الشركة إلى أداة AI، هل أصبحت المؤسسة عمليًا “مستأجرًا سحابيًا” دون أن تعرف؟

يجب أن تسأل عملية اعتماد أدوات AI القوية:

• أين تتم معالجة البيانات؟

• أين تُخزن البيانات؟

• هل تُستخدم البيانات في تدريب النموذج؟

• هل يمكن الاحتفاظ بالمطالبات والمخرجات؟

• من يستطيع الوصول إلى سجلات الإدارة؟

• هل يدعم النظام SSO المؤسسي؟

• هل يمكن فرض MFA؟

• هل يدعم حذف البيانات؟

• هل واجهات API موثقة؟

• هل المعالجون الفرعيون مذكورون؟

• هل الأداة معتمدة للبيانات الحساسة؟

• هل تلبي توقعات الحوسبة السحابية والأمن السيبراني المحلية؟

إذا لم تستطع المؤسسة الإجابة عن هذه الأسئلة، فلا ينبغي استخدام الأداة مع بيانات الشركة.

تصنيف AI كهوية رقمية

ترد كثير من الشركات على Shadow AI بحظر واسع عبر الجدار الناري. قد يقلل ذلك بعض المخاطر، لكنه يفشل غالبًا عمليًا. يجد الموظفون نسخًا عبر المتصفح، أو تطبيقات الجوال، أو أجهزة شخصية، أو حلول نسخ ولصق، أو أدوات بديلة.

النموذج الأقوى هو تصنيف أدوات AI المؤسسية كـ هويات رقمية.

هذا يعني أن كل أداة AI معتمدة يجب أن يكون لها:

هذا يرتبط مباشرة بـ سياسة إدارة الهوية والوصول. بدلًا من التعامل مع AI كموقع إلكتروني، تعامل معه كنظام عالي المخاطر يتعامل مع البيانات. قد تستخدم بعض الأدوار AI لصياغة محتوى تسويقي عام. وقد يستخدمه آخرون للبرمجة. لكن عددًا قليلًا جدًا يجب أن يستخدمه مع بيانات منظمة أو سرية أو شخصية أو مالية أو استراتيجية، إلا إذا كانت الأداة معتمدة ومضبوطة على مستوى المؤسسة.

يمكن أن يبدو نموذج RBAC كالتالي:

هذا أكثر واقعية من إخبار الجميع: “لا تستخدموا AI”.

جرد التهديدات المستمر: اكتشاف اتصالات AI المخفية

Shadow AI لا يظهر فقط كمواقع إلكترونية. قد يظهر عبر واجهات API، أو إضافات المتصفح، أو تكاملات SaaS، أو تطبيقات الجوال، أو وكلاء endpoint، أو سكربتات تربط قواعد بيانات داخلية بخدمات LLM خارجية.

لهذا تحتاج المؤسسات إلى جرد مستمر لتهديدات AI.

يجب أن تتضمن خطة الكشف العملية:

1. مراقبة الأجهزة الطرفية

اكتشاف إضافات المتصفح، وعملاء AI على سطح المكتب، وسلوك الرفع المشبوه، ووكلاء AI غير المعتمدين على أجهزة الشركة.

2. رؤية الشبكة وDNS

مراقبة الوصول إلى منصات AI المعروفة، وواجهات API للنماذج، ونقاط رفع الملفات، والاتصالات الصادرة المشفرة غير المعتادة.

3. اكتشاف SaaS عبر CASB

تحديد تطبيقات SaaS وAI غير المعتمدة المستخدمة عبر الحسابات المؤسسية.

4. ضوابط DLP

اكتشاف البيانات الشخصية، والكود البرمجي، والسجلات المالية، والعقود، والمستندات المصنفة عند انتقالها إلى أدوات غير معتمدة.

5. فحص مفاتيح API

البحث في المستودعات، والأجهزة، وملفات الإعداد عن مفاتيح AI API مكشوفة أو غير مصرح بها.

6. مراجعة سجلات السحابة

مراقبة ما إذا كانت خدمات التخزين السحابي، أو CRM، أو HRMS، أو ERP، أو منصات التحليلات متصلة بتكاملات AI غير معتمدة.

7. مراجعة المشتريات والمصروفات

اكتشاف شراء اشتراكات AI بواسطة بطاقات الشركة أو طلبات تعويض المصروفات.

هذا لا يتعلق بالتجسس على الموظفين. بل بمنع تسرب بيانات غير مُدار عبر أدوات لم تعتمدها المؤسسة.

كيف تمنع أدوات الذكاء الاصطناعي التوليدي غير المعتمدة دون قتل الإنتاجية؟

قد يبدو حظر كل أدوات AI آمنًا، لكنه قد يدفع المستخدمين إلى الأجهزة الشخصية والحلول غير الخاضعة للإدارة. الاستراتيجية الأفضل هي التمكين المنضبط.

استخدم نموذجًا من ثلاث طبقات:

ثم انشر سياسة واضحة.

يجب أن تغطي سياسة استخدام AI المؤسسية

• أدوات AI المعتمدة؛

• فئات البيانات المحظورة؛

• قواعد المطالبات والرفع؛

• قيود الحسابات الشخصية؛

• عملية اعتماد API؛

• مراجعة مخرجات AI؛

• قواعد تصنيف البيانات؛

• اعتماد المشتريات؛

• الإبلاغ عن الحوادث؛

• العواقب التأديبية للاستخدام الجسيم غير المصرح به.

هنا يمكن أن يساعد برنامج حوكمة الأمن السيبراني وإدارة المخاطر والامتثال (GRC) في السعودية فرق تقنية المعلومات والمخاطر والامتثال على تحويل ضوابط الأمن السيبراني إلى سياسات عملية، وأدلة، وسير عمل للحوكمة، وقرارات مخاطر AI.

قالب سياسة مؤسسية لنشر أدوات AI في السعودية

لا تحتاج سياسة نشر AI القوية إلى 80 صفحة. تحتاج إلى أن تكون قابلة للتطبيق.

استخدم هذا الهيكل:

1. الغرض

حدد لماذا تسمح المؤسسة باستخدام AI وما المخاطر التي تضبطها السياسة.

2. النطاق

اشمل الموظفين، والمقاولين، والموردين، والأجهزة، وأدوات SaaS، وواجهات API، والإضافات، وتطبيقات الجوال.

3. الأدوات المعتمدة

اذكر أدوات AI المعتمدة وحالات الاستخدام المسموحة.

4. البيانات المحظورة

امنع إدخال البيانات الحساسة، والبيانات الشخصية، وبيانات الاعتماد، والكود البرمجي، والعقود السرية، وسجلات العملاء، والمعلومات المنظمة داخل أدوات AI غير المعتمدة.

5. ضبط الوصول

اشترط SSO وMFA وRBAC ومراجعة دورية للوصول لأدوات AI المؤسسية المعتمدة.

6. مراجعة الطرف الثالث والسحابة

اشترط مراجعة أمنية وخصوصية وسحابية وتوطين بيانات قبل النشر.

7. المراقبة

وضح أن أنظمة الشركة قد تراقب استخدام AI لأغراض الأمن السيبراني والامتثال.

8. الإبلاغ عن الحوادث

اشترط الإبلاغ الفوري إذا تم إرسال بيانات حساسة إلى أداة AI غير معتمدة.

9. دورة المراجعة

راجع السياسة ربع سنويًا أو عند إدخال أدوات AI جديدة.

هذا يحول اعتماد AI إلى برنامج محكوم بدلًا من تجارب موظفين متفرقة.

قائمة امتثال NCA للقطاع الخاص لإدارة Shadow AI

استخدم هذه القائمة قبل اعتماد أدوات AI.

الحوكمة

• هل لدينا سياسة استخدام مقبول للذكاء الاصطناعي؟

• هل وافقت الإدارة العليا أو المجلس على شهية مخاطر AI؟

• هل تم تقييم التزامات الفئة A أو الفئة B؟

• هل AI مدرج في سجل مخاطر الأمن السيبراني؟

• هل تم تعيين ملاك لأدوات AI؟

مخاطر السحابة والأطراف الثالثة

• هل تم تقييم المورد؟

• هل تمت مراجعة توطين البيانات؟

• هل تم تحديد المعالجين الفرعيين؟

• هل تم تعطيل تدريب النموذج على بيانات العملاء عند الحاجة؟

• هل شروط الحذف والاحتفاظ واضحة؟

الهوية والوصول

• هل تدعم الأداة SSO؟

• هل MFA مفعل؟

• هل RBAC مُعد؟

• هل حسابات الإدارة مقيدة؟

• هل مراجعات الوصول مجدولة؟

حماية البيانات

• هل فئات البيانات المحظورة محددة؟

• هل DLP مفعل؟

• هل عمليات الرفع مضبوطة؟

• هل يتم تسجيل المطالبات والمخرجات حيثما أمكن؟

• هل التدفقات الحساسة محظورة؟

المراقبة والاستجابة للحوادث

• هل تتم مراقبة الأجهزة لاكتشاف أدوات AI؟

• هل نطاقات AI وواجهات API مرئية؟

• هل مفاتيح API متتبعة؟

• هل يتم تصعيد التسربات المشتبه بها؟

• هل توجد خطة استجابة لحوادث AI؟

هل تنطبق ضوابط Non-CNI الجديدة لعام 2026 على الشركات التي يقل عدد موظفيها عن 50؟

استنادًا إلى ملخصات قانونية للضوابط الجديدة لغير البنية التحتية الحرجة، قد تشمل الفئة B المنشآت الصغيرة والمتوسطة التي لديها 6 إلى 249 موظفًا بدوام كامل أو إيرادات بين 3 ملايين و200 مليون ريال. وهذا يعني أن شركة يقل عدد موظفيها عن 50 قد تكون ضمن النطاق إذا استوفت المعايير ذات الصلة.

لكن الالتزام الدقيق يعتمد على التصنيف، والقطاع، ونموذج العمل، والبيانات المعالجة، والعقود، والارتباطات مع القطاع العام، وإرشادات NCA الحالية. لا ينبغي للشركات الصغيرة افتراض أنها معفاة دون فحص.

الخطوات العملية الأولى للشركات الصغيرة:

• تحديد أدوات AI المستخدمة حاليًا؛

• حظر الرفع الواضح للبيانات الحساسة إلى أدوات عامة؛

• اعتماد خيار AI مؤسسي آمن واحد؛

• تدريب الموظفين على البيانات المحظورة؛

• توثيق مراجعات الموردين؛

• مراقبة الأجهزة وإضافات المتصفح؛

• الاحتفاظ بأدلة امتثال أساسية.

ما العقوبات التقنية لتسريب بيانات الشركة إلى سحابات AI غير محلية؟

تعتمد النتائج الدقيقة على نوع البيانات، والقطاع، والالتزامات التعاقدية، ومتطلبات NCA المطبقة، ومخاطر الخصوصية، وما إذا كان الحادث يؤثر في بيانات منظمة أو حساسة أو شخصية أو حرجة للأعمال.

حتى قبل أي عقوبة رسمية، قد تكون النتائج التشغيلية خطيرة:

الموقف الأكثر أمانًا هو منع التسرب قبل حدوثه.

الخاتمة

ترك Shadow AI يعمل دون ضوابط يمثل ثغرة مباشرة في بيئة الأمن السيبراني الجديدة للقطاع الخاص السعودي. أصبحت الامتثال السيبراني لـ Shadow AI/NCA قضية حوكمة، وأمن سحابي، وإدارة هوية، ومراقبة، وضبط مخاطر.

الحل ليس منع الإنتاجية. الحل هو بناء خرائط اعتماد آمن للذكاء الاصطناعي: أدوات معتمدة، أدوات محظورة، وصول قائم على الأدوار، تصنيف بيانات، مراقبة للأجهزة، مراجعة سحابية، تقييم موردين، رؤية لواجهات API، واستجابة للحوادث.

مع رفع ضوابط NCA للقطاع الخاص لعام 2026 سقف التوقعات للمؤسسات غير CNI، يحتاج رؤساء أمن المعلومات ومديرو تقنية المعلومات إلى أكثر من أدوات تقنية. يحتاجون إلى قدرة GRC تربط السياسة، والأدلة، وشهية المخاطر، وملكية الضوابط، والمراقبة المستمرة.

قرب نهاية أي طرح لحوكمة AI، يمكن أن يدعم برنامج  حوكمة الأمن السيبراني وإدارة المخاطر والامتثال (GRC) في السعودية قادة الأمن السيبراني الذين يحتاجون إلى بناء سياسات AI متوافقة، وإدارة سجلات المخاطر، ومواءمة ضوابط NCA، وإنشاء أدلة حوكمة جاهزة للتدقيق.

الأسئلة الشائعة

هل تنطبق ضوابط NCA Non-CNI الجديدة لعام 2026 على الشركات التي يقل عدد موظفيها عن 50؟

قد تنطبق. توضح ملخصات قانونية أن الفئة B تشمل المنشآت الصغيرة والمتوسطة التي لديها 6 إلى 249 موظفًا بدوام كامل أو إيرادات سنوية بين 3 ملايين و200 مليون ريال. يجب على الشركة التي يقل عدد موظفيها عن 50 تقييم نطاقها وقطاعها وإيراداتها وعقودها ومخاطر بياناتها وإرشادات NCA الحالية.

ما المقصود بحوكمة Shadow AI في السعودية؟

حوكمة Shadow AI هي عملية تحديد واعتماد وتقييد ومراقبة وتوثيق استخدام الموظفين لأدوات الذكاء الاصطناعي، حتى لا تتسرب بيانات الشركة إلى منصات أو واجهات API أو إضافات متصفح أو بيئات سحابية غير محلية وغير معتمدة.

كيف يمكن للشركات السعودية حظر أدوات الذكاء الاصطناعي التوليدي غير المعتمدة؟

يمكن استخدام مزيج من سياسة استخدام AI، وتصفية DNS، واكتشاف CASB، ومراقبة الأجهزة، وضوابط إضافات المتصفح، وDLP، وفحص مفاتيح API، ومراجعة المشتريات، وتوفير بدائل AI مؤسسية معتمدة.

هل يجب التعامل مع أدوات AI كهويات رقمية؟

نعم. يجب أن يكون لأدوات AI المؤسسية ملاك، وضوابط وصول، وSSO، وMFA، وRBAC، وسجلات، ومراجعة موردين، وصلاحيات بيانات، وإدارة دورة حياة مثل التطبيقات التجارية عالية المخاطر.

ما البيانات التي لا يجب إدخالها أبدًا في أدوات AI العامة؟

لا ينبغي إدخال البيانات الشخصية الحساسة، وسجلات العملاء، وبيانات الرواتب، والعقود، والكود البرمجي، وبيانات الاعتماد، والنتائج المالية غير المنشورة، ووثائق مجلس الإدارة، والمعلومات المنظمة، والاستراتيجية التجارية السرية في أدوات AI عامة أو غير معتمدة.

كيف يؤثر توطين السحابة في حوكمة AI؟

تعالج كثير من أدوات AI البيانات عبر بنية سحابية. إذا أُرسلت البيانات إلى أنظمة AI أجنبية أو غير مراجعة، فقد تخلق المؤسسة مخاطر أمن سحابي، وتوطين بيانات، وخصوصية، وأطراف ثالثة. لذلك تجعل ضوابط NCA السحابية مراجعة أمن المستأجر وتوطين البيانات أمرًا مهمًا في حوكمة AI.