الغوص في البيانات: رسم خرائط الاعتماد الفائق النطاق للقطاع العام في المملكة المتحدة
شبكة الطيف الاخبارية - 6/2/2026 5:53:44 PM - GMT (+3 )

تتشابك البنية التحتية لصندوق البريد والبوابة السحابية في القطاع العام في المملكة المتحدة بشكل كامل مع شركات التوسع الفائقة الأمريكية ومقدمي الخدمات الآخرين في الولايات المتحدة.

كشفت دراسة استقصائية لصناديق بريد البريد الإلكتروني وسجلات البوابة لـ 19 إدارة حكومية و10 مجالس محلية في المملكة المتحدة عن تركيز البنية التحتية الحيوية التي من المحتمل أن تعرضهم لمخاطر الاعتماد على مورد واحد، والاعتماد على بوابات الموردين التي تمثل “الصندوق الأسود” لموظفي تكنولوجيا المعلومات الداخليين، والتعرض للتطفل من الداخل في الولايات المتحدة.

قام البحث الذي أجرته شركة Computer Weekly ببناء صورة لاتصالات صندوق البريد والبوابة السحابية للإدارات الحكومية والمجالس المحلية من سجلات نظام اسم النطاق (DNS) ومعلومات تسجيل المالك التي تم استردادها عبر بروتوكول الوصول إلى بيانات التسجيل (RDAP) ومصادر IP.

وفي حين كان المقصود من سياسة “السحابة أولاً” التي تنتهجها حكومة المملكة المتحدة استخدام منصات السحابة العامة قبل النظر في خيارات أخرى، فقد كان المقصود منها أيضاً تجنب تقييد الموردين.

ومن خلال رسم خريطة للمحيط الرقمي للقطاع العام في المملكة المتحدة، يمكننا أن نرى نمطًا واضحًا من الهيمنة من قبل مقدمي الخدمات في الولايات المتحدة. يتم استضافة الباب الأمامي الرقمي للحكومة الوطنية والمحلية في المملكة المتحدة على شريحة رقيقة من البنية التحتية العالمية، ويثير تساؤلات حول نقاط الفشل الفردية، ونقص السيطرة على البنية التحتية الحيوية والتعرض لتطفل الدولة الأجنبية.

خط أنابيب التحقيق

لرسم هذه الحدود الرقمية، استخدمت مجلة Computer Weekly خط أنابيب بيانات استطلاع سلبي من أربع مراحل يجمع البيانات المعمارية دون لمس الخوادم الداخلية.

استخدمت المرحلة الأولى أداة تجميع استطلاع DNS المخصصة للتكرار عبر 29 كيانًا رئيسيًا. من خلال إجراء استعلامات لسجلات A وAAAA وMX وTXT وNS، قامت الأداة بتعيين المحيط العام لهذه المؤسسات (انظر “منهجية البحث” أدناه). توفر هذه السجلات “Who’s Who” لسلسلة التوريد الرقمية. تحدد سجلات MX “غرف البريد” (بوابات البريد الإلكتروني)، وتكشف سجلات TXT عن مرسلي البرامج كخدمة (SaaS) المعتمدين، وتحدد سجلات A/AAAA “خطوط الملكية” – عناوين IP المحددة حيث توجد الخدمات الحكومية.

وتم استكمال ذلك بسجلات شهادة الشفافية (CT)، وهو سجل عام لكل شهادة أمان صادرة على الإنترنت. غالبًا ما تكشف هذه السجلات عن نطاقات فرعية “مخفية” أو بوابات اختبار داخلية قد تفوتها استعلامات DNS القياسية وتوفر رؤية أكثر تفصيلاً لتكامل الطرف الثالث.

قامت المراحل اللاحقة بمعالجة هذه البيانات الأولية من خلال محلل ملكية RDAP لتحديد كتل الشبكة الفعلية خلف عناوين IP. وأخيرا، استخدم المصنف التفسيري مطابقة الأنماط الإرشادية لوضع علامات على البنية التحتية مع موردين وسلطات قضائية محددة لحساب “درجة التشابك” لتحديد مدى تركيز مخاطر الطرف الثالث.

الثلاثي الفائق النطاق

كشف تحليلنا عن إجمالي 2823 اتصالاً بالبنية التحتية عبر عينة القطاع العام. تؤكد النتائج الاعتماد على ممر ضيق من البيئات فائقة النطاق. يهيمن على البصمة الرقمية ثلاثة مقدمي خدمات فقط: Microsoft Cloud (466 اتصالاً)، وGoogle Cloud (264 اتصالاً)، وAmazon Web Services (137).

إن أجهزة Hyperscalers الثلاثة الكبرى ليست سلعًا قابلة للتبديل. يشير البحث إلى انقسام وظيفي واضح. لذا، ففي حين تعمل مايكروسوفت كشريك متكامل ــ ترسيخ النقل العام (نظام أسماء النطاقات والتوجيه) وإدارة الهوية الداخلية ــ فإن مقدمي الخدمات الآخرين يضطلعون بأدوار متخصصة أخرى.

على سبيل المثال، تركز بصمة Google بشكل كبير على طبقة الهوية والتطبيق التي تتعامل مع التحقق من النطاق والمصادقة الآمنة، بدلاً من العمل كبوابة مرور أساسية.

وهذا يعني أن الإدارات الحكومية لا تستخدم هذه السحب فحسب؛ فهي مدمجة هيكليًا في مستويات محددة وغير قابلة للتبديل من مجموعتها التشغيلية. وهذا يعني أن المرونة نادراً ما تتحقق من خلال الخلط بين الموردين، حيث يتحكم كل مزود في رابط منفصل فريد في سلسلة البنية التحتية، مما يخلق “صوامع الفشل” بدلاً من التكرار الحقيقي.

وبعيدًا عن “الثلاثة الكبار”، حدد البحث طبقة ثانوية من مقدمي التكنولوجيا المتخصصين الذين يتعاملون مع المهام التشغيلية الحرجة:

  • تقديم المحتوى والأداء: تعمل البنية التحتية من Cloudflare (الموجودة في 14 كيانًا شملها الاستطلاع)، وAkamai (7)، وFastly (7) بمثابة “طبقة تخزين مؤقت” موزعة، تمتص حركة المرور الواردة وتحمي من هجمات حجب الخدمة الموزعة (DDoS).

  • تكامل النظام البيئي: توفر Apple Enterprise (16) البنية التحتية الأساسية لإدارة الأجهزة المحمولة وخدمات النظام البيئي.

  • عمليات SaaS: تتم إدارة سير عمل الأعمال الهامة من خلال Salesforce (7) وServiceNow (5).

  • بوابات الأمن السيبراني: يعمل مفتشو البريد الإلكتروني المتخصصون مثل Mimecast (4) وProofpoint (2) كخط دفاع أساسي ضد التصيد الاحتيالي والبرامج الضارة قبل وصول البيانات إلى الخادم الداخلي.

واحدة فقط من هذه الشركات – Mimecast – لا يقع مقرها الرئيسي في الولايات المتحدة.

وبينما تكتسب الأقسام الفردية الكفاءة، فمن المحتمل أن يقدم العرض الإجمالي صورة للهشاشة التشغيلية. فعندما تتقاسم المئات من الوظائف الحكومية المستقلة نفس البنية التحتية المادية الأساسية، فمن الممكن إلغاء المفاهيم التقليدية للتكرار.

جوهر السيادة

وحددت البيانات أيضًا 1894 اتصالًا منسوبة إلى البنية التحتية الحكومية الداخلية أو المحلية. تمثل هذه جوهر الخوادم الفعلية والدوائر الخاصة وخوادم الأسماء الرسمية التي لا تزال الإدارات الحكومية تمتلكها بشكل مباشر، وغالبًا ما يتم استضافتها في مراكز البيانات مثل Crown Hosting.

لكن التشابك مع شركات الحوسبة الفائقة في الولايات المتحدة ومقدمي الخدمات الآخرين يعني أن هذه النواة معرضة للخطر. تمتلك الحكومة والسلطات المحلية مفاتيح الغرف في منزلها الرقمي، ولكنها قامت بالاستعانة بمصادر خارجية للباب الأمامي وصندوق البريد والإضاءة لأصحاب العقارات التجارية. إذا عانى أحد أجهزة التوسعة الفائقة من فشل واجهة برمجة التطبيقات (API) أو انقطاع إقليمي، على سبيل المثال، فقد تصبح البنية التحتية الداخلية معزولة عن الجمهور.

سطح الهجوم من الراحة

ومن خلال تجميع الخدمات في عقد ذات نطاق واسع، أنشأ القطاع العام ما يسمى “سطح الهجوم الملائم”. يقدم هذا أربعة مخاطر هيكلية أساسية حددها تحليلنا المعماري:

  1. نقطة الفشل الوحيدة: تعني المركزية في التوجيه أنه إذا واجه مورد واحد مثل Cloudflare أو Microsoft انقطاعًا كبيرًا، فقد يتم قطع قدرة الكيان على حل أسماء النطاقات الخاصة به أو تلقي رسائل البريد الإلكتروني تمامًا.
  2. فجوة الرؤية: إذا تعاملت الفرق الداخلية مع البوابات التجارية على أنها “صناديق سوداء” وتعرض مقدمو الخدمات الخارجيون للخطر – كما رأينا في هجمات سلسلة التوريد مثل هجوم SolarWinds – فمن المحتمل أن يحصل المهاجمون على “مفتاح ذهبي” لتدفقات الاتصالات التي يمكن أن تكون غير مرئية لأدوات المراقبة الداخلية.
  3. هشاشة التكوين: تتطلب البنية الآمنة التكرار. تُظهر البيانات الأقسام التي تستخدم موردًا واحدًا لكل من أمان البريد الإلكتروني (على سبيل المثال، Mimecast) واستضافة DNS. يؤدي هذا إلى إنشاء موقف حيث يمكن للمهاجم الذي يحصل على حق الوصول الإداري إلى أحد الأشخاص أن يسرق هوية المجال بالكامل.
  4. فخ الولاية القضائية: يشير بحثنا إلى أن 96.55% من الكيانات التي شملتها الدراسة تخضع لمخاطر قضائية أمريكية. نظرًا لأنهم يعتمدون على الموردين الخاضعين لقانون توضيح الاستخدام القانوني الخارجي للبيانات (السحابة) الأمريكي وقانون مراقبة الاستخبارات الأجنبية (FISA) القسم 702، فإن بياناتهم – وسجلات الوصول التي توضح من شاهد تلك البيانات – تقع في ولاية قضائية أجنبية. ومن الناحية النظرية، يمكن للوكالات الأمريكية إصدار مذكرة سرية للوصول إلى بوابات الاتصال هذه دون إخطار سلطات المملكة المتحدة على الإطلاق.

قصة نموذجين

تختلف درجة “التشابك” بشكل كبير عبر العينة. تعد وزارة النقل، على سبيل المثال، واحدة من أقل الوكالات تشابكًا، حيث أن 79% من بصمتها الرقمية المحددة تقع ضمن النظام البيئي لمورد واحد (Google Cloud). وفي حين أن هذا يوفر تكاملًا سلسًا ومستوى تحكم واحدًا، إلا أن نزاعًا واحدًا مع مورد واحد أو عطلًا فنيًا قد يؤدي إلى شل القسم بأكمله.

وفي المقابل، تتبع الكيانات الأخرى نموذجًا هجينًا يوفر المرونة عن طريق التنويع. وفي حين أن هذا يقلل من خطر حدوث نقطة فشل واحدة، فإنه يقدم “دين التكامل” – بيئة أكثر تعقيدا يصعب تأمينها ومراجعتها عبر سياسات أمنية متميزة متعددة.

واحدة من أصغر البصمات التي تم تحديدها كانت وزارة أمن الطاقة وصافي الصفر (DESNZ). قد تكون هذه ميزة سجل نظيف. وباعتبارها قسمًا جديدًا نسبيًا، لم تقم DESNZ حتى الآن بتجميع الديون القديمة التي شوهدت في المؤسسات القديمة – مواقع الويب المؤرشفة، والنطاقات الفرعية المنسية وعمليات تكامل الطرف الثالث المهجورة التي تؤدي إلى تضخيم البصمة الرقمية للأقسام الأكثر رسوخًا.

مفترق الطرق الاستراتيجي

ومع انتقال الأقسام إلى ما هو أبعد من التخزين البسيط والتوجه إلى نماذج الخدمة المتكاملة، تزداد الجاذبية التقنية لمقدمي الخدمات الرئيسيين. وتصبح تكلفة الخروج ــ من حيث الإنفاق المالي والديون الفنية ــ باهظة.

ويكمن الخطر في أنه بدون تنويع ملموس للحدود الرقمية، فإن المرونة التي كان من المفترض أن توفرها السحابة قد تصبح ضحية. وتخاطر المملكة المتحدة بمستقبل حيث تعمل خدماتها الأساسية تحت رحمة ثلاثي عالمي للبنية التحتية، مقيدة بالقوانين الأجنبية ومحمية بالصناديق السوداء التجارية.

منهجية البحث

لرسم الحدود الرقمية للقطاع العام في المملكة المتحدة، استخدمت مجلة Computer Weekly خط أنابيب لاستخراج البيانات مصمم للاستطلاع السلبي. تم بناء مجموعة البيانات الأولية من خلال تحديد النطاقات المسجلة لـ 19 دائرة حكومية و10 مجالس محلية.

مراحل التحليل

  • جمع بيانات DNS: يتم تكرارها من خلال الكيانات المستهدفة لتنفيذ استعلامات DNS (سجلات A وAAAA وMX وTXT وNS) التي قامت بتعيين المحيط وتحديد أجهزة توجيه البريد المعتمدة وموفري SaaS.

  • استعلامات ملكية RDAP: معالجة بيانات DNS الأولية لتحديد كتل الشبكة الفعلية (نطاقات IP) خلف النطاقات، لتحديد المؤسسات التي تمتلك بالفعل أجزاء الشبكة هذه.

  • المصنف التفسيري: تستخدم مطابقة الأنماط لتفسير البيانات الفنية إلى فئات الأعمال، لتحديد الموردين وتقييم الولايات القضائية القانونية.

  • مولد شجرة التبعية: تحويل البيانات الغنية إلى تصور للعلاقة بين المؤسسات الجذرية والمجالات الفرعية والموردين الخارجيين.

التعاريف الرئيسية

  • سجلات MX: توجيه البريد الإلكتروني إلى خوادم البريد المسؤولة.

  • سجلات TXT/SPF: قم بإدراج موردي الجهات الخارجية المعتمدين المسموح لهم بإرسال بريد إلكتروني نيابةً عن النطاق.

  • سجلات A/AAAA: قم بتعيين النطاقات إلى مواقع الخادم الفعلية (IPv4/IPv6).

  • سجلات NS: تحديد خوادم الأسماء الرسمية المسؤولة عن سجلات النطاق.

  • درجة التشابك: مقياس للمخاطر الرقمية يتم حسابه عن طريق قسمة اتصالات الموردين الفريدة على إجمالي مساحة البنية التحتية.

Source link



إقرأ المزيد
اقتصاد والاعمال المزيد
رياضة المزيد