لا تزال بيانات الاعتماد المسروقة تُعد أحد أهم قناتي الوصول الأولي في جميع القطاعات، وفقًا لـ تقرير فيريزون لعام 2026 حول تحقيقات اختراق البيانات—أما بالنسبة للبنوك، حيث توفر الحسابات الرقمية وصولاً مباشراً إلى الخدمات المالية، فإنها لا تزال تشكل محركاً لعمليات الاحتيال المتعلقة بالاستيلاء على الحسابات، و«حشو بيانات الاعتماد»، وحملات التصيد الاحتيالي في الوقت الفعلي على نطاق واسع.
كان رد فعل الهيئات التنظيمية واضحًا لا لبس فيه: يجري حالياً تنفيذ كل من PSD3 وPSR1 بشكل فعّال في جميع الدول الأعضاء في الاتحاد الأوروبي، كما دخلت DORA حيز التنفيذ، وتتفق الهيئات التنظيمية في جميع أنحاء الاتحاد الأوروبي والولايات المتحدة ومنطقة آسيا والمحيط الهادئ على متطلب واحد، ألا وهو المصادقة المقاومة للتصيد الاحتيالي.
تُعد مفاتيح المرور FIDO2 الآن الطريق الأوضح للوفاء بهذا المعيار. لكن النقاش لا يقتصر على مفاتيح المرور. فظهور الحوسبة الكمومية يعني أن الأسس التشفيرية لبنية المصادقة الحالية تواجه تهديدًا طويل الأمد يتعين على المؤسسات ذات الرؤية المستقبلية التخطيط لمواجهته اليوم. يتناول هذا المقال كيفية عمل المصادقة بدون كلمات مرور FIDO2 في القطاع المصرفي، ومتطلبات PSD3 وPSR1، وأسباب ضرورة إدراج التشفير ما بعد الكمومي في خطة عمل مؤسستك — إلى جانب ثمانية أسئلة لتقييم الوضع الحالي لمؤسستك.
نادرًا ما تستهدف عمليات الاحتيال المصرفي الحديثة كلمات المرور بمفردها. فالمهاجمون يستغلون الأنظمة المبنية حولها: حيث تعمل خوادم التصيد الاحتيالي في الوقت الفعلي على اعتراض رموز الرسائل القصيرة التي تُستخدم لمرة واحدة قبل أن ينتهي المستخدمون من إدخالها؛ وتقوم هجمات استبدال شريحة SIM بإعادة توجيه رسائل التحقق إلى أجهزة يسيطر عليها المهاجمون؛ بينما تتجاوز الهندسة الاجتماعية عند نقاط الدخول إلى مراكز الدعم الفني عملية المصادقة الأساسية تمامًا. تؤدي المصادقة القائمة على الأسرار المشتركة إلى خلق نقاط ضعف لا يمكن للضوابط السياساتية وحدها سدها.
ما الذي يجعل القطاع المصرفي هدفًا ذا قيمة عالية لهجمات سرقة بيانات الاعتماد؟
لا يزال الاحتيال عن طريق الاستيلاء على الحسابات يمثل التهديد الرئيسي في مجال الخدمات المصرفية الرقمية. حيث تقوم أدوات «حشو بيانات الاعتماد» باختبار مليارات من مجموعات أسماء المستخدمين وكلمات المرور التي تم الكشف عنها سابقًا على بوابات الخدمات المصرفية، وذلك في حملات آلية. وقد رفعت المصادقة متعددة العوامل (MFA) مستوى الحماية — لكن ليست جميع أنظمة المصادقة متعددة العوامل متساوية. فلا تزال رموز OTP المرسلة عبر الرسائل القصيرة والإشعارات الفورية عرضة للتصيد الاحتيالي: فالمهاجم الذي يخدع المستخدم ليوافق على إشعار فوري يحصل على حق الوصول بغض النظر عن العامل الثاني في عملية المصادقة.
تعالج مفاتيح المرور FIDO2 هذه المشكلة على مستوى البنية، وليس على مستوى السياسات. فمن خلال التخلص من الأسرار المشتركة وربط بيانات الاعتماد بنطاقات محددة للطرف المعتمد (RP)، فإنها تزيل الآلية التي تجعل التصيد الاحتيالي مجديًا من الناحية الاقتصادية — فلا يوجد ما يمكن اعتراضه أو إعادة توجيهه أو إعادة إرساله.
FIDO2 هو معيار مصادقة مفتوح طورته تحالف FIDO بالتعاون مع W3C. وتتيح مواصفات WebAuthn الخاصة بها للمتصفحات والتطبيقات مصادقة المستخدمين باستخدام بيانات اعتماد مشفرة — مفاتيح المرور — بدلاً من كلمات المرور.
عندما يقوم المستخدم بتسجيل مفتاح مرور، يقوم الجهاز بإنشاء زوج من المفاتيح العامة والخاصة. ولا يغادر المفتاح الخاص الجهاز أبدًا؛ حيث لا يخزن البنك سوى المفتاح العام. وأثناء عملية المصادقة، يرسل البنك استفزازًا؛ فيقوم الجهاز بتوقيعه باستخدام المفتاح الخاص؛ ثم يتحقق البنك من صحة التوقيع. ولا يتم نقل أي سر. كما أن كل بيانات اعتماد مرتبطة تشفيرياً بنطاق معين، لذا لا يمكن استخدامها على موقع تصيد — حتى لو كان نسخة مرئية مطابقة تماماً من حيث البكسل للبوابة المصرفية الشرعية.
مفاتيح المرور مقابل مفاتيح الأمان المادية: ما هو الخيار الأنسب لمصرفك؟
تتوفر مفاتيح المرور في شكلين رئيسيين. تتكرر مفاتيح المرور المتزامنة عبر أجهزة المستخدم من خلال أنظمة المنصات مثل Apple iCloud Keychain أو Google Password Manager. وهي تبسط عملية الاستعادة وتعد مناسبة تمامًا لعملاء التجزئة. أما مفاتيح المرور المرتبطة بالأجهزة فهي مقيدة بجهاز واحد ولا يتم تصديرها أبدًا، مما يوفر ضمانًا أعلى للوصول المتميز، ومستخدمي الخدمات المصرفية للشركات، أو تدفقات المعاملات عالية القيمة.
بالنسبة للمؤسسات التي تتطلب أعلى مستوى من الضمان — مثل الخدمات المصرفية للشركات، أو المسؤولين ذوي الصلاحيات الخاصة، أو الحالات التي تفرض الفصل عن الجهاز الرئيسي للمستخدم — توفر مفاتيح الأمان المادية أداة مصادقة مخصصة لا تتعرض للإنترنت وتفرض التحقق من وجود المستخدم فعليًّا عند كل استخدام. RSA سلسلة iShield Key 2 يوفر مصادقة الأجهزة المعتمدة وفقًا لمعيار FIDO2 والتي تتكامل مع RSA ID Plus عبر البيئات السحابية والهجينة والمحلية — مما يتيح للبنوك نشر أداة المصادقة المناسبة لكل فئة من المستخدمين من خلال منصة واحدة.
قامت شركة RSA بنشر نظام المصادقة بدون كلمة مرور FIDO2 بين موظفيها على مستوى العالم، وحققت اعتمادًا شبه كامل لهذا النظام على الأجهزة الطرفية الخاضعة لإدارتها في غضون اثني عشر شهرًا. وقد تم توثيق القصة الكاملة — بما في ذلك كيفية التعامل مع التبعيات القديمة وإدارة التغيير على نطاق المؤسسة — في داخل RSA: نشر حلول FIDO والحلول الخالية من كلمات المرور على نطاق واسع دراسة حالة، تم إعدادها بالتعاون مع تحالف FIDO.
يمكن لنظام FIDO2 تلبية متطلبات ’المصادقة القوية للعميل» (SCA) الواردة في توجيه PSD2 عند تنفيذه بشكل صحيح. يوفر جهاز المصادقة عامل «الحيازة»؛ بينما توفر البيانات البيومترية أو رقم التعريف الشخصي (PIN) عاملي «الخصائص الفطرية» أو «المعرفة». ويمكن دمج «الربط الديناميكي» — وهو ربط المصادقة بمبلغ معاملة محدد ومستفيد معين — في مسارات FIDO2، مما يجعلها حلاً كاملاً للمصادقة القوية للعميل (SCA) لكل من مصادقة الهوية والموافقة على الدفع.
ما هي التغييرات التي أحدثتها لوائح PSD3/PSR1 في مجال المصادقة المصرفية؟
تم التوصل إلى اتفاق سياسي بشأن اللائحة PSD3 واللائحة المصاحبة لها PSR1 في عام 2025، ويجري تنفيذهما حاليًا، مع امتداد الجداول الزمنية للمرحلة الانتقالية إلى عامي 2027 و2028. وهناك ثلاثة تغييرات ذات أهمية قصوى لفرق المصادقة. أولاً، تضع PSD3/PSR1 توقعات معززة للمصادقة القوية (SCA) المقاومة للتصيد الاحتيالي — متجاوزةً النموذج الأساسي ثنائي العوامل في PSD2 نحو أساليب لا يمكن اعتراضها أو إعادة توجيهها. ثانياً، تواجه البنوك مسؤولية متزايدة في حالات الاحتيال التي كانت المصادقة المقاومة للتصيد الاحتيالي متاحة فيها ولكن لم يتم نشرها. ثالثًا، يجب على المؤسسات توفير طرق مصادقة بديلة إلزامية للمستخدمين الذين لا يمكنهم استخدام الطريقة الأساسية، مما يتطلب بنية متعددة المصادقات بدلاً من نشر طريقة واحدة فقط.
يتوافق نموذج FIDO2 الذي يستخدم مفاتيح مرور مرتبطة بالأجهزة أو مفاتيح أمان مادية بشكل مباشر مع توجيهات PSD3/PSR1. وستكون المؤسسات التي قامت بالفعل بتطبيق نموذج FIDO2 في وضع أفضل لإثبات امتثالها — ولتقديم سجلات مراجعة الوصول ووثائق التدقيق التي ستطلبها الجهات التنظيمية. حوكمة RSA ودورة حياتها تعمل على أتمتة سجلات مراجعة الوصول وتقارير الامتثال، مما يقلل من الوقت اللازم للتحضير للتدقيق من أسابيع إلى ساعات.
الحوسبة الكمومية القادرة على اختراق التشفير غير المتماثل الحالي ليست متاحة تجاريًا بعد. ومع ذلك، فإن مشكلة التخطيط مطروحة بالفعل. فاستراتيجية الهجوم المعروفة باسم “جمع البيانات الآن، وفك تشفيرها لاحقًا” — أي جمع حركة مرور الشبكة المشفرة اليوم بهدف فك تشفيرها بمجرد نضوج القدرات الكمومية — يتم تنفيذها بالفعل من قِبل جهات تهديد متطورة تستهدف المؤسسات ذات القيمة العالية. وبالنسبة للبنوك، حيث تمثل حركة مرور المصادقة وبيانات العملاء طويلة الأجل أهدافًا ذات أهمية مستمرة، فإن هذا يمثل أفقًا حقيقيًّا للمخاطر يتطلب اتخاذ إجراءات قبل أن تتجسد التهديدات الكمومية.
ما هو التهديد المتمثل في “الحصاد الآن، وفك التشفير لاحقًا”؟
تعتمد تقنية التشفير بالمفتاح العام السائدة اليوم — التي تشكل أساس بروتوكول TLS والتوقيعات الرقمية وعمليات بيانات الاعتماد FIDO2 — على مسائل رياضية لا تستطيع الحواسيب التقليدية حلها على نطاق واسع. يمكن لحاسوب كمومي قوي بما يكفي يعمل بخوارزمية شور أن يحل هذه المسائل بكفاءة، مما يؤدي إلى الكشف بأثر رجعي عن أي بيانات تم تشفيرها وفقًا للمعايير الحالية. يجب على المؤسسات التي تخزن أو تنقل البيانات المتعلقة بالمصادقة أن تفترض أن خصومًا متطورين قد يكونون قد بدأوا بالفعل في أرشفة هذه البيانات لفك تشفيرها في المستقبل.
معايير ما بعد العصر الكمومي الصادرة عن المعهد الوطني للمعايير والتقنية (NIST) والمسار المستقبلي للبنوك
في آب/أغسطس 2024،, أنهى المعهد الوطني للمعايير والتقنية (NIST) وضع أول ثلاثة معايير له في مجال التشفير ما بعد الكمومي: ML-KEM (تغليف المفاتيح القائم على الشبكات)، وML-DSA (التوقيعات الرقمية القائمة على الشبكات)، وSLH-DSA (التوقيعات القائمة على التجزئة) — وجميعها مصممة لتكون آمنة في مواجهة الهجمات الكلاسيكية والكمية على حد سواء. يعمل تحالف FIDO بنشاط على دمج خوارزميات PQC في معيار FIDO2، مما سيسمح لمفاتيح المرور ومفاتيح الأمان المادية بالحفاظ على خصائصها المقاومة للتصيد الاحتيالي مع تقدم الحوسبة الكمومية.
يوفر دعم RSA ID Plus للنشر الهجين والنشر المحلي مرونة معمارية للمؤسسات المالية، حيث يتم دمج معايير الحماية من الحسابات الكمومية (PQC) في البنية التحتية للهوية. وبدلاً من الحاجة إلى عملية ترحيل واحدة واسعة النطاق، يمكن للبنوك تعزيز طرق المصادقة حاليًا وإدخال خوارزميات مقاومة للحسابات الكمومية تدريجيًّا مع نضوج مواصفات الحماية من الحسابات الكمومية (PQC) الصادرة عن تحالف FIDO. اكتشف المزيد إمكانات المصادقة الكاملة بدون كلمة مرور التي توفرها RSA.
هذه الأسئلة مستمدة من خبرة RSA في مجال نشر الحلول على مستوى المؤسسات، ومن الإرشادات التنظيمية الحالية الخاصة بالمؤسسات المالية. استخدمها لتحديد الثغرات قبل أن تتحول إلى ملاحظات تدقيق.
- هل قمت بتحديد جميع التبعيات المتعلقة بكلمات المرور في مسارات التسجيل والاستعادة والسياسات — وليس فقط مسار تسجيل الدخول الأساسي؟
تعد عمليات التسجيل واستعادة الحساب من أكثر العوامل المرتبطة بكلمات المرور التي يتم تجاهلها في أغلب الأحيان. ويُعد التخلص منها قبل نشر مفاتيح المرور أمرًا ضروريًا لإنشاء بنية خالية تمامًا من كلمات المرور.
- هل تستوفي طرق المصادقة الحالية متطلبات PSD3/PSR1 SCA فيما يتعلق بمقاومة التصيد الاحتيالي، بما في ذلك الربط الديناميكي لتفويض الدفع؟
يمكن لـ FIDO2 تلبية متطلبات SCA — لكن تفاصيل التنفيذ هي التي تحدد مدى الامتثال. تأكد من أن إعداداتك تشمل كلاً من مصادقة الهوية عند تسجيل الدخول وتوقيع المعاملة عند الموافقة على الدفع.
- هل تستطيع بنية المصادقة الخاصة بكم دعم أنواع متعددة من أدوات المصادقة عبر فئات مختلفة من المستخدمين — مثل عملاء التجزئة، والشركات، وموظفي الفروع، والمسؤولين ذوي الصلاحيات الخاصة؟
نادرًا ما يلبي نوع واحد من أدوات المصادقة احتياجات كل فئة من المستخدمين. وتُعد البنية القائمة على أدوات المصادقة المتعددة متطلبًا تخطيطيًا، وليست مجرد ترقية مستقبلية.
- هل إجراءات استعادة حسابك قوية بقدر طريقة المصادقة الأساسية التي تستخدمها؟
غالبًا ما تكون عمليات الاستعادة الحلقة الأضعف في البنى التي تتمتع بخلاف ذلك بمقاومة للتصيد الاحتيالي. وتُعد الهندسة الاجتماعية في مسار الاستعادة عبر مكتب الدعم الفني أحد نواقل الهجوم الموثقة جيدًا.
- هل تتوافق عقودكم مع الأطراف الثالثة في مجال تكنولوجيا المعلومات والاتصالات (ICT) المتعلقة بخدمات المصادقة مع متطلبات المادة 30 من قانون DORA — بما في ذلك ضمانات التوافر، والمواعيد الزمنية للإبلاغ عن الحوادث، وحقوق التدقيق؟
تُعتبر خدمات المصادقة من الخدمات الحيوية المقدمة من أطراف ثالثة في مجال تكنولوجيا المعلومات والاتصالات بموجب قانون DORA. وقد يتعين تعديل العقود المبرمة قبل يناير 2025 قبل المراجعة الإشرافية التالية.
- هل قمت بتقييم مدى تعرض نظام المصادقة الحالي لديك لمخاطر ما بعد الكم — وبالتحديد، ما هي خوارزميات التشفير المستخدمة حالياً، وأي منها سيتعين تحويلها؟
هذا عمل تخطيطي ينبغي أن يبدأ الآن، في الوقت الذي لا تزال فيه المهل الزمنية كافية للتصرف بشكل منهجي بدلاً من التصرف بشكل ردّي.
- هل تدعم منصة الهوية الخاصة بكم النشر الهجين أو النشر المحلي من أجل ضمان المرونة التشغيلية والامتثال لمتطلبات مقر البيانات؟
قد لا تفي المصادقة القائمة على السحابة وحدها، دون وجود نظام تحويل هجائي مختلط، بمتطلبات استمرارية التشغيل التي تنص عليها قانون DORA. وقد أصبح النشر المختلط يتزايد باعتباره أحد التوقعات التنظيمية.
- هل يمكن لمنصتكم إنشاء سجلات مراجعة الوصول وسجلات الحوادث وتقارير الامتثال المطلوبة لـ DORA وPSD3/PSR1 والتدقيقات التنظيمية الوطنية تلقائيًّا؟
إن إعداد تقارير الامتثال يدويًّا على نطاق واسع ليس أمراً مستداماً. وينبغي أن تكون الأتمتة معياراً صريحاً للاختيار عند تقييم منصات المصادقة.
RSA ID Plus وقد صُمم ليكون الجواب «نعم» على جميع الأسئلة الثمانية. اكتشف حلول المصادقة بدون كلمة مرور من RSA أو طلب استشارة مع فريق أمن الهوية التابع لشركة RSA.
لا يُعدّ النظام المصرفي بدون كلمات مرور مجرد قرار يتعلق بمنتج واحد — بل هو تحول هيكلي يمتد ليشمل طرق المصادقة، وإجراءات استعادة الحسابات، والوثائق التنظيمية، وعقود الأطراف الثالثة، والتخطيط التشفيري طويل الأمد. وتشكل مفاتيح المرور FIDO2 الأساس لذلك: مقاومة التصيد الاحتيالي، وتشفير قوي مرتبط بالمجال، والتوافق التنظيمي المباشر مع PSD3/PSR1 وDORA. ويتطلب النجاح في النشر تخطيطًا منسقًا عبر جميع هذه الأبعاد.
قامت شركة RSA بنشر نظام المصادقة بدون كلمة مرور «FIDO2» بين موظفيها في جميع أنحاء العالم، حيث قامت بتوثيق كل التحديات المتعلقة بالتكامل، والاعتماد على الأنظمة القديمة، والعقبات المتعلقة بإدارة التغيير التي واجهتها خلال هذه العملية. اكتشف إمكانيات RSA التي لا تعتمد على كلمات المرور, ، اقرأ دراسة حالة حول نشر حلول RSA داخل المؤسسات, أو طلب استشارة لتقييم مدى استعداد مؤسستك.
تعمل المصادقة بدون كلمة مرور في القطاع المصرفي على استبدال كلمات المرور والأسرار المشتركة ببيانات اعتماد تشفيرية تُصادق على هوية المستخدمين دون نقل أي بيانات حساسة. وتستخدم مفاتيح المرور FIDO2 تقنية التشفير القائمة على المفتاح العام والمفتاح الخاص: حيث لا يغادر المفتاح الخاص جهاز المستخدم أبدًا؛ ويقوم البنك بالتحقق من التوقيع التشفيري. وتكون بيانات الاعتماد مرتبطة بالمجال، مما يقضي على التصيد الاحتيالي وإعادة استخدام بيانات الاعتماد كوسائل للهجوم.
عندما يقوم المستخدم بتسجيل مفتاح مرور، يقوم الجهاز بإنشاء زوج من المفاتيح العامة والخاصة. ويتم تخزين المفتاح الخاص بشكل آمن على الجهاز ولا يتم تصديره أبدًا. أثناء عملية المصادقة، يرسل البنك استفزازًا؛ ويقوم الجهاز بتوقيعه باستخدام المفتاح الخاص؛ ثم يتحقق البنك من صحة التوقيع بمقارنته بالمفتاح العام المخزّن. وترتبط كل بيانات اعتماد بشكل مشفر بنطاق البنك، وبالتالي لا يمكن استخدامها على مواقع التصيد الاحتيالي.
يمكن لـ FIDO2 تلبية متطلبات «المصادقة القوية للعميل» وفقًا لـ PSD3/PSR1 عند تنفيذها بشكل صحيح. وتستوفي مفاتيح المرور المرتبطة بالأجهزة أو مفاتيح الأمان المادية عامل «الحيازة»؛ بينما تستوفي المعالم البيومترية أو رقم التعريف الشخصي (PIN) عاملي «الخصائص الفطرية» أو «المعرفة». يمكن دمج الربط الديناميكي لتفويض الدفع في تدفقات FIDO2. يجب على البنوك التأكد من أن تطبيقها المحدد يغطي كلاً من مصادقة الهوية وتوقيع المعاملات.
تتكرر مفاتيح المرور المتزامنة عبر الأجهزة من خلال أنظمة المنصات مثل «iCloud Keychain» أو «Google Password Manager»، مما يحسّن سهولة الاستخدام ويدعم الاستعادة الذاتية. أما مفاتيح المرور المرتبطة بالأجهزة فهي مقيدة بجهاز مصادقة واحد ولا يتم تصديرها أبدًا، مما يوفر مستوى أعلى من الضمان للوصول ذي الامتيازات، أو الخدمات المصرفية للشركات، أو المعاملات عالية القيمة.
تستخدم المصادقة ما بعد الكم خوارزميات تشفيرية مقاومة لهجمات الحواسيب الكمومية. ويعتمد نظام FIDO2 الحالي على تشفير المنحنيات الإهليلجية، وهو ما يمكن لحاسوب كمومي قوي بما يكفي أن يخترقه. ويعني التهديد المتمثل في ”التجميع الآن، وفك التشفير لاحقًا» أن المهاجمين ربما يكونون قد بدأوا بالفعل في أرشفة حركة مرور المصادقة المشفرة لفك تشفيرها في المستقبل. وقد انتهى المعهد الوطني للمعايير والتقنية (NIST) من وضع ثلاثة معايير للتشفير ما بعد الكم في أغسطس 2024. وينبغي على البنوك أن تدرج التخطيط للانتقال إلى التشفير ما بعد الكم (PQC) في خططها المستقبلية للمصادقة الآن.
تُلزم لائحة DORA المؤسسات المالية في الاتحاد الأوروبي بالحفاظ على استمرارية التشغيل لأنظمة تكنولوجيا المعلومات والاتصالات — بما في ذلك خدمات المصادقة — أثناء وقوع الحوادث السيبرانية. ويجب أن تستوفي منصات المصادقة متطلبات المادة 30 من لائحة DORA الخاصة بمقدمي خدمات تكنولوجيا المعلومات والاتصالات من الأطراف الثالثة، والتي تشمل ضمانات التوافر، والمواعيد الزمنية للإبلاغ عن الحوادث، وحقوق التدقيق. كما تُلزم لائحة DORA بوجود سجلات تدقيق شاملة وخطط استمرارية الأعمال التي خضعت للاختبار، والتي تغطي توافر نظام المصادقة.
يعزز كل من PSD3 وPSR1 متطلبات SCA الواردة في PSD2 من خلال تحديد توقعات واضحة بشأن المصادقة المقاومة للتصيد الاحتيالي، وزيادة مسؤولية البنوك في حالات الاحتيال التي تكون فيها طرق مقاومة التصيد الاحتيالي متاحة ولكن لم يتم تطبيقها، وفرض طرق مصادقة بديلة إلزامية. وتمتد الجداول الزمنية للانتقال إلى عامي 2027 و2028.
يمكن أن تستوفي المصادقة القائمة على السحابة متطلبات لائحة DORA إذا كانت المنصة والعقود متوافقة مع المادة 30. وقد تواجه المؤسسات التي تعتمد حصريًّا على المصادقة السحابية دون وجود نظام تحويل هجين صعوبة في إثبات استمرارية التشغيل التي تتطلبها لائحة DORA. يدعم RSA ID Plus المصادقة السحابية والهجينة والمحلية من منصة واحدة، حيث يضمن نظام التحويل التلقائي الهجين استمرار توفر خدمات المصادقة في حالة انقطاع الاتصال بالسحابة.