تميزت ساحة التهديدات السيبرانية لعام 2025 ببعض الأحداث السيبرانية الكبرى التي سيطرت على العناوين. تأثرت هذه الأحداث بعاصفة مثالية من تطور برامج الفدية، ضعف السلسلة التوريدية، ومخاطر تركز البنية التحتية. قامت شركة Tokio Marine HCC International (TMHCCI) بإعداد قائمة بأهم 10 أحداث سيبرانية مدمرة لعام 2025. لا تزال بعض هذه الهجمات تؤثر على الشركات حول العالم ولا تزال أبعادها الكاملة قيد التبلور.   

أهم 10 حوادث سيبرانية لعام 2025

حادثة برامج الفدية لشركة Marks and Spencer (المملكة المتحدة)

التأثير: 300 مليون جنيه إسترليني في خسائر الأرباح التشغيلية

النقاط الضعيفة: برامج الفدية

ماذا حدث: تعرض أحد أكبر وأشهر تجار التجزئة في المملكة المتحدة لهجوم مدمر ببرامج الفدية التي شلت العمليات وأثارت تأثير الدومينو في قطاع التجزئة. لم يحدث الهجوم في عزلة. كما أثر على تجار تجزئة رئيسيين آخرين في المملكة المتحدة مثل Co-op وHarrods الذين تعرضوا حوادث سيبرانية موازية. يشير هذا إلى حملة منسقة أو هجمات مقلدة تستهدف ثغرات مماثلة في النظام البيئي للتجزئة.

المخاوف الرئيسية: يبرز الأثر الشامل على القطاع ضعف البنية التحتية للبيع بالتجزئة، خاصة خلال فترات التسوق الذروة عندما تكون المخاطر المالية في أعلى مستوياتها. الأهم من ذلك، أنه يُظهر كيف يمكن شل شركة كبيرة في هجوم منسق منفرد. هذا له تداعيات تتجاوز بكثير نطاق تقنية المعلومات والمملكة المتحدة أو القطاع التجزئة.

هجوم الفدية على شركة جاكوار لاند روفر (المملكة المتحدة)

الأثر: 1.9 مليار جنيه إسترليني في الخسائر المالية

النقاط الضعيفة للهجوم: برامج الفدية التي أدت إلى توقف الإنتاج

ماذا حدث: تم تصنيف هذا الهجوم كأكثر الحوادث السيبرانية ضررًا اقتصاديًا على الإطلاق في المملكة المتحدة. أجبر الفدية على إيقاف الإنتاج الكامل لخطوط تصنيع السيارات، مما أوقف فعليًا واحدًا من أبرز مصنعي السيارات البريطانيين. يُبرز الأثر المالي المذهل ليس مجرد الاضطراب التشغيلي الفوري، بل وأيضا التأثيرات المتتالية على سلسلة التوريد، والمبيعات المفقودة، وتعويض العملاء، والأضرار السمعة.

الأمر الرئيسي: رقمنة صناعة السيارات المتزايدة وأنظمة التصنيع المترابطة تخلق مجموعة ضخمة من نقاط الفشل الفردية. عندما يتوقف الإنتاج، يكون النزف المالي شبه فوري وشديد، ويتماز الاضطراب للأمام وللخلف عبر سلاسل التوريد المتكاملة بشكل وثيق.

انقطاعات Amazon Web Services, Azure, وCloudflare (عالمي)

الأثر: تعطيل الخدمات على مستوى العالم

النقاط الضعيفة للهجوم: فشل/هجمات البنية التحتية السحابية

ماذا حدث: سلسلة من الانقطاعات الكبرى عبر مزودي الخدمات السحابية الرائدين في العالم أبرزت هشاشة البنية التحتية الرقمية الحديثة. أثرت هذه الإخفاقات المتتالية على عدد لا يحصى من منظمات SaaS والمنصات التي تواجه العملاء في جميع أنحاء العالم، مما يعكس كيف أن تركز الخدمات السحابية خلق خطرًا منهجيًا على مستوى غير مسبوق.

المخاوف الرئيسية: لم يعد الأمر يتعلق بمرونة الشركة الفردية بعد الآن. بل يتعلق بالضعف الهيكلي للإنترنت كمنصة في حد ذاته. وعندما تتوقف AWS أو Azure أو Cloudflare، تتوقف أجزاء كبيرة من الاقتصاد الرقمي العالمي عن العمل، مما يؤثر على الاقتصادات وسبل العيش والإنتاجية العالمية.

اختراق البيانات على نطاق واسع عبر Salesforce/Drift OAuth (عالمي)

الأثر: انكشاف ملايين من سجلات العملاء

النقاط الضعيفة للهجوم: رموز OAuth المخترقة

ماذا حدث: استغل المهاجمون رموز مصادقة OAuth المخترقة للولوج إلى بيئات مئات عملاء Salesforce. كشف الاختراق سجلات العملاء الحساسة، وبيانات الاتصال، ومعلومات الحساب التي تؤثر على ملايين الأفراد عبر منظمات متعددة في نفس الوقت.

المخاوف الرئيسية: اختراق رموز OAuth يمثل اتجاه هجومي متطور الذي يتجاوز التدابير الأمنية التقليدية. عندما تُستخدم آليات المصادقة نفسها كسلاح، ينهار الأساس الهيكلي لتطبيقات السحاب الحديثة.

هجوم سلسلة التوريد على منظومة npm (عالمي)

الأثر: خطر واسع الانتشار لسرقة الاعتمادات عبر بيئات التطوير

النقاط الضعيفة للهجوم: اختراق سلسلة التوريد لحزم جافا سكريبت

ماذا حدث: قامالمهاجمون باختراق حزم جافا سكريبت المستخدمة على نطاق واسع في مستودع npm، واحدة من أكبر سجلات البرامج في العالم. كشف هذا بيئات لا حصر لها للمطورين والمنظمات لخطر سرقة الاعتمادات وحقن الكود الضار والوصول الخلفي المحتمل.

المخاوف الرئيسية: تعتبر هجمات سلسلة التوريد التي تستهدف أدوات المطورين والحزم خطيرة بشكل خاص لأنها تنشر كودًا ضارًا إلى آلاف التطبيقات المنبعية تلقائيًا. يجعل حجم وانتشار منظومة npm منها هدفًا جذابًا بإمكانية تأثير متناظرة.

اختراق سلسلة التوريد المزعومة لمنصة Oracle Cloud (عالمي)

الأثر: تضرر أكثر من 140,000 مستأجر، ما يقارب 6 ملايين سجل تم استخراجها

النقاط الضعيفة للهجوم: اختراق أمن المعلومات عبر استغلال نقاط الولوج

ماذا حدث: وفق التقارير، اقتحم المهاجمون منصة السحاب الخاصة بشركة Oracle من خلال ثغرة في نقطة الوصول، وحصلوا على وصول إلى بيئات المستأجرين واستخرجوا كميات هائلة من البيانات الحساسة. يُظهر المقياس الذي أثَر على أكثر من 140,000 مستأجر كيف أن اختراقات مزودي الخدمات السحابية يُمكن أن يكون لها آثار ضربات متعددة عبر قاعدة عملائهم بأكملها.

المخاوف الرئيسية: يُعتبر مزودي خدمات السحاب أهداف عالية القيمة لأنهم يمثلون مضاعفات القوة. اختراق منصة سحابية واحدة يوفر وصولاً إلى آلاف المنظمات في وقتٍ واحد.

مجموعة APT استخدمت Claude AI في هجمات سيبرانية منسقة بالذكاء الاصطناعي (عالمي)

الأثر: استهداف حوالي 30 منظمة عالمية

النقاط الضعيفة للهجوم: أول هجوم سيبراني منسق بالذكاء الاصطناعي واسع النطاق

ماذا حدث: استخدمت مجموعة تهديدات متقدمة مسؤولة عن دولة الذكاء الاصطناعي Claude AI لتنفيذ حملة هجومية سيبرانية مُدارة بشكل أوتوماتيكي كبير، حيث كانت 80-90% من أنشطة الهجوم معتمدة على الذكاء الاصطناعي. يمثّل ذلك نقطة تحول حقيقية في الحرب السيبرانية وتسليح الذكاء الاصطناعي للعمليات الهجومية المستقلة على نطاق واسع.

المخاوف الرئيسية: يمثل هذا الحادث نقطة انعطاف مرعبة: لم يعد الذكاء الاصطناعي مجرد أداة دفاعية أو تهديد نظري. إنه يتم تسليحه فعليًا من قبل خصوم متطورين. إن الأتمتة وإمكانية التوسع في الهجمات المدفوعة بواسطة الذكاء الاصطناعي يمكن أن تطغى على الآليات الدفاعية التقليدية.

اختراق بيانات SK Telecom (كوريا الجنوبية)

الأثر: انكشاف بيانات 27 مليون مستخدم

النقاط الضعيفة للهجوم: وصول غير مصرّح به طويل الأمد (غير مكتشف منذ يونيو 2022)

ماذا حدث: اكتشفت شركة الاتصالات الكورية الجنوبية الكبرى، SK Telecom، خرقًا أدى إلى كشف البيانات الشخصية لما يقرب من 27 مليون مستخدم - وهو رقم مهول يمثل جزءًا كبيرًا من سكان كوريا الجنوبية. خلق الاختراق مخاطر واسعة النطاق على مستوى نسخ شريحة SIM وسرقة الهوية. لما يُثير القلق، حافظ المهاجمون على الوصول غير المكتشف لفترة تقرب من عامين (منذ يونيو 2022)، مما يُظهر تقنيات الصمود المتطورة ومراقبة أمنية غير كافية.

المخاوف الرئيسية: وقت البقاء لمدى عامين هو كارثي. سمح هذا الوصول غير المصرح به المطول للمهاجمين باستخلاص البيانات مرارًا وتكرارًا، وفهم بنية الشبكة بدقة، وإنشاء منافذ خلفية متعددة. في الاتصالات، حيث تشمل بيانات المشترك معلومات الموقع وبيانات الاتصالات والأوراق الثبوتية، تبعات الأمن الوطني شديدة للغاية.

الهجوم السيبراني على مجموعة Kering (عالمي)

الأثر: انكشاف ملايين السجلات الخاصة بالعملاء عبر العلامات التجارية الفاخرة

النقاط الضعيفة للهجوم: وصول غير مصرّح به إلى أنظمة داخلية

الهدف من الهجوم: مجموعة الموضة الفاخرة (Gucci, Balenciaga, Alexander McQueen)

ماذا حدث: حصل طرف ثالث غير مصرح له موقتًا على وصول إلى الأنظمة الداخلية لمجموعة Kering، مما أثر على معلومات شخصية لملايين العملاء عبر محفظتهم من العلامات التجارية الفاخرة المشهورة. التأثير شمل بعض من أشهر دور الأزياء في العالم.

المخاوف الرئيسية: تحمل العلامات الفاخرة بيانات حساسة للعملاء، بما في ذلك أنماط شراء الأفراد ذوي القيمة العالية، والتفضيلات الشخصية، ومعلومات الدفع. يجعل هذا منها أهداف جذابة للاحتيال المالي ولعمليات التجسس التي تستهدف العملاء الأثرياء.

الهجوم السيبراني على مجموعة Asahi Group Holdings (اليابان)

الأثر: تعطيل واسع العمليات الريادية، وقف الأنظمة، توقف الطلبات والشحنات

النقاط الضعيفة للهجوم: هجوم سيبراني يجبر على تعليق النظام

ماذا حدث: تعرضت شركة Asahi Group Holdings اليابانية العملاقة للمشروبات لهجوم سيبراني أجبر الشركة على تعليق الأنظمة التشغيلية الرئيسية في جميع أنحاء اليابان. تسبب الهجوم في تعطيل واسع للعمليات الرائدة في معالجة الطلبات وشبكات التوزيع، مما شل سلسلة التوريد الخاصة بهم وشبكات التوزيع تمامًا.

المخاوف الرئيسية: تُعد الهجمات التي تستهدف التكنولوجيا التشغيلية (OT) والأنظمة الحيوية للأعمال في التصنيع والتوزيع شائعة بشكل متزايد. الطبيعة الوقت الصحيح لسلاسل التوريد الحديثة تعني أن حتى الاضطرابات القصيرة تنتشر بسرعة عبر السلسلة القيمة بالكامل، من الإنتاج إلى التجزئة.

أنماط واتجاهات: ماذا يكشف البيانات

برامج الفدية تبقى مرتبطة بشكل رئيسي بالتعطيل

شملت ثلاثة من أهم 10 حوادث (Marks & Spencer، Jaguar Land Rover، ومن المرجح أن تكون Asahi Group Holdings) هجمات برامج الفدية. تتراوح الأثار المالية من مئات الملايين إلى ما يقرب من 2 مليار جنيه إسترليني لحادثة وحيدة. تطورت برامج الفدية من هجمات انتهازية على الشركات الصغيرة إلى عمليات استراتيجية تستهدف البنية التحتية الحرجة والشركات الكبرى.

الاتجاه: أصبحت مجموعات برامج الفدية أكثر انتقائية، مستهدفة المنظمات حيث يكون التعطيل التشغيلي له تداعيات مالية كارثية - صناعة السيارات، التجزئة خلال المواسم الذروة، وعمليات السلسلة التوريدية.

هجمات سلسلة التوريد تشكل مضاعفات القوة أساسًا

تظهر أربعة حوادث (منظومة npm، السحاب الخاص بـ Oracle، اختراق OAuth الخاص بـ Salesforce/Drift، والانقطاعات الخاصة بـ AWS/Azure/Cloudflare) كيف يؤدي تقويض البنية التحتية المشتركة أو الخدمات المستخدمة على نطاق واسع إلى تأثير مضاعف. استهدف منصة واحدة؛ أضرب آلاف المنظمات.

الاتجاه: يتجه الخصوم بشكل متزايد إلى استهداف سلسلة المدخلات البرمجية وبنية التحقق والمزودين السحابيين لأن هذه الهجمات تتوسع بسهولة. قد يؤثر هجوم npm وحده على ملايين التطبيقات في جميع أنحاء العالم.

تجمع السحب يخلق مخاطر نظامية

تكشف انقطاعات AWS/Azure/Cloudflare وخرق سحابة Oracle عن ضعف أساسي في البنية التحتية الرقمية الحديثة: التركيز المفرط في عدد قليل من المزودين السحابيين يخلق نقاط فشل فردية بعواقب عالمية.

الاتجاه: مع تبني المنظمات لاستراتيجيات تعتمد على السحاب أولاً، تصبح المرونة السيبرانية للاقتصاد العالمي بأكمله معتمدة على أمان ما يقرب من خمسة مزودين سحابيين رئيسيين. هذا الخطر من التركيز غير مسبوق.

نقطة انعطاف تسليح الذكاء الاصطناعي

يمثل الهجوم المنسق بواسطة Claude AI حدثًا تاريخيًا. لأول مرة، لدينا أدلة موثقة على أن الذكاء الاصطناعي يتم تسليحه لتنفيذ هجمات سيبرانية مؤتمتة وكبيرة النطاق من قبل جهات ترعاها الدولة.

الاتجاه: سوف تتسارع الهجمات المدفوعة بالذكاء الاصطناعي بشكل كبير. يشير معدل الأتمتة بنسبة 80-90٪ في هذه الحملة إلى أن المهاجمين يمكنهم الآن العمل بمقاييس كانت مستحيلة سابقًا. قد تكون الآليات الدفاعية المصممة لمواجهات الهجمات المدفوعة بسرعة البشر غير كافية ضد العمليات المؤتمتة بواسطة الذكاء الاصطناعي.

أوقات بقاء مطولة تشير إلى تحديات اكتشاف

ظل اختراق SK Telecom غير مكتشف لمدة عامين تقريبًا. هذا ليس شذوذًا. بل أصبح القاعدة. يفضل المهاجمون المتطورون التحرك بسرية على السرعة، والحفاظ على الوصول المستمر لزيادة استخراج البيانات وفهم بيئات الهدف بعمق.

الاتجاه: العديد من المنظمات تقاتل معارك الأمس. تبقى قدرات الاكتشاف غير كافية بشكل مؤلم ضد الخصوم الصبوريين والمعقدين الذين يستخدمون تقنيات المكوث والاستفادة من المصداقية الشرعية.

تزايد الضعف في آسيا

جعلت حادثتا آسيا (SK Telecom وAsahi Group Holdings) من بين العشرة الأوائل في العالم، مشيرة إلى أن آسيا لم تعد الهدف الثانوي بالنسبة للتهديدات. مع الترقيم السريع، القواعد الجماهيرية الضخمة، وغالبًا نضوج الأمن السيبراني المحدود، تمثل المنظمات الآسيوية أهدافًا ذات قيمة عالية ومقاومة منخفضة.

الاتجاه: حيث تقوم المنظمات الغربية بتعزيز دفاعاتها، يتحول المهاجمون إلى أهداف آسيا-الباسيفيك حيث تجاوز التحول الرقمي قدرات الأمان. تُظهر حادثة SK Telecom البارزة التي تأثرت بها 27 مليون مستخدم نطاق التأثير المحتمل.

التكنولوجيا التشغيلية (OT) وأنظمة الأعمال هي الأهداف الرئيسية

استهدفت هجومات Jaguar Land Rover وAsahi Group بشكل محدد الأنظمة التشغيلية (خطوط التصنيع وشبكات التوزيع) بدلاً من سرقة البيانات فقط. وعندما تتوقف العمليات، يكون الأثر المالي فوريًا وشديدًا.

الاتجاه: يدرك المهاجمون أن في العديد من الصناعات، التعطيل التشغيلي أكثر تدميرًا من السرقة البيانية. توقع استمرار التركيز على بيئات التكنولوجيا التشغيلية، وأنظمة التحكم الصناعي، وتطبيقات الأعمال الحيوية.

OAuth وبنية التحقق كموجهات هجوم

استغل الاختراق الخاص بـ Salesforce/Drift رموز OAuth، مما يظهر كيف أن آليات التحقق الذاتي أصبحت أهداف شديدة القيمة. اختراق التحقق؛ تجاوز كل التدابير الحماية الأخرى.

الاتجاه: في الوقت الذي يتزايد فيه تبني بنى الثقة الصفرية، يتكيف المهاجمون من خلال استهداف البنية التحتية لإدارة الهوية والوصول مباشرة. الرموز والمصداقيات الشرعية أكثر قيمة من البرامج الضارة لأنها تتيح وصولاً مرئيًا وغير مرئي.

التحديات الأمنية المكشوفة

إخفاقات المراقبة والبحث الكارثية

وقت بقاء اختراق SK Telecom لمدة عامين غير مقبول لمنظمة بهذا النطاق والأهمية. يكشف ذلك:

• نقص في إدارة معلومات الأمن والأحداث (SIEM): يجب أن تتعرج المراقبة الأساسية للنماذج التخريبية وتنبيهات الوصول غير المصرح في أيام، وليس في سنوات.

• ندرة تحليلات السلوك: كان من الممكن لأنظمة تحليلات المستخدم والكيان السلوكية (UEBA)، إذا نُفذت بشكل صحيح، أن تكشف عن أنماط الوصول غير الطبيعية.

• نقص البحث عن التهديدات: كانت برامج البحث الاستباقية عن التهديدات قد اكتشفت مؤشرات الاختراق (IOCs) خلال التحريات الدورية.

• نقص الآليات للكشف عن التهديد الداخلي

المشكلة الأساسية: تغرق المنظمات في تنبيهات الأمن لكنها تُجوع للحصول على معلومات دقيقة. الإرهاق من التنبيهات ومراكز العمليات الأمنية التي تعاني نقصًا في الكادر تعني فقدان الإشارات الحرجة في الضوضاء.

الثقة الافتراضية في سلسلة التوريد

يكشف إختراق منظومة npm و اختراق سحابة Oracle عن افتراض خطير: أن المنصات والحزم المستخدمة بشكل واسع موثوقة تلقائيًا.

• لا يوجد تحقق: تسحب المنظمات تلقائيًا حزم npm وتثق في أمان مزودي السحاب دون تحقق مستقل.

• استغلال الثقة المتعدية: يفهم المهاجمون أن اختراق مكون موثوق يوفر وصولاً تلقائيًا للمكونات المنبعية.

• رؤية أمنية محدودة لدى البائعين: لدى المنظمات حد أدنى من النظر في ممانعات الأمن وممارسات بائعيهم.

المسألة الأساسية: تعمل سلسلة التوريد البرمجية على الثقة الضمنية على نطاق واسع. لا توجد طريقة عملية للمنظمات لتدقيق كل تبعية، مما يخلق نقاط عمياء يمكن استغلالها.

نقاط الفشل الفردية في الهندسة السحابية

تظِهر انقطاعات AWS/Azure/Cloudflare إخفاقات هيكلية أساسية:

• الاعتماد المفرط على مزودين منفردين: استراتيجيات السحاب المتعددة توجد أكثر في عروض PowerPoint التقديمية من البيئات الإنتاجية.

• لا توجد ازدواجية ذات معنى: الازدواجية الحقيقية الجغرافية والمزودين مكلفة ومعقدة، لذلك تخاطرتها المنظمات.

• آليات الفشل المتسلسلة: اعتماد الخدمات السحابية على بعضها البعض يخلق تأثيرات دومينو حيث يطلق فشل واحد فشل آخر.

القضية الأساسية: ركزت الهجرة السحابية على السرعة والتكلفة على فائدتها. المزايا الاقتصادية لتركيز السحاب (وفورات الحجم، الإدارة المبسطة) تخلق خطر نظامي لا يمكن لأي منظمة واحدة تخفيفه وحدها.

عدم كفاية مرونة برامج الفدية

على الرغم من سنوات من تطور برامج الفدية، تُظهر حوادث Marks & Spencer و Jaguar Land Rover إخفاقات مستمرة:

• استراتيجيات النسخ الاحتياطي غير الكافية: النسخ الاحتياطية إما غير موجودة، أو قابلة للوصول من قبل المهاجمين، أو لم تُختبر لاستعادة سريعة.

• نقص في تقسيم الشبكة: تنتشر برامج الفدية جانبيًا عبر الشبكات المسطحة، مشفرة كل شيء في نفس الوقت.

• عدم وجود تخطيط للمرونة التشغيلية: لا توجد لدى المنظمات خطط قابلة للتطبيق للحفاظ على العمليات الحيوية أثناء فترة انقطاع تقنية المعلومات الموسعة.

المسألة الأساسية: ركز الدفاع ضد برامج الفدية على الوقاية (التي تفشل) بدلاً من المرونة (القدرة على مواصلة العمليات رغم الاختراق). عندما تفشل الوقاية، تصاب المنظمات بالشلل.

ضعف إدارة الوصول والمصادقة

يكشف اختراق OAuth الخاص بـ Salesforce/Drift واستغلال نقطة الولوج Oracle عن إخفاقات دائمة في إدارة الهوية والوصول (IAM):

• ضعف تنفيذ التحقق الذاتي متعدد العوامل (MFA): يمكن غالبًا لرموز OAuth تجاوز MFA بعد المصادقة الأولية.

• استمرار الصلاحية المفرطة: تحتفظ المصداقيات المخترقة بالوصول لفترة أطول مما هو ضروري.

• فشل إدارة الرموز: تفتقر رموز OAuth إلى المراقبة الكافية، والدوران، وآليات الإبطال.

المسألة الأساسية: أصبحت المصادقة هي المحيط الجديد، لكن المنظمات تطبق التفكير القديم المتعلق بالمحيط على الهوية. تخلق المصداقيات الثابتة، طويلة الأمد، رموز الوصول هجمات مستمرة.

ثغرات التوافق بين OT/IT

يكشف توقف التصنيع لدى Jaguar Land Rover والاضطرابات التشغيلية لدى Asahi عن نقاط ضعف في التكنولوجيا التشغيلية:

• أنظمة OT القديمة: صُممت Systems التحكم الصناعي للموثوقية والسلامة، وليس الأمان، وغالبًا لا يمكن تصحيحها بسهولة.

• الجسر بين شبكات IT/OT: يُنشئ الاتصال بين شبكة تقنية المعلومات وشبكات التكنولوجيا التشغيلية مسارات هجوم لكنها تتلقى اهتمامًا أمنيًا غير كافٍ.

• قلة معرفة الأمن في OT: تمتلك المنظمات فرق أمن تقنية المعلومات ولكن القليل منهم مع معرفة متخصصة بأمن OT.

المسألة الأساسية: يربط التحول الرقمي كل شيء بكل شيء، لكن الفرق الأمنية تفتقر إلى الأدوات والرؤية والخبرة لحماية البيئات المتقاربة لـ IT/OT.

إدارة المخاطر من الأطراف الثالثة غير كافية

تكشف اختراق مجموعة Kering وحادثة سحابة Oracle عن إخفاقات في إدارة مخاطر الأطراف الثالثة:

• تقييم أمان الموردين المحدود: تُجري المنظمات تقييمات متقطعة ولكنها تفتقر إلى مراقبة أمنية مستمرة للموردين.

• مسرح الأمان التعاقدي: تتضمن عقود الموردين متطلبات أمان، لكن الإنفاذ والتحقق محدودان.

• تحدي المسؤولية المشتركة: في البيئات السحابية، يبقى تقسيم المسؤوليات الأمنية بين المزود والعميل غامضًا ويسيء إدارته.

القضية الأساسية: تستعين المؤسسات بعمليات التشغيل ولكنها لا تستطيع تصدير المحاسبة. ومع ذلك، تفتقر إلى الآليات للتحقق فعليًا وإنفاذ معايير الأمان للأطراف الثالثة.

الفجوة الأمنية للذكاء الاصطناعي

يكشف الهجوم المنسق بواسطة Claude AI أننا ندخل في سباق التسلح للذكاء الاصطناعي بشكل غير مهيأ له:

• عدم نضج الدفاع المدفوع بالذكاء الاصطناعي: تتمثل أدوات الأمن المدفوعة بـ AI/ML موجودة ولكنها ليست ناضجة بما يكفي لمواجهة الهجمات المستندة إلى الذكاء الاصطناعي.

• عدم التكافؤ في السرعة: لا يمكن للعمليات الأمنية المدفوعة بشريًا مواكبة سرعة ونطاق الهجمات المؤتمتة بالذكاء الاصطناعي.

• نقص القدرات للكشف عن هجوم الذكاء الاصطناعي: لا تُصمم الأدوات الأمنية الحالية لتحديد واعتبار نماذج الهجوم المُدارة بالذكاء الاصطناعي.

المسألة الأساسية: لا يزال الدفاع السيبراني مدفوعًا بشكل أساسي بالبشر، بينما تصبح العمليات الهجومية مدعومة بواسطة الذكاء الاصطناعي. يخلق ذلك عدم تكافؤ يصب في مصلحة المهاجمين.

الدروس والتوصيات

للمنظمات

افترض الاختراق، ابني مرونة استثمر في استجابة الحوادث المحسوبة

• تحول العقليات: يعد الأمن الذي يركز على الوقاية ضروريًا لكنه غير كافٍ. افترض أن المهاجمين سيخترقون الدفاعات وابني المرونة وفقًا لذلك.

• خطوات فورية:

  • نفذ نسخ احتياطي شامل واستعادة الكوارث مع نسخ احتياطية غير متصلة بالإنترنت وغير قابلة للتحويل

  • قم بتحضير محاكاة للتحليل الدوري لحوادث برامج الفدية وخرق سلسلة التوريد

  • طور واختبر خطط استمرارية العمل الموجهة إلى افتراض تعطل نظام تقنية المعلومات المطول

  • أنشئ بروتوكولات اتصال للأزمات للأحداث السيبرانية

بحث عن التهديدات بجدية واستثمار في الاكتشاف

• عالج وقت البقاء: وقت البقاء لعامين في اختراق SK Telecom غير مقبول. يجب على المنظمات الاستثمار بشكل كبير في الاكتشاف.

• خطوات فورية:

  • نشر تحليلات سلوكية (UEBA) لتحديد أنماط الوصول غير الطبيعية

  • أنشئ مراكز عمليات الأمن (SOCs) على مدار الساعة مع قدرات البحث عن التهديدات

  • نفذ تقنيات التمويه (honeytokens، honey nets) لاكتشاف الحركة الجانبية

  • قم بتكامل التهديدات الاستخباراتية تلقائيًا في منصات SIEM

  • قم بإجراء تدريبات الفريق الأرجواني الربع سنوية (فريق الأحمر يهاجم، فريق الأزرق يدافع، مع تعاون)

3. تنفيذ بنية الثقة الصفرية

• تجاوز الدفاع عن المحيط: تُظهر الاختراقات الخاصة بالمصادقة أن المحيطات الشبكية ليست ذات معنى.

• خطوات فورية:

  • نفذ التجزئة الدقيقة للحد من الحركة الجانبية

  • تطلب المصادقة والتفويض المستمر لكل طلبات الوصول

  • تطبيق مبدأ الامتياز الأقل بشكل صارم عبر جميع الأنظمة

  • نشر حلول إدارة الوصول المميز (PAM)

  • نفذ توفير وصول مؤقت مع الإلغاء الآلي

4. إعادة هيكلة أمان سلسلة التوريد

• لا تثق بشيء: افترض أن جميع المكونات الطرف ثالث غير موثوقة.

• خطوات فورية:

  • نفذ فاتورة مواد البرمجيات (SBOM) لجميع التطبيقات

  • استخدم أدوات تحليل تكوين البرمجيات (SCA) لتحديد الاعتماديات الضعيفة

  • أنشئ برامج تقييم الأمان للبائعين مع مراقبة مستمرة

  • أوجد بيئات معزولة لاختبار المكونات الطرف ثالث قبل نشرها في البيئة الإنتاجية

  • طور خطط تنسيق استجابة البائعين للحوادث

استراتيجية مرونة السحاب

• قلل من مخاطر التركيز: ليست السحابة المتعددة متعلقة فقط بزيادة القدرة التفاوضية؛ إنه يتعلق بالنجاة.

• خطوات فورية:

  • هندس التطبيقات الحيوية للنشر عبر السحابة المتعددة

  • نفذ الاستنساخ الجغرافي عبر مزودين مختلفين للسحاب

  • طور استراتيجيات نشر عدم اعتماد على السحاب باستخدام الحاويات والتنظيم

  • أنشئ آليات تجاوز تلقائية بين مزودي الخدمات السحابية

  • اختبر بانتظام إجراءات استعادة الكوارث عبر السحابات

تحديث أمان التكنولوجيا التشغيلية (OT)

• حماية التكنولوجيا التشغيلية: تسبب اضطرابات التصنيع والتوزيع آثار مالية كارثية.

• خطوات فورية:

  • قم بجرد شامل للأصول التقنية التشغيلية

  • نفذ تقسيم الشبكة بين بيئات تقنية المعلومات وتقنية التشغيل مع ضوابط وصول صارمة

  • زيادة الحساسية لأمن التكنولوجيا التشغيلية عبر المنظمة

  • نشر أدوات مراقبة أمان متخصصة في التقنية التشغيلية

  • طور دوريات استجابة الحوادث لتكنولوجيا التشغيل

  • درب الفرق الأمنية على تهديدات التكنولوجيا التشغيلية والتقنيات الخاصة بها

التحضير للمدافعة عن الذكاء الاصطناعي

• افترض تهديداً مدفوعًا بالذكاء الاصطناعي: يعد هجوم Claude AI بمثابة مؤشر على ما هو قادم.

• خطوات فورية:

  • استثمر في منصات تحليلات الأمان المدفوعة بالذكاء الاصطناعي

  • طور قدرات استجابة تلقائية لمطابقة أتمتة الهجوم

  • أنشئ أطر حوكمة لأخلاقيات وأمان الذكاء الاصطناعي

  • قم بتدريب الفرق الأمنية على تقنيات الهجوم المدفوع بواسطة الذكاء الاصطناعي/التعلم الآلي

  • اشارك في المبادرات التبادل المعلوماتية التي تركز على التهديدات المدفوعة بواسطة الذكاء الاصطناعي

للصناعة

أهمية تبادل المعلومات

يجب أن تنتهي أيام اعتبار الاختراقات على أنها أسرار تنافسية. يعتبر تبادل المعلومات الاستخباراتية عن التهديدات عبر الصناعة ضرورة:

• توسيع المشاركة في مراكز مشاركة وتحليل المعلومات (ISACs)

• تطوير اتحادات التهديدات الاستخباراتية القطعية

• إنشاء أطر قانونية محمية لمشاركة معلومات الاختراق

• إنشاء آليات تنبيه سريعة للاستغلالات الجديدة والحملات النشطة

مسؤولية مزودي السحاب

تُظهر حوادث Oracle و AWS/Azure/Cloudflare أن مزودي السحاب يجب أن يتم محاسبتهم بمعايير أعلى:

• المطالبة بالإبلاغ الأمني الشفاف من مزودي السحاب

• إنشاء متطلبات أساسيات أمان السحاب على مستوى الصناعة

• أنشئ برامج تدقيق وتصديق الطرف الثالث لمزودي السحاب

• طور حقوق العملاء للحصول على الرؤية الأمنية والتحكم في البيئات السحابية

معايير أمان سلسلة التوريد

تُظهر هجوم منظومة npm أننا بحاجة إلى تغييرات جوهرية في كيفية تشغيل سلاسل التوريد البرمجية المختلفة:

• تنفيذ متطلبات فاتورة مواد البرمجيات (SBOM) لكل البرمجيات

• تطوير توقيع تشفير وتحقق لكافة مستودعات الكود

• إنشاء جداول زمنية للإفصاح عن الثغرات الأمنية وتصحيحها للمشاريع المفتوحة

• إنشاء هياكل تحفيزية لمراجعات الأمان للحزم المستخدمة على نطاق واسع

أطر حوكمة الذكاء الاصطناعي

يتطلب الهجوم المنسق بالذكاء الاصطناعي انتباه فوري لحوكمة أمان الذكاء الاصطناعي:

• تطوير أطر دولية لتنمية وتطبيق ذكاء اصطناعي مسؤول

• إنشاء برامج اختبار وتصديق الأمان للذكاء الاصطناعي

• إنشاء آليات لنسب الهجمات المدفوعة بواسطة الذكاء الاصطناعي

• بناء مبادرات بحثية دفاعية تعاونية للذكاء الاصطناعي

لصناع القرار والمنظمين

التفويضات السيبرانية للبنية التحتية الحيوية

تُظهر الحوادث التي تؤثر على الاتصالات (SK Telecom)، البنية التحتية السحابية، والتصنيع الحاجة إلى التنظيم:

• فرض الحد الأدنى من معايير الأمن السيبراني لمشغلي البنية التحتية الحيوية

• تتطلب عمليات تدقيق أمان مستقلة ورفع تقارير علنية

• إنشاء متطلبات زمن تفاعل عند الحوادث

• إنشاء جزاءات مالية للممارسات الأمنية المتهاونة

متطلبات الإفصاح عن الاختراقات

تشير مدة بقاء اختراق SK Telecom لمدة عامين إلى أن الاكتشاف البطيء يجب أن يترتب عنه آثار:

• فرض الإفصاح السريع عن الاختراق للأفراد المتأثرين والمنظمين

• يتطلب التقارير العامة عن أوقات البقاء وآليات الاكتشاف

• إنشاء جداول زمنية للإبلاغ (مثلاً، 72 ساعة من الاكتشاف)

• إنشاء أطر مسؤولية عن التأخير في الإفصاح

تنظيم السحاب والمنصات

يتطلب الخطر النظامي من تركيز السحاب الانتباه التنظيمي:

• تطوير أطر إشرافية لمزودي السحاب المهمين نظاميًا

• فرض متطلبات الاستمرارية والتكرار

• الحاجة إلى تقارير شفافة لحوادث الأمن

• إنشاء معايير حماية بيانات العملاء والوصول إليها

التعاون الدولي

تتطلب الهجمات المدعومة من الدولة مثل الحملة المنسقة بواسطة الذكاء الاصطناعي استجابات منسقة:

• تعزيز الأعراف الإلكترونية الدولية وآليات الإسناد

• تطوير أطر تعاونية للتصدي لمجموعات APT

• إنشاء اتفاقيات لتبادل المعلومات بين الحكومات

• إنشاء عواقب للعمليات السيبرانية المدعومة من الدولة

لقد رسمت ساحة حادثة السيبرانية لعام 2025 صورة مؤلمة. الهجمات أصبحت أكثر تعقيدًا، أكثر ضررًا، وأكثر منهجية من أي وقت مضى. إن إدراج حادثتين من آسيا بين العشرة الأوائل عالميا يظهر أن لا منطقة آمنة، ويمثل تسليح الذكاء الاصطناعي تحولًا جوهريًا في المنظومة التهديدية.

تُظهر التأثيرات المالية التي تتراوح بين 300 مليون جنيه إسترليني في Marks وSpencer إلى 1.9 مليار جنيه إسترليني في جاكوار لاند روفر بوضوح أن الأمان السيبراني لم يعد مجرد اهتمام بتقنية المعلومات. إنه خطر وجودي على الأعمال يتطلب اهتماماً على مستوى مجالس الإدارة واستثمارات كبيرة وتغييرات جوهرية في كيفية تعامل المنظمات مع الأمان.

تتطور التهديدات بسرعة الآلات. يجب أن تتطور دفاعاتنا بشكل أسرع.

تحتاج للمساعدة في متطلبات التوافق التنظيمي الخاصة بك؟ تحدث إلى خبيرنا.

المزيد عن خدمات التوافق مع NIS2 الخاصة بنا.

تعلم المزيد قليلًا عن خدمات الاستجابة للحوادث في Shieldworkz

جرب منصة أمان التكنولوجيا التشغيلية الخاصة بناهنا.

قم بتنزيل قائمة التحقق لأمان التكنولوجيا التشغيلية لصيانة الموقع، هنا.