تهديد برامج الفدية الذي لا يمكن للمؤسسات الجزائرية الصغيرة والمتوسطة تجاهله
المؤسسات الصغيرة والمتوسطة الجزائرية تحت الحصار. مع أكثر من 1.2 مليون مؤسسة صغيرة ومتوسطة مسجلة تشكل ركيزة أساسية للاقتصاد الوطني، هذه المؤسسات حاسمة لنمو الجزائر خارج قطاع المحروقات. لكن الغالبية العظمى تعمل بدون أي كادر مخصص للأمن السيبراني، ولا خطة للاستجابة للحوادث، واستراتيجيات نسخ احتياطي لا تتجاوز قرصًا صلبًا خارجيًا على مكتب المدير العام. إنها، بكل المقاييس، أهداف مثالية لمشغلي برامج الفدية كخدمة (RaaS).
الأرقام ترسم صورة قاتمة. سجل تقييم التهديدات السيبرانية في أفريقيا لعام 2025 الصادر عن INTERPOL ما مجموعه 1,671 كشفًا لبرامج الفدية في الجزائر، مما يضع البلاد من بين الأكثر استهدافًا في المنطقة. كشفت بيانات Kaspersky لعام 2024 عن 70 مليون هجوم سيبراني ضد الجزائر، مما يضعها في المرتبة 17 عالميًا من حيث التعرض للتهديدات السيبرانية. تُظهر البيانات العالمية من Coveware أن متوسط دفع الفدية بلغ 376,941 دولارًا في الربع الثالث من 2025، بينما يُفيد تقرير Sophos أن المنظمات التي تضم 100 إلى 250 موظفًا تواجه تكاليف استرداد متوسطة تبلغ 638,536 دولارًا. بالنسبة للمؤسسات الصغيرة تحديدًا، تدور مطالب الفدية المتوسطة حول 5,900 دولار، وإن كانت تكاليف الاسترداد الإجمالية أعلى بكثير. تهيمن مجموعات مثل LockBit 5.0 وAkira وPlay وRansomHub على مشهد RaaS الحالي، والوضع الدفاعي الضعيف للجزائر يجعل مؤسساتها الصغيرة والمتوسطة أهدافًا جذابة.
صُمم هذا الدليل للمؤسسة الصغيرة والمتوسطة الجزائرية التي ليس لديها مدير أمن معلومات، ولا مركز عمليات أمنية، وربما لا قسم تكنولوجيا معلومات يتجاوز مسؤولاً واحدًا. يوفر إطار استجابة منظمًا لمدة 72 ساعة يمكن أن يشكل الفارق بين بقاء المؤسسة وإغلاقها النهائي.
المرحلة 1: الكشف والاحتواء (الساعات 0-4)
الساعات الأربع الأولى بعد انفجار برنامج الفدية هي الأكثر حرجًا. كل دقيقة تأخير توسع نطاق الضرر. المؤشر الأولي عادةً لا يمكن تفويته: ملفات مشفرة بامتدادات غير مألوفة، أو ملاحظات فدية تظهر على أسطح المكتب، أو عدم القدرة المفاجئ على الوصول إلى محركات الأقراص المشتركة. بمجرد التأكيد، الأولوية هي الاحتواء وليس التحقيق.
الخطوة الأولى هي عزل الشبكة. افصل الأجهزة المصابة فعليًا عن الشبكة بسحب كابلات Ethernet وتعطيل محولات WiFi. لا تطفئ الأجهزة، لأن الذاكرة المتطايرة قد تحتوي على مفاتيح فك التشفير أو أدلة جنائية رقمية. إذا كانت مؤسستك تستخدم اتصالات مؤسسية من اتصالات الجزائر أو Djezzy، اتصل بمزود خدمة الإنترنت فورًا لطلب حظر مؤقت لعنوان IP إذا اشتُبه في حركة جانبية نحو الخدمات السحابية. وثّق كل شيء بالصور والطوابع الزمنية من لحظة الاكتشاف.
الخطوة الثانية هي الإخطار. داخليًا، أنذر جميع الموظفين بالتوقف فورًا عن استخدام أنظمة الشركة. خارجيًا، اتصل بـ CERT الجزائر (cert@cert.dz) خلال الساعتين الأوليين. المرسوم الرئاسي 26-07 حول أمن أنظمة المعلومات يُنشئ وحدات أمن سيبراني داخل المؤسسات العمومية ويفرض سياسات أمن سيبراني للكيانات العمومية. رغم أن المؤسسات الصغيرة والمتوسطة الخاصة غير ملزمة مباشرة بهذا المرسوم، إلا أنه يشير إلى اتجاه السياسة الوطنية للأمن السيبراني، وجميع المنظمات تستفيد من التوجيه التقني ومشاركة معلومات التهديدات من CERT الجزائر. إذا كانت لديك علاقة مع مزود خدمات تكنولوجيا معلومات محلي مثل Ayrade أو Icosnet أو قسم الأمن السيبراني للمؤسسات في اتصالات الجزائر، فعّل هذا العقد الآن. الساعات الأربع الأولى تحدد ما إذا كنت تدير حادثًا أم تغرق فيه.
إعلان
المرحلة 2: الفرز الجنائي والتقييم (الساعات 4-24)
بمجرد تحقيق الاحتواء، تركز العشرون ساعة التالية على فهم ما حدث وما تواجهه. هذا ليس تحقيقًا جنائيًا رقميًا كاملاً؛ إنه فرز مصمم لإثراء قرارات الاسترداد. حدد نوع برنامج الفدية بتحميل مذكرة الفدية وعينة ملف مشفر (لا يحتوي بيانات حساسة) على ID Ransomware أو VirusTotal. معرفة النوع تخبرك ما إذا كانت أدوات فك تشفير مجانية موجودة. مع بداية 2026، تتوفر أدوات فك تشفير لسلالات أقدم مثل Dharma وGandCrab وبعض متغيرات Conti عبر مشروع No More Ransom.
قيّم نطاق التشفير. ارسم خريطة للخوادم ومحطات العمل ومحركات الأقراص المشتركة المتأثرة. حدد ما إذا كانت وحدات تحكم نطاق Active Directory قد اختُرقت، لأن هذا يحدد ما إذا كان الاستعادة البسيطة ممكنة أم أن إعادة بناء كامل للنطاق مطلوبة. تحقق من سلامة النسخ الاحتياطية فورًا. إذا كانت النسخ الاحتياطية مخزنة على وحدة تخزين متصلة بالشبكة مرتبطة بنفس النطاق، افترض أنها مخترقة حتى التحقق منها دون اتصال. على المؤسسات الجزائرية الصغيرة والمتوسطة التي تستخدم خدمات نسخ احتياطي سحابية عبر موزعي Acronis المحليين، أو عروض اتصالات الجزائر السحابية، أو Google Workspace التحقق من أن الطوابع الزمنية للنسخ الاحتياطية سابقة للإصابة.
بشكل حاسم، قيّم تسريب البيانات. تعتمد عمليات برامج الفدية الحديثة على الابتزاز المزدوج: تشفير البيانات والتهديد بنشر الملفات المسروقة. تحقق من سجلات الشبكة الصادرة بحثًا عن عمليات نقل بيانات ضخمة إلى عناوين IP غير مألوفة في الأيام السابقة للهجوم. إذا تم تسريب بيانات العملاء أو السجلات المالية أو المعلومات الشخصية للموظفين، فإن القانون 18-07 حول حماية البيانات الشخصية يُنشئ التزامات إخطار لدى الهيئة الوطنية. هذا البُعد القانوني هو ما تكون معظم المؤسسات الجزائرية الصغيرة والمتوسطة غير مستعدة له تمامًا.
المرحلة 3: قرارات الاسترداد واستمرارية الأعمال (الساعات 24-72)
تفرض مرحلة الاسترداد أصعب القرارات. السؤال المحوري واضح لكنه مؤلم: الدفع أم إعادة البناء؟ في الجزائر، يحمل هذا السؤال بُعدًا قانونيًا إضافيًا تتجاهله معظم الأدلة الدولية تمامًا. حظر قانون المالية لعام 2018 (المادة 117) شراء العملات المشفرة، وصعّدت الجزائر موقفها بشكل كبير في يوليو 2025 بالقانون رقم 25-10، الذي يُجرّم جميع الأنشطة المتعلقة بالأصول الرقمية بما في ذلك الحيازة والتداول والتعدين والترويج، بعقوبات من شهرين إلى سنة سجنًا وغرامات من 200,000 إلى 1,000,000 دج. دفع فدية بـ Bitcoin سيعرض الشركة ومديريها للملاحقة الجزائية، حتى وإن كانت المؤسسة تواجه تهديدًا وجوديًا من الهجوم نفسه.
المسار الموصى به هو دائمًا الاسترداد من النسخ الاحتياطية عندما يكون ذلك ممكنًا. أعد بناء الأنظمة المتأثرة من وسائط نظيفة، واستعد البيانات من نسخ احتياطية مُتحقق منها، وأعد تعيين جميع بيانات الاعتماد عبر المنظمة. بالنسبة للمؤسسات الصغيرة والمتوسطة التي لا تملك نسخًا احتياطية قابلة للاستخدام، الوضع أكثر تعقيدًا. بعض المنظمات استعانت بشكل سري بوسطاء في تونس أو الإمارات لإدارة مدفوعات الفدية، رغم أن هذا يحمل مخاطر قانونية وتشغيلية. حققت شعبة الجريمة السيبرانية في المديرية العامة للأمن الوطني (DGSN) في عدة حالات من هذا القبيل، والملاحقة القضائية تبقى احتمالاً حقيقيًا.
استمرارية الأعمال أثناء الاسترداد تتطلب إبداعًا. انتقل إلى الاتصالات عبر الهاتف المحمول باستخدام الأجهزة الشخصية. أولِ الأولوية لاستعادة الأنظمة التي تُولد الإيرادات: أنظمة نقاط البيع، منصات الفوترة، أو أي شيء يغذي التدفق النقدي اليومي. تواصل بشفافية مع العملاء والموردين الرئيسيين؛ الصمت يولد تكهنات أسوأ من الإفصاح الصادق. أخيرًا، وثّق كل تكلفة، لأن هذا التوثيق يصبح الأساس لأي مطالبة تأمين سيبراني مستقبلية وللمراجعة ما بعد الحادث التي يجب أن تتبع.
بناء المرونة قبل الحادث
أفضل استجابة للحوادث هي تلك التي لا تحتاج تنفيذها أبدًا. بالنسبة للمؤسسات الجزائرية الصغيرة والمتوسطة، تتطلب الحد الأدنى من وضعية الأمن السيبراني القابلة للتطبيق خمسة استثمارات. أولاً، طبّق قاعدة النسخ الاحتياطي 3-2-1: ثلاث نسخ من البيانات، على نوعين مختلفين من الوسائط، مع نسخة واحدة مخزنة بدون اتصال وخارج الموقع. ثانيًا، انشر حل الكشف والاستجابة للنقاط الطرفية (EDR) على جميع الأنظمة؛ حلول مثل Microsoft Defender for Business أو Kaspersky Small Office Security ميسورة التكلفة وفعالة. ثالثًا، فعّل المصادقة متعددة العوامل على كل حساب يدعمها، خاصة البريد الإلكتروني والأنظمة المالية.
رابعًا، أجرِ تمارين محاكاة ربع سنوية. اجمع كادرك الرئيسي لسيناريو مدته ساعتان: “صباح الأحد، وخادمنا يعرض مذكرة فدية. ماذا نفعل؟” القيمة ليست في إتقان الخطة بل في تحديد الثغرات قبل أن تكون مهمة. خامسًا، أسس علاقات مع موارد الاستجابة للحوادث قبل أن تحتاجها. CERT الجزائر، ووحدة الجريمة السيبرانية في DGSN، وشركات أمن تكنولوجيا المعلومات المحلية المؤهلة يجب أن تكون في قائمة اتصالاتك مع قنوات تواصل مُختبرة.
مشهد الأمن السيبراني الذي تواجهه المؤسسات الجزائرية الصغيرة والمتوسطة سيتكثف فقط مع تسارع التحول الرقمي في إطار برامج مثل Algeria Startup وأجندة الرقمنة الأوسع للحكومة. الاستعداد لبرامج الفدية لم يعد اختياريًا؛ إنه متطلب لبقاء المؤسسات.
إعلان
🧭 رادار القرار
| البُعد | التقييم |
|---|---|
| الصلة بالجزائر | عالية — 1.2 مليون مؤسسة صغيرة ومتوسطة بقدرة استجابة للحوادث شبه معدومة تواجه استهداف RaaS متسارعًا |
| الجدول الزمني للعمل | فوري — كل مؤسسة صغيرة ومتوسطة يجب أن يكون لديها خطة استجابة أساسية خلال 30 يومًا |
| الأطراف المعنية الرئيسية | CERT الجزائر، الجريمة السيبرانية DGSN، ANSSI، أصحاب المؤسسات الصغيرة والمتوسطة، مزودو خدمات تكنولوجيا المعلومات، شركات التأمين |
| نوع القرار | تكتيكي — تشغيلي وقانوني؛ حظر الدفع بالعملات المشفرة يخلق بُعد مخاطر فريدًا في الجزائر |
| مستوى الأولوية | حرج |
خلاصة سريعة: المؤسسات الجزائرية الصغيرة والمتوسطة هي أهداف سهلة لمشغلي برامج الفدية الذين أضافوا صراحة شمال أفريقيا إلى مصفوفة استهدافهم. الجمع بين انعدام قدرة الاستجابة للحوادث، وحظر الدفع بالعملات المشفرة الذي يلغي الخيار السهل (وإن كان غير مُستحسن)، والتأمين السيبراني الناشئ يعني أن الوقاية وانضباط النسخ الاحتياطي ليسا مجرد ممارسات فضلى بل ضرورات وجودية.
المصادر والقراءات الإضافية
- INTERPOL Africa Cyberthreat Assessment 2025
- Kaspersky: 70 Million Cyberattacks Against Algeria in 2024 — El Moudjahid
- Sophos State of Ransomware 2025
- Coveware Quarterly Ransomware Reports
- No More Ransom Project — Decryption Tools
- Algeria Law 18-07 on Protection of Personal Data
- Algeria Decree 26-07 on Information System Security — ARPCE
- Algeria Enacts Sweeping Crypto Ban Under Law No. 25-10 — TechInAfrica
- Algerie Telecom Enterprise Cybersecurity Packs
- ID Ransomware Identification Service
إعلان