دليل تمرين DFIR Tabletop للمؤسسات الجزائرية (2026)

نُشر في أبريل 19, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

تتعامل CISA وNCSC البريطاني والمبادرة الدولية لمكافحة برامج الفدية الآن مع تمارين طاولة المحاكاة كأساس لنظافة الأمن السيبراني. سيناريو لمدة ساعتين يستند إلى موقع تسريب Qilin يشمل الرئيس التنفيذي والقانوني والاتصالات وتكنولوجيا المعلومات والموارد البشرية والمالية يكلف فقط قاعة اجتماعات وينتج تقريراً بعد الإجراء من صفحة واحدة مع إصلاحات مخصصة ومؤرخة. تكشف معظم التمارين الأولى عن الفجوات الثلاث نفسها: نسخ احتياطية غير قابلة للاسترداد، وغياب سياسة دفع الفدية، وعدم وجود مسودة بيان اتصال أزمات.

خلاصة: يجب على كل CISO جزائري جدولة تمرين DFIR tabletop لمدة ساعتين هذا الربع. القوالب المجانية من CISA وNCSC موجودة، ويمكن أن يكون الميسّر داخلياً، وستحتاج وحدات الأمن السيبراني بموجب المرسوم 26-07 بشكل متزايد إلى تقارير ما بعد التمرين المؤرخة كدليل على الجاهزية.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائرمرتفعة▾

المرسوم 26-07 يفرض وحدات أمن سيبراني في القطاع العمومي، المؤمنون يسألون، ومجموعات الفدية مثل Qilin وDragonForce تضرب مؤسسات من كل الأحجام عالمياً. tabletops هي الطريقة الأرخص للتحقق من الجاهزية.

أفق العملفوري▾

قوالب CISA وNCSC المجانية متاحة الآن. يستطيع CISO جدولة أول tabletop خلال 30 يوماً.

الأطراف المعنيةCISO، الرؤساء التنفيذيون، COO، المستشارون القانونيون، رؤساء الاتصالات، الموارد البشرية، المالية، رؤساء البنية التحتية لـ IT، شركاء MSSP، لجان التدقيق في المجالس، مسؤولو DZ-CERT

نوع القرارتكتيكي▾

إجراء tabletop خطوة جاهزية تشغيلية، لا استثماراً استراتيجياً. تُقاس التكلفة بوقت تقويم القيادة.

مستوى الأولويةمرتفع▾

الفجوات التي يُظهرها tabletop (استعادة النسخ الاحتياطي، سياسة دفع الفدية، البيان الاحتياطي) هي بالضبط الفجوات التي تحوّل حادثاً محتوى إلى أزمة عند وقوع هجوم حقيقي.

خلاصة سريعة: ينبغي على CISO الجزائريين جدولة tabletop فدية لمدة ساعتين هذا الربع مع الرئيس التنفيذي وCOO والقانوني والاتصالات والموارد البشرية والمالية وIT في الغرفة نفسها. استخدموا سيناريو تسريب Qilin أعلاه، وأنتجوا تقرير ما بعد الإجراء من صفحة واحدة خلال 48 ساعة، وأجروا tabletop ثانياً بسيناريو مختلف بعد ستة أشهر.

لماذا أصبحت تمارين tabletop لا غنى عنها

تمرين tabletop للطب الشرعي الرقمي والاستجابة للحوادث (DFIR) هو محاكاة نقاشية ميسّرة لحادث سيبراني. لا يُهاجَم أي حاسوب. لا تُمَسّ أي أنظمة. يقود ميسّر فريق القيادة عبر سيناريو واقعي، ويجبرهم على اتخاذ قرار — في الوقت الفعلي، تحت ضغط الوقت — عن ما يفعلونه فعلاً.

يجعل تطوران ذلك نظافة إلزامية للمؤسسات الجزائرية في 2026.

أولاً، الوضعية التنظيمية. تنشر CISA الآن حزم تمارين Tabletop (CTEPs) يمكن لأي مؤسسة استخدامها مجاناً، ويوفّر Exercise in a Box من NCSC البريطاني قوالب مخصصة حسب القطاع. نشرت المبادرة الدولية لمكافحة برامج الفدية، التي تتابعها الجزائر عبر مشاركتها في منتديات الأمن السيبراني الدولية، تقريراً بعد الإجراء يجعل تمارين tabletop توقعاً أساسياً عبر الدول الأعضاء.

ثانياً، التأمين والتدقيق. يسأل مكتتبو التأمين السيبراني الآن ما إذا كان المؤمَّن عليه قد أجرى tabletop في الشهور الاثني عشر الماضية. المنظمون الذين يفرضون وحدات أمن سيبراني بموجب المرسوم الرئاسي 26-07 الجزائري سيطرحون السؤال نفسه قريباً.

الخبر السار: tabletop تُدار جيداً يكلّف قاعة وميسّراً وساعتين. لا توجد فجوة في الأدوات.

سيناريو الساعتين: «Qilin نشرك على موقع التسريب»

صُمّم هذا السيناريو لبنك جزائري أو شركة اتصالات أو وزارة أو مؤسسة متوسطة الحجم. إنه واقعي لأن Qilin وDragonForce تهيمنان حالياً على نشاط الفدية العالمي، وفقاً لـ تقارير اتجاه Ransom-DB الأسبوعية. استبدل بمشغّل آخر إذا فضّل فريق استخبارات التهديدات لديكم ذلك.

المشاركون (8-12 شخصاً): الرئيس التنفيذي، COO، CISO، رئيس البنية التحتية لـ IT، المستشار القانوني، رئيس الاتصالات، رئيس الموارد البشرية، رئيس المالية، رئيس دعم العملاء، ومراقب خارجي اختياري (شريك MSSP، مدقق، عضو مجلس إدارة).

الميسّر: شخص واحد خارج خط التبعية المباشر للرئيس التنفيذي — بشكل مثالي CISO أو مستشار خارجي. يدير الساعة ويقدم التدخلات.

ميزانية الوقت: 15 دقيقة إعداد، 90 دقيقة سيناريو، 15 دقيقة استخلاص. المجموع: ساعتان.

افتتاح السيناريو (T+0)

الساعة 08:15 يوم الاثنين. يتلقى SOC المناوب بريداً إلكترونياً من صحفي يطلب التعليق على «الحادث الأمني في مؤسستكم». المرفق: لقطة شاشة لشعار شركتكم على عدّاد تسريب Qilin التنازلي، يدّعي نشر 400 جيجابايت من البيانات خلال 72 ساعة.

الميسّر: «ماذا تفعلون في أول 30 دقيقة؟»

القرارات المتوقّعة: تفعيل الاستجابة للحوادث، الاتصال بالرئيس التنفيذي، التواصل مع القانوني، تقرير تنبيه MSSP SOC، تقرير فصل الأنظمة المواجهة للخارج.

التدخل 1 — T+20 دقيقة

يؤكّد رئيس البنية التحتية لـ IT: ثلاثة متحكمات مجال غير قابلة للوصول. النسخ الاحتياطية على مستودع Veeam الرئيسي مشفّرة. النسخ الاحتياطي خارج الموقع، السحابي، يبدو سليماً لكن لم يُختبر منذ أربعة أشهر.

الميسّر: «هل يمكنكم الاستعادة؟ كم تستغرق؟ هل تثقون بخارج الموقع؟ من يعطي الإذن بالاستعادة فوق بيئة الإنتاج؟»

التدخل 2 — T+40 دقيقة

يبدأ سيل من طلبات دعم العملاء: يبلّغ عملاء بأن بيانات اعتمادهم تُستخدم للوصول إلى الحسابات. يؤكّد SOC أن بيانات الاعتماد قد سُرّبت قبل مرحلة التشفير.

الميسّر: «هل تفرضون إعادة تعيين كلمة المرور لجميع العملاء؟ متى؟ من يتواصل؟ هل تشركون ARPCE أو سلطة حماية البيانات ضمن إطار حماية البيانات الشخصية الجزائري؟»

التدخل 3 — T+60 دقيقة

يتواصل مشغّل Qilin مع البريد العام للرئيس التنفيذي بطلب فدية: 3 ملايين دولار، 48 ساعة، مع عيّنة دليل حياة حجمها 2 جيجابايت من بيانات عملاء حسّاسة منشورة بالفعل على موقع Tor.

الميسّر: «هل تتفاعلون؟ من يتخذ قرار الدفع/عدم الدفع؟ هل توجد سياسة؟ ما موقف المستشار القانوني؟ هل توجد آثار عقوبات دولية؟»

التدخل 4 — T+80 دقيقة

ينشر صحفي من El Watan ومراسل من TSA قصصاً مبنية على العيّنة المسرّبة. تشتعل وسائل التواصل الاجتماعي. لقطة شاشة لبريد إلكتروني داخلي تنتشر على Twitter.

الميسّر: «من يتكلم؟ ماذا تقولون؟ هل تصدرون بياناً رسمياً؟ هل تُطلعون الوزير؟ هل تفعّلون اتصالات الأزمات؟»

الاستخلاص — T+90 إلى T+105 دقيقة

يجيب كل مشارك بدوره عن ثلاثة أسئلة: «ما الذي نجح؟» «ما الذي لم ينجح؟» «ما هو أهم شيء يجب إصلاحه قبل tabletop التالي؟» يلتقط الميسّر هذه الإجابات حرفياً.

كيف يبدو تقرير ما بعد الإجراء الجيد

ينتج الميسّر تقريراً بعد الإجراء من صفحة واحدة خلال 48 ساعة. يحتوي على ثلاثة أقسام بالضبط.

القدرات المؤكّدة. أشياء ستفعلها المؤسسة بوضوح بشكل صحيح — مثل «لدى IT عملية مختبرة لإلغاء جميع بيانات اعتماد Active Directory في أقل من 30 دقيقة.»
الفجوات المحدّدة. أشياء لم تستطع المؤسسة الإجابة عنها أو ستفعلها بوضوح بشكل خاطئ — مثل «لا توجد سياسة موثّقة لدفع الفدية؛ قرار الدفع/عدم الدفع غير واضح بين الرئيس التنفيذي والمجلس.»
مالكون مسمّون للإصلاحات. لكل فجوة مالك واحد، ومُسَلَّمة واحدة، وتاريخ واحد. لا توجد إدخالات مجهولة من نوع «IT سيدرسه».

يتقارب دليل AlertMedia لتمرين tabletop الفدية والدليل الشامل لتمارين tabletop السيبرانية 2026 من Cyber Management Alliance على هذا التنسيق.

تكييف التمرين مع الواقع الجزائري

ثلاث تعديلات محلية مهمة.

نقاط الاتصال التنظيمية. استبدال المؤسسات الجزائرية في نص التدخلات: بنك الجزائر لحادث مالي، ARPCE لقضية اتصالات أو مشاركة بيانات، فريق الاستجابة الوطني للطوارئ السيبرانية (DZ-CERT) للتصعيد التقني، ANPDP للآثار المتعلقة بالبيانات الشخصية ضمن إطار حماية البيانات الجزائري. يحتاج المشاركون إلى معرفة رقم الهاتف للاتصال، لا مجرد «اتصل بالمنظم».
اللغة. إجراء التمرين بلغة فريق القيادة — غالباً مزيج من الدارجة الجزائرية والفرنسية وأحياناً الفصحى. الميسّر ثنائي اللغة أهم من نصّ مكتوب بالإنجليزية.
اعتبار ثلاثي القطاعات. تشمل فرق القيادة الجزائرية غالباً ممثّل الوزارة الوصية أو المساهم العمومي. ضمّنهم. نادراً ما تكون قرارات الأزمات حول الدفع والإفصاح والاستجابة الإعلامية قرارات خاصة بحتة في السياق المؤسسي الجزائري.

ماذا تفعل بعد أول tabletop

تخلص المؤسسات التي تدير أول tabletop لها تقريباً دوماً إلى الأمور الثلاثة نفسها: النسخ الاحتياطية ليست قابلة للاسترداد كما كان يُفترض، وقرار الدفع/عدم الدفع ليس لديه سياسة مكتوبة، والاتصالات لا تملك بياناً احتياطياً في الملف. هذه الإصلاحات الثلاثة، إذا تم فعلها بشكل صحيح، تُحسّن بشكل قابل للقياس نتائج الحوادث.

إجراء tabletop ثانٍ بعد ستة أشهر بسيناريو مختلف — اختراق SaaS طرف ثالث، أو wiper تدميري، أو تسوية سلسلة توريد مثل دودة npm من نوع Shai-Hulud. يكشف التمرين الثاني ما إذا كانت إصلاحات الأول قد صمدت.

أين يترك ذلك CISO الجزائريين

تمرين DFIR tabletop هو أرخص وأعلى رافعة استثمار جاهزية يمكن لمؤسسة جزائرية القيام به في 2026. القوالب مجانية. يمكن أن يكون الميسّر داخلياً. المشاركون موجودون بالفعل على الهيكل التنظيمي. إجراؤه مرة سنوياً هو السقف الذي يتوقعه المنظمون والمؤمنون والمجالس بشكل متزايد، والتشغيل الأول سيكشف إصلاحات مفيدة أكثر من أي ارتباط استشاري بست أرقام. الجزء الأصعب هو الحصول على تقويم الرئيس التنفيذي؛ كل ما يأتي بعد ذلك تنفيذ.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

هل نحتاج إلى مستشارين خارجيين لإجراء tabletop ذي مصداقية؟

ليس للتمرين الأول. ميسّر داخلي كبير — عادةً CISO أو رئيس مخاطر IT — باستخدام قوالب مجانية من حزم تمارين Tabletop من CISA أو Exercise in a Box من NCSC يستطيع إجراء تمرين أولي فعّال. يضيف المستشارون الخارجيون قيمة لاحقاً: للسيناريوهات متعددة القطاعات، والتدخلات التقنية التي تشمل قرارات طب شرعي، أو عندما يريد المجلس التحقق المستقل.

كيف يتناسب ذلك مع وحدات الأمن السيبراني بموجب المرسوم 26-07؟

ينبغي على كل وحدة أمن سيبراني مفروضة بموجب المرسوم 26-07 إجراء tabletop واحد على الأقل سنوياً كاختبار نضج أساسي. لا يحدد المرسوم نفسه التمرين، لكن المنظمين سيبحثون بشكل متزايد عن دليل على أن فرق القيادة — وليس فقط IT — قد تدرّبت على الاستجابة للحوادث. تقرير ما بعد الإجراء المؤرّخ هو أبسط شكل لهذا الدليل.

ماذا لو رفضت قيادتنا المشاركة؟

هذا في حد ذاته نتيجة. tabletop لا يحضره الرئيس التنفيذي يخبركم أن برنامج الاستجابة للحوادث لديكم به فجوة حوكمة قبل حتى بداية التمرين. المسار العملي هو تأطير tabletop الأول كطلب ضمان على مستوى المجلس (المؤمنون والمدققون يطلبونه الآن)، وحجز 90 دقيقة بأوقات محددة بصرامة، وجعل الحضور ظاهراً. يصبح التمرين أسهل في التكرار بمجرد أن ترى القيادة الفجوات الملموسة التي أظهرها الأول.