السؤال الذي توقف مسؤولو الأمن عن طرحه منذ سنوات هو: “هل سنتعرض للاختراق؟” أما السؤال الذي يطرحونه الآن فهو: “حين نُختَرق، كم من الوقت يستغرق احتواء الحادث؟” يمثّل هذا التحول — من أولوية الوقاية إلى أولوية المرونة — أعمق تغيير فلسفي في أمن المؤسسات منذ جيل كامل. وفي عام 2026، انتقل هذا المفهوم من ممارسات النخبة الأمنية إلى متطلب تنظيمي ومعمار موردين وتوقع من مجالس الإدارة.
موت المحيط الأمني
طوال عقدين، بُني النموذج السائد لأمن المؤسسات على محيط صلب: جدران الحماية، ومناطق DMZ، وشبكات VPN، مع افتراض أن كل ما يقع داخل الشبكة موثوق به. وقد عمد المهاجمون إلى هدم هذا النموذج بشكل منهجي.
كشف اختراق SolarWinds عام 2020 كيف يمكن لقناة تحديث برمجي موثوقة أن تُوصّل باباً خلفياً إلى شبكات 18,000 منظمة، من بينها وكالات فيدرالية أمريكية، وذلك على مدى أشهر قبل الاكتشاف. وفي عام 2023، استغلّ هجوم MOVEit ثغرة حقن SQL في برنامج نقل الملفات المُدار المنتشر على نطاق واسع، مكشوفاً بيانات أكثر من 2,500 منظمة في غضون أسابيع. اشترك الحادثان في سمة جوهرية: كان المهاجم داخل الشبكة بالفعل. لم تفشل الضوابط المحيطية عند البوابة — بل كانت بلا جدوى بمجرد تجاوز تلك البوابة.
وجد تقرير IBM لتكلفة اختراق البيانات لعام 2024 أن متوسط التكلفة العالمي للاختراق بلغ 4.88 مليون دولار، مع مرور الاختراقات دون اكتشاف لمدة 194 يوماً في المتوسط. هذه الـ 194 يوماً من التواجد غير المكتشف — أكثر من ستة أشهر — هي الإدانة الجوهرية لاستراتيجيات الأمن القائمة على الوقاية حصراً. إن كان بمقدور مهاجم العيش داخل بيئتك لفصل دراسي كامل، فإن المحيط الأمني لم يكن موجوداً يوماً بأي معنى تشغيلي حقيقي.
ماذا يعني “افتراض الاختراق” فعلياً
“افتراض الاختراق” هو مبدأ تصميم أمني، وليس موقف استسلام. يعني تصميم كل نظام ومعمار وعملية كما لو أن المهاجم قد اخترق بالفعل طبقة دفاع واحدة على الأقل. يقود هذا الافتراض إلى خيارات تصميم مختلفة جذرياً.
رسّخت Microsoft هذا المبدأ في معمارها الأمني الداخلي في أعقاب ثغرات Exchange Server عام 2021 واختراق Storm-0558 عام 2023 — الأخير أتاح لجهات حكومية صينية الوصول إلى حسابات البريد الإلكتروني على Microsoft 365، بما فيها حسابات وزارة الخارجية الأمريكية. تُضمّن مبادرة Microsoft Secure Future Initiative، التي أُطلقت استجابةً لذلك، “افتراض الاختراق” صراحةً كأحد المبادئ الثلاثة الأساسية إلى جانب Zero Trust والتشفير الكامل. والنتيجة المعمارية هي تجزئة الشبكة، وهوية الحد الأدنى من الامتيازات في كل طبقة، والتسجيل المستمر — ليس لمنع الاختراق بل لتقليص نطاق الضرر حين يقع.
معمار شبكة Zero Trust هو التطبيق التشغيلي لافتراض الاختراق. يُعرّف المعهد الوطني للمعايير والتقنية (NIST) في منشوره الخاص 800-207 مفهوم Zero Trust بأنه “مجموعة متطورة من نماذج الأمن السيبراني التي تنقل الدفاعات من المحيطات الثابتة القائمة على الشبكة نحو التركيز على المستخدمين والأصول والموارد”. الكلمة المفتاحية هي “تنقل” — فـ Zero Trust لا يُلغي المحيطات بل يوزّعها. تُصادَق على كل طلب وتُخوَّل وتُتحقق منه باستمرار بصرف النظر عن مصدره.
NIST CSF 2.0 ووظيفة الحوكمة
في فبراير 2024، أصدر NIST الإصدار 2.0 من إطار الأمن السيبراني (CSF)، وهو أهم تحديث منذ الإصدار الأصلي عام 2014. كان أبرز التغييرات الهيكلية إضافة وظيفة سادسة: الحوكمة. بقيت الوظائف الخمس الأصلية — التعرف والحماية والكشف والاستجابة والتعافي — لكن CSF 2.0 وضع الحوكمة في مركزها، تجسيداً للاعتراف بأن الأمن السيبراني بات تخصصاً لإدارة مخاطر الأعمال لا تقنية بحتة.
هذا مهم لافتراض الاختراق لأن وظيفتَي الاستجابة والتعافي كانتا تاريخياً الأضعف في معظم المنظمات. يوفر CSF 2.0 فئات فرعية مفصّلة لتخطيط الاستجابة للحوادث والتواصل والتحليل والتخفيف والتحسين. وبالقدر ذاته من الأهمية، تُعالج وظيفة التعافي الآن صراحةً استمرارية الأعمال بطريقة تستلزم تنسيقاً بين فرق الأمن والعمليات والقانوني والقيادة التنفيذية.
بالنسبة لمسؤولي أمن المعلومات الذين يقدّمون للمجالس الإدارية في 2026، يوفر CSF 2.0 المفردات الحوكمية لشرح سبب تبرير الاستثمار في المرونة للميزانية. والإطار معترف به دولياً ومُشار إليه في أنظمة تنظيمية من الاتحاد الأوروبي إلى سنغافورة.
CTEM: جعل المرونة قابلة للقياس
إدارة التعرض المستمر للتهديدات (CTEM) هي المنهجية التي تجسر الهوة بين فلسفة افتراض الاختراق والتنفيذ التشغيلي. ابتكر هذا المصطلح المحلل في Gartner Pete Shoard عام 2022، ويصف برنامجاً من خمس مراحل — التحديد، والاكتشاف، والتحديد الأولوي، والتحقق، والتعبئة — يُقيّم باستمرار مستوى تعرض المنظمة من منظور المهاجم.
ما يميّز CTEM عن إدارة الثغرات التقليدية هو إطاره المتمحور حول المهاجم. بدلاً من التساؤل “ما الثغرات الموجودة؟” يسأل: “أيّ التعرضات يمكن للمهاجم استغلالها فعلياً، وبأي تسلسل، للوصول إلى أي أصول؟” يُغيّر هذا الأولويات تغييراً جذرياً. ثغرة CVSS حرجة على نظام معزول غير مواجه للإنترنت أقل أولوية من خطأ في الإعداد بدرجة متوسطة يقع على مسار يُفضي إلى الوصول إلى متحكم النطاق.
توقّعت Gartner أن المنظمات التي تطبّق برامج CTEM بحلول 2026 ستخفّض خسائرها المرتبطة بالاختراق بمقدار الثلثين مقارنةً بتلك التي تعتمد على المسح التقليدي للثغرات وحده. المحرّك الأساسي هو أن CTEM ينتج رؤية محدّثة باستمرار وموضوعة في سياق الأعمال للتعرض — تحديداً ما يُحتاج لاتخاذ قرارات الاستثمار الأمني الموجّهة نحو المرونة.
إعلان
المقاييس التي تهم: MTTD وMTTR
برزت مقياسان بوصفهما المؤشرات التشغيلية الرئيسية للمرونة السيبرانية: متوسط وقت الكشف (MTTD) ومتوسط وقت الاستجابة (MTTR). يقيسان كلاهما فاعلية قدرات الكشف والاستجابة لا غياب الحوادث.
يتتبع MTTD المدة الزمنية بين وقوع حدث الاختراق واكتشاف العمليات الأمنية لوجود خلل. تتباين المعايير القطاعية: تستطيع منظمات الخدمات المالية ذات قدرات SOC الناضجة تحقيق MTTD أقل من 24 ساعة؛ في حين كثيراً ما يتجاوز MTTD 100 يوم في منظمات الرعاية الصحية والتصنيع التي تفتقر إلى برامج استقصاء التهديدات المتخصصة.
يقيس MTTR الوقت من الكشف حتى الاحتواء والمعالجة. هنا يُثمر الاستثمار في دفاتر التشغيل والأتمتة والقدرات المأذونة مسبقاً للاستجابة. المنظمات التي مارست تمارين المحاكاة على الطاولة ونشرت منصات SOAR وأرسَت سلاسل واضحة للتصعيد يمكنها تحقيق MTTR يُقاس بالساعات لا الأسابيع.
حجة الجدوى التجارية مباشرة: تُظهر أبحاث IBM باستمرار أن الاختراقات المحتواة في غضون 30 يوماً تُكلّف أقل بكثير من تلك التي تمتد إلى ما بعد ذلك. كل يوم من تواجد المهاجم يُترجم إلى تكاليف جنائية أعلى وخسائر بيانات أكبر وتعرض تنظيمي متصاعد.
الضغط التنظيمي: DORA وNIS2
في أوروبا، رسّخت البيئة التنظيمية متطلبات المرونة بطريقة تجعل افتراض الاختراق ليس مجرد ممارسة أفضل بل التزاماً قانونياً.
يشترط قانون المرونة التشغيلية الرقمية (DORA) للاتحاد الأوروبي، المطبَّق منذ يناير 2025، على كيانات القطاع المالي — البنوك والشركات التأمين ومعالجي الدفع وشركات الاستثمار — إثبات مرونتها التشغيلية عبر أنظمة تقنية المعلومات والاتصالات. يُلزم DORA باختبار الاختراق القائم على التهديدات (TLPT) وبالإبلاغ عن حوادث تقنية المعلومات والاتصالات خلال أربع ساعات للحوادث الكبرى ومتطلبات تعاقدية لمزوّدي تقنية المعلومات والاتصالات من الأطراف الثالثة. يُأطّر اللائحة متطلباتها صراحةً حول القدرة على تحمّل اضطرابات تقنية المعلومات والتعافي منها، لا مجرد الوقاية منها.
NIS2، السارية أيضاً منذ أكتوبر 2024، توسّع توجيه أمن الشبكات وأنظمة المعلومات ليشمل قطاعات أوسع بكثير، منها الرعاية الصحية والبنية التحتية الرقمية والتصنيع والخدمات البريدية والإدارة العامة. تُلزم NIS2 المنظماتِ بتطبيق تدابير استمرارية الأعمال وقدرات إدارة الأزمات ضمن التزاماتها الأمنية. ويتعيّن على الدول الأعضاء إنشاء استراتيجيات وطنية للأمن السيبراني، مع غرامات للمخالفات قد تصل إلى 10 ملايين يورو أو 2% من إجمالي المبيعات العالمية.
معاً، نقل DORA وNIS2 محادثة الرقابة الأوروبية من “هل لديك جدار حماية؟” إلى “هل يمكنك إثبات قدرتك على التعافي من حادث جسيم؟” — وهو اختبار يستهدف المرونة في جوهره.
بناء مؤسسة تضع المرونة أولاً
يستلزم الانتقال العملي نحو وضع المرونة في مقدمة الأمن أربع قدرات هيكلية.
أولاً، عمق الكشف: التسجيل المستمر، و SIEM مع التحليلات السلوكية، وعمليات استقصاء التهديدات القادرة على تحديد سلوك المهاجم الذي أفلت من الضوابط الأولية. أدوات EDR وNDR هي الحد الأدنى. وتصبح منصات XDR التي تُرابط الإشارات عبر النقاط الطرفية والشبكة والبريد الإلكتروني والهوية معياراً متزايداً.
ثانياً، التجزئة: معماريات شبكية تُقيّد الحركة الجانبية. المهاجم الذي يخترق نقطة طرفية واحدة لا ينبغي أن يصل إلى كل أنظمة الشبكة. التجزئة الدقيقة ومحطات عمل الوصول المميّز ومعماريات Active Directory متعددة الطبقات هي التطبيقات الملموسة.
ثالثاً، خطط استجابة مُختبَرة: دفاتر الاستجابة للحوادث المُصادَق عليها عبر تمارين المحاكاة على الطاولة، ومُثلى عبر محاكاة الفريق الأحمر. الخطة التي لم تُختبَر قط مستند، لا قدرة.
رابعاً، تكامل استمرارية الأعمال: يجب ربط خطط الاستجابة الأمنية بخطط الاسترداد التشغيلية. أي الأنظمة يجب استعادتها أولاً للحفاظ على الأعمال؟ من لديه صلاحية إيقاف بيئة إنتاجية؟ كيف تُدار الاتصالات مع العملاء والجهات التنظيمية والموظفين خلال الحادث؟ هذه الأسئلة يجب الإجابة عنها قبل وقوع الحادث.
إعلان
رادار القرار (المنظور الجزائري)
| البُعد | التقييم |
|---|---|
| الصلة بالجزائر | مرتفعة — تواجه البنية التحتية الحيوية الجزائرية (الطاقة والبنوك والاتصالات) المشهد ذاته من التهديدات الذي يدفع إلى اعتماد “افتراض الاختراق” عالمياً؛ وقد وثّق CERT-DZ أحجاماً مهمة من الحوادث ضد أهداف في القطاعين العام والخاص |
| هل البنية التحتية جاهزة؟ | جزئياً — تمتلك البنوك الكبرى والشركات التابعة لـ Sonatrach قدرات SOC، غير أن معظم كيانات القطاع العام والمؤسسات الصغيرة والمتوسطة تفتقر إلى SIEM أو EDR أو خطط رسمية للاستجابة للحوادث |
| هل المهارات متوفرة؟ | جزئياً — مهارات الاستجابة للحوادث واستقصاء التهديدات نادرة؛ يتلقى معظم المتخصصين الجزائريين في الأمن تدريباً على ضوابط المحيط والامتثال بدلاً من هندسة الكشف |
| الأفق الزمني للتحرك | 6–12 شهراً لمشغّلي البنية التحتية الحيوية؛ 12–24 شهراً للتبني المؤسسي الأوسع |
| أصحاب المصلحة الرئيسيون | مسؤولو أمن المعلومات في البنوك والاتصالات وشركات الطاقة؛ المديرية العامة للأمن الداخلي (DGSI)؛ CERT-DZ؛ وزارة الرقمنة؛ مشغّلو البنية التحتية الحيوية |
| نوع القرار | استراتيجي |
خلاصة سريعة: تتوافق الاستراتيجية الجزائرية للأمن السيبراني (2025–2029) جيداً مع التوجه نحو المرونة أولاً — الخطوة الملموسة التالية هي الانتقال بـ CERT-DZ من التنسيق التفاعلي للحوادث إلى استقصاء التهديدات الاستباقي، وإلزام مشغّلي البنية التحتية الحيوية بالإبلاغ عن مؤشرَي MTTD وMTTR. المنظمات التي تنتظر تحقيق وقاية شاملة قبل الاستثمار في الكشف هي منظمات متأخرة هيكلياً؛ فالمعيار العالمي قد تجاوزها.
المصادر والقراءات الإضافية
🔗 مقالات ذات صلة
اقتصاد التصيد الاحتيالي كخدمة: كيف يشتري 50 دولارًا هجومًا إلكترونيًا في 2026
هجمات حقن التعليمات: الثغرة الأمنية المتأصلة في كل تطبيق ذكاء اصطناعي
قانون المرونة السيبرانية الأوروبي يدخل مرحلته الحاسمة
DORA سارٍ المفعول: ما تعنيه لائحة الاتحاد الأوروبي للمرونة التشغيلية لقطاع التكنولوجيا المالية
إعلان