من عطلة عيد الفصح إلى انهيار وجودي
في عطلة عيد الفصح لعام 2025 — من 18 إلى 21 أبريل — بدأت عمليات Marks & Spencer تتداعى. مجموعة القرصنة Scattered Spider، وهي ذاتها المجموعة التي اخترقت MGM Resorts عام 2023، حصلت على وصول أولي عبر هجوم هندسة اجتماعية استهدف مزود خدمة طرف ثالث. باستغلال إجراءات التحقق في مكتب الدعم لإعادة تعيين بيانات اعتماد ذات صلاحيات عليا، تحركت المجموعة جانبياً عبر شبكة M&S، ونشرت في نهاية المطاف برنامج الفدية DragonForce على البنية التحتية الأساسية للمتجر.
وصف المدير التنفيذي Stuart Machin الأمر بصراحة: “بدأ أبريل بقوة، مستمراً في زخم العام الماضي. ثم، خلال عطلة عيد الفصح، تبيّن بوضوح أننا نواجه هجوماً بالغ التطور ومُصمَّماً خصيصاً.” أوقفت الشركة بعض الأنظمة استباقياً للحد من الانتشار، مما أطلق سلسلة من العواقب الفورية: تعليق طلبات الملابس عبر الإنترنت لما يقارب سبعة أسابيع، اضطراب سلاسل توريد الغذاء، تفريغ الأرفف، وانهيار 42.9% في مبيعات الأزياء الإلكترونية.
بعد أيام، تعرضت Co-op — سادس أكبر سلسلة تجزئة غذائية بريطانية — لضربة من المجموعة ذاتها، مُسجِّلةً انخفاضاً بنسبة 11% في إنفاقها اليومي خلال أول 30 يوماً. بين منتصف أبريل ومطلع مايو 2025، نفّذت Scattered Spider ضربات متتالية دقيقة الاستهداف ضد اثنتين من أبرز العلامات التجارية البريطانية.
الجنائيات المالية: ما الذي يكلّفه الإعصار السيبراني فعلاً
بعد اثني عشر شهراً، كشفت النتائج نصف السنوية لـM&S عن أرقام باتت المرجع الأساسي لقياس مخاطر الأمن السيبراني المؤسسي. وفقاً لـCybersecurity Dive، حذّرت الشركة من أن الهجوم سيخفض أرباحها التشغيلية بما يقارب 300 مليون جنيه — نحو 400 مليون دولار. حين صدرت النتائج الكاملة، كانت الصورة أدق وأشدّ سوءاً:
- 324 مليون جنيه من المبيعات المفقودة — أكثر قليلاً من التقدير الأولي البالغ 300 مليون
- 101.6 مليون جنيه تكاليف استثنائية للتعافي (استعادة الأنظمة، الدعم القانوني، الخدمات المهنية، استقطاب فريق التقنية داخلياً)
- 100 مليون جنيه تعويض تأميني عوّض جزئياً خسائر النصف الأول
- 136 مليون جنيه إجمالي التأثير الصافي على الربح للسنة المالية الكاملة (102 م.ج. النصف الأول + 34 م.ج. النصف الثاني)
- انخفاض 55% في الأرباح قبل الضريبة المعدَّلة — من 413.1 إلى 184.1 مليون جنيه على أساس سنوي
- تراجع 16.4% في مبيعات قطاع الأزياء؛ مبيعات المتاجر أدنى بـ3.4%؛ مبيعات الإنترنت أدنى بـ42.9%
صنّف مركز UK Cyber Monitoring Centre (CMC)، وهو هيئة مستقلة يدعمها المدير السابق للـNCSC Ciaran Martin، الحوادث المجمّعة لـM&S وCo-op بوصفها فئة ثانية “إعصار سيبراني” — تصنيف مخصص للأحداث ذات “التأثير المالي الجوهري والتداعيات الاقتصادية على مزودي الخدمات الثالثيين والمرخَّص لهم والخدمات الداعمة”. التكاليف الإجمالية المقدّرة لكلا الحادثتين: بين 270 و440 مليون جنيه.
إن الفئة الثانية تقع دون الفئة الأولى (كارثي، منهجي) وفوق الفئة الثالثة (معتدل، محلّي). كون هجومين مُستهدفَين على شركتين غير ماليتين تجاوزا عتبة الفئة الثانية يُشير إلى تحوّل هيكلي: باتت التجزئة عرضةً للمخاطر المنهجية بالقدر ذاته الذي يعاني منه القطاع المصرفي في نظر شركات التأمين والجهات التنظيمية.
الإخفاقات الهيكلية الخمسة المكشوفة
يتسم التحليل المُعمَّق الذي أجرته Computer Weekly بعد عام بصراحة نادرة في تحليلات الأمن المؤسسي. تقاطع الخبراء حول خمسة إخفاقات منهجية تُفسّر سبب تكبُّد M&S أضراراً غير متناسبة مقارنةً بـCo-op — التي تعافت بشكل أسرع بكثير رغم تعرضها للمجموعة ذاتها.
الهندسة الاجتماعية تجاوزت الدفاع المحيطي. لم يستغل الاختراق الأولي ثغرةً برمجية — بل استغل عمليةً بشرية. أعاد موظف مكتب الدعم تعيين بيانات اعتماد ذات صلاحيات عليا إثر مكالمة vishing مُقنعة. لا جدار حماية ولا EDR ولا SIEM يكشف هذا. حين نُشر البرنامج الخبيث، كان المهاجمون يتحكمون في الهوية بالفعل.
Active Directory كان مفتاح الإيقاف الفعلي. داخل الشبكة، استهدف Scattered Spider قواعد بيانات وحدات تحكم النطاق — المفاتيح الرئيسية لشبكة المؤسسة. التعامل مع أمن AD باعتباره روتيناً لا بنيةً حيوية أتاح لحساب واحد مُخترَق فتح حركة جانبية واسعة النطاق.
الديون التقنية ضاعفت نصف قطر الانفجار. حالت الأنظمة القديمة المتشابكة مع البنية التحتية الحديثة دون قدرة M&S على عزل الأجزاء المُخترَقة بسرعة. أقرّ المدير التنفيذي بضرورة “تسريع خطط ترقية البنية التحتية وربط الشبكات، وتقنيات المتاجر والموظفين، وأنظمة سلسلة التوريد” — لغة تُقرّ ضمنياً بسنوات من التحديث المؤجَّل.
مخاطر الطرف الثالث برزت بوصفها ناقل الدخول. دخل الهجوم عبر مزود خدمة طرفي، لا موظف مباشر في M&S. يتسق هذا مع نمط ثابت في حملات Scattered Spider السابقة: الموردون ذوو الوصول المتميز والنضج الأمني المنخفض هم أسهل نقاط الدخول.
سرعة التعافي — لا الوقاية وحدها — حددت النتائج. التعافي الأسرع لـCo-op، المدفوع بقرارات احتواء مبكرة وبنية تحتية أكثر وحدودية، يُثبت أن هيكلية الاستجابة للحوادث بالغة الأهمية بقدر أهمية ضوابط الوقاية. علُّقت طلبات الإنترنت لـM&S سبعة أسابيع؛ استغرق الاضطراب المكافئ لـCo-op جزءاً من ذلك الوقت.
إعلان
ما يجب أن يفعله مسؤولو الأمن وتقنية المعلومات بشكل مختلف
أعطى التحديد الكمي بأكثر من 300 مليون جنيه أخيراً لمديري أمن المعلومات والمديرين الماليين لغةً مشتركة. استخدموها.
1. تحصين مكتب الدعم قبل موجة Vishing القادمة
بدأ اختراق M&S في مكتب الخدمة، لا على خادم. يجب أن تستلزم كل إعادة تعيين لبيانات اعتماد ذات صلاحيات عليا — لا سيما خارج ساعات العمل أو للحسابات الكبرى — قناة تحقق ثانية (تأكيد المدير، رمز مادي، تعريف بالفيديو المباشر). ارتفعت الهجمات السيبرانية على قطاع التجزئة بنسبة 34% على أساس سنوي عقب حادثة M&S، وتتضمن 80% من تمارين الفريق الأحمر اللاحقة الآن محاكاة vishing ضد مكتب الدعم تحديداً بسبب هذه القضية. المؤسسات التي لم تُجرِ تمريناً من هذا النوع على مكتب دعمها خلال الاثني عشر شهراً الماضية تعمل في عمى تام.
2. معاملة Active Directory بوصفه بنية تحتية للأصول التاجية
تستلزم وحدات تحكم النطاق وضعية الحماية ذاتها التي تحظى بها بيئات بيانات بطاقات الدفع. وهذا يعني: محطات عمل الوصول المتميز (PAW) لجميع مهام إدارة AD، تطبيق نموذج إداري متدرج، إرسال سجلات تدقيق AD بانتظام خارج الصندوق إلى SIEM لا تستطيع الحسابات المُخترَقة تعديله، وخطة استرداد AD مُختبَرة. إذا سقط AD، سقطت أعمالك — قضية M&S تُثبت أن هذا ليس افتراضياً.
3. بناء هيكلية تعافٍ وحدوية واختبارها
تعافت Co-op أسرع من M&S ليس لأن دفاعاتها المحيطية كانت أفضل — فقد واجهت المهاجم ذاته — بل لأن أنظمتها يمكن عزلها واستعادتها في أجزاء مستقلة أصغر. راجعوا تجزئة شبكتكم: هل يمكنكم استعادة التجارة الإلكترونية بينما أنظمة سلسلة التوريد خارج الخط؟ هل يمكنكم تشغيل المتاجر يدوياً بينما قناة الإنترنت معطّلة؟ توثيق هذه الإجراءات التشغيلية في الأوضاع المتدهورة وتدريبها يُحدد الفارق بين سبعة أسابيع من الطلبات الإلكترونية المعلَّقة وأسبوعين.
4. توسيع متطلبات أمن الموردين لتشمل مزودي الفئة الثانية
تُغطي تقييمات مخاطر الأطراف الثالثة عادةً موردي الفئة الأولى. دخل اختراق M&S عبر مزود خدمة كان مكتب دعمه هو السطح الهش. وسّعوا استبياناتكم لتشمل: هل يشترط هذا المورد التحقق المتعدد العوامل (MFA) لإعادة تعيين بيانات الاعتماد؟ هل ينتهي وصوله لبيئتكم تلقائياً؟ هل يمكن إلغاء وصوله في أقل من 15 دقيقة؟ اجعلوا هذه متطلبات تعاقدية لا ممارسات مُوصى بها.
5. إدراج رقم عائد الاستثمار في المرونة السيبرانية في كل تقرير مقدَّم للمجلس
قبل نتائج M&S، كان مديرو أمن المعلومات كثيراً ما يكافحون لتكميم الاستثمارات الأمنية بشروط مقبولة للمديرين التنفيذيين. الآن لا حاجة للتخمين: 324 م.ج. من المبيعات المفقودة، انخفاض بنسبة 55% في الأرباح، فجوة تأمينية بـ100 م.ج. هذه أرقام عامة مُدققة من شركة مماثلة في حجمها لآلاف الشركات العالمية. يصبح الحوار أمام المجلس: “كم تكلفنا غياب حماية AD متدرجة؟ كم يوفر علينا هيكل التعافي الوحدوي مقارنةً بسبعة أسابيع من الطلبات الإلكترونية المعلقة؟” أطّروا كل استثمار أمني بوصفه كسراً من السيناريو المضاد لـM&S.
أين يستقر المشهد التنظيمي
يحمل تصنيف CMC تداعيات تأمينية تتموج ما وراء M&S. تُولّد أحداث الفئة الثانية بحكم تعريفها “تداعيات اقتصادية على مزودي الخدمات الثالثيين والمرخَّص لهم والخدمات الداعمة” — إشارة للمكتتبين بأن التأمين السيبراني لقطاع التجزئة يجب أن يُسعَّر الآن بالنظر للمخاطر المنهجية المترابطة لا مجرد الحوادث المعزولة. الأقساط في قطاع التجزئة البريطاني تتحرك بالفعل.
في المملكة المتحدة، نشر المركز الوطني للأمن السيبراني (NCSC) منذ ذلك الحين توجيهات مُحدَّثة تُشير تحديداً إلى هجمات الهندسة الاجتماعية ضد مكاتب الدعم بوصفها ناقل الوصول الأولي الأساسي. توجيه الاتحاد الأوروبي NIS2، الساري منذ أكتوبر 2024، يُلزم المنظمات المُصنَّفة “كيانات مهمة” — وتشمل كبار تجار التجزئة — بتطبيق إجراءات الاستجابة للحوادث، وضوابط أمن سلسلة التوريد، وخطط استمرارية الأعمال. يُستشهد باختراق M&S الآن في إحاطات متعددة للامتثال بـNIS2 باعتباره النموذج الأجلى لمبرر هذه المتطلبات.
بالنسبة لسنغافورة — معياراً مفيداً نظراً لملفها بوصفها دولة صغيرة ذات رقمنة عالية — تشترط إرشادات إدارة مخاطر التقنية الصادرة عن هيئة النقد في سنغافورة (MAS) على المؤسسات المالية بالفعل اختبار مقاومة مكتب الدعم للهندسة الاجتماعية. تراقب الشركات غير المالية قضية M&S بوصفها دليلاً على أن متطلبات مماثلة قد تطال قطاعاتها.
الدرس الهيكلي
تُقرأ هجمات M&S وCo-op على أكمل وجه لا بوصفها قصة تجزئة بل بوصفها اختباراً لضغط على افتراضات الأمن المؤسسي التي ظلت راسخة عبر الصناعات طوال عقد. الافتراض بأن الدفاعات المحيطية تعترض معظم التهديدات. الافتراض بأن مكاتب الدعم وظائف داخلية منخفضة المخاطر. الافتراض بأن Active Directory “مجرد تقنية معلومات”. الافتراض بأن الديون التقنية يمكن إدارتها إلى أجل غير مسمى.
إن الـ324 مليون جنيه من المبيعات المفقودة هي العقوبة على إبقاء هذه الافتراضات بمنأى عن المساءلة. وانخفاض 55% في الأرباح هو التداعية على مستوى مجلس الإدارة لمعاملة المرونة السيبرانية كتكلفة تقنية لا استثماراً في استمرارية الأعمال. وفجوة التأمين البالغة 100 مليون جنيه — الفرق بين ما كان مؤمَّناً وما ضاع — هي أوضح إشارة على أن التأمين السيبراني مكمّل لهيكلية المرونة لا بديل عنها.
بعد عام، تُفيد M&S بأن التعافي بات “شبه مكتمل”. الشركات الأسرع في استيعاب هذه الدروس لن تكون تلك التي تجنّبت مصير M&S بالحظ — بل ستكون تلك التي بنت هيكليةً للتعافي في أسبوعين بدلاً من سبعة.
أسئلة شائعة
س: من نفّذ الهجمات على M&S وCo-op؟
تُنسب الهجمات إلى Scattered Spider، مجموعة قرصنة ذات دوافع مالية معروفة بالهندسة الاجتماعية وهجمات vishing على مكاتب الدعم. نشروا برنامج الفدية DragonForce ضد بنية M&S التحتية.
س: كم بلغت التكلفة الإجمالية لهجوم M&S السيبراني؟
خسرت M&S 324 مليون جنيه من المبيعات، مع تأثير صافٍ على الأرباح بنحو 136 مليون جنيه للسنة المالية بعد تعويض تأميني بـ100 مليون جنيه وانتعاش النصف الثاني.
س: ما تصنيف الفئة الثانية الصادر عن UK Cyber Monitoring Centre؟
الفئة الثانية على مقياس الإعصار السيبراني للـCMC تعني “تأثيراً مالياً جوهرياً مع تداعيات اقتصادية على مزودي الخدمات الثالثيين والمرخَّص لهم والخدمات الداعمة”. تُقدَّر التكاليف المجمّعة لـM&S وCo-op بين 270 و440 مليون جنيه.
المصادر والقراءات الإضافية
- M&S تحذر: هجوم أبريل السيبراني سيقطع 400 مليون دولار من الأرباح — Cybersecurity Dive
- M&S تستعد لتكاليف 300 مليون جنيه من الهجوم السيبراني — Infosecurity Magazine
- هجمات M&S وCo-op: “إعصار سيبراني من الفئة الثانية” وفق خبراء بريطانيين — Computer Weekly
- عام على هجوم M&S السيبراني: ماذا تعلمنا؟ — Computer Weekly
- تداعيات الهجوم السيبراني تضرب M&S: أرباح تتراجع 55% — CyberNews
- الأثر بـ300 مليون جنيه: انهيار أرباح M&S يكشف التكلفة الحقيقية للمرونة السيبرانية — Breached.Company
- تحديث سيبراني — Marks & Spencer Corporate
🔗 مقالات ذات صلة
افتراض الاختراق: لماذا باتت المرونة السيبرانية تتفوق على الأمن السيبراني التقليدي
الواقع الجديد لبرمجيات الفدية: 49% مزيد من المجموعات، 2,122 ضحية في الربع الأول — ماذا بعد؟
DMARC عند p=reject: لماذا 90% من نطاقات المؤسسات لا تزال عرضة للتصيد الاحتيالي في 2026
SBOM: من خانة الامتثال إلى أداة أمنية فعّالة في 2026
