روسيا في مرمى الهجمات السيبرانية: كيف يتحول أمن المعلومات إلى عامل اقتصادي كلي

"إنها جبهة حرب هجينة"

في عام 2025، تُقدّر الخسائر الإجمالية الناجمة عن الجرائم الإلكترونية في جميع أنحاء العالم بنحو 10.5 تريليون دولار سنوياً — أي أكثر من ثلاثة أضعاف ما كانت عليه في عام 2015. وتُعدّ روسيا من بين أكثر المتضررين. فوفقاً لتقديرات شركة Positive Technologies، في الفترة من 1 يوليو 2024 حتى 26 سبتمبر 2025، استهدفت 14% من الهجمات الإلكترونية الناجحة في العالم روسيا. وبالنسبة لدولة لا تتجاوز حصتها 3% من الاقتصاد العالمي، فإن هذا الحجم من الهجمات يُعدّ نتيجة مباشرة للمواجهة الجيوسياسية التي تؤثر على المجال الاقتصادي من خلال منظور تكنولوجيا المعلومات.

لم يعد الأمر مجرد "أمن معلومات مجرد"، بل أصبح عاملاً يؤثر بشكل مباشر على النشاط الاقتصادي، وتكاليف الأعمال، واستقرار البنية التحتية، والتوظيف، والاستقرار الاجتماعي. هذا ما تؤكده أيضاً عضو مجلس الدوما مارينا كيم:

"اليوم، هذه جبهة كاملة من الحرب الهجينة، هدفها ليس مجرد سرقة البيانات، بل نشر الفوضى وزعزعة استقرار المجتمع".

ما هو الهجوم السيبراني في عام 2025

في التصور الشائع، يُنظر إلى الهجوم السيبراني على أنه "قراصنة اخترقوا موقعاً إلكترونياً". لكن في الواقع، نطاق هذه الهجمات أوسع بكثير:

• هجمات APT (التهديدات المستمرة المتقدمة) — وهي تواجد خفي طويل الأمد داخل البنية التحتية بهدف التجسس أو التخريب. وفقاً لبيانات RED Security SOC، ارتفع عدد هذه الهجمات في روسيا خلال عام 2025 بنسبة 20-22%. وقد بدأت تداعيات مثل هذه الاختراقات تظهر بوضوح: ففي الصيف، تسبب تدخل قراصنة في عطل واسع النطاق في عمليات شركة «أيروفلوت»، مما أظهر كيف يمكن لهجوم خفي واحد أن يشل قطاعات حيوية بأكملها.
• هجمات الفدية (ransomware) — تشفير البيانات والبنية التحتية مع المطالبة لاحقاً بفدية. رصد مختبر الطب الشرعي الرقمي F6 أكثر من 450 هجوماً على شركات روسية في عام 2025، تراوحت فيها مبالغ الفدية بين 4 و40 مليون روبل. وفي يوليو من هذا العام، تعرضت شبكة «فينلاب» لهجوم من هذا النوع، أدى إلى إغلاق آلاف المتاجر في جميع أنحاء روسيا، وقُدرت الخسائر المباشرة الناجمة عن توقف المتاجر بنحو 1.5 مليار روبل.
• النشاط القرصني (Hacktivism) — هجمات ترفع شعارات سياسية بهدف إلحاق أضرار بالسمعة. في صيف 2025، شهدنا سلسلة من الهجمات السيبرانية ظهرت فيها شعارات معارضة للعملية العسكرية الخاصة على مواقع قطاعية في النقل والتجارة والصناعة. 
• الهجمات ذات الدوافع المالية — سرقة الأموال وتحقيق الربح من الوصول إلى البنية التحتية. 

الهجوم السيبراني الحديث لم يعد في أغلب الأحيان "اختراقاً لمرة واحدة"، بل أصبح عملية متعددة المراحل: الاختراق، ثم التمركز، ثم الاستطلاع، فالتشفير، ثم الابتزاز، مع بيع موازٍ للوصول والبيانات المسروقة في الأسواق السوداء.

روسيا كواحدة من الأهداف الرئيسية

وفقاً لبيانات مركز أبحاث التهديدات السيبرانية التابع لشركة «سولار»، تم رصد 18 تجمعاً هجومياً إلكترونياً مستداماً في الفضاء السيبراني خلال الأشهر العشرة الأولى من عام 2025 فقط، من بينها سبعة تجمعات جديدة، وهو ما يمثل ضعف العدد على أقل تقدير مقارنة بالعام السابق.

شكلت الهجمات التجسسية نحو 61% من هجمات المجموعات الاحترافية في عام 2025 (بزيادة 7 نقاط مئوية على أساس سنوي)؛ فيما بلغت الهجمات ذات الدوافع المالية 17% (بانخفاض 3 نقاط مئوية)؛ والهجمات النشطة المصحوبة بتصريحات سياسية صاخبة 11% (بانخفاض 11 نقطة مئوية). أي أن الجهات الخبيثة تتحول من العمليات الصاخبة إلى التجسس الهادئ والمنهجي والإعداد لضربات موجهة للبنى التحتية.

على صعيد القطاعات، تتعرض للاستهداف بشكل أكبر:

• القطاع الحكومي — 33%؛
• القطاع الصناعي — 20%؛
• شركات تكنولوجيا المعلومات — 16% (ارتفاع حاد على خلفية الهجمات "عبر المتعاقدين من الباطن")؛
• قطاع الطاقة — 9%، حيث لم تُسجل حالات مماثلة من قبل تقريباً.

"أود أن أسلط الضوء على ثلاثية: الطاقة والنقل والقطاع المالي. فالضربة الموجهة إليها تحدث تأثيراً اجتماعياً فورياً — من انقطاعات الكهرباء المتتالية إلى شلل عقد النقل. هذا بالضبط هو التأثير التضخيمي للذعر الذي يسعى إليه خصومنا الجيوسياسيون"، تؤكد مارينا كيم.

على سبيل المثال، شكّل الهجوم الإلكتروني الصيفي على شركة «أيروفلوت» مثالاً حياً عندما "هبط" الهجوم الإلكتروني حرفياً على شاشات المغادرة. ففي يوم الذروة، وبحسب تقديرات خبراء القطاع، تم إلغاء ما يصل إلى 42% من الرحلات: حيث تحوّل العطل في أنظمة تكنولوجيا المعلومات فوراً إلى توقف فعلي للأسطول الجوي، وتعطيل اللوجستيات، وخسائر مادية للأفراد وشركاء الشركة. 

بالنسبة لشركة طيران كبرى، لم يعد الأمر يتعلق بـ"المخاطر الإلكترونية" فحسب، بل بانخفاض الإيرادات، وغرامات الجهات التنظيمية، وارتفاع التكاليف وما يتبعه من ارتفاع أسعار التذاكر. وعلى نطاق أوسع — ضربة لنشاط الأعمال والسياحة.

كيف تتغير "أدوات" المهاجمين

ترصد Solar 4RAYS ارتفاعاً حاداً في استخدام البرمجيات الخبيثة من نوع RAT (Remote Access Trojan) — أدوات التحكم عن بُعد الخفية في البنية التحتية للضحية. ففي الربع الثاني من عام 2025، شكّلت هذه البرمجيات 24% من جميع حالات الإصابة في المؤسسات الروسية مقارنة بـ18% في الربع الأول من عام 2025.

السبب بسيط: برمجيات سرقة البيانات (Stealers) تسرق بيانات الدخول والملفات المنفصلة، بينما تمنح برمجيات التحكم عن بُعد (RAT) المهاجم لوحة تحكم كاملة في النظام المعلوماتي:

• القدرة على التنقل خفية عبر الشبكة،
• رفع صلاحيات الوصول،
• توصيل أدوات خارجية،
• بيع "الوصول الجاهز" في الأسواق السوداء.

لم يعد القراصنة يبذلون جهوداً في تطوير فيروسات فريدة لكل هدف. اليوم، يعمل سوق الهجمات كخط إنتاج: بالنسبة للشركات "العادية"، تُستخدم أدوات جماعية معدّلة قليلاً حسب المهمة، بينما تُحفظ البرمجيات الخبيثة الفريدة والمكلفة فقط للضحايا الكبار والمحميين فعلاً. وكما توضح Solar، باتت البرمجيات المطورة يدوياً تُستخدم بشكل انتقائي - حيث تتطلب الحالة "عملاً دقيقاً" وإدارة يدوية.

اقتصاديات المخاطر السيبرانية: من الخسائر الثلاثية إلى "إعادة تشغيل الشركة"

في عام 2025، لم تعد الهجمات السيبرانية مجرد تهديد تقني، بل أصبحت عامل ضغط اقتصادي مباشر على الأعمال. وفقاً لمؤشر Allianz Risk Barometer 2025، تحتل الحوادث السيبرانية المرتبة الأولى بين مخاطر الأعمال العالمية للعام الرابع على التوالي، متقدمة على اضطرابات سلاسل الإمداد وعدم الاستقرار الاقتصادي الكلي. وفي السياق الروسي، باتت بنية الخسائر تتشكل بشكل متزايد حول هجمات برمجيات الفدية. فهي تحديداً أصبحت السيناريو الأكثر كلفة وتدميراً للشركات.

برامج الفدية الخبيثة - المحرك الرئيسي للخسائر

وفقاً لبيانات Verizon، شكلت برامج الفدية في عام 2025 نسبة 37% من جميع خروقات الأمن السيبراني في العالم. وهذا يفسر سبب تصدر هذا النوع من الهجمات قائمة الأضرار المالية. ويؤكد الخبير المستقل في أمن المعلومات دينيس ماكروشين على الطابع المنهجي لهذه المشكلة:

"يقوم المجرمون في الوقت ذاته بتشفير البيانات وسرقتها والتهديد بنشرها. تتوقف الأعمال، وتُهدر الموارد على عمليات الاستعادة، وتفقد الشركة ثقة العملاء والشركاء. وحتى لو دفعت الشركة الفدية، فلا يوجد ضمان لاستعادة البيانات بالكامل أو عدم تكرار الحادثة".

ويمثل طول فترة التوقف عن العمل مخاطرة اقتصادية منفصلة. فوفقاً لـ Ponemon Institute، تكلف ساعة واحدة من توقف الأنظمة الحيوية الشركات في المتوسط 347 ألف دولار عالمياً في عام 2025. وتؤكد الحالات الروسية هذه التقديرات: حيث تكون الخسائر المباشرة أقل من نظيرتها الغربية، لكن التأثير النسبي على الإيرادات أكبر بسبب قلة الاحتياطيات. ويوضح الخبير المستقل فلاديمير ليوبيتسكي قائلاً:

"برامج الفدية تدمر البيانات والبنية التحنية لتكنولوجيا المعلومات. وفي كثير من الأحيان، تضطر الشركة إلى إعادة بناء كل شيء من الصفر. وبالنسبة لشركة تضم مئة موظف، قد تصل تكلفة هذا التعافي إلى عشرات الملايين خلال أسبوعين من العمل".

وبالتالي، تدفع الشركات الروسية ثمناً مضاعفاً ثلاث مرات: التوقف عن العمل، وإعادة البناء، وخسارة الحصة السوقية.

نموذج RaaS والتسريبات والتبعات التنظيمية

يتمثل الاتجاه الدولي خلال العامين الماضيين في تطور نموذج برامج الفدية كخدمة (RaaS)، حيث يتحد مجرمو الإنترنت في مجموعات ويبيعون أدوات التشفير كخدمة. وفي النصف الأول من عام 2025، تم رصد 96 مجموعة فريدة، بزيادة قدرها 41.18% مقارنة بالفترة نفسها من عام 2024، مما زاد الضغط على الشركات الصغيرة والمتوسطة. وهذا أمر مهم، لأن فدية تبلغ 40 مليون روبل أو أكثر، التي تطالب بها العديد من مجموعات RaaS، قد تعني توقف الأعمال فعلياً بالنسبة للشركات الصغيرة والمتوسطة.

ومع ذلك، حتى في حال توفر الأموال، فإن محاولة الشركة دفع الفدية غالباً ما لا تؤدي إلى فك تشفير البيانات، وكثيراً ما تنتهي بهجمات متكررة بعد فصل أو فصلين. والاحتفاظ بجزء من البنية التحتية بعد الحادث دون فحص كامل هو طريق مباشر لتكرار السيناريو.

عندما تكون الثغرة في النظام وليس في البشر: لماذا تخسر الشركات الروسية أمام الهجمات قبل بدايتها

أظهرت الهجمات الإلكترونية في عامي 2024-2025 أن مشكلة معظم الشركات لا تكمن في أن "القراصنة أصبحوا أقوى"، بل في أن التنظيم الداخلي للأمن لا يواكب التهديدات. أي أن المسألة ليست في الموظفين، بل في غياب الهيكلية الصحيحة لإدارة المخاطر. وينعكس هذا الاتجاه أيضاً على سرعة التعافي. وتشير دراسة IBM X-Force إلى أن متوسط فترة التعافي بعد حادث خطير على مستوى العالم يبلغ 22 يوماً، بينما في روسيا غالباً ما تكون أطول بسبب نقص خطط التعافي المحكمة. وهذا العيب الهيكلي بالتحديد هو ما يسلط عليه الخبراء الضوء.

العمليات أهم من التقنيات

أنطون بوتشكاريف، مؤسس 3side/4sec، يؤكد أن جذور معظم الحوادث لا تكمن في عدم كفاءة متخصصين بعينهم، بل في غياب منظومة عمل متماسكة. ويشير إلى أن الفوضى وعدم الوضوح في إدارة المخاطر يؤديان إلى عجز كثير من الشركات حتى عن تحديد لحظة وقوع الهجوم، مضيفاً أن "القلة فقط قادرة على التعافي خلال 48 ساعة — وهم من أعدوا العمليات مسبقاً وأجروا تدريبات منتظمة".

ويؤكد هذا التقييم بيانات دولية: فوفقاً للمحللين، تنجح الشركات التي تمتلك خطة استجابة محكمة في تقليص الخسائر بنسبة تتراوح بين 37% و42%.

الجاهزية للحوادث: الواقع أسوأ من المتوقع

إيغور بوغومولوف، الرئيس التنفيذي لوكالة القراصنة الأخلاقيين Singleton Security ومركز التدريب CyberED، يقيّم الوضع بصورة أكثر قسوة. فبحسب قوله، لا تمتلك غالبية المؤسسات الروسية سيناريوهات تعافٍ متكاملة ولا بروتوكولات استجابة واضحة. ويلفت إلى أن المدة الفعلية للتعافي بعد هجوم خطير في الشركات الروسية تتراوح بين أسبوع وشهر، وأن أبرز الثغرات تقع على الأطراف: البريد الإلكتروني، وأنظمة إدارة علاقات العملاء، والتطبيقات، وأنظمة الوصول عن بُعد. وغالباً ما تكون هذه المناطق ضعيفة تحديداً لافتقارها إلى بنية تحتية داعمة للأمن.

التقنيات موجودة — الثقافة غائبة

كما يلاحظ دينيس ماكروشين، ظهرت في روسيا خلال السنوات الأخيرة وسائل حديثة لكشف التهديدات، ومراكز عمليات أمنية مؤسسية، وأنظمة مراقبة. لكن دون وجود عمليات لإدارة الصلاحيات، والتعامل مع المقاولين، وتدريب الموظفين، وتنظيم الحوادث، حتى أفضل التقنيات تبقى عاجزة. ويوضح أن "القادرين على التعافي خلال 48 ساعة هم فقط من استثمروا مسبقاً في النسخ الاحتياطي وتمارين محاكاة سيناريوهات التعافي"، وهؤلاء ما زالوا أقلية.

الهجمات عبر المقاولين من الباطن و"الضوضاء" كستار للاختراق الحقيقي

في عام 2025، برز أحد أخطر الاتجاهات المتمثل في تصاعد الهجمات عبر المقاولين من الباطن. تسجل شركة Solar زيادة منهجية في الحالات التي لا يستهدف فيها المجرمون الشركات المحمية مباشرة، بل يتسللون عبر شركائها الأقل حماية. وهذا ما يفسر ارتفاع نسبة شركات تكنولوجيا المعلومات بين الضحايا لتصل إلى 16%، وهو مستوى أعلى بكثير مما كان عليه قبل عامين.

تركز العديد من الشركات الكبرى خطأً على مؤشرات غير منتجة، مثل "مكافحة هجمات التخمين العشوائي" (مجموعة من الإجراءات التي تساعد على إيقاف أو على الأقل إبطاء محاولات الاختراق عندما يحاول القراصنة تخمين كلمة المرور من خلال تجربة آلاف الاحتمالات تباعاً) ولوحات المعلومات الجذابة التي تعرض مئات الحوادث. وهذا يخلق وهم السيطرة. في الوقت نفسه، يلجأ المخترقون بشكل متزايد إلى شن هجمات تشويشية متعمدة لإخفاء أنشطتهم الحقيقية. يؤكد خبيرنا المستقل أن مراقبة عدد محدود من نقاط الاستيلاء الرئيسية على Active Directory أكثر فعالية بكثير من "مطاردة كل محاولة دخول مشبوهة".

الأخطر على الإطلاق: القناعات الخاطئة لدى الإدارة

في سوق المؤسسات الصغيرة والمتوسطة، يتفاقم الوضع بسبب نمطين متطرفين من التفكير. الأول، الاعتقاد بأن "من يريد اختراقنا سيفعل ذلك حتماً". والثاني، أن "نحن صغار جداً لنكون محل اهتمام". كلاهما خطير. معظم الهجمات اليوم آلية، ووفقاً لبيانات Positive Technologies، وقع 36% من جميع الهجمات في النصف الأول من عام 2025 وفق مبدأ "الهدف العشوائي"، حيث يقوم المخترقون ببساطة بمسح الإنترنت بحثاً عن خدمات معرضة للاختراق.

يحدد الخبير ماكروشين ثلاثة من أخطر المفاهيم الخاطئة:

1. "نحن لا نثير اهتمام أحد"
   معظم الهجمات اليوم آلية. تقوم برامج الروبوت ببساطة بمسح الإنترنت بحثاً عن موارد معرضة للاختراق، وإذا كانت الشركة تمتلك أي بنية تحتية لتكنولوجيا المعلومات مهما كانت، فهي بالفعل في دائرة الخطر.
2. "سنضع صندوقاً سحرياً واحداً ونحل كل شيء"
   أي وسيلة حماية ليست سوى أداة. فبدون عمليات ناضجة، قد تجلب المزيد من المشاكل بدلاً من الفوائد.
3. "إذا حدث شيء، سندفع الفدية"
   حتى بعد دفع الفدية، قد تظل البيانات غير متاحة جزئياً، وقد يعود المهاجمون بابتزاز جديد. علاوة على ذلك، لا تلغي الفدية العواقب القانونية ولا تداعيات السمعة.

يجب أن ينتقل نموذج الحماية من وهم "منع كل شيء" إلى المرونة السيبرانية.

"من المستحيل منع جميع الهجمات بشكل كامل. مفهوم المرونة السيبرانية أكثر توجهاً نحو الأعمال: الحماية من الأحداث غير المقبولة والاستعداد للتعافي - هذا هو الأمن السيبراني الفعال الحديث"، يقول أنطون بوتشكاريف.

ما الذي يجب على الدولة والقطاع الخاص فعله؟

تقترح مارينا كيم، عضو مجلس الدوما، النظر إلى الأمن السيبراني ليس كبند تقنية معلومات في الميزانية، بل كعنصر من عناصر السيادة:

"في السابق، كانت الشركات تحسب العائد على الاستثمار من تطبيق برامج مكافحة الفيروسات. أما اليوم فالمسألة مختلفة: إما أن تستثمر في أمن المعلومات، وإما أنك ببساطة لن تكون موجوداً غداً. أمن المعلومات ليس 'ضريبة خوف'، بل هو رخصة البقاء في بيئة الأعمال ضمن الولاية القضائية الروسية".

وترى أنه دون حوافز منهجية ومساءلة، لن يكون بالإمكان قلب الوضع:

• المستوى الشخصي. يجب ترسيخ ثقافة "النظافة الرقمية" على مستوى الإدارة العليا. ينبغي أن يتحمل المديرون مسؤولية شخصية عن تسريب البيانات، تضاهي المسؤولية عن التلاعب المالي. عندما يدرك المسؤول أن الحادثة السيبرانية تشكل خطراً ليس على قاعدة البيانات فحسب، بل على حريته الشخصية وسمعته أيضاً، فإن النظر إلى أمن المعلومات باعتباره "تكلفة" يختفي على الفور.
• الحوافز الضريبية. الشركات التي تستبدل البرمجيات المعادية بحلول أمنية روسية بوتيرة متسارعة، يجب أن تحصل على إعفاءات ضريبية ملموسة. لا بد من تشجيع بالروبل من يعزز السيادة الرقمية للبلاد.
• التأمين السيبراني. يلزم وضع نموذج وطني للتأمين ضد المخاطر السيبرانية، لكن بمعايير صارمة: يجب ألا يعمل التأمين إذا كانت الحماية لديك "باباً مفتوحاً" بدلاً من نظام أمني. ينبغي أن تكون هذه الأداة لمن يلتزم فعلاً بالمعايير الوطنية للأمن.
• المشتريات الحكومية كمحرك للسوق. يتعين على الدولة أن تصبح الجهة الطالبة الرئيسية لأكثر الحلول تقدماً في مجال أمن المعلومات، وأن تختبرها على نفسها أولاً ثم تنقلها إلى قطاع الأعمال باعتبارها "المعيار الذهبي".

الاستثمار في الأمن السيبراني اليوم هو استثمار في الحق بأن تكون دولة ذات سيادة. ولا مجال هنا للحلول الوسط. بينما يعيش الناس حياتهم بهدوء، دون أن يدركوا حجم الهجمات التي تحدث يومياً، تتصدر روسيا منذ أشهر عديدة قوائم التصنيف العالمية للهجمات السيبرانية. والسؤال الوحيد هو: من سيتكيف بشكل أسرع — نحن أم أولئك الذين يستهدفوننا؟