8 نقاط أساسية من تقرير دراغوس 2026 للأمن السيبراني في مجال تكنولوجيا التشغيل
كشف تقرير دراغوس لعام 2026 – وهي شركة رائدة في مجال الأمن السيبراني متخصصة في حماية البنية التحتية الصناعية الحيوية – أن مشهد تهديدات الأنظمة التشغيلية يتطور بهدوء وبشكل هيكلي.
لم يكن النشاط الأكثر تأثيراً في عام 2025 مدفوعاً بظهور عائلات جديدة من البرمجيات الخبيثة أو حوادث تعطل درامية مفاجئة، بل كشف عن خصوم يمتلكون صبراً استراتيجياً وفهماً عميقاً للعمليات الفيزيائية وثقة تامة بأن نقاط الضعف المعمارية المزمنة في الأنظمة الصناعية ستستمر في منحهم النتائج المطلوبة.
وبدلاً من السعي وراء أساليب هجومية جديدة لمجرد الحداثة، ركّز المهاجمون خلال الفترة الأخيرة على فهم كيفية عمل البيئات الصناعية فعلياً، فقد استثمروا وقتهم في دراسة آليات استمرارية الوصول وكيف تنتقل الثقة بين الأنظمة وكيف يمكن تهيئة التأثير التشغيلي تدريجياً قبل تنفيذه بوقت طويل.
النتيجة هي مشهد تهديدات في بيئات التقنية التشغيلية (OT) أصبح أكثر نضجاً وتعقيداً؛ حيث تسبق النية التنفيذ بأشهر، ولم يعد غياب التعطّل الفوري مؤشراً على الأمان. ففي كثير من الحالات، يكون الخصم قد تموضع بالفعل داخل الشبكة بانتظار اللحظة المناسبة.
وسنذكر في هذا المقال 8 نقاط أساسية من تقرير المراجعة السنوية الأخير الصادر عن شركة دراغوس، تسلّط الضوء على التحولات الأهم بالنسبة لمدافعي أنظمة التحكم الصناعية (ICS). هذه المؤشرات لا تكشف فقط عن طبيعة التهديدات، بل توضّح كيفية تخطيط الخصوم، وتحديد مواقعهم، ونجاحهم في النهاية داخل بيئات التقنيات التشغيلية – ولماذا ينبغي للمؤسسات توقع استمرار هذا المسار.
1- الخصوم يتموضعون فعليًا لإحداث تأثير في بيئات OT
خلال عام 2025، تجاوزت عدة مجموعات تهديد مرحلة الوصول الانتهازي والاستطلاع الأساسي، واتجهت نحو التموضع المتعمد استعداداً لتعطيل تشغيلي مستقبلي، وبحسب تقرير دراغوس فقد ظهرت أنشطة تشير إلى تهيئة البيئات الصناعية لسيناريوهات مثل فقدان التحكم أو فقدان الرؤية أو حتى نتائج تدميرية، رغم عدم حدوث أي اضطراب فوري.
وعندما يمر هذا التحول دون ملاحظة، يستمر الوصول الخبيث داخل الشبكة لفترات أطول. قد ترصده فرق الأمن ولكن من دون سياق تشغيلي كافٍ يوضح خطورته الحقيقية، ويستمر الإنتاج بشكل طبيعي وتتراجع درجة الاستعجال بينما يعمل المهاجمون بصمت على رسم خريطة الاعتماديات والعلاقات بين الأنظمة في الخلفية. ومع مرور الوقت، يصبح التعطيل مسألة توقيت لا مسألة قدرة.
التصدي لهذا النوع من التهديدات لا يقتصر على كشف التسلل، بل يتطلب فهماً عميقاً لكيفية تحوّل الوصول السيبراني إلى عواقب مادية على أرض الواقع داخل البيئات الصناعية.
2- رسم خرائط حلقات التحكم بدلاً من المسح الواسع
ابتعد بعض الخصوم عن أساليب الاكتشاف العشوائي، واعتمدوا نهج يركز على فهم العمليات الصناعية نفسها، فمن خلال الاستهداف المنهجي لواجهات التشغيل البشرية (HMI) ومحركات التردد المتغير (VFDs) وأجهزة القياس (Meters) والبوابات البعيدة، أظهرت بعض مجموعات اهتماماً واضحاً بكيفية نشوء الأوامر وكيف تنتقل عبر البيئة الصناعية وكيف تنعكس في النهاية على الأنظمة الفيزيائية. وقد مثّل هذا تحولًا من مجرد جرد للأصول إلى فهم حقيقي للعمليات،
والتحدي الحالي أن الكثير من المؤسسات تركز في المراقبة على رؤية الأصول دون تحليل عميق لكيفية تفاعل هذه الأصول معاً داخل حلقة التحكم، وقد ترى فرق الدفاع تنبيهات منفصلة، لكنها تفوّت السرد الكامل الذي يتشكّل في الخلفية – سرد يشير إلى محاولة التلاعب بالعمليات وليس مجرد نشاط عشوائي.
اكتشاف التغيّر في سلوك حلقات التحكم لا يتطلب فقط تحسين أنظمة التنبيه، بل يحتاج إلى فهم معماري وتشغيلي عميق للبيئة الصناعية – فهم يربط بين الشبكة والتحكم والنتائج الفيزيائية على أرض الواقع.
3- الوصول الأولي أصبح وظيفة متخصصة وقابلة للتوسع
لم يعد الوصول الأولي مرتبطاً بشكل مباشر بالجهة التي تُحدث التأثير التشغيلي في نهاية المطاف، فبعض الشركات ركّزت بشكل شبه كامل على استغلال البنية التحتية المكشوفة على الإنترنت، ثم قامت بتمرير هذا الوصول إلى جهات أخرى تتولى المراحل اللاحقة من الهجوم، حيث لا يحدث أي انقطاع ولا تتوقف خطوط الإنتاج ولا تظهر مؤشرات فورية على التخريب. تمر الأيام والأسابيع دون أي حدث. وفي هذه المرحلة، قد تعتبر المؤسسة أن الحادث الذي تم احتواؤه أو أنه منخفض الخطورة لأنه لم يؤثر على العمليات.
وهذا النموذج يشبه ما حدث في منظومات برمجيات الفدية في بيئات (IT)، لكنه في (OT) يحمل مخاطر أكبر بكثير، ففي حين يمكن عزل خادم تقليدي وإعادة تهيئته بسرعة، فإن إزالة وصول خبيث داخل شبكة صناعية قد تتطلب تنسيقاً مع فرق العمليات، ومراعاة استمرارية الإنتاج وضمان عدم التأثير على السلامة التشغيلية، لذلك قد يستمر الوصول الخبيث لفترة طويلة – ليس لعدم اكتشافه، بل لصعوبة إزالته بأمان.
4- تعطيل بيئات (OT) قد يحدث دون المساس بوحدات التحكم
في عام 2025، لم تتطلب بعض أخطر الحوادث التلاعب المباشر بوحدات التحكم الصناعية مثل وحدة تحكم منطقية قابلة للبرمجة (PLC) أو الأجهزة الميدانية. بدلاً من ذلك، استهدف المهاجمون أنظمة داعمة لبيئة التشغيل الصناعي، مثل منصات المحاكاة الافتراضية، وأنظمة إدارة الهوية والصلاحيات، وغيرها من البنية التحتية التي يعتمد عليها التشغيل اليومي.
وإذا تم استهداف خادم المحاكاة الافتراضية وتعطيله، فلن يتمكن المشغل من رؤية ما يحدث في خطوط الإنتاج، فالآلات قد تستمر في العمل، لكن بدون رؤية واضحة أو قدرة على التدخل، قد تضطر الإدارة إلى إيقاف العمليات كإجراء احترازي.
وفي كثير من هذه الحوادث، ركزت فرق الأمن على حماية وحدات التحكم نفسها، واعتقدت أن سلامة الـ (PLC) تعني سلامة العمليات. لكن نقطة الضعف الحقيقية كانت في الأنظمة التي يعتمد عليها المشغلون لرؤية العملية الصناعية وإدارتها.
5- اختراق سلسلة التوريد أصبح طريقًا رئيسيًا لمهاجمة بيئات (OT)
لم يعد المهاجمون يستهدفون المصانع أو محطات الطاقة بشكل مباشر فقط، بل أصبحوا يركزون على الشركات الداعمة مثل شركات الهندسة ومتكاملي الأنظمة والموردين ومزودي الخدمات المدارة (MSPs)، ومزودي أنظمة الخرائط (GIS).
هذه الجهات تمتلك عادةً صلاحيات دخول موثوقة ووثائق تفصيلية عن الأنظمة ومعرفة عميقة بأكثر من بيئة صناعية. ولهذا فإن اختراق مورد واحد قد يفتح الباب للوصول إلى عشرات العملاء دفعة واحدة.
6- النشاط الهكتيفي أصبح خطيراً على العمليات
في عام 2025، أظهرت مجموعات مثل (BAUXITE) أن النشاط الهكتيفي – استخدام الاختراق الإلكتروني لأغراض سياسية، اجتماعية، أو أيديولوجية – لم يعد يقتصر على الإزعاج أو توجيه الرسائل فقط، بل أصبح قادراً على إحداث أضرار فعلية، ومن خلال استخدام برمجيات محو البيانات والتفاعل مع أصول (OT) وإطلاق حملات ضغط نفسي، وأحياناً استخدام شخصيات الهكتيفيين لتضليل الجهات عن الفاعل الحقيقي.
7- الثغرات في الرؤية أهم من الثغرات البرمجية
وجد تقرير دراغوس لعام 2026 أن المشكلة الأساسية ليست الثغرات البرمجية الحديثة (Zero-Days)، بل نقص الرؤية والمراقبة في بيئات (OT)، ومعظم الحوادث لم يُكتشف وجودها إلا بعد أن تسبب الهجوم في تأثير فعلي على العمليات، وأحياناً كانت بعض الأنشطة الغريبة غير قابلة للتصنيف نهائياً.
والسبب هو أنه في بيئات (OT) الرؤية محدودة بسبب اعتبارات السلامة واستقرار النظام واستخدام تقنيات قديمة، ولفهم ما يجب مراقبته فعلياً وما يمكن مراقبته عملياً، تحتاج المؤسسات إلى سياق تشغيلي عميق، وليس فقط الاعتماد على نماذج أمنية عامة.
8- البنية التحتية تحدد مدى السيطرة على الحوادث
عندما تكون الشبكات مسطحة والثقة ضمنية وتقسيم الأنظمة ضعيف ينتقل المهاجم بسرعة من نقطة الدخول إلى التأثير على العمليات، أما في البيئات التي تحتوي على بنية تحتية قوية ومنظمة، فإن نفس الاختراقات تصبح أبطأ وأكثر وضوحا وأسهل في التعامل معها.
ويُظهر التقرير أن الفرق ليس في الأدوات أو المعلومات أو عدد الموظفين، بل في هيكل النظام نفسه، فقدرة المؤسسة على التحكم في الحوادث أو الحد من تأثيرها تعتمد على تصميمها المعماري. المرونة والأمان في البيئات الصناعية ليست صدفة، بل نتيجة تصميم مدروس.
