مقال بقلم ديمتري مارينوف، المدير التقني في شركة ANY.RUN المتخصصة في الأمن السيبراني في الإمارات العربية المتحدة

مع تطور بيئة الشركات الناشئة في الشرق الأوسط وشمال أفريقيا، تحوّل الأمن السيبراني من مسألة تقنية تتم خلف الشاشات إلى موضوع رئيسي على طاولة مجالس الإدارة. فاليوم لا يكتفي المستثمرون بوعود عامة عن "الأمان"، بل يريدون أدلة حقيقية على أن البنية الرقمية للشركة محصّنة وأن بياناتها في أيدٍ آمنة. لذلك، على المؤسسين أن يتعاملوا مع الأمن السيبراني كعلامة على نضج الشركة وقدرتها التشغيلية، لا كتفصيلة تؤجَّل إلى ما بعد الإطلاق.

في عام 2025، تواجه الشركات الناشئة في الشرق الأوسط وشمال أفريقيا ضغوطًا متزايدة لإثبات جديّتها في تطبيق معايير الحماية، سواء أمام الجهات التنظيمية المحلية — مثل TDRA/NCA  في الإمارات وSAMA/NCA  في السعودية — أو أمام المستثمرين العالميين الذين يطالبون بمعايير واضحة لحماية البيانات والبنية الرقمية، مثل ISO 27001  وSOC2 وGDPR. لكن الجديد هو أن هذه المعايير لم تعد مجرّد سياسات مكتوبة على الورق، بل أصبحت تتطلب إثباتًا عمليًا على الالتزام. إذ يُتوقّع من الشركات الناشئة:

• فحص الملفات المشبوهة داخل بيئات آمنة معزولة عن أنظمة الشركة.
• حفظ سجلات محاولات الاختراق أو الأنشطة غير المعتادة لفترات أطول تتجاوز الشهر.
• وجود آلية واضحة لتتبّع التهديدات والتعامل معها فورًا، بدل الاكتفاء بتنبيه عبر البريد الإلكتروني.

قبل سنوات قليلة، لم يكن الأمن السيبراني حاضرًا في أسئلة المستثمرين خلال مراحل التقييم أو المراجعة. أما اليوم، فقد صار جزءًا أساسيًا من الصورة الكاملة عن نضج الشركة واستقرارها التشغيلي.

ورغم ذلك، لا تزال الفجوة واسعة بين التوقعات والواقع. فخلال عملي في الاستجابة للحوادث السيبرانية في المنطقة، رأيت المشهد نفسه يتكرّر مرارًا: شركات ناشئة تقدّم منتجات بمستوى عالمي، لكنها تعمل على بنية رقمية هشة، كل الخوادم وأجهزة العمل وبيئات التطوير متصلة على الشبكة نفسها، بجدران حماية داخلية محدودة، سجلات تُمحى أسبوعيًا، وموظفون يفتحون ملفات مجهولة مباشرة على أجهزتهم.

لكن بناء الحماية لا يحتاج إلى ميزانيات ضخمة أو فرق أمنية متخصصة، بل إلى وعي حقيقي بما تتعرض له الشركات الناشئة في المنطقة من تهديدات فعلية.

أكثر أنواع الهجمات شيوعًا على الشركات الناشئة في المنطقة

تواجه الشركات الناشئة حول العالم مجموعة مألوفة من التهديدات الإلكترونية: هجمات التصيّد الإلكتروني  (Phishing)، والابتزاز عبر البرامج الخبيثة  (Ransomware)، والاحتيال عبر البريد الإلكتروني داخل بيئات العمل (Business Email Compromise – BEC)، إضافة إلى الهجمات على سلاسل التوريد.

لكن بينما يسعى المهاجمون في الغرب عادة إلى سرقة البيانات على نطاق واسع، تتركز أغلب الهجمات الموجّهة إلى المنطقة على تحقيق أرباح سريعة ومباشرة، باستخدام أدوات مثل PrivateLoader وSmokeLoader  كنقاط دخول تمهّد لهجمات الابتزاز الرقمي.

في الإمارات والسعودية تحديدًا، تتعرض الشركات الناشئة إلى كميات ضخمة من البرمجيات الخبيثة المنتشرة تجاريًا — وهو مستوى لا يُرى عادة في الأسواق الأوروبية أو الأميركية. وتتميّز الهجمات في المنطقة بنمط مختلف وشراسة أعلى في بعض الأساليب:

• التصيّد الإلكتروني (Phishing) ما زال الوسيلة الأكثر انتشارًا، خصوصًا عبر صفحات تسجيل دخول مزيّفة تشبه بوابات مايكروسوفت، أو روابط فواتير وهمية، أو ملفات HTML مضغوطة داخل أرشيفات ZIP.
• تنتشر برمجيات Stealer وDropper المصمّمة لتعمل بصمت، فتتسلل داخل أنظمة 64-bit وARM وتتجنب رسائل التحذير أو التثبيت الواضح.
• شهدت هجمات الاحتيال في البريد الإلكتروني (BEC) ارتفاعًا لافتًا بنسبة 29٪ في الإمارات وحدها، وغالبًا ما تعتمد على انتحال صفة داخلية لتحويل المدفوعات أو سحب مستندات حساسة.
• أما الملفات الخبيثة، فرغم تراجع استخدامها، فإنها لا تزال تظهر في حملات تستخدم حيلًا بسيطة مثل إخفائها داخل ملفات أرشيف أو تقديمها كمواد تدريب داخلية.

جذور المشكلة وثغرات الأمان في المراحل الأولى من عمر الشركات

أكبر سوء فهم يقع فيه كثير من مؤسسي الشركات هو التعامل مع الأمن السيبراني كترف مؤجل، كأنه خطوة لا ضرورة لها قبل التوسّع والوصول إلى السوق. لكن الواقع مختلف تمامًا، فديون الأمان تتراكم مثل الديون التقنية، وكلما تأخّر التعامل معها، زادت كلفتها — سواء من وقت الفرق أو من ثقة العملاء أو حتى من سمعة الشركة وقيمتها السوقية.

في الحقيقة، المهاجمون لا ينتظرون حتى تكبر الشركة أو تجمع تمويلًا جديدًا، فالهجمات تبدأ أحيانًا بعد أيام فقط من إطلاق المنتج. في منطقتنا مثلًا، تُستهدف شركات صغيرة بأدوات تصيّد جاهزة وهجمات رقمية سريعة، بينما لا تزال ممارسات الأمان الأساسية — مثل بيئات الاختبار الآمن وتوثيق السجلات — في طور النضج.

في المقابل، صار المستثمرون أكثر حرصًا في مراحل مبكرة. فمع أول جولة تمويل مؤسسية، تطلب الصناديق في أبوظبي أو الرياض تقارير فحص أمني وملفات من بيئات الاختبار. النقطة الفاصلة لم تعد الاختراق نفسه، بل اللحظة التي تحصل فيها على أول عميل. فمنذ أن تبدأ في التعامل مع بيانات المستخدمين أو المدفوعات، تصبح هدفًا واضحًا — سواء كان جمهورك خمسين مستخدمًا أو خمسين ألفًا.

غالبًا ما تتكرر الأخطاء نفسها في المراحل الأولى من بناء الشركات، حتى عند الفرق التقنية الموهوبة:

• شبكات بلا فصل داخلي: بيئات التطوير والتجريب والإنتاج تعمل على الشبكة نفسها، بصلاحيات دخول واسعة، ما يجعل أي اختراق صغير كفيلًا بالانتشار في كامل النظام.
• كلمات مرور ضعيفة أو مكرّرة: حتى مع تفعيل التحقّق الثنائي (MFA) كثير من الفرق تعيد استخدام كلمات السر أو تشارك حسابات المديرين، ما يسهل حركة المهاجمين داخل الشبكة بعد الاختراق الأول.
• ثقة زائدة في برامج الحماية: يظن البعض أن برامج مكافحة الفيروسات أو أنظمة المراقبة (EDR) قادرة على صدّ كل تهديد، بينما الواقع أن معظم البرمجيات الخبيثة تُصمَّم لتجاوزها، خصوصًا حين تُرسل عبر ملفات مضغوطة أو روابط من خدمات عامة.
• التصيّد والهندسة الاجتماعية: كثير من الشركات تستخفّ بمدى تطوّر التصيّد المستهدف، الذي بات يتنكر في شكل بوابات ضرائب أو بنوك أو مواقع حكومية. بل إن بعض المهاجمين يتواصلون مباشرة مع المؤسسين أو المديرين الماليين عبر LinkedIn أو WhatsApp بخدع مقنعة.
• الاعتماد على أطراف خارجية: في بداياتها، تعتمد الفرق الصغيرة على مزوّدي خدمات أو أدوات SaaS كثيرة، لكنها نادرًا ما تراجع درجة أمان هؤلاء المزوّدين، ما يخلق ثغرات غير مرئية يسهل استغلالها.

ومن أكثر الأخطاء التي تمرّ بلا انتباه، عدم وجود مساحة آمنة لاختبار الملفات المشبوهة قبل فتحها. لا يتطلّب الأمر بنية تحتية معقدة أو مركز أمن متكامل، بل مجرد أداة بسيطة عبر المتصفح تتيح فحص الملفات في بيئة معزولة. هذه الأدوات يسهل تركيبها وتشغيلها، ومع ذلك تتجاهلها فرق كثيرة معتقدة أن برامج مكافحة الفيروسات أو فلاتر البريد كافية. والنتيجة أن ملفًا واحدًا — بصيغة PDF أو ZIP — قد يتسلل بسهولة ويتسبب في اختراق كامل، خصوصًا حين تكون صلاحيات الدخول فضفاضة.

في النهاية، لا يتعلق الأمر بمجرد اكتشاف التهديدات، بل بترسيخ عادة واعية داخل الفريق، مدعومة ببيئة وأدوات تمكّنه من فحص الملفات والتحقق منها قبل فتحها أو الوثوق بها.

خطوات عملية لتعزيز الأمان في الفرق الصغيرة

حتى من دون وجود قسم أمني متخصّص (SecOps)، بات بإمكان الشركات الناشئة في مراحلها الأولى الوصول إلى مستوى متقدّم من الحماية بفضل أدوات بسيطة وسهلة الاستخدام:

• خدمات الأمن كخدمة (SOC-as-a-Service): تتيح للفرق الصغيرة مراقبة دائمة على مدار الساعة، مع تحليل فوري للتنبيهات والاستجابة للحوادث، وكل ذلك بتكلفة أقل بكثير من توظيف فريق أمني كامل — غالبًا أقل من ألف دولار شهريًا.
• إدارة الهوية والصلاحيات: منصّات مثل Okta أو Google Workspace مع ميزة الوصول المشروط، أو Tailscale، تساعد على تطبيق المصادقة المتعددة (MFA) والتحكّم الدقيق في الصلاحيات، مع إتاحة رؤية كاملة للجلسات عبر لوحات تحكم مألوفة للمطوّرين.
• الاختبار الآمن والكشف عن التهديدات: الأدوات الحديثة القائمة على المتصفّح تمكّن الفرق من فحص الملفات المشبوهة وتحليل سلوك البرمجيات الخبيثة بأمان. وعند دمجها مع مصادر معلومات التهديدات (threat intelligence)، يمكنها رصد الروابط الخبيثة أو الملفات الضارة فورًا — وهي ميزة مهمة في منطقة تتكرر فيها هجمات التصيّد وإعادة استخدام البنية التحتية للهجمات.
• تأمين بيئة التطوير: من خلال دمج فحوصات CI/CD (مثل GitHub Actions) يمكن اكتشاف الثغرات المعروفة (CVEs) أو بيانات الوصول الحسّاسة التي قد تُكشف بالخطأ، إلى جانب المخاطر الناتجة عن استخدام مكتبات خارجية غير محدّثة، وذلك في وقت مبكر قبل أن تتطور إلى مشكلات أكبر.
• الاستعانة بخبراء مستقلين: وجود مستشارين أمنيين أو CISO جزئي (بدوام جزئي) يساعد على وضع السياسات الصحيحة وتوجيه الفريق أثناء أي حادث أمني، من دون كلفة التوظيف الدائم.

هذه الممارسات لا تقتصر على سدّ الثغرات الأمنية، بل تساهم أيضًا في بناء صورة أكثر احترافية للشركة أمام المستثمرين والشركاء. فحين تحتفظ بسجلات sandbox وتقارير IOC لأي حوادث مشتبه بها، تُظهر أن الحماية ليست إجراءً شكليًا، بل جزءًا أصيلًا من طريقة عملك اليومية.

ويمكن توثيق ذلك ببساطة من خلال ورقة موجزة توضّح عناصر الأمان الأساسية في الشركة — مثل إدارة الهوية، والنسخ الاحتياطي، وآليات الاستجابة للحوادث — لتمنح الشركاء والمستثمرين رؤية واضحة عن أسلوب إدارتك للمخاطر.

كما أن مراجعة الأدوات والخدمات الخارجية التي تعتمد عليها الشركة بانتظام، خصوصًا المكتبات مفتوحة المصدر، وتثبيت نسخ محددة منها، يساعد على تقليل مخاطر سلاسل التوريد. وعندما تكون خطط الاستجابة لديك مكتوبة ومجرَّبة ومحدَّثة ضمن نظام واضح، فهي لا تحميك فقط من المفاجآت، بل تعكس أيضًا مستوى النضج التشغيلي الذي يقدّره المستثمرون.

خمس خطوات لتأسيس الحماية السيبرانية في الشركات الناشئة

لا تحتاج الشركات الناشئة إلى أنظمة أمان عملاقة منذ اليوم الأول، لكن تطبيق بعض الأساسيات يمكن أن يحدث فرقًا حقيقيًا في قوة الحماية ومصداقية الشركة:

1. ابدأ بالهوية: فعّل المصادقة المتعددة (MFA) على كل الأدوات والمنصات، وتخلَّ عن الحسابات المشتركة باستخدام مدير كلمات مرور مثل 1Password أو Bitwarden.
2. افصل بين البيئات: أنشئ فصلاً واضحًا بين بيئات التطوير والإنتاج والتكامل (CI/CD) داخل شبكات مستقلة (VPCs) مع تحديد الصلاحيات وفق الأدوار.
3. استخدم بيئة اختبار مبكرًا: أضف نظام Sandbox لفحص المستندات والملفات وروابط التثبيت قبل فتحها من قِبل المستخدمين.
4. سجّل واحتفظ: استخدم أنظمة تسجيل مركزية مثل Wazuh SIEM للاحتفاظ بسجلات الأنشطة والأحداث لمدة تتجاوز 30 يومًا.
5. اختبر العنصر البشري: نفّذ محاكاة لهجمات التصيّد كل ثلاثة أشهر، ودَرّب الفريق على التعرّف إلى محاولات الخداع عبر البريد الإلكتروني وLinkedIn وWhatsApp.

هذه الخطوات الخمس لا تحمي الشركة الناشئة من الاختراقات فحسب، بل تبني ثقة حقيقية مع المستخدمين وتسرّع خطوات التعاقد وجمع التمويل وتجعل عملية التقييم والفحص من قِبل المستثمرين أكثر سلاسة وشفافية.