يشهد القطاع المالي تحولًا جوهريًا في نظرته إلى المرونة السيبرانية؛ إذ لم تعد مجرّد ممارسة مثلى، بل أصبحت ضرورة تشغيلية ثم مطلبًا تنظيميًا إلزاميًا يفرضه عدد متزايد من القوانين الدولية.
من اللوائح إلى التطبيق العملي
تُلزم الأطر التنظيمية الحديثة المؤسسات المالية بتنفيذ تمارين محاكاة الأزمات (Tabletop Exercises) ضمن برامجها الأمنية، مثل DORA في الاتحاد الأوروبي، وCPS230 / CORIE في أستراليا، وMAS TRM في سنغافورة، وFCA/PRA Operational Resilience في المملكة المتحدة، ودليل FFIEC IT في الولايات المتحدة، وإطار الأمن السيبراني لهيئة SAMA في السعودية.
وتعقّد هذه اللوائح التزام المؤسسات بسبب حاجتها إلى تنسيق الجهود بين الفرق التقنية وغير التقنية، حيث يجب أن تُدمج محاكاة الجوانب التقنية للهجوم – كاختبارات الفريق الأحمر – مع تمارين إدارة الأزمة في برنامج واحد متكامل، وهو ما تشدد عليه الأطر المستندة إلى TIBER-EU مثل DORA وCORIE.
من ملفات Excel إلى محاكاة واقعية شاملة
في السابق، كانت تمارين المحاكاة تدار عبر جداول Excel بسيطة تحتوي على تسلسل أحداث وتعليقات، أما اليوم فقد تحولت إلى منظومات معقدة تضم سيناريوهات وسيناريوهات فرعية ونماذج لجهات التهديد وتحليلات TTPs وملفات IOCs وأدوات قرصنة وتقارير تقييمية تُراجع وتُنفذ وتُحلّل دوريًا – سنويًا أو فصليًا أو حتى بشكل مستمر.
ورغم مرونة Excel في مجالات الأمن والحوكمة، إلا أن تعقّد المتطلبات الحالية تجاوز حدود استخدامه كأداة كافية لإدارة هذا المستوى من المحاكاة.
الدمج بين تمارين الأزمات والمحاكاة التقنية
طوّرت شركة Filigran منصة OpenAEV لتكون حلًا متكاملًا يجمع بين محاكاة الأزمات البشرية والمحاكاة التقنية في بيئة واحدة. بدأت المنصة كأداة لإدارة تمارين الأزمات، ثم تطوّرت لتدمج محاكاة الاختراق والهجوم (Breach & Attack Simulation) ضمن إطار إدارة التعرّض العدائي الشامل (Adversarial Exposure Management)، مما يتيح تقييم جاهزية الفرق التقنية والإدارية معًا.
هذا الدمج يجعل التمرين أكثر واقعية، إذ يمكن – مثلًا – أن تتبع تنبيهات تشفير فدية رسائل بريد إلكتروني من مستخدمين مرتبكين، في محاكاة متكاملة تجمع التقنية والتفاعل البشري.
إدارة الفريق والتنسيق عبر هوية المؤسسة
تسمح OpenAEV بمزامنة بيانات المشاركين عبر أنظمة إدارة الهوية والوصول (IAM)، بحيث يتلقى الأشخاص نفس التنبيهات من الأنشطة التقنية ورسائل الأزمة، ثم الاستبيانات الفورية عقب التمرين، ويُدرجون في التقارير النهائية للمراجعة والتدقيق.
وإذا أُعيد التمرين لاحقًا بعد تطبيق الدروس المستفادة – كما تتطلبه لوائح DORA وCORIE – فإن هذه المزامنة تضمن تحديث قوائم الاتصال ومسارات التواصل البديلة، بما في ذلك الأطراف الخارجية مثل مزوّدي MSSP وMDR وسلاسل التوريد المرتبطة.
التوقيت وبناء التحسّن المستمر
مع دخول CORIE وDORA حيز التنفيذ حديثًا، فإن العديد من المؤسسات لا تزال في المراحل الأولى من إعداد تمارينها المزدوجة. ويوصى بالبدء التدريجي: اليوم الأول لمحاكاة الفريق الأحمر التقنية لاختبار الضوابط، ثم اليوم الثاني لتمرين الأزمة لمراجعة القرارات الإدارية والاتصالية استنادًا إلى نتائج اليوم الأول.
ويمكن أيضًا جدولة المحاكاة على فترات ممتدة – أسابيع أو أشهر – لمحاكاة سيناريوهات أكثر واقعية، مثل ترك آثار اختراق مسبقة واختبار قدرة فرق الأمن والاستجابة على اكتشافها وتحليلها من السجلات المؤرشفة.
نحو جاهزية مؤسسية حقيقية
تساعد هذه التمارين المتكاملة المؤسسات على بناء ذاكرة عضلية سيبرانية لدى فرق الأمن والإدارة، وتعزيز الثقة في القدرة على إدارة الأزمات الفعلية. وتُعد منصة OpenAEV – المتاحة مجانًا للاستخدام المجتمعي – من الأدوات الداعمة في هذا الاتجاه، إذ توفر مكتبة لسيناريوهات الفدية والتهديدات الشائعة، وتكاملًا مع أنظمة SIEM وEDR، إضافة إلى بيئة مفتوحة للتطوير والتوسعة.
فحين تُصبح الفرق مدرّبة ومتقنة للتعامل مع الأزمة، لن تكون الأزمة أزمة بعد الآن.
