تتجاوز مشكلة الأمن السيبراني التي تواجه المنظمات غير الربحية ما تعكسه الأرقام المتداولة في العناوين الرئيسية. فالقضية الجوهرية في هذا القطاع اليوم مرتبطة بقياسه وتقييمه بصورة غير دقيقة. ففي عام 2025، أفادت شركة Abnormal Security بارتفاع سنوي بلغ 35.2% في الهجمات المتقدمة عبر البريد الإلكتروني التي تستهدف المنظمات غير الربحية، إلى جانب زيادة قدرها 50.4% في هجمات التصيد الهادفة إلى سرقة بيانات الاعتماد. وفي تحليل منفصل أجرته شركة Okta لقطاع المنظمات غير الربحية في العام نفسه، تبيّن أن هذا القطاع يحتل المرتبة الثانية بين أكثر القطاعات تعرضاً للهجمات ضمن منظومة عملائها، حيث جرى رصد تهديدات في نحو 18% من عمليات المصادقة الخاصة بهذه المنظمات.
أما في المجال الإنساني والتنموي، فتشير منظمة NetHope إلى أن 65% من المنظمات الأعضاء التي شملها الاستطلاع تعرّضت لخرق أمني خلال الاثني عشر شهراً السابقة. ورغم أن هذه الأرقام لا تقارن بعضها ببعض على نحو مباشر، فإنها تشير جميعاً إلى كون المنظمات غير الربحية فئة من المؤسسات تتعرض للاستهداف بشكل متكرر.
تصاعد التهديدات ضد المجتمع المدني
تدعم البيانات الأوسع الخاصة بالمجتمع المدني هذه الصورة المقلقة. فقد أعلنت شركة Cloudflare أن مشروع Project Galileo، الذي يوفّر الحماية للمنظمات ذات المصلحة العامة مثل المؤسسات غير الربحية، وجماعات حقوق الإنسان، ووسائل الإعلام المستقلة، قام بحجب 108.9 مليار تهديد إلكتروني بين الأول من مايو 2024 و31 مارس 2025. ويعادل ذلك متوسطاً يقارب 325.2 مليون هجوم يومياً، مع زيادة بلغت 241% مقارنة بالتقرير السابق.
ولا يعني ذلك أن كل منظمة غير ربحية تتعرض لهجوم مستمر، لكنه يدل بوضوح على أن بيئة التهديدات المحيطة بالمؤسسات ذات الرسالة المجتمعية آخذة في التصاعد على نطاق واسع.
عندما يتحول الحادث السيبراني إلى أزمة إنسانية
ما يزيد من خطورة الوضع أن استهداف هذه المنظمات غالباً ما يجمع بين دوافع الجريمة الإلكترونية التقليدية وبين دوافع استراتيجية. فالمنظمات غير الربحية تحتفظ بمجموعة واسعة من البيانات الحساسة، تشمل سجلات المتبرعين، وبيانات الرواتب، وملفات المنح، والاتصالات الداخلية، وبيانات المستفيدين، والكثير الكثير.
ولعل الهجوم السيبراني الذي تعرضت له اللجنة الدولية للصليب الأحمر (ICRC) مثال صارخ على ذلك، إذ أدى الاختراق إلى كشف البيانات الشخصية لأكثر من 515 ألف شخص من الفئات الهشة، مما أثر في خدمات لمّ شمل العائلات للأشخاص الذين فرّقت بينهم النزاعات أو الهجرة أو الكوارث.
فجوة البيانات في هذا القطاع
يعاني القطاع من مشكلة مركزية سببها فجوة عميقة في البيانات المتعلقة بالحوادث السيبرانية. فالمنظمات غير الربحية ليست خارج نطاق قوانين الإبلاغ عن الاختراقات بشكل كامل. لكن الفارق الجوهري يكمن في أن معظم هذه المنظمات لا تقع ضمن أنظمة الإبلاغ والحوكمة المتخصصة التي تجعل الحوادث السيبرانية في القطاعات الأخرى أكثر وضوحاً وتوثيقاً. ذلك أن معظم المنظمات غير الربحية لا تخضع لنظام جامع مماثل للإبلاغ عن الحوادث السيبرانية كما هو الحال مع الشركات المدرجة في أسواق الأسهم والتداول والترخيص مثلاً.
لماذا تبقى كثير من الحوادث غير مرئية؟
تكمن أهمية هذا التمييز في أن الظهور العلني للحوادث يعتمد إلى حد كبير على بنية الإبلاغ القانونية والتنظيمية. فإذا لم يتجاوز الهجوم عتبة قانونية تتعلق بتسريب البيانات الشخصية أو بالأهمية المادية للحادث أو بنوع بيانات منظمة قانونياً، فقد لا يظهر هذا الهجوم في أي قاعدة بيانات عامة.
وبالتالي فإن أحداثاً مثل محاولات التصيد الاحتيالي، أو الاستيلاء على الحسابات دون تسريب كبير للبيانات، أو الحوادث التي كادت تقع لكنها أُحبطت في اللحظة الأخيرة، أو غيرها، غالباً ما تبقى غير مرئية خارج نطاق المؤسسة المتضررة.
مشكلة سلاسل الإمداد والتوريد التقني
يزداد الأمر تعقيداً بسبب تركيز الخدمات التقنية لدى عدد محدود من المورّدين. ففي كثير من الحالات، عندما تتضرر منظمة غير ربحية من اختراق ما، يجري تسجيل الحادث باعتباره اختراقاً لدى المورد وليس لدى المنظمة نفسها.
ويمثل حادث Blackbaud مثالاً واضحاً على هذا النمط؛ إذ ذكرت هيئة الأوراق المالية والبورصات الأمريكية (SEC) أن هجوم الفدية الذي تعرضت له الشركة أثر في أكثر من 13 ألف عميل. بينما أفادت لجنة التجارة الفيدرالية الأمريكية (FTC) بأن القراصنة تمكنوا من الوصول إلى البيانات الشخصية لملايين المستخدمين، وأن الشركة ـ التي تقدم خدماتها للمنظمات غير الربحية وغيرها ـ لم تطبق الضمانات الأمنية المناسبة.
ولدى احتساب الحوادث على مستوى القطاع، قد يتم تسجيل حدث كهذا باعتباره حادثاً واحداً لدى مزود خدمات، بدلاً من أن يظهر كآلاف الحوادث أو حالات التعرض للخطر لدى المنظمات غير الربحية التي تعتمد عليه.
لهذا السبب، فإن انتظار بيانات أفضل قبل التحرك يمثل توجهاً سياسياً خاطئاً. فغياب القياس الدقيق لا ينبغي تفسيره على أنه غياب للخطر. ذلك أن القياس الناقص هو في حد ذاته جزء من المشكلة، لأن ما يُقلل من حجمه في الإحصاءات غالباً ما يُهمَل في التمويل.
وتؤكد NetHope خطورة هذا الواقع، إذ تشير إلى أن المنظمات الإنسانية والتنموية تقدم اليوم خدمات أساسية ـ من الصحة والمياه إلى الانتخابات وحتى الوصول المالي ـ لأكثر من مليار إنسان حول العالم، ومع ذلك لا ينطبق عليه التمويل أو المعاملة كما لو كانت جزءاً من البنية التحتية الحيوية التقليدية.
فجوات القدرات داخل القطاع
تظهر التقارير أيضاً أن المشكلة لا تقتصر على الموارد المالية. فوفقاً لوكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، تعمل كثير من منظمات المجتمع المدني بميزانيات محدودة لا تسمح باستثمارات كبيرة في الأمن السيبراني. كما تشير أبحاث CyberPeace Institute إلى أن أقل من 15% من منظمات المجتمع المدني غير الحكومية لديها خبراء أمن سيبراني ضمن طاقمها، ونحو 33% منها لا تمتلك موارد تقنية أو أمنية مخصصة
صورة العمليات اليومية للهجمات
تعكس بيانات الحوادث التشغيلية واقعاً مكملاً. ففي تقرير Community IT لعام 2025، والمبني على بيانات عام 2024 لعملاء من المنظمات غير الربحية الصغيرة والمتوسطة، تم تسجيل 2038 حادثاً أمنياً، وكان من اللافت أن معظمها يتمحور حول البريد الإلكتروني والهوية الرقمية والاحتيال المالي،
ما بعد التمويل: الحاجة إلى بنية مؤسسية
يقودنا ذلك إلى تصحيح مهم لفكرة أن الحل يكمن ببساطة في زيادة التمويل. فالأموال ضرورية بلا شك، لكن التمويل من دون بنية تنظيمية واضحة غالباً ما يتبدد في أدوات متفرقة أو استشارات قصيرة الأجل أو ممارسات شكلية للامتثال.
وتشير الأدلة إلى أن المنظمات غير الربحية تحتاج إلى خمسة عناصر متكاملة:
- ملكية تنفيذية واضحة لمخاطر الأمن السيبراني
- تدريب مستمر للموظفين وليس مجرد نشاط سنوي شكلي
- ضوابط قوية لإدارة الهوية، خصوصاً MFA المقاوم للتصيد للحسابات الحساسة
- إدارة دقيقة لمخاطر المورّدين
- خطط استجابة للحوادث واختبارات نسخ احتياطي فعالة
الحقيقة الأعمق خلف فجوة البيانات
إن الحقيقة الأكثر عمقاً وراء فجوة البيانات السيبرانية في قطاع المنظمات غير الربحية هي أن هذا القطاع يُقيَّم وفق مدى ظهور حوادثه، لا وفق هشاشة ظروف عمله، وهذا تقييم مقلوب.
فالمنظمات غير الربحية غالباً ما تكون أصغر حجماً، وأقل موارد، وأكثر اعتماداً على الثقة، وأكثر اعتماداً على البريد الإلكتروني والهوية السحابية، وأكثر اعتماداً على منصات الطرف الثالث، وأكثر تعاملاً مع بيانات حساسة للغاية.
ولهذا السبب، فهي لا تحتاج إلى أدلة كاملة قبل اتخاذ الإجراءات. جوهر الاحتياج هو أن تتوقف بقية المنظومة، من ممولين ومنظمين ومورّدين وحكومات ومجالس إدارة، عن التعامل مع الأمن السيبراني باعتباره عبئاً إدارياً، وأن يبدأوا باعتباره جزءاً أساسياً من حماية الرسالة الإنسانية نفسها.
