كشف استطلاع أجرته شركة SecurityScorecard وشمل 546 مديراً لتقنية المعلومات ومديري الأمن السيبراني أن 71 في المئة من المؤسسات تعرضت على الأقل لحادثة سيبرانية مادية مرتبطة بطرف خارجي خلال الأشهر الإثني عشر الماضية، فيما أبلغت 5 في المئة منها عن تعرضها لعشر حوادث أو أكثر. وتشير بيانات داعمة من تقرير Verizon Data Breach Investigations 2025 إلى أن نسبة اختراقات الأطراف الثالثة تضاعفت في السنوات الأخيرة لتقفز من 15 في المئة إلى قرابة 30 في المئة.
تعتمد المؤسسات على شبكات واسعة من الموردين والشركاء ومزودي الخدمات الرقمية لتقديم منتجاتها وخدماتها، ما يوسع من السطح الذي يمكن للمهاجمين استغلاله. ويوضح خبراء أن المهاجمين لم يعودوا يستهدفون الأنظمة مباشرة بقدر ما يركزون على منصات SaaS والموردين الموثوقين. هجمات طالت منصات مثل Salesforce وWorkday أظهرت كيف يمكن لرابط ضعيف واحد أن يؤدي إلى سلسلة من الأضرار المتتالية.
يشير مختصون إلى أن المؤسسات تمنح وصولاً مباشراً للأطراف الخارجية من دون تطبيق مستويات التدقيق نفسها المطبقة داخلياً، ما يفتح ثغرات يستغلها الخصوم. وتُعد الحملات الأخيرة ضد عملاء Salesforce واختراق Farmers Insurance مثالاً على كيفية استغلال المجموعات المهددة لعلاقات الثقة السحابية عبر تقنيات مثل إساءة استخدام OAuth أو الاعتماد على بيانات اعتماد مسروقة.
تهديدات سلسلة الإمداد البرمجية تتفاقم مع انتشار البرمجيات مفتوحة المصدر والذكاء الاصطناعي
تعتمد سلاسل الإمداد البرمجية بشكل كبير على أكواد يقدمها مطورون خارجيون، وهو توجه مرشح للتزايد مع دخول الذكاء الاصطناعي في عملية التطوير. ويؤكد خبراء أن عدداً كبيراً من المؤسسات لا يعرف فعلياً مكونات مكتباتها البرمجية أو هوية القائمين على صيانتها، ما يجعلها عرضة لتهديدات متنامية. وقد عمد مهاجمون إلى زرع أكواد خبيثة في مستودعات عامة مثل npm وPyPI متنكرة في صورة حزم مفيدة، لفتح أبواب خلفية أو لسرقة البيانات.
الهجوم الشهير على SolarWinds عام 2020 كشف هشاشة سلاسل الإمداد، ورغم مرور خمس سنوات ما زالت المشكلات نفسها قائمة. ويشير متخصصون إلى أن كثيراً من خطوط التطوير ما زالت تفتقر إلى الضوابط الأساسية مثل التحقق من الشيفرات أو اعتماد SBOM كأداة متابعة مستمرة لا كوثيقة شكلية. وتفرض تشريعات جديدة مثل Cybersecurity Resilience Act في الاتحاد الأوروبي على الشركات تقديم قوائم SBOM خاصة بمنتجاتها، إلا أن التطبيق العملي ما زال محدوداً.
إدارة المخاطر ما زالت شكلية والحلول تتطلب فرض متطلبات نضج سيبراني على جميع الشركاء
أظهر الاستطلاع أن 21 في المئة فقط من المؤسسات تغطي نصف سلسلة الإمداد الممتدة ضمن برامجها السيبرانية، بينما يدمج 26% منها فقط خطط الاستجابة للحوادث في إدارة مخاطر الأطراف الثالثة. ويرى خبراء أن استمرار الاختراقات سببه اعتماد المؤسسات على قوائم تقييم وشروط امتثال بدلاً من إجراءات عملية. ويوصون بأن يشمل التدقيق إثبات وجود ضوابط مثل MFA وأنظمة المراقبة وإدارة نقاط النهاية، إلى جانب حقوق التدقيق والإخطار الزمني عن الحوادث.
كما يشدد مختصون على أن الحل يكمن في فرض توقعات واضحة لنضج الأمن السيبراني على جميع الشركاء، بما في ذلك إجراء اختبارات اختراق دورية، وتمارين محاكاة للهندسة الاجتماعية، وجلسات تقييم مرنة لصمود الأنظمة. مثل هذه الخطوات تعزز مناعة سلسلة الإمداد وتحد من قدرة المهاجمين على استغلال الثغرات الخفية.
