خلال السنوات الأخيرة تحوّل دور رئيس أمن المعلومات (CISO) إلى موقع ضغط شديد، وتكشف بيانات جديدة أن واحداً من كل أربعة من قادة الأمن يُستبدل بعد تعرّض المؤسسة لهجوم برمجيات الفدية. وتؤكد هذه الخلاصة، الواردة في تقرير حديث لشركة سوفوس، أنّ ما يحدث داخل الشركات لا يرتبط دائماً بأخطاء صريحة من CISO، إذ ما زالت ممارسة «التضحية بكبش فداء» حاضرة في الثقافة المؤسسية عند وقوع الكوارث، بينما تُصادر الصلاحيات الحقيقية أحياناً من فرق الأمن لصالح اعتبارات أعمال قصيرة الأمد.
يرى إريك أفاكيان، المستشار التقني لدى مجموعة إنفو‑تك للأبحاث، أن الإحصائية «غير مفاجئة»، لكنها تعكس «تنامي إحباط مجالس الإدارة عندما تفشل وظيفة الأمن في تقديم نتائج، بغض النظر عن مدى عدالة هذا الحكم». ويشير إلى أنّ التوقعات من أصحاب المصلحة تظل مرتفعة، إذ يُنتظر من CISO «منع أسوأ السيناريوهات» حتى عندما تنشأ الثغرات من عوامل خارج نطاق التحكم المباشر لوظيفة الأمن.
ويضيف أفاكيان أن إقصاء CISO بعد هجوم فدية قد يكون ضرورياً في حالات معينة، غير أن كثيراً من الشركات تُسارع إلى قرارات الاستبدال. فإذا طُبِّقت خطة الاستجابة للحوادث كما ينبغي، وعملت أدوات الكشف كما هو متوقع، وكان التعافي ضمن اتفاقيات مستوى الخدمة (SLA)، فإن الاستبدال يبعث برسالة داخلية خاطئة مفادها أن دور الأمن يركّز على الصورة العامة أكثر من الجوهر. أما إذا أُهملت أساسيات الحوكمة والضوابط — مثل التجزئة الشبكية، والنسخ الاحتياطي، وتمارين الطاولة — فقد يكون التغيير مستحقاً.
ويوافق فرانك ديكسون، نائب الرئيس لمجموعة الأمن في مؤسسة IDC، على التقييم السابق، مع لفت الانتباه إلى أن جزءاً من حالات الاستبدال يعود إلى مغادرة بعض قادة الأمن طواعية بعد الهجمات بسبب الإرهاق أو بسبب توترات ونزاعات تنشأ أثناء جهود المعالجة والاستعادة، لا بسبب الهجوم ذاته. ويشدّد ديكسون على أنّ التعامل مع حادثة فدية «مرهق للغاية»، وقد يفضّل بعض مسؤولي الأمن ترك المنصب بعد انتهاء العاصفة.
تطرح هذه الظاهرة سؤال الصلاحيات. فإذا اتُّخذت قرارات تقنية وتشغيلية على مستوى وحدات الأعمال (LOB) بخلاف توصيات CISO، فهل من المنطقي محاسبته بمفرده؟ يذكّر ديكسون بأن «CISO قائد، لكنه ليس القائد الوحيد»، وأن الاختراقات حصيلة «سلسلة قرارات» عبر مستويات متعددة. وتظهر تحديات الحوكمة أيضاً عندما يتعمّد بعض قادة الوحدات — وأحياناً رؤساء تنفيذيون أو تشغيليون — استبعاد CISO من اجتماعات محورية خوفاً من إبطاء الإيقاع. ويحذّر ديكسون هؤلاء بالقول: «إن لم ترغبوا في CISO لديكم، فهناك من يرغب به».
يضرب أفاكيان تشبيه لافت:
يندر أن نرى قائد في الدفاع المدني يقول لأن الحريق اندلع بسبب خطأ مالك المنزل. فهؤلاء هم «رجال الإطفاء» الذين يستجيبون ويخففون الضرر ويعلّمون الجمهور لتقليل المخاطر مستقبلاً. وبالمثل فإن فرق الأمن — وفي مقدمتها CISO — تقوم بالدور نفسه عند وقوع الحوادث، عبر الاستجابة والاحتواء والتعافي وإعادة البناء
أما تقرير سوفوس فيُبرز جذور المشكلات التي تكشفها التحقيقات الجنائية الرقمية بعد هجمات الفدية. للعام الثالث على التوالي اعتُبرت الثغرات المُستغلة السبب الجذري الأكثر شيوعاً لاختراق الضحايا، بنسبة 32% من الحوادث. وجاءت بيانات الاعتماد المُخترقة ثانياً، لكنها تراجعت من 29% في 2024 إلى 23% في 2025. وما زال البريد الإلكتروني قناة رئيسية للهجوم؛ إذ عزا 19% من الضحايا السبب إلى رسائل خبيثة، وأشار 18% إلى التصيد الاحتيالي، في ارتفاع ملحوظ مقارنة بنسبة 11% العام الماضي. ويقول تشيت ويسنيوسكي، المدير ومدير أمن المعلومات الميداني العالمي في سوفوس، إن 40% من المشاركين أقرّوا بأن الحادث «انطلق من فجوة معروفة لم تُعالَج». وعندما تتحول «فجوة معروفة» إلى حادثة بملايين الدولارات، تصبح النجاة الوظيفية لـ CISO بالغة الصعوبة.
تدل هذه المعطيات على أن تبديل الأشخاص من دون تمكين وظيفة الأمن وتوضيح خطوط السلطة ومأسسة الضوابط الأساسية لن يحقق التحول المطلوب. الحوكمة الفعّالة تستلزم إشراك CISO في قرارات وحدات الأعمال، وتأكيد صلاحية الاعتراض المسبب، واستكمال الركائز التشغيلية: إدارة الثغرات وفق دورة حياة منتظمة، تطبيق التجزئة الشبكية، اختبار النسخ الاحتياطية واستعادتها، تنفيذ تمارين الطاولة على سيناريوهات فدية، والمطابقة مع اتفاقيات مستوى الخدمة. وعند توافر هذه المتطلبات يصبح تقييم الأداء أكثر موضوعية، وتقل جاذبية اللجوء إلى كبش فداء.
وتطرح الدراسة أسئلة عملية ذات صلة بالمشهد التنفيذي: لماذا يُنظر إلى قادة الأمن أحياناً كمعطِّلين للأعمال؟ ما حدود تأثير CISO في قرارات دفع الفدية؟ من يتحمل المسؤولية الأولى عن حماية الشركات — مثل الشركات الألمانية — من هجمات الفدية؟ كيف تُحاسَب وظيفة الأمن في ظل غياب السيطرة الشاملة؟ وما التحديات الخاصة التي تواجهها المؤسسات المتوسطة في الدفاع ضد برمجيات الفدية؟ معالجة هذه الأسئلة تصنع فارقاً حقيقياً في النتائج وتخفف موجات الاستبدال المتسرّع للقيادات.
