أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، يوم الأربعاء 10 يونيو 2026، توجيهاً تشغيلياً ملزماً يفرض على الوكالات المدنية الفيدرالية اعتماد نهج قائم على إدارة المخاطر في معالجة الثغرات الأمنية، بديلاً عن المهل الزمنية الموحدة التي لا تعكس بدقة مستوى التهديد الفعلي.
ويركز هذا التوجيه الجديد، المعروف باسم BOD 26-04، على تقييم أربعة عوامل رئيسية لتحديد أولوية المعالجة: مدى اتصال النظام المتأثر بشبكة الإنترنت، وما إذا كانت الثغرة مستغلة فعلياً من قبل جهات التهديد، وقابلية الاستغلال للأتمتة، بالإضافة إلى مستوى السيطرة (الجزئية أو الكاملة) التي يمنحها الاستغلال للمهاجمين.
وبموجب الجدول الزمني الجديد، الذي يدخل حيز التنفيذ في 7 ديسمبر 2026، تلزم الوكالات بمعالجة الثغرات المستغلة فعلياً والقابلة للأتمتة خلال 3 أيام فقط، وذلك عندما تؤثر في أنظمة تواجه الإنترنت وتمنح المهاجمين مستوى من السيطرة. وفي حال كان الاستغلال يمنح سيطرة كاملة، يتوجب على الوكالات أيضاً إجراء فحص أدلة جنائية رقمية أولي للأصول المتأثرة للتحقق من احتمالية تعرضها للاختراق.
وفي المقابل، تمنح CISA مهلاً أطول للحالات الأقل خطورة، مثل الثغرات غير القابلة للأتمتة أو تلك التي لا تؤثر في أنظمة متصلة بالإنترنت، مع الحفاظ على أولوية خاصة للثغرات المدرجة في كتالوج الثغرات المستغلة المعروفة (KEV). كما يلزم التوجيه الوكالات بتحديث إجراءات إدارة الثغرات لديها خلال 60 يوماً من صدوره، وبدء تنفيذ آليات المعالجة وفقاً للجداول الجديدة خلال 180 يومياً.
وأوضحت الوكالة أن الهدف من هذه الخطوة هو تمكين الوكالات المدنية من تركيز مواردها وجهودها على الأصول الأعلى خطورة، بدلاً من توزيعها بالتساوي على جميع الثغرات دون تمييز. ويأتي هذا القرار في وقت تشير فيه CISA إلى أن تطور أدوات الذكاء الاصطناعي يعزز قدرة المهاجمين على اكتشاف الثغرات واستغلالها بسرعة أكبر وعلى نطاق أوسع، ما يرفع كلفة التأخر في تأمين الأنظمة الأكثر عرضة للتهديد.
ويحل هذا التوجيه محل توجيهات سابقة كانت تمنح مهلاً أطول لبعض الثغرات الحرجة، بما في ذلك مهلة 15 يوماً للثغرات الأكثر إلحاحاً و30 يوماً لفئات أخرى عالية الخطورة. ويمثل التحول إلى نموذج يرتبط مباشرة بمستوى التعرض والاستغلال وقابلية الأتمتة محاولة لتقريب قرارات المعالجة من واقع الهجمات الحالية، لا سيما عندما تكون الأنظمة متاحة عبر الإنترنت.
ورغم ذلك، قد تواجه بعض الوكالات تحديات تشغيلية في الالتزام بالمهل الجديدة، وخاصة تلك التي تعاني نقصاً في الكوادر السيبرانية أو ضعفاً في وضوح رؤية الأصول التقنية ومراقبتها. كما أن اشتراط عزل الأنظمة أو معالجتها خلال ثلاثة أيام قد يشكل ضغطاً عمقاً عندما لا تتوفر التحديثات الأمنية من الموردين بالسرعة المطلوبة، أو عندما تتطلب الأنظمة الحساسة اختبارات مكثفة قبل نشر التحديثات.
