الإجراء المطلوب: تطالب الإدارة بآليات صارمة لإدارة التغيير والتحكم في التنزيل لجميع أنظمة تكنولوجيا المعلومات والاتصالات. يعني هذا عملياً أن كل تثبيت للبرامج - سواء كان تطبيقاً أو برنامج تشغيل أو مكوناً مادياً - يجب أن يمر عبر موافقة وتدقيق رسميين قبل أن يلمس أي جهاز حكومي .
الخطر: استخدم المهاجمون بشكل متزايد تقنية تسمى "إحضار برنامج التشغيل الخاص بك" (BYOVD)، مستغلين برامج تشغيل شرعية ولكنها ضعيفة وموقعة للتسلل عبر أدوات اكتشاف نقاط النهاية. بمجرد حصولهم على وصول على مستوى النواة (Kernel-level)، تمكنوا من تعطيل منتجات الأمان ونشر برامج الفدية دون إطلاق أي إنذارات .
الإجراء المطلوب: تدعو الإدارة إلى دفاع متعدد الطبقات. يجب على الوكالات إجراء فحوصات دورية لثغرات المواقع الإلكترونية ومعالجتها فوراً. ينبغي نشر جدران حماية لتطبيقات الويب (WAFs) لتصفية الطلبات الخبيثة قبل وصولها إلى التطبيقات. والأهم من ذلك، يجب أن تكون حماية نقاط النهاية عملية مستمرة: يجب تحديث منتجات الأمان باستمرار، ويجب أن تتطور قواعد اكتشاف التهديدات مع ظهور تكتيكات جديدة .
الخطر: قام موردو صيانة الأنظمة، الذين غالباً ما يكون لديهم وصول شرعي إلى خوادم الويب الحكومية، بتثبيت برامج سطح مكتب بعيد لم توافق عليها الوكالات مطلقاً. ثم استخدم المهاجمون هجمات القوة الغاشمة (Brute-force) لكسر كلمات المرور الضعيفة لهذه الأدوات لتسجيل الدخول والتحرك أفقياً عبر الأنظمة الحساسة .
الإجراء المطلوب: الحل هنا تنظيمي وليس تقنياً فقط. تطالب الإدارة بمعايير صارمة لإدارة أمن الموردين تحدد ضوابط الوصول وقواعد حماية البيانات وإجراءات إدارة الثغرات والإبلاغ الإلزامي عن الحوادث. يجب أن تتحقق عمليات التدقيق الأمني وفحوصات الامتثال المنتظمة من أن الموردين يتبعون القواعد - وليس فقط على الورق .
الخطر: تُركت أجهزة التوجيه والجدران النارية وأجهزة VPN وغيرها من أجهزة الحافة ببرامج ثابتة غير مُحدّثة أو بأخطاء خطيرة في التكوين، مما أعطى المهاجمين نقطة دخول سهلة على محيط الشبكات الحكومية .
الإجراء المطلوب: توصي الإدارة بتحول بسيط لكنه قوي: اعتماد استراتيجية القائمة البيضاء لجميع الاتصالات الصادرة، وحظر أي منافذ اتصال غير ضرورية بشكل افتراضي. يجب على الوكالات أيضاً جرد كل جهاز حافة - رقم الطراز، إصدار البرنامج الثابت - وبناء عملية تحديث وتحقق مستمرة بحيث لا يتم تطبيق التصحيحات فحسب، بل يتم تأكيدها .
الخطر: مزج المهاجمون بين التصيد الاحتيالي والذريعة وغيرها من حيل الهندسة الاجتماعية مع خدمات سحابية مخترقة أو سيئة التكوين لسرقة البيانات الحساسة. بمجرد أن ينقر موظف على رابط أو مرفق خبيث، يمكن تسريب البيانات عبر خدمة تخزين سحابي تبدو شرعية .
الإجراء المطلوب: تحدد الإدارة دفاعاً من جزأين. أولاً، نشر أنظمة تصفية البريد الإلكتروني وفحص العينات في بيئة معزولة (Sandbox) لاعتراض المرفقات والروابط المشبوهة قبل وصولها إلى المستخدمين. ثانياً، إحكام إغلاق البيئات السحابية: تقييد أذونات مشاركة الملفات، وتمكين فحص الملفات المرفوعة، وإجراء فحوصات أمنية على الروابط السحابية لمنع انتشار الملفات الخبيثة .
تروي بيانات عام 2025 قصة أكبر. فبينما انخفض العدد الإجمالي للحوادث بمقدار 29 مقارنة بعام 2024، فإن الغالبية العظمى من الاختراقات - أكثر من الثلثين - نجمت عن الوصول غير المصرح به، وهي فئة تشمل كل شيء من بيانات الاعتماد المسروقة إلى زرع الأبواب الخلفية . يعكس طيف الشدة مشهداً من المضايقات المستمرة منخفضة المستوى: 87.33% من الحوادث صُنفت في المستوى 1 (الأقل شدة)، و 9.78% في المستوى 2، و 2.89% في المستوى 3، ولم تُسجل أي حوادث من المستوى 4
.
تمثل فئات المخاطر الخمس التي حددتها الإدارة تحولاً في التوجيهات الرسمية. ركزت التحذيرات السابقة، مثل تلك الصادرة في أوائل عام 2025، على ضعف التشفير وسوء فحص هجمات الحقن وضوابط الوصول المعطلة . أما القائمة الجديدة فتهدف بدلاً من ذلك إلى استهداف الطبقات البشرية وطبقات سلسلة التوريد التي غالباً ما تغفلها الدفاعات المحيطية التقليدية.
بالنسبة للوكالات، الرسالة لا لبس فيها. ربطت إدارة الأمن السيبراني كل خطر بإجراء محدد وقابل للتدقيق: وافق على كل تنزيل، صحح كل جهاز حافة، دقق في كل مورد، وتعامل مع كل بريد إلكتروني على أنه معادٍ محتمل. في بيئة تهديدات تشكل فيها عمليات الاختراق 68.6% من الحوادث، لم يعد الدفاع يقتصر على صد الهجمات على المحيط - بل أصبح يتعلق بالسيطرة على ما يحدث داخله .