Think Unlimited · الاستعداد للحوادث في لبنان

خطة الاستجابة للحوادث السيبرانية للشركات في لبنان: أول 24 ساعة

دليل عملي للشركات في لبنان حول الاحتواء، حفظ الأدلة، حماية الحسابات، التواصل، التعافي، واستخدام الذكاء الاصطناعي لدعم تحليل الحوادث.

اطلب تقييماً أمنياً مخولاً
Read the English version
تنبيه عملي: يقدم هذا الدليل معلومات عامة للتحضير والاستجابة، ولا يشكل استشارة قانونية ولا بديلاً عن تحقيق جنائي رقمي مخول. يجب تكييف الإجراءات مع الأنظمة المتأثرة والعقود والقطاع والأدلة المتاحة.

متى تتحول الإشارة الأمنية إلى حادث؟

يتحول التنبيه إلى حادث تجاري عندما يهدد التشغيل أو البيانات أو الحسابات أو ثقة العملاء أو سرية النظام وسلامته وتوافره. يعرّف المعهد الوطني الأميركي للمعايير والتقنية NIST الحادث ضمن هذا الإطار، بما يشمل الوقائع التي تهدد هذه العناصر فعلياً أو محتملاً.

قد تبدأ المشكلة في شركة لبنانية بتوقف الموقع، تغيير بيانات دفع، دخول إداري غير متوقع، رسائل إعادة تعيين كلمات المرور، ملف ضار، تسريب مستندات، تعديل صلاحيات سحابية، أو استخدام حساب موظف لإرسال رسائل لم ينشئها. المطلوب ليس الذعر ولا حذف كل شيء، بل إدارة منظمة للحادث.

أول 15 دقيقة: أعلن الحادث واضبط القرار

1. عيّن مسؤولاً واحداً للحادث

يجب أن يدير شخص مخول القرارات والتوقيت والمهام والتصعيد، وأن يعمل الفريق التقني والإدارة والموردون والمستشارون من سجل وقائع موحد.

2. وثّق ما شوهد فعلاً

سجل اسم من اكتشف المشكلة، الوقت، الحسابات أو الأجهزة المتأثرة، الرسائل الظاهرة، عناوين IP أو النطاقات المشبوهة، التعديلات الإدارية الحديثة، وأي إجراء اتُّخذ قبل التصعيد.

3. افصل الحقيقة عن الاستنتاج

توقف الموقع حقيقة قابلة للملاحظة، أما سرقة قاعدة البيانات فهي استنتاج يحتاج إلى دليل. هذا الفصل يمنع التصريحات الخاطئة والقرارات التقنية المدمرة.

الساعة الأولى: الاحتواء من دون إتلاف الأدلة

الهدف هو تقليل قدرة المهاجم على الاستمرار مع حماية المعلومات اللازمة لفهم ما حدث. تؤكد مواد وكالة CISA حول الاستجابة للحوادث أهمية تنسيق الاحتواء، إزالة التهديد، التعافي، وحفظ الأدلة.

من الساعة الأولى حتى الرابعة: حدّد نطاق التأثير

المجالالأسئلة المطلوبة
الهويةما المستخدمون والمديرون والموظفون السابقون والموردون وجلسات الدخول ووسائل الاستعادة التي قد تكون متأثرة؟
البنية التقنيةما المواقع وواجهات API والخوادم والسحابة وقواعد البيانات وDNS والأجهزة والنسخ الاحتياطية المرتبطة؟
العملما عمليات الدفع والحجز وخدمة العملاء والحملات والمستندات التي قد تتوقف أو تتأثر؟
الأدلةما السجلات سريعة الزوال أو قصيرة مدة الاحتفاظ؟ وهل التوقيت موحد بين الأنظمة؟
التواصلمن يحتاج إلى معلومات مؤكدة الآن؟ ومن يجب ألا تصله تفاصيل غير متحققة؟

دور الذكاء الاصطناعي في فرز الحادث

يمكن لـتحليل الأمن السيبراني المدعوم بالذكاء الاصطناعي جمع التنبيهات المتشابهة، مقارنة التوقيت، تلخيص السجلات، كشف المؤشرات المتكررة، وتحويل الأدلة التقنية إلى قائمة تحقيق مرتبة. كما يساعد الإدارة على فهم ما نعرفه وما لم يُحسم بعد.

لكن الذكاء الاصطناعي ليس قائداً مستقلاً للحادث. قد تكون نتائجه ناقصة أو خاطئة. يجب على المختصين التحقق من المؤشرات، حماية البيانات الحساسة، حفظ الأدلة الأصلية، والموافقة على إجراءات الاحتواء والتعافي. تستخدم Think Unlimited الذكاء الاصطناعي كطبقة دعم وتحليل، وليس بديلاً عن المهندس الأمني.

من الساعة الرابعة حتى الثانية عشرة: تواصل بانضباط

أنشئ مسارات منفصلة لفريق الاستجابة والإدارة والموظفين والعملاء والموردين والمستشارين والجهات المختصة عند الحاجة. لا تشارك إلا الوقائع المؤكدة والتعليمات المعتمدة، ولا تنشر مؤشرات قد تفيد المهاجم أثناء استمرار الاحتواء.

تشدد هيئة تنظيم الاتصالات في لبنان على التعاون بين القطاعين العام والخاص وبناء قدرات إدارة الحوادث. توفر صفحة الأمن السيبراني في لبنان وصفحة ECERT سياقاً وطنياً، لكن على كل مؤسسة التحقق من قنوات الإبلاغ والمتطلبات الحالية التي تنطبق على قطاعها وحادثها.

من الساعة الثانية عشرة حتى الرابعة والعشرين: تعافَ بناءً على الأدلة

الاستعداد المسبق هو ما يضبط اليوم الأول

يجب إعداد قائمة بالأصول والحسابات، جهات اتصال الطوارئ، وصول إداري نظيف، نسخ احتياطية محمية، سياسة احتفاظ بالسجلات، مسارات تصعيد للموردين، صلاحيات اتخاذ القرار، ونموذج تواصل. كما يجب اختبار الخطة من خلال تمارين مخولة واختبارات تقنية واقعية.

يربط إطار حماية الأعمال والأمن السيبراني في لبنان الاستعداد للحوادث بمراجعة الانكشاف واختبار الاختراق وتحديد أولوية الثغرات والرؤية المستمرة والتقارير التنفيذية. ويمكن للمؤسسات التي تحتاج متابعة مستمرة مراجعة خدمات الأمن السيبراني المُدار في لبنان.

قائمة تنفيذية لليوم الأول

  1. إعلان الحادث وتعيين المسؤول.
  2. تسجيل الوقائع والتوقيت والأصول والأدلة.
  3. احتواء الانكشاف المؤكد من دون إتلاف غير ضروري.
  4. مراجعة الهوية والسحابة والموقع والأجهزة والموردين والنسخ الاحتياطية.
  5. اعتماد التواصل الداخلي والخارجي.
  6. تحديد شروط التعافي واختبارها.
  7. تكليف التحقيق والمعالجة وإعادة الاختبار والتقرير النهائي.