تقرير Verizon DBIR 2026: استغلال الثغرات يتفوق على سرقة بيانات الاعتماد كأكبر سبب للاختراقات

نشرت Verizon في 20 مايو 2026 النسخة التاسعة عشرة من تقريرها السنوي لتحقيقات الاختراقات DBIR، وحمل هذا الإصدار مفاجأة لم تحدث طوال تاريخ التقرير: استغلال الثغرات البرمجية أطاح بسرقة بيانات الاعتماد (Credentials) من صدارة نواقل الاختراق الأولي لأول مرة على الإطلاق، مسجلاً 36% من إجمالي الحوادث المؤكدة.

ما الذي تغيّر في مشهد التهديدات عام 2025؟

اعتمد التقرير على تحليل أكثر من 22,000 حادثة أمنية وآلاف الاختراقات المؤكدة عالمياً. النتيجة الأبرز أن استغلال الثغرات غير المرقّعة قفز إلى 36% كناقل أولي للاختراق، بينما تراجعت سرقة بيانات الاعتماد إلى 13% فقط. هذا التحول يعكس واقعاً خطيراً: المهاجمون لم يعودوا بحاجة لخداع الموظفين أو سرقة كلمات المرور حين تتوفر ثغرات مكشوفة في أنظمة متصلة بالإنترنت لم تُرقَّع لأسابيع.

الذكاء الاصطناعي سرّع هذا التحول بشكل مباشر. حملات الاستغلال الواسع باتت تبدأ خلال ساعات من نشر كود إثبات المفهوم (PoC) علنياً، بينما كانت تستغرق أياماً أو أسابيع في السنوات السابقة. نافذة الدفاع تقلّصت من أشهر إلى ساعات معدودة.

أزمة الترقيع تتفاقم: الأرقام تتحدث

كشف التقرير عن أرقام مقلقة في إدارة الثغرات. متوسط الوقت الكامل لترقيع الثغرات الحرجة ارتفع إلى 43 يوماً مقارنة بـ 32 يوماً في العام السابق. المؤسسات رقّعت 26% فقط من الثغرات المدرجة في كتالوج CISA KEV للثغرات المستغلة فعلياً، انخفاضاً من 38% في 2024. في المقابل، ارتفع عدد الثغرات الحرجة التي تحتاج ترقيعاً بنسبة 50% مقارنة بالفترة السابقة.

هذه المعادلة واضحة: ثغرات أكثر، ترقيع أبطأ، واستغلال أسرع. النتيجة الحتمية هي ارتفاع الاختراقات الناجحة عبر هذا الناقل تحديداً.

هجمات الفدية والأطراف الثالثة: تصاعد مستمر

أكد التقرير أن برمجيات الفدية (Ransomware) ظهرت في 48% من الاختراقات المؤكدة، ارتفاعاً من 44% في العام السابق. رغم ذلك، انخفض متوسط مبلغ الفدية المدفوعة إلى 139,875 دولار، و69% من الضحايا رفضوا الدفع. هذا يدل على نضج نسبي في استراتيجيات الاستجابة لدى بعض المؤسسات، لكن حجم الإصابات لا يزال في تصاعد.

أما الأطراف الثالثة (Third-Party)، فقد قفزت نسبة الاختراقات المرتبطة بها بنسبة 60% لتصل إلى 48% من إجمالي الاختراقات. أخطاء التكوين في البيئات السحابية لمزودي الخدمات استغرقت نحو 8 أشهر للمعالجة في نصف الحالات، مما يكشف هشاشة سلسلة التوريد الرقمية.

التأثير المباشر على المؤسسات المالية السعودية

نتائج Verizon DBIR 2026 تحمل رسائل حرجة للقطاع المالي في المملكة العربية السعودية. إطار SAMA CSCC يُلزم المؤسسات المالية بإدارة الثغرات وفق جداول زمنية صارمة: الثغرات الحرجة يجب ترقيعها خلال 72 ساعة، والعالية خلال أسبوعين. لكن إذا كان المتوسط العالمي 43 يوماً، فإن أي مؤسسة سعودية تعمل بنفس الوتيرة تنتهك متطلبات المنظم وتتعرض لعقوبات مباشرة.

ضوابط NCA ECC تشدد على إدارة مخاطر سلسلة التوريد التقنية. ارتفاع اختراقات الأطراف الثالثة إلى 48% يعني أن تقييم مزودي الخدمات لم يعد اختيارياً بل ضرورة تنظيمية. كذلك، نظام حماية البيانات الشخصية PDPL يفرض إجراءات تقنية وتنظيمية كافية لحماية البيانات، وأي اختراق ناتج عن ثغرة معروفة غير مرقّعة يُعد إهمالاً صريحاً بموجب النظام.

توصيات عملية للمؤسسات المالية السعودية

1. تقليص نافذة الترقيع إلى أقل من 72 ساعة للثغرات الحرجة: استخدموا أدوات مثل Qualys VMDR أو Tenable.io لأتمتة اكتشاف الثغرات وترتيبها حسب الأولوية، مع ربطها بكتالوج CISA KEV وتغذية التهديدات المحلية من NCA.
2. تفعيل برنامج إدارة مخاطر الأطراف الثالثة (TPRM): راجعوا عقود مزودي الخدمات السحابية والتقنية، واشترطوا SLA واضحة لمعالجة الثغرات الحرجة خلال 48 ساعة، مع حق التدقيق الأمني الدوري.
3. تطبيق مبدأ أقل صلاحية ومراقبة الحركة الجانبية: 36% من الاختراقات بدأت باستغلال ثغرة واحدة ثم تمدد المهاجم داخلياً. تقسيم الشبكة (Microsegmentation) وEDR المتقدم يحدّان من نطاق الضرر.
4. اختبار جاهزية الاستجابة لهجمات الفدية فعلياً: لا يكفي وجود خطة على الورق. نفّذوا تمارين محاكاة (Tabletop Exercises) ربع سنوية تحاكي سيناريوهات الفدية مع اختبار فعلي لاستعادة النسخ الاحتياطية.
5. مراقبة كود إثبات المفهوم (PoC) في الوقت الحقيقي: اشتركوا في خدمات استخبارات التهديدات التي تنبّه فوراً عند نشر PoC لثغرات تؤثر على بنيتكم التحتية، لتبدأ عملية الترقيع أو التخفيف قبل بدء الاستغلال الواسع.
6. تقييم الامتثال الدوري وفق SAMA CSCC: أجروا تقييماً ذاتياً ربع سنوي لنطاقات إدارة الثغرات (Vulnerability Management) وأمن سلسلة التوريد (Supply Chain Security) ضمن إطار SAMA CSCC، ووثّقوا كل إجراء تصحيحي.

الخلاصة

تقرير Verizon DBIR 2026 ليس تقريراً إحصائياً فحسب، بل جرس إنذار واضح: عصر الاعتماد على كلمات المرور القوية والتوعية من التصيد وحدهما انتهى. المهاجمون يستهدفون الثغرات المكشوفة مباشرة، ومن لا يرقّع بسرعة كافية سيُخترق. بالنسبة للمؤسسات المالية السعودية، فإن متطلبات SAMA CSCC وNCA ECC توفر الإطار اللازم — لكن التنفيذ الفعلي والسرعة في الاستجابة هما ما يصنع الفارق بين الامتثال الورقي والحماية الحقيقية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وبرنامج إدارة الثغرات وفق SAMA CSCC.