عندما أعلن مصرف ليبيا المركزي تعرضه لهجوم إلكتروني، انصرف اهتمام كثير من الليبيين مباشرة إلى السؤال الأكثر حساسية: هل أصبحت الأموال في خطر؟ وكان هذا رد فعل طبيعيًا، فالمصرف هو الجهة التي تدير الاحتياطيات الأجنبية وعائدات النفط والسياسة النقدية، ما يجعل أي استهداف له يبدو، للوهلة الأولى، تهديدًا مباشرًا للاستقرار المالي.
غير أن هذا التصور يتطابق أكثر مع المفهوم التقليدي للجريمة، ولا يعكس بدقة طبيعة الهجمات السيبرانية الحديثة. ففي الغالبية العظمى من هجمات برامج الفدية التي تستهدف المؤسسات المالية، لا يكمن الهدف الأساسي في تحويل الأموال أو الاستيلاء عليها، بل في اختراق البيانات الحساسة، وتعطيل سير عمل الأنظمة، ثم توظيف المعلومات المسروقة في عمليات الابتزاز أو ممارسة الضغط على الجهة المستهدفة. وفي كثير من الحالات، يفوق الضرر الذي يلحق بسمعة المؤسسة وثقة المتعاملين بها حجم الخسائر المالية المباشرة الناتجة عن الهجوم.
لذلك، تتجاوز أهمية الحادثة حدود الجانب التقني البحت. فمصرف ليبيا المركزي لا يُعد مجرد جهة حكومية رقابية، بل يمثل أحد الركائز الأساسية التي يقوم عليها النظام المالي في البلاد، ويعمل كحلقة وصل بين المصارف المحلية والمنظومة المالية الدولية. ولذلك، فإن أي اختراق يطاله لا يثير تساؤلات حول طبيعة الهجوم ومداه فحسب، بل يطرح في المقام الأول تحديًا حقيقيًا لقدرة المؤسسات السيادية على حماية بنيتها التحتية الرقمية الحيوية.
ويأتي هذا الهجوم في أعقاب أكثر من عامين من تعرض الموقع الرسمي للمصرف ومنصة حجز العملة الأجنبية لهجوم مماثل في أبريل 2024، أسفر عن تعطيل الخدمات لعدة ساعات قبل استئناف عملها. ورغم عدم صدور أي بيانات رسمية تؤكد وجود رابط تقني بين الحادثتين، فإن تكرار استهداف هذه المؤسسة المحورية يؤكد أن التهديدات السيبرانية أصبحت تحديًا دائمًا يتطلب مراجعة مستمرة لإجراءات الحماية والاستجابة الطارئة.
وأوضح مصرف ليبيا المركزي في بيانه الرسمي أن الهجوم الأخير يُنسب إلى مجموعة «كيلين» (Qilin)، وهي إحدى الجماعات الإجرامية المتخصصة والمعروفة عالميًا بتنفيذ هجمات برامج الفدية. وأكد المصرف أن التحقيقات الفنية لا تزال مستمرة لتحديد المدى الكامل للاختراق وطبيعة البيانات التي تم الوصول إليها، مشيرًا في الوقت ذاته إلى أن الخدمات المصرفية الأساسية وحسابات العملاء لم تتعرض لأي ضرر، وأنه يرفض الدخول في أي مفاوضات مع الجهة التي تقف وراء الهجوم.
وفي المقابل، شرعت المجموعة في نشر عينات من البيانات المسروقة على شبكة الويب المظلم، وهو أسلوب معتاد لدى جماعات برامج الفدية لإثبات سيطرتها على معلومات تخص الجهة المستهدفة وتكثيف الضغط عليها. بيد أن نشر هذه العينات لا يُعد دليلاً كافياً لتحديد النطاق الحقيقي للاختراق، إذ لا يمكن الجزم من خلالها بمدى وصول المهاجمين إلى الأنظمة الداخلية أو حجم البيانات التي تمكنوا من الحصول عليها؛ وتبقى هذه المسائل مرهونة بنتائج التحقيقات الفنية عند اكتمالها.
ورغم نسب الهجوم إلى مجموعة «كيلين» (Qilin)، فإن دلالة هذا الاسم لا تكمن في المجموعة بحد ذاتها، بل في نمط العمليات الذي تمثله. فهذه الجماعات تعتمد نموذج «الفدية كخدمة»، الذي يسمح بتوفير أدوات وبرامج الاختراق لجهات أخرى مقابل تقاسم الأرباح، وهو ما ساهم في زيادة انتشار هجمات برامج الفدية وتعقيدها بشكل كبير خلال السنوات الأخيرة، حيث طالت مؤسسات مالية وصحية وحكومية في عشرات الدول حول العالم.
بيد أن السؤال الأكثر إلحاحًا لا يرتكز على هوية المجموعة المنفذة، بل على الكيفية التي تمكنت بها من اختراق بيئة بهذا المستوى من الحساسية. ورغم مرور قرابة شهر على الحادثة، لم تكشف السلطات الليبية حتى اللحظة عن أي تفاصيل تتعلق بمسار التسلل الذي سلكه المهاجمون. في المقابل، تؤكد تقارير دولية متخصصة في الاستجابة للحوادث السيبرانية أن غالبية الاختراقات الكبرى تبدأ باستغلال ثغرات بشرية أو ممارسات أمنية ضعيفة، مثل رسائل التصيد الإلكتروني، أو كلمات مرور مسربة، أو منح صلاحيات وصول تتجاوز الحد الأدنى المطلوب. وبمجرد تجاوز الحواجز الأمنية، قد يمكث المهاجمون لفترات طويلة داخل الشبكة لاستكشاف مساراتها وجمع البيانات، قبل الشروع في مرحلة الابتزاز أو نشر المعلومات المسروقة.
ولهذا، فإن قوة الأنظمة التقنية وحدها لا تكفي لضمان الأمن السيبراني الشامل. ففعالية هذه المنظومات ترتبط ارتباطًا وثيقًا بمدى دقة إدارة الصلاحيات، والتدريب المستمر للعاملين، والمراقبة الدورية للشبكات، فضلاً عن سرعة اكتشاف أي أنشطة غير اعتيادية والتعامل معها فور ظهورها. وتؤكد الخبرات المتراكمة في هذا المجال أن الاستثمار في بناء القدرات البشرية وتطوير الإجراءات التنظيمية لا يقل أهمية بأي حال من الأحوال عن الاستثمار في الحلول والأدوات التقنية المتطورة.
وتتضح هذه الأهمية بشكل استثنائي في حالة مصرف ليبيا المركزي، حيث أن تداعيات أي اختراق يطاله لا تقتصر على جدران المؤسسة وحدها. فهو يمثل الحلقة الأساسية التي تربط ليبيا بالمنظومة المالية العالمية، وقد تدفع مثل هذه الحوادث الشركاء الدوليين إلى تشديد معايير إدارة المخاطر أو مراجعة الإجراءات الاحترازية المتبعة مع البلاد. لذلك فإن سرعة إنجاز التحقيقات وشفافية النتائج التي سيتم الإعلان عنها تمثل مفتاح الحفاظ على الثقة على الصعيدين المحلي والدولي.
أما بالنسبة للمواطن فإن مستوى المخاطر التي قد يتعرض لها يظل مرهونًا بطبيعة البيانات التي يتأكد تعرضها للاختراق. فإذا ثبت أن المعلومات المسربة تشمل بيانات شخصية أو وثائق تعريفية، فقد تُوظف في عمليات انتحال الهوية أو الاحتيال المالي، أو حتى في تصميم حملات تصيد إلكتروني أكثر دقة ومصداقية. وفي سياق متصل، حذر جهاز الأمن الداخلي من أن بعض الملفات التي نشرتها المجموعة المهاجمة على الويب المظلم قد تحتوي على برمجيات خبيثة، مما يجعل أي محاولة لتحميلها أو فتحها تشكل خطرًا أمنيًا قائمًا بحد ذاته.
وفي الوقت الذي أكد فيه مصرف ليبيا المركزي احتواء الهجوم واستمرار الأعمال التحقيقية، تظل تساؤلات جوهرية بلا إجابات رسمية: ما المسار الذي بدأ منه الاختراق؟ وما المدى الذي وصل إليه المهاجمون داخل الأنظمة؟ وما نوع البيانات التي تمكنوا من الوصول إليها؟ وأي خطوات ستُتخذ لتعزيز الحماية ومنع تكرار الحادثة؟ إن الإجابة عن هذه الاستفسارات لن ترسم فقط الصورة الكاملة لما وقع، بل ستكشف أيضًا مستوى جاهزية المؤسسات السيادية الليبية لمواجهة تهديدات سيبرانية لم تعد مجرد أحداث عرضية، بل أصبحت واقعًا دائمًا يتعين التعامل معه.