قضية BlackCat 2026: حين يتحوّل المستجيبون للفدية إلى خصوم — تهديد داخلي يستهدف بنوك SAMA

في تطور صادم لقطاع الاستجابة لحوادث الفدية، أصدرت محكمة فيدرالية أمريكية في مايو 2026 أحكاماً بأربع سنوات سجن بحق محللَي حوادث من شركتَي Sygnia وDigitalMint بعد ثبوت تورطهما في عمليات نشر برمجية BlackCat (ALPHV) ضد عملاء كانوا يتفاوضون نيابة عنهم. القضية تكشف نمطاً جديداً من التهديد الداخلي يضرب صميم سلسلة موردي الأمن السيبراني، وتطرح تساؤلات مباشرة على كل CISO ومسؤول امتثال في البنوك السعودية الخاضعة لرقابة SAMA.

تشريح قضية BlackCat: المستجيب الذي أصبح المهاجم

كشفت لائحة الاتهام أن Ryan Goldberg (مدير استجابة سابق في Sygnia) وKevin Martin وAngelo Martino (مفاوضَي فدية في DigitalMint) عملوا بين أبريل وديسمبر 2023 على نشر BlackCat ضد شركات أمريكية، ثم استغلوا مواقعهم الوظيفية للاطلاع على حدود التغطية التأمينية وعتبات التفاوض الداخلية للضحايا. وفقاً لوزارة العدل الأمريكية، تعاقدت خمس شركات من ضحايا Martino لاحقاً مع DigitalMint لإدارة التفاوض، وأُسندت الحالات الخمس له شخصياً، فحصل على 75.25 مليون دولار من الفديات بعد تسريب مواقف التفاوض إلى عصابة ALPHV.

هذا النمط ليس استثناءً تقنياً، بل خلل بنيوي في نموذج الثقة: المؤسسة المتضررة تمنح المورد صلاحية الاطلاع على وثائق التأمين السيبراني، السقوف المعتمدة لدفع الفدية، خرائط البنية التحتية، وسجلات النسخ الاحتياطي — كل ذلك في غضون ساعات من الإصابة الأولى ودون ضوابط تجزئة فعلية.

لماذا تعدّ هذه القضية إنذاراً مباشراً لبنوك SAMA

تعتمد البنوك السعودية على شبكة موردين خارجيين تشمل: مزودي SOC مُدار، فرق Incident Response المتعاقدة، شركات DFIR، ومفاوضي الفدية المتخصصين. في حال وقوع حادثة فدية حقيقية، فإن هؤلاء الموردين يحصلون خلال 24-48 ساعة على بيانات حساسة جداً: تقارير CMDB، نسخ من Active Directory، عيّنات من تدفقات SWIFT، وحدود تغطية التأمين السيبراني — وهي معلومات لو سُرّبت إلى الخصم لضاعفت قيمة الفدية بشكل كارثي.

الأخطر أن أغلب عقود الاستجابة للحوادث في المنطقة تركّز على SLAs زمنية، وتتجاهل ضوابط الفصل بين المهام (Segregation of Duties)، تسجيل الوصول إلى البيانات الحساسة (Privileged Access Logging)، ومتطلبات التحقق من خلفية المحلل المُسنَد للحالة (Background Vetting).

التأثير على المؤسسات المالية السعودية ومتطلبات SAMA CSCC

يفرض إطار SAMA Cyber Security Control Framework (CSCC) ضمن المجال الفرعي 3.3.14 (Third Party Cyber Security) متطلبات صارمة على إدارة المخاطر المرتبطة بالأطراف الثالثة، وتشمل: تقييم سيبراني قبل التعاقد، شروط أمنية تعاقدية ملزمة، حق التدقيق، ومراقبة مستمرة. كما يشترط النظام السعودي لحماية البيانات الشخصية (PDPL) ضمن المادة 31 إخضاع معالجي البيانات لاتفاقيات تتضمن ضوابط أمنية محددة وقابلة للتدقيق.

كذلك يُلزم إطار NCA ECC في الضابط 4-1-2-2 المؤسسات بإدارة الوصول للأطراف الثالثة وفق مبدأ الحد الأدنى من الامتيازات، مع التحقق من خلفية الأفراد العاملين على البيانات الحساسة. قضية BlackCat تثبت أن الالتزام الورقي بهذه الضوابط لا يكفي — فالمستجيبون الثلاثة مرّوا بإجراءات التوظيف الرسمية في شركات أمنية معتمدة، ومع ذلك تحوّلوا إلى تهديد داخلي.

التوصيات والخطوات العملية لـ CISO البنك السعودي

1. راجع عقود مزوّدي IR/DFIR ومفاوضي الفدية الحاليين، وأضف بنود إلزامية حول تسجيل كل وصول إلى البيانات الحساسة، ومتطلبات Background Check سنوية للمحللين المعتمدين على ملف المؤسسة.
2. طبّق نموذج Just-in-Time Access للمورد عبر منصة PAM (مثل CyberArk أو Delinea)، بحيث لا تُمنح أي صلاحية إلا لفترة محددة وضمن جلسة مسجّلة بالكامل (Session Recording).
3. افصل بين فريق التفاوض على الفدية وفريق التحقيق الجنائي الرقمي — لا تسمح بأن يطّلع نفس المورد على حدود التأمين السيبراني وفي الوقت ذاته على تفاصيل البنية التحتية.
4. أضف بنداً تعاقدياً يلزم المورد بإبلاغ المؤسسة فوراً عند مغادرة أي محلل عمل على ملفها، مع إجراء Access Revocation وLog Review خلال 24 ساعة.
5. أدمج مؤشرات سلوكية UEBA على حسابات الموردين، خاصة عند الوصول إلى مستودعات النسخ الاحتياطي وملفات تخطيط الاستجابة.
6. اختبر سيناريو "المورد الخبيث" ضمن تمرين Tabletop سنوي يشمل CISO، فريق المخاطر، الشؤون القانونية، وممثل SAMA Compliance.
7. راجع وثيقة Cyber Insurance Policy للتأكد من عدم مشاركتها بالكامل مع المورد، واكتفِ بمشاركة الحدود اللازمة فقط لإدارة التفاوض.

الخلاصة

قضية BlackCat 2026 ليست مجرد خبر دولي، بل اختبار لمدى نضج إدارة الطرف الثالث في كل بنك سعودي. حين يتحول المستجيب للحادثة إلى ناقل للهجوم، فإن ضوابط SAMA CSCC الورقية لن تحمي رصيد العميل ولا سمعة المؤسسة. الحماية الحقيقية تبدأ من إعادة هندسة الثقة في علاقات التعاقد الأمني، ومن تطبيق Zero Trust ليس فقط على المستخدم الداخلي، بل على المورد الذي يُستدعى في أحلك اللحظات.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى نضج إدارة الطرف الثالث وفق SAMA CSCC ومراجعة عقود مزوّدي الاستجابة للحوادث.