فضيحة DigitalMint: مفاوض فدية يسرّب مواقف 5 عملاء بـ75 مليون دولار — تحذير لبنوك SAMA

في تطور صادم يهز صناعة الاستجابة للحوادث عالمياً، أقرّ مفاوض فدية سابق في شركة DigitalMint بسطو منظم على عملائه عبر تسريب مواقفهم التفاوضية إلى عصابة Alphv (BlackCat) مقابل عمولات. الحادثة تكشف عن نقطة عمياء حرجة في نموذج "الطرف الثالث الموثوق" تستهدف صميم بنوك SAMA.

تفاصيل الفضيحة: تهديد داخلي في قلب صناعة الفدية

أعلن المدعي العام الفيدرالي الأمريكي في 20 أبريل 2026 عن إقرار Angelo Martino (41 عاماً)، المفاوض السابق في شركة DigitalMint للوساطة بالعملات الرقمية، بالذنب في تهمة الابتزاز الاحتيالي. خلال عمله الرسمي مفاوضاً نيابة عن ضحايا الفدية، كان Martino يسرّب حدود التأمين والمواقف الداخلية لعملائه إلى عصابة Alphv عبر قناة دردشة خاصة داخل منصتهم. خمسة عملاء دفعوا مجتمعين 75.25 مليون دولار فدية بناءً على معلومات سرّبها Martino، أكبرهم شركة خدمات مالية أمريكية دفعت 25.66 مليون دولار وحدها.

نموذج "الطرف الموثوق" انهار: ثلاث حالات في عام واحد

القضية ليست معزولة. سابقاً في ديسمبر 2025، أقرّ Ryan Goldberg من شركة Sygnia للاستجابة للحوادث وKevin Martin من DigitalMint بالذنب في مؤامرة ابتزاز فيدرالية مرتبطة بهجمات BlackCat، وحُكم على كل منهما بأربع سنوات سجن فيدرالي. ثلاث حالات إدانة في أقل من عام داخل صناعة الاستجابة للحوادث تكشف أن النموذج التشغيلي لمفاوضي الفدية — حيث يطلع موظف واحد على حدود التأمين والقدرة المالية للضحية ويتواصل مع المهاجم — يحوي حافزاً اقتصادياً مدمراً. إيرادات الفدية في القطاع المالي وصلت إلى متوسط 3 ملايين دولار للحادثة الواحدة، و59% من المؤسسات المالية المتضررة أكدت تشفير بياناتها الإنتاجية.

التأثير المباشر على المؤسسات المالية السعودية

بنوك المملكة الخاضعة لرقابة البنك المركزي السعودي (SAMA) تعتمد بشكل متزايد على شركات استجابة الحوادث الدولية ومفاوضي الفدية كجزء من خطط استمرارية الأعمال. هذا الاعتماد يقع مباشرة ضمن نطاق متطلبات إطار SAMA Cyber Security Framework (CSCC) في المجال الفرعي 3.3.15 الخاص بإدارة أمن الموردين والأطراف الثالثة، والمجال 3.3.4 الخاص بإدارة الحوادث، إضافة إلى المجال 3.3.13 الخاص بأمن الموارد البشرية. بالتوازي، يُلزم ضابط 2-2-1 من إطار NCA ECC بتنفيذ عناية واجبة على مزودي الخدمات الأمنية الحساسة، فيما يفرض قانون حماية البيانات الشخصية (PDPL) في المادة 29 إخطار الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) خلال 72 ساعة من أي تسريب — بما فيه التسريبات الناتجة عن طرف ثالث متواطئ.

التوصيات والخطوات العملية لبنوك SAMA

1. تطبيق فصل المهام (Segregation of Duties) في عقود الاستجابة للحوادث: اشترط أن يكون فريق التفاوض منفصلاً عن فريق التحليل الجنائي، وأن لا يُكشف لأي مفاوض عن وثيقة التأمين السيبراني الكاملة أو الحد الأقصى للتغطية.
2. مراقبة الاتصالات خارج النطاق: اشترط تسجيل وأرشفة كل اتصالات المفاوض مع المهاجم عبر قناة يديرها البنك، لا قناة خاصة بمزود الخدمة. هذا يحقق متطلبات SAMA CSCC 3.3.4.
3. عناية واجبة معززة (Enhanced Vendor Due Diligence): اطلب من مزودي خدمات الفدية شهادات SOC 2 Type II، وفحوصات خلفية للموظفين المعتمدين (background screening)، وسياسات حظر التداول الداخلي قبل التعاقد.
4. إدراج بنود الإلغاء الفوري: أضف للعقد بنوداً تجيز الإنهاء الفوري واسترداد الأموال إذا ثبت تواطؤ موظف لدى المزود مع المهاجم، مع تعويضات سيبرانية مغطاة عقدياً.
5. تشكيل لجنة قرار الدفع داخلياً: لا تُفوّض قرار الدفع لمفاوض خارجي. شكّل لجنة من CISO وCFO والمستشار القانوني لمراجعة كل اتصال قبل إرساله، وفق متطلبات حوكمة المخاطر في NCA ECC.
6. اختبار سيناريو "المفاوض المخترق": أضف لتمارين Tabletop السنوية سيناريو يفترض أن مفاوض الفدية نفسه طرف معادٍ، واقس قدرة الفريق على اكتشاف التسريب.
7. التشفير الانتقائي للوثائق المالية: لا تشارك بوليصة التأمين السيبراني كاملة مع المفاوض؛ شارك فقط نطاقاً تفاوضياً مُعدّاً مسبقاً من قبل اللجنة الداخلية.

الخلاصة

قضية DigitalMint ليست فضيحة فردية، بل اختبار إجهاد لنموذج كامل من الثقة التشغيلية. بنوك SAMA التي تعتمد على مزودي استجابة حوادث دوليين دون ضوابط فصل المهام والمراقبة الفعّالة معرّضة لخسارة ملايين الريالات في حادثة واحدة — حتى لو كانت دفاعاتها التقنية الداخلية محكمة. إعادة صياغة عقود الموردين الأمنيين وفق منطق "الثقة الصفرية للأطراف الثالثة" لم تعد خياراً، بل التزاماً تنظيمياً صريحاً تحت SAMA CSCC وNCA ECC.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، مع مراجعة متخصصة لعقود الاستجابة للحوادث ومخاطر الأطراف الثالثة.