عصابة Everest تخترق Citizens وFrost عبر مزود خارجي: درس TPRM للبنوك السعودية

في 20 أبريل 2026، أدرجت عصابة الفدية Everest بنك Citizens Financial Group وبنك Frost Bank على موقعها للتسريبات، مدّعيةً سرقة نحو 3.4 مليون سجل عميل، مع مهلة ستة أيام قبل النشر العام. لاحقاً أكّد البنكان أن مصدر الاختراق ليس شبكتيهما الداخليتين، بل مزوّد خدمة طرف ثالث. هذا التفصيل وحده يستحق وقفة جادّة من كل مدير أمن سيبراني في القطاع المالي السعودي.

تفاصيل حادثة Everest على Citizens Bank وFrost Bank

وفقاً للعينات التي نشرتها العصابة وتحليلات منصة SC Media وCybernews، تضمّنت البيانات المسرّبة أسماء كاملة، عناوين سكنية، أرقام حسابات، ورموز داخلية لتصنيف الوثائق. أكّد البنكان أن جزءاً كبيراً من البيانات المعروضة هو بيانات اختبار مُقنّعة (masked test data)، إلا أن مجموعة محدودة من بيانات العملاء الحقيقيين تأثّرت فعلاً. في 22 أبريل تم رفع دعويين فيدراليتين أمام المحكمة الأمريكية ضد Citizens Bank، ما يُذكّر بأن التبعات القانونية تأتي قبل أن يهدأ غبار الحادثة التقنية.

الخطير في الحادثة أن الدخول لم يتم عبر ثغرة في جدران الحماية أو حلول EDR لدى البنكين، بل عبر بيئة طرف ثالث كانت تحتفظ بنسخ من قواعد بيانات إنتاجية لأغراض اختبار. هذا النمط نفسه — مزوّد لديه نسخ من بياناتك الإنتاجية بدون ضوابط مكافئة لضوابطك — هو السيناريو الذي يُكرَّر في كل تقرير حوادث كبير منذ MOVEit وMarquis-SonicWall.

أسلوب Everest واتجاه عصابات الفدية في 2026

تنشط Everest منذ 2020، إلا أنها انتقلت في 2026 إلى نموذج الابتزاز المزدوج المتقدّم: لا تكتفي بتشفير البيانات، بل تستهدف مزوّدي خدمات يحتفظون ببيانات عشرات العملاء دفعةً واحدة. ضربة واحدة تعني عشرات العلامات التجارية المُحرَجة في وقت واحد. وفق تقارير BlackFog وSC Media، تتصدّر عصابات مثل Gentlemen وEverest وLockBit 5 المشهد بمتوسط فدية وصل إلى 3 ملايين دولار، مع تضاعف نسبة المؤسسات المالية التي شُفِّرت بياناتها فعلياً من 49٪ إلى 59٪ خلال عام واحد.

الاتجاه واضح: لم تعد المعركة على "هل يخترقون؟" بل على "هل يصل المخترقون إلى البيانات الإنتاجية، وأين هي تلك البيانات أصلاً؟". في أغلب الحوادث الأخيرة، البيانات لم تكن في خوادم البنك بل في بيئات SaaS وUAT لشركاء.

التأثير على المؤسسات المالية السعودية وSAMA CSCC

إطار SAMA Cyber Security Framework (CSCC) ينصّ صراحةً في النطاق 3.3.14 على متطلبات إدارة الأمن السيبراني للأطراف الثالثة (Third-Party Cybersecurity)، ويُلزم البنوك بضمان أن مزوّدي الخدمات يطبّقون ضوابط مكافئة لضوابط البنك ذاته، مع حق التدقيق ومراقبة الأداء. كما يُكمِل إطار NCA ECC المتطلبات في الضابط 3-1-3 بشأن سلسلة التوريد، فيما تفرض PDPL مسؤولية المعالج (Data Processor) المباشرة على البنك بصفته متحكّماً (Data Controller).

التطبيق الحقيقي لهذه المتطلبات في كثير من البنوك الإقليمية لا يزال شكلياً: استبيانات سنوية تُملأ آلياً، شهادات ISO 27001 تُجمع كأدلة دون تحقّق فني، ولا يوجد سجل واضح للبيانات الإنتاجية المنسوخة خارج بيئة البنك. حادثة Everest تُثبت أن هذا النموذج لم يعد مقبولاً، وأن SAMA ستبدأ — كما أشارت تحديثاتها الأخيرة لعام 2026 — بمراجعة عينات حقيقية من برامج TPRM لا مجرد مستندات.

التوصيات والخطوات العملية لـ CISO السعودي

1. جرد فوري لمواقع البيانات الإنتاجية: حدّد خلال 14 يوماً جميع المزودين الذين يحتفظون بنسخ من بياناتك الإنتاجية (حتى لو لأغراض اختبار)، وألزمهم بإثبات الإقناع (Masking) عبر فحص فني مستقل لا مجرد إقرار خطّي.
2. تحديث بنود العقود (DPA): أضف شرط الإخطار خلال 24 ساعة من أي حادث، حق إجراء اختبار اختراق على بيئتهم، وحظر استخدام بيانات الإنتاج خارج بيئة معتمدة بضوابط مكافئة وفق SAMA CSCC 3.3.14.
3. مراقبة سطح المزوّدين Continuous TPRM: انتقل من التقييم السنوي إلى المراقبة المستمرة عبر منصات مثل SecurityScorecard أو Bitsight، وادمج التنبيهات مع SOC الخاص بك.
4. نموذج Zero Trust للوصول من المزوّدين: ألغِ VPN التقليدي للمزوّدين، واعتمد ZTNA مع MFA مقاوم للتصيّد (FIDO2) والتسجيل الكامل لكل جلسة.
5. اختبار سيناريو "اختراق طرف ثالث" في تمارين Tabletop: أجرِ تمريناً واقعياً يُحاكي إدراج بنكك على موقع تسريبات Everest، مع التركيز على الجاهزية القانونية والإعلامية والتنظيمية مع SAMA.
6. تصنيف المزوّدين حسب الأثر: بنِ خريطة Tier 1–3 بناءً على نوع البيانات وحجم الوصول، وخصّص ضوابط مشدّدة للفئة الأولى تشمل تدقيقاً ميدانياً سنوياً.
7. اختبار خطة الاستجابة عبر-المؤسسات: تأكد أن خطة الاستجابة لديك تعمل عندما لا تكون أنت مَن يحقّق ولا مَن يملك السجلات، بل المزوّد.

الخلاصة

حادثة Everest على Citizens وFrost ليست خبراً عابراً من أمريكا، بل إنذار مبكر لكل بنك في الرياض والدمام وجدة. الخصم لم يعد بحاجة لاختراقك مباشرة، يكفيه أن يخترق مَن يخدمك. والاستجابة لا تكون بمستندات أكثر، بل بضوابط فنية متحقَّق منها وبمراقبة مستمرة لمن يحتفظ ببياناتك خارج جدرانك.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، مع تركيز خاص على برنامج إدارة مخاطر الطرف الثالث (TPRM).