هجوم Everest على Citizens وFrost Bank: تهديد سلسلة الإمداد لبنوك SAMA

في 20 أبريل 2026، أعلنت عصابة الفدية Everest مسؤوليتها عن سرقة سجلات أكثر من 3.6 مليون عميل من بنكَي Citizens Financial Group وFrost Bank عبر اختراق مورد خارجي، مع إنذار 6 أيام لنشر البيانات. الحادثة تكشف فجوة كبيرة في حوكمة الموردين لدى المؤسسات المالية، وهي فجوة تواجهها بنوك SAMA بنفس الحدّة.

تشريح هجوم Everest على المورد المشترك

لم يخترق المهاجمون شبكات Citizens أو Frost مباشرة. بل استهدفوا مورداً خارجياً (third-party vendor) كان يقدم خدمات طباعة كشوف الحسابات لـ Citizens وتجهيز المستندات الضريبية لـ Frost. هذا المورد، الذي لم يُكشف اسمه رسمياً، خزّن نسخاً من بيانات العملاء تشمل أرقام الضمان الاجتماعي، أرقام الحسابات، أرقام الهوية الضريبية، معدلات الفائدة على القروض العقارية، الدخل، وعناوين السكن. قامت Everest بسحب 250,000 سجل من Frost و3.4 مليون سجل من Citizens، ثم نشرت عيّنات على موقعها في الشبكة المظلمة كإثبات للابتزاز.

تعتمد Everest نموذج Ransomware-as-a-Service (RaaS) النشط منذ 2020، ويقوم على الابتزاز المزدوج: تشفير الأنظمة بالتزامن مع تهديد نشر البيانات إن لم تُدفع الفدية. المجموعة مرتبطة بفاعلين روس وتركّز على القطاعَين المالي والصحي.

لماذا فشلت ضوابط البنوك أمام مورد ضعيف؟

المعضلة الجوهرية أن البنكين ركّزا رقابتهما على المحيط التقني الخاص بكل منهما دون تطبيق نفس مستوى التدقيق على المورّد الذي يحتفظ بنسخ من بيانات العملاء. وبحسب رد Citizens، كانت "معظم البيانات المسرّبة بيانات اختبار مقنّعة"، لكن وجود "مجموعة محدودة" من بيانات حقيقية كان كافياً لإطلاق دعاوى قضائية جماعية. وقد رُفعت بالفعل قضيتان class action في محكمة بروفيدنس الفيدرالية بحلول 24 أبريل بتهمة الإهمال وخرق العقد الضمني.

الأخطاء النمطية في حوكمة الموردين تشمل: تخزين بيانات إنتاج في بيئات اختبار غير محمية، غياب تشفير على مستوى الحقل (field-level encryption)، عدم فرض شرط Right-to-Audit في العقود، ضعف مراقبة سلوك الوصول للبيانات لدى الطرف الثالث، وعدم تطبيق Zero Trust على روابط API بين البنك والمورد.

التأثير على المؤسسات المالية السعودية

إطار SAMA Cyber Security Framework يخصص النطاق الفرعي 3.3.15 لـ "إدارة أمن الأطراف الثالثة" ويفرض على البنوك: تقييماً أمنياً قبل التعاقد، اشتراطات تعاقدية صريحة بشأن الأمن، حق التدقيق، اختبار اختراق على بيئات الموردين الحرجة، والإبلاغ الفوري عن الحوادث خلال 4 ساعات. الحادثة الحالية ستكون مثالاً مباشراً تستخدمه بعثات تفتيش SAMA لاختبار جاهزية البنوك.

كذلك يفرض إطار NCA ECC الضابط 4-1-3 المتعلق بأمن البيانات لدى الأطراف الخارجية، وتمتد تبعات الحادثة إلى نظام حماية البيانات الشخصية PDPL الذي يُحمّل وحدة التحكم (data controller) — أي البنك — المسؤولية القانونية الكاملة حتى لو وقع التسريب لدى المعالج (data processor). أي أن البنك السعودي لا يملك ترف إلقاء اللوم على المورد أمام الجهات التنظيمية أو القضاء.

التوصيات والخطوات العملية

1. جرد كامل للموردين الحاملين للبيانات: صنّف كل مورد وفق نوع البيانات (PII، PCI، تشغيلية) وكمية السجلات المتاحة له وحساسيتها وفق تصنيف SAMA.
2. تقييم أمني سنوي إلزامي: اطلب SOC 2 Type II أو ISO 27001 معتمد + اختبار اختراق مستقل على الأنظمة التي تستضيف بيانات البنك.
3. تشفير الحقل الحساس وtokenization: طبّق ترميز أرقام الحسابات والهويات قبل إرسالها للموردين، بحيث يصبح ما يُسرَّب لدى الطرف الثالث عديم القيمة الاقتصادية.
4. شرط تعاقدي للإبلاغ خلال 24 ساعة: اجعل الإبلاغ عن أي حادث أمني واجباً تعاقدياً مع غرامات واضحة، يلتقي بمتطلبات SAMA للإبلاغ خلال 4 ساعات للبنك.
5. محاكاة Tabletop ربع سنوية لسيناريو خرق مورد: اختبر خطة الاستجابة بفرض اختراق مزود طباعة أو مزود سحابي، مع قياس MTTR والاتصالات التنظيمية.
6. مراقبة الشبكة المظلمة: اشترك في خدمة Threat Intelligence ترصد ذكر اسم البنك أو موردي البنك على منتديات وأسواق RaaS مثل Everest وLockBit وAlphV.
7. بنود حق التدقيق وحق الإنهاء: أدخل Right-to-Audit وExit Plan في كل عقد جديد، مع تجربة استرداد البيانات سنوياً للتأكد من قابلية فك الارتباط.

الخلاصة

اختراق Citizens وFrost ليس فشلاً تقنياً للبنكين، بل فشل في حوكمة سلسلة الإمداد. النموذج الذي استغلّته Everest قابل للتكرار حرفياً ضد أي بنك سعودي يعتمد على موردين لطباعة كشوف الحسابات أو معالجة المستندات الضريبية أو الاستضافة السحابية. متطلبات SAMA CSCC وNCA ECC وPDPL تجعل البنك مسؤولاً قانونياً حتى عن أخطاء المورد، فالاستثمار في إدارة مخاطر الأطراف الثالثة (TPRM) لم يعد خياراً تكتيكياً بل واجباً تنظيمياً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.