هجوم Everest على Fiserv: درس قاسٍ لبنوك SAMA في مخاطر الموردين

في الثالث من مايو 2026، أعلنت عصابة الفدية Everest إدراج شركة Fiserv الأمريكية — أحد أكبر مزودي تقنيات معالجة المدفوعات والخدمات المصرفية في العالم — على موقع التسريب الخاص بها. الحادثة ليست مجرد خبر دولي عابر، بل اختبار حقيقي لجاهزية بنوك SAMA السعودية أمام أخطر فئات التهديد: مخاطر الطرف الثالث في سلسلة التوريد المالية.

ماذا حدث في هجوم Everest على Fiserv

عصابة Everest، النشطة منذ عام 2020 والمعروفة بأسلوب الابتزاز المزدوج (Double Extortion)، أعلنت اختراق Fiserv التي تخدم آلاف البنوك ومؤسسات المعالجة المالية حول العالم. وفقاً للمعلومات الأولية المنشورة على Dark Web، تدّعي العصابة الحصول على بيانات حساسة تشمل ملفات تشغيلية وعقود ومعلومات عملاء. ورغم أن Fiserv لم تؤكد بعد كامل تفاصيل الحادثة، فإن مجرد إدراجها على موقع التسريب يُعد علامة حمراء لكل بنك يعتمد على خدماتها أو خدمات مزودين مماثلين عبر تكاملات API أو منصات معالجة مدفوعات مشتركة.

أسلوب عمل عصابة Everest وتكتيكاتها

تعتمد Everest على ناقلات وصول متعددة: استغلال ثغرات أجهزة الحافة (Edge Devices)، شراء بيانات اعتماد مسروقة من وسطاء الوصول الأولي (Initial Access Brokers)، وحملات تصيد موجهة (Spear Phishing). بعد الاختراق تُجري العصابة استطلاعاً جانبياً (Lateral Movement) باستخدام أدوات شرعية مثل PsExec وAnyDesk وRclone لتسريب البيانات قبل التشفير. هذا الأسلوب — Living-off-the-Land — يجعل الكشف صعباً على حلول EDR التقليدية ويتطلب مراقبة سلوكية متقدمة عبر منصات XDR وSOC ناضج. كما تُلاحظ Everest استهدافاً متزايداً للقطاع المالي والصحي بسبب جودة بياناتهما وارتفاع قابلية الدفع.

التأثير المباشر على المؤسسات المالية السعودية

كثير من بنوك المملكة الخاضعة لإشراف البنك المركزي السعودي (SAMA) تعتمد على شبكة معقدة من مزودي خدمات الدفع والمحولات والبطاقات، بعضها يتقاطع تشغيلياً مع منظومات Fiserv وأقرانها. حتى لو لم يكن البنك عميلاً مباشراً، فإن الترابط البيني عبر Visa وMastercard وSWIFT وbatch settlement يجعل أي اضطراب لدى مزود كبير قابلاً للانتقال. متطلبات SAMA Cyber Security Controls Compliance (CSCC) في مجال Third-Party Cyber Security (3.3.14) ومتطلبات NCA ECC ضمن الضابط 1-7 (إدارة الأطراف الخارجية) تُلزم البنك بتقييم دوري لمخاطر الموردين الجوهريين، مع شروط تعاقدية صريحة حول الإبلاغ عن الحوادث، وحقوق التدقيق، وضمانات استرداد البيانات. كما تُضاف إليها متطلبات نظام حماية البيانات الشخصية PDPL بشأن إخطار صاحب البيانات في حال التسريب.

التوصيات العملية لبنوك SAMA خلال 72 ساعة

1. تفعيل خطة استجابة الطرف الثالث: راجع سجل الموردين الجوهريين (Critical Vendor Inventory) وتحقق من وجود تكاملات مباشرة أو غير مباشرة مع Fiserv، وأرسل طلب توضيح رسمي حول التأثير، مع تفعيل خطة Crisis Communication.
2. تشديد مراقبة API ومدفوعات السويفت: فعّل قواعد مراقبة شاذة في SOC على معاملات التسوية وbatch files، وارفع عتبة تنبيهات Velocity وGeo-anomaly في أنظمة Fraud Monitoring.
3. تدوير بيانات الاعتماد المشتركة: أي مفاتيح API أو شهادات أو حسابات خدمة مرتبطة بمزودي الدفع يجب تدويرها فوراً، مع فرض MFA متين على كل بوابات الإدارة.
4. صيد التهديدات الاستباقي (Threat Hunting): ابحث عن مؤشرات Everest المعروفة (PsExec غير المعتاد، Rclone، نطاقات C2 منشورة) خلال آخر 90 يوماً في سجلات EDR وSIEM.
5. التحقق من النسخ الاحتياطية: أجرِ اختبار استرداد فعلي (Restore Drill) لأهم أنظمة المدفوعات، وتأكد من عزل النسخ خارج الشبكة (Air-gapped) وفق متطلبات SAMA CSCC 3.3.5.
6. إخطار الجهات التنظيمية: جهّز نموذج إبلاغ SAMA إذا أكدت أي ارتباط بالحادثة خلال النوافذ الزمنية المحددة، ولا تنتظر اكتمال الصورة قبل التواصل.
7. مراجعة بنود العقود: ابدأ مراجعة قانونية لشروط الاستجابة للحوادث وحقوق التدقيق في كل عقود الموردين الماليين، خاصة بنود Right-to-Audit وSecurity SLA.

الخلاصة

هجوم Everest على Fiserv ليس حادثة بعيدة، بل مرآة لما يمكن أن يحدث في أي وقت لأي بنك سعودي يعتمد على شبكة موردين عالميين دون رقابة سيبرانية مستمرة. الفجوة الحقيقية ليست في الأدوات بل في النضج: نضج برنامج إدارة مخاطر الموردين، نضج SOC، ونضج خطط الاستمرارية. SAMA CSCC وNCA ECC لم تعد متطلبات ورقية — بل أصبحت خط دفاع وجودي.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك للحصول على تقييم مجاني لمدى نضج برنامج إدارة مخاطر الموردين وفق متطلبات SAMA CSCC وNCA ECC.