اختراق Everest لـ Frost Bank عبر مورد طرف ثالث: درس لبنوك SAMA

في 20 أبريل 2026، أدرجت عصابة الفدية الروسية Everest كلاً من Frost Bank وCitizens Financial Group على موقع التسريبات الخاص بها، مهددةً بنشر بيانات نحو 250,000 عميل. الحادثة لم تنشأ من اختراق مباشر للبنوك، بل من ثغرة في مزود طرف ثالث، وهو ما يضع سياسات إدارة مخاطر الموردين في بنوك SAMA تحت اختبار حقيقي.

تفاصيل الاختراق: مورد واحد يطيح بمصرفين

كشف التحقيق الأولي أن مصدر الاختراق هو مزود خدمات مشترك يقوم بطباعة كشوف الحسابات لـ Citizens Financial Group ومعالجة الوثائق الضريبية لـ Frost Bank. استغل المهاجمون وصول هذا المزود إلى البيانات الحساسة لتنفيذ هجوم ابتزاز مزدوج (Double Extortion) — تشفير الأنظمة وتسريب البيانات معاً.

وفقاً لعينات نشرتها العصابة كدليل، تشمل البيانات المسروقة أرقام الضمان الاجتماعي، معرفات الضرائب، الأسماء الكاملة، معدلات الفائدة على الرهون، أرباح الاستثمار، والعناوين السكنية. وقد رفعت دعويا قضائيتان جماعيتان ضد البنكين خلال 4 أيام فقط من ظهور التسريب، بحجة الإهمال في حماية بيانات العملاء.

لماذا تنجح هجمات سلسلة التوريد؟

تستغل عصابات الفدية مثل Everest حقيقة أن المؤسسات المالية تستثمر مليارات في تأمين محيطها الداخلي، بينما تربطها علاقات تشغيلية مع عشرات الموردين الذين قد يكون مستوى نضجهم الأمني أقل بكثير. المزود الواحد الذي يحتفظ بنسخ من بيانات عملاء عدة بنوك يصبح هدفاً عالي القيمة (High-Value Target).

هذا النمط ليس جديداً؛ فقد سبقته اختراقات MOVEit وSolarWinds وKaseya. الجديد هنا هو أن Everest، النشطة منذ 2020، تحولت من نموذج التشفير التقليدي إلى نموذج هجين يركز على سرقة البيانات وفرض الفدية حتى دون تعطيل العمليات.

التأثير على المؤسسات المالية السعودية

يفرض إطار SAMA Cyber Security Framework متطلبات صريحة لإدارة مخاطر الأطراف الثالثة (Third-Party Cyber Security Risk Management) في البند 3.3.15، إلى جانب متطلبات NCA ECC في الضوابط الفرعية 1-9 و2-13 المتعلقة بسلسلة التوريد. كما يلزم نظام حماية البيانات الشخصية PDPL البنوك السعودية بضمان امتثال أي معالج بيانات تابع لها لنفس مستوى الحماية.

أي بنك سعودي يستخدم مزوداً لطباعة الكشوف، أو معالجة الوثائق الضريبية والزكوية، أو استضافة CRM، أو خدمات Print-and-Mail، يواجه نفس مستوى المخاطرة الذي تعرضت له Frost. الفجوة الأكثر شيوعاً في السوق السعودي هي اعتماد البنوك على شهادات الامتثال للموردين دون إجراء تقييمات تقنية مستقلة (Independent Technical Assessments).

التوصيات والخطوات العملية

1. إجراء جرد كامل (Vendor Inventory) لكل الأطراف الثالثة التي تصل إلى بيانات العملاء، مع تصنيفها حسب مستوى المخاطر وفق معيار SAMA.
2. تطبيق تقييمات أمنية تقنية دورية للموردين الحرجين، تشمل اختبار اختراق سنوي ومراجعة ضوابط ISO 27001 وPCI-DSS فعلياً وليس على الورق فقط.
3. إدراج بنود تعاقدية إلزامية تشمل: حق التدقيق (Right to Audit)، الإبلاغ عن الحوادث خلال 72 ساعة، التشفير في حالة السكون والنقل، وعقوبات مالية واضحة.
4. تفعيل تشفير البيانات على مستوى الحقول (Field-Level Encryption) قبل إرسالها للمورد، بحيث تبقى عديمة القيمة في حال الاختراق.
5. بناء قدرات صيد التهديدات (Threat Hunting) للبحث الاستباقي عن مؤشرات Everest IOCs ومجموعات RaaS المماثلة في بيئة المورد عبر تكاملات SOC.
6. تدريب فرق المشتريات والقانونية على متطلبات SAMA وPDPL لإدارة مخاطر الأطراف الثالثة، فالأمن السيبراني ليس مسؤولية CISO وحده.

الخلاصة

حادثة Frost Bank ليست استثناءً، بل نموذج متكرر لهجمات سلسلة التوريد التي ستزداد وتيرتها في 2026. البنوك التي تكتفي بتأمين محيطها الداخلي ستجد نفسها تحت مرمى عصابات الفدية عبر بوابات لم تكن تتوقعها. الامتثال الحقيقي لـ SAMA CSCC يبدأ من فهم أن ضعف أصغر مورد قد يكلف البنك سمعته وعملاءه ومئات الملايين من الريالات.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى نضج برنامج إدارة مخاطر الأطراف الثالثة لديك وفق إطار SAMA CSCC.