اختراق Fiserv بـEverest مايو 2026: درس قاسٍ لبنوك SAMA في مخاطر الطرف الثالث

في 3 مايو 2026 نشرت عصابة Everest الناطقة بالروسية على موقع التسريبات الخاص بها بيانات مسروقة من شركة Fiserv، أحد أكبر مزودي البنية التحتية المصرفية في العالم. الحادثة ليست مجرد خبر عابر؛ إنها اختبار مباشر لجاهزية بنوك SAMA في إدارة مخاطر مزوديها التقنيين بعد سنوات من تشديد ضوابط الطرف الثالث.

تفاصيل اختراق Fiserv وأسلوب عصابة Everest

Fiserv شركة فينتك أمريكية مقرها ميلووكي، وتُعدّ من أبرز مزودي حلول معالجة المدفوعات وأنظمة الـCore Banking والمحافظ الرقمية لآلاف البنوك والاتحادات الائتمانية حول العالم. وفقاً لما نشرته Everest على موقع التسريبات، شمل الاختراق بيانات 4 موظفين داخليين، و1064 مستخدماً، و170 بياناً اعتمادياً لموظفين تابعين لأطراف ثالثة، أي مزودي خدمات يعملون مع Fiserv ذاتها.

اللافت أن Everest، خلافاً للانطباع السائد، لا تستخدم في الغالب حمولات تشفير. أسلوبها مبني على الابتزاز المزدوج بسرقة البيانات وتسريبها، وهو نمط يصعب اكتشافه بأدوات EDR التقليدية لأنه يعتمد على Living-off-the-Land Binaries واستخدام مشروع لأدوات RMM. حتى تاريخ النشر، لم تُصدر Fiserv بياناً رسمياً يؤكد أو ينفي تفاصيل الاختراق.

لماذا يهم هذا بنوك SAMA حتى لو لم تتعامل مع Fiserv مباشرة

كثير من البنوك السعودية يربطها سلسلة توريد رقمية معقدة بمزودين دوليين. حتى البنوك التي لا تتعاقد مع Fiserv مباشرة قد تعتمد على أنظمة أو خدمات وسيطة (Card Switch، أنظمة إدارة الاحتيال، حلول Open Banking) تستخدم مكونات Fiserv في خلفياتها. هذا ما يُسمى Fourth-Party Risk، وهو المنطقة العمياء التي حذرت منها مؤسسة النقد العربي السعودي مراراً.

نمط Everest في تسريب بيانات اعتماد موظفي الأطراف الثالثة (170 بياناً) خطير تحديداً لأنه يفتح الباب أمام هجمات Supply Chain لاحقة قد تصل إلى أنظمة عملاء Fiserv النهائيين، بمن فيهم بعض البنوك العاملة في المنطقة.

التأثير على المؤسسات المالية السعودية ومتطلبات SAMA CSCC

إطار SAMA CSCC في المجال 3.4 (إدارة مخاطر الأطراف الثالثة) ومجال 3.3.10 (الأمن السيبراني عند الاستعانة بمصادر خارجية) يُلزم البنوك بأكثر من مجرد توقيع اتفاقية SLA. المتطلبات تشمل تقييماً دورياً للمخاطر السيبرانية لكل مزود، وحقاً تعاقدياً في التدقيق، وخطة استجابة للحوادث تشمل المزود، وضمانات لإشعار البنك خلال 72 ساعة من أي اختراق يمسّ بياناته.

إطار NCA ECC يضيف بعداً موازياً عبر الضابط 4-3 المتعلق بأمن الأطراف الثالثة، فيما يفرض نظام حماية البيانات الشخصية PDPL في المادة 29 مسؤولية مشتركة على وحدة التحكم بالبيانات (البنك) والمعالج (المزود) في حال تسرب بيانات المواطنين. اختراق بحجم Fiserv يضع هذه البنود تحت المجهر التنظيمي.

التوصيات والخطوات العملية لفرق SOC وCISO السعوديين

1. راجع فوراً سجل المزودين Vendor Inventory وحدد ما إذا كان Fiserv أو أي من شركاتها التابعة (Clover، Carat، Finxact) ضمن سلسلة التوريد المباشرة أو غير المباشرة.
2. فعّل مراقبة معززة على بيانات الاعتماد المرتبطة بأي تكامل مع مزودي معالجة المدفوعات، وأعد تدوير المفاتيح API وSecrets المُشاركة خلال آخر 12 شهراً.
3. افحص سجلات Identity Provider (Entra ID، Okta) بحثاً عن عمليات تسجيل دخول من عناوين IP مرتبطة بـEverest TTPs، خاصة Anonymizing VPNs ومزودي Bulletproof Hosting.
4. طبّق مبدأ Zero Trust على واجهات API الخاصة بمزودي الخدمات المالية، مع MFA إجباري ومراقبة سلوكية UEBA على الحسابات الخدمية.
5. حدّث خطة الاستجابة للحوادث IR Plan لتشمل سيناريو "اختراق مزود حرج" مع شجرة قرار واضحة لإبلاغ SAMA خلال النوافذ الزمنية المحددة في إطار CSCC.
6. اطلب من المزودين الحرجين دليلاً محدّثاً (SOC 2 Type II أو ISO 27001) لا يتجاوز عمره 12 شهراً، مع تقرير اختبار اختراق Pentest حديث.
7. أجرِ Tabletop Exercise يحاكي تسريب بيانات اعتماد عبر مزود طرف ثالث، واختبر قدرة فريق SOC على عزل الجلسات المخترقة خلال 60 دقيقة.

الخلاصة

اختراق Fiserv ليس حادثة معزولة، بل مؤشر على نمط متصاعد يستهدف فيه مجرمو السيبر النظام البيئي المصرفي عبر أضعف حلقاته: المزودين. بنوك SAMA التي تعاملت مع إدارة مخاطر الطرف الثالث كإجراء امتثالي شكلي ستجد نفسها أمام فجوات حقيقية عند مراجعة المنظم القادمة. الفرق بين بنك يجتاز التقييم وآخر يتعرض لعقوبات مالية لم يعد في وثائق العقود، بل في عمق برنامج Vendor Risk Management وقدرته على الكشف الاستباقي.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى نضج برنامج إدارة مخاطر الأطراف الثالثة وفق SAMA CSCC وNCA ECC.