Marquis وأكيرا: 824,000 عميل بنكي ضحية ثغرة SonicWall غير مُرقَّعة — دروس حاسمة في TPRM

في واحدة من أبلغ الأمثلة على مخاطر الطرف الثالث في القطاع المالي، اخترق تنظيم Akira للفدية شبكة شركة Marquis Software Solutions — مزود خدمات التسويق والامتثال لعشرات البنوك الأمريكية — عبر ثغرة موثقة في جدار ناري SonicWall لم يُرقَّع في الوقت المناسب. النتيجة: تسريب بيانات 824,000 عميل من 80 بنكاً ومؤسسة ائتمانية، ودعوى قضائية تكسر مبدأ "ثقة بائع الحلول الأمنية" إلى الأبد.

تسلسل الهجوم: من ثغرة جدار ناري إلى فدية تطال 80 بنكاً

في 14 أغسطس 2025، استغل المهاجمون ثغرة موثقة في جدار ناري SonicWall الخاص بـ Marquis، مستخدمين بيانات اعتماد الاتصال الاحتياطي للنفاذ إلى البنية التحتية الداخلية. بعد تثبيت موطئ القدم، نشر تنظيم Akira برنامج الفدية الذي شفّر الملفات الحيوية وسرق كميات ضخمة من البيانات قبل التشفير في أسلوب "الابتزاز المزدوج" المعروف. امتدت التداعيات لتطال 80 بنكاً ومؤسسة ائتمانية على الأقل، مع تضرر أكثر من 354,000 عميل في ولاية تكساس وحدها. البيانات المُسرَّبة تضمنت أسماء العملاء، تواريخ الميلاد، عناوين السكن، أرقام الضمان الاجتماعي، وتفاصيل الحسابات البنكية وبطاقات الدفع — وهي بالضبط المعطيات التي تسعى عصابات الاحتيال المالي للحصول عليها في السوق السوداء.

Marquis تقاضي SonicWall: حين تصبح جهة الأمن نفسها في مرمى الاتهام

الجانب الأكثر إثارة في هذا الحادث ليس الاختراق ذاته، بل ما كشفه القضاء: في فبراير 2026، رفعت Marquis دعوى قضائية ضد SonicWall تتهمها بـ"إخفاقات أمنية" أتاحت للمهاجمين سرقة بيانات تهيئة الجدار الناري واستخدامها لتشكيل البوابة الخلفية إلى شبكة الشركة. هذا يعني أن المشكلة لم تكن مجرد إغفال ترقيع، بل إن المزود ذاته قد يكون مسؤولاً عن حماية بيانات الإعداد الحساسة من السرقة. هذه السابقة القانونية تعيد رسم خريطة مسؤولية التعاقد بين المؤسسات المالية ومزودي حلول الأمن، وستُلقي بظلالها على بنود العقود في المنطقة.

Akira: تنظيم الفدية الذي يسلك طريق الشبكة قبل البريد الإلكتروني

Akira ليس وجهاً جديداً في قوائم التهديدات. منذ ظهوره في 2023، استهدف مئات المؤسسات حول العالم مع تركيز واضح على الخدمات المالية والرعاية الصحية، ويعمل وفق نموذج "الفدية كخدمة" (RaaS) مما يعني أن منفذي الهجمات قد يكونون شركاء من مناطق جغرافية متعددة. ما يميّز Akira عن كثير من المجموعات الأخرى هو توجهه نحو ثغرات البنية التحتية المحيطية — جدران الحماية غير المُحدَّثة، VPN، وأجهزة Cisco ASA — بدلاً من الاعتماد الأول على رسائل التصيد. هذا يعني أن الأجهزة الحدية المكشوفة للإنترنت بدون ترقيع عاجل هي البوابة الأولى لهذا التنظيم، سواء في الولايات المتحدة أو منطقة الشرق الأوسط.

الأثر على المؤسسات المالية السعودية عبر منظور SAMA CSCC

قد يبدو الحادث بعيداً جغرافياً، لكن البنية التشغيلية للمؤسسات المالية السعودية تجعله مرآةً للواقع المحلي. كثير من البنوك السعودية تعتمد على موردين خارجيين لخدمات التسويق الرقمي، إدارة علاقات العملاء (CRM)، منصات الامتثال، ومعالجة بيانات العملاء — وهي بالضبط فئة الخدمات التي تقدمها Marquis. إطار الأمن السيبراني لـ SAMA (CSCC) يُلزم المؤسسات بضوابط صارمة تحت محور "إدارة مخاطر الطرف الثالث" تشمل: تقييم الوضع الأمني للمورد قبل التعاقد ودورياً، اشتراط الحد الأدنى من معايير الأمن بشكل تعاقدي ملزم، ومراجعة تقارير الاختراق والترقيع الخاصة بالموردين. الحادث يُبرهن أن الاكتفاء بعقد يُلزم المورد "بالامتثال" دون آلية تحقق تقني فعلي هو مجاز صوري لا يقي من المخاطر.

التوصيات والخطوات العملية

1. مراجعة قائمة الموردين ذوي الوصول إلى بيانات العملاء فوراً: حدد جميع الجهات الخارجية التي لديها وصول إلى بيانات العملاء أو الأنظمة الداخلية، وصنّفهم وفق مستوى المخاطر (Critical / High / Medium).
2. فرض سياسة Patch Management على الموردين تعاقدياً: أضف بنداً صريحاً يُلزم الموردين بتطبيق الترقيعات الأمنية الحرجة خلال 72 ساعة من نشر CISA لتحذير KEV، مع حق التدقيق الدوري.
3. التحقق من تعرض أجهزة SonicWall في بيئتك: استخدم أدوات External Attack Surface Management (EASM) للكشف عن أجهزة SonicWall أو FortiGate المكشوفة على الإنترنت، وتطبيق آخر تحديثات الفيرموير فورياً.
4. تفعيل مبدأ الصلاحيات الدنيا للموردين (Least Privilege): قيّد وصول الموردين الخارجيين بمبدأ Zero-Trust — فصل الشبكات عبر micro-segmentation، تفعيل PAM لمراقبة الجلسات المميزة، وسحب الوصول فور انتهاء العقد أو الحاجة.
5. اختبار خطة الاستجابة للحوادث مع سيناريو اختراق المورد: تمارين tabletop exercises كثيراً ما تركّز على الاختراق الداخلي أو التصيد، بينما تُهمل سيناريو "تعطّل مورد حيوي" الذي أصبح الأكثر حدوثاً في 2025-2026.
6. التوافق مع متطلبات SAMA CSCC 3-2-4 (Third Party Management): تأكد من أن نتائج آخر تقييم ذاتي تعكس تغطية كاملة لضوابط الطرف الثالث، خاصةً في ظل تصاعد تدقيق مفتشي SAMA في هذا المحور خلال دورات 2025-2026.

الخلاصة

قضية Marquis وأكيرا تجسّد حقيقة يعرفها كل CISO لكنه نادراً ما يتعامل معها بجدية كافية: مستوى أمنك لا يتجاوز أضعف حلقة في سلسلة موردّيك. بنوك كثيرة أنفقت ملايين على أنظمة SIEM ومراكز SOC متطورة، بينما مورد تسويق خارجي يُشغّل جداراً نارياً لم يُرقَّع منذ أشهر. في المملكة العربية السعودية حيث تُشدد SAMA رقابتها على امتثال TPRM، تحوّل هذا الملف من "ممارسة مُستحسنة" إلى "التزام تنظيمي قانوني" لا تهاون فيه. قضية Marquis ضد SonicWall تضيف بُعداً جديداً: المسؤولية القانونية قد تطال الجميع، بمن فيهم مزود الحل الأمني ذاته.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وبرنامج إدارة مخاطر الموردين.