اختراق Marquis المصرفية: 672 ألف ضحية يكشف هشاشة سلسلة موردي البيانات في القطاع المالي

في مارس 2026، أعلنت شركة Marquis Software Solutions الأمريكية عن اختراق أمني خطير أسفر عن سرقة بيانات أكثر من 672 ألف عميل مصرفي، شاملةً أرقام الحسابات البنكية وبطاقات الائتمان وأرقام الضمان الاجتماعي. ما يجعل هذه الحادثة درساً بالغ الأهمية للقطاع المالي السعودي هو أن Marquis ليست بنكاً — بل هي شركة تحليلات بيانات تخدم أكثر من 700 مؤسسة مالية، وهو النموذج ذاته الذي تعتمده كثير من البنوك السعودية مع موردي التكنولوجيا الخارجيين.

من هي Marquis ولماذا كانت هدفاً بالغ الخطورة؟

Marquis Software Solutions شركة تكنولوجيا مالية متخصصة في أدوات التسويق وتحليل سلوك العملاء وإدارة الامتثال، وتخدم شبكة تضم أكثر من 700 بنك واتحاد ائتماني في الولايات المتحدة. هذا النوع من الموردين يُعدّ كنزاً للمهاجمين: اختراق جهة واحدة يمنحهم وصولاً موحداً إلى بيانات مئات المؤسسات المالية ومئات آلاف العملاء في ضربة واحدة. الهجوم نُفّذ في أغسطس 2025 لكنه اكتُشف وأُفصح عنه في مارس 2026 فحسب — فجوة زمنية تمتد سبعة أشهر تكشف إشكالية حرجة في الكشف المبكر والاستجابة للحوادث لدى الموردين الخارجيين.

ناقل الهجوم: ثغرة جدار الحماية SonicWall وأسلوب النشر المزدوج

بحسب الدعوى القضائية التي رفعتها Marquis ضد مزودها SonicWall، استغل المهاجمون ثغرة في جدار الحماية سمحت لهم بسرقة ملفات النسخ الاحتياطية لتكوين الجدار (Firewall Configuration Backup Files)، ما منحهم مفاتيح الدخول إلى الشبكة الداخلية. بعدها نشروا برنامج الفدية وسحبوا البيانات قبل التشفير، وهو أسلوب "النشر المزدوج" (Double Extortion) الذي بات معياراً لدى مجموعات الفدية المتقدمة. البيانات المسرّبة شملت: أسماء العملاء كاملة، تواريخ الميلاد، العناوين البريدية، أرقام الحسابات المصرفية، أرقام بطاقات الخصم والائتمان، وأرقام الضمان الاجتماعي. مجتمعةً، هذه البيانات كافية لتنفيذ عمليات احتيال هوية شاملة ومتقنة تستهدف العملاء المتضررين لأشهر قادمة.

التأثير على المؤسسات المالية السعودية والمتطلبات التنظيمية

قد يبدو الحادث بعيداً جغرافياً، لكنه يعكس واقعاً قائماً داخل القطاع المالي السعودي: كثير من البنوك وشركات التمويل والتأمين المرخصة من SAMA تعتمد على موردين خارجيين لخدمات التحليلات وإدارة علاقات العملاء والمدفوعات والبنية السحابية. إطار SAMA CSCC يُلزم المؤسسات صراحةً بإدارة مخاطر الموردين (Third-Party Risk Management)، بما يشمل تقييم الوضع الأمني للموردين قبل التعاقد وأثناءه، وتحديد بنود الإبلاغ عن الحوادث وحق التدقيق ضمن العقود. علاوةً على ذلك، تفرض لائحة PDPL السعودية الإبلاغ الفوري عند تسريب البيانات الشخصية، وهو ما تعذّر في حادثة Marquis بسبب التأخر الطويل في الاكتشاف. كل يوم تأخير في رصد الاختراق يعني مزيداً من الضرر للعملاء ومزيداً من التعرّض للمساءلة التنظيمية.

التوصيات والخطوات العملية لمسؤولي الأمن السيبراني

1. مراجعة عقود الموردين الحاليين: تحقق من وجود بنود تُلزم الموردين بالإفصاح عن أي اختراق خلال 72 ساعة من اكتشافه، وبإجراء اختبارات اختراق سنوية. راجع بنود "حق التدقيق" (Right to Audit) في كل عقد مع مزود وصول إلى البيانات الحساسة.
2. تصنيف الموردين حسب مستوى الخطر: ضع نظام تصنيف ثلاثي (عالي/متوسط/منخفض) لكل مورد بناءً على حجم البيانات التي يصل إليها وطبيعتها. الموردون ذوو الوصول إلى بيانات العملاء المالية يستحقون مراجعة أمنية مستقلة لا تقل عن مرة سنوياً.
3. تدقيق ملفات النسخ الاحتياطية لجدران الحماية: ملفات تكوين جدران الحماية تحتوي على معلومات بالغة الحساسية تشمل القواعد والحسابات وكلمات المرور. يجب تشفيرها، وتقييد صلاحيات الوصول إليها، والتأكد من أن مزودي الخدمة لا يحتفظون بنسخ منها غير مشفّرة.
4. تفعيل رصد حركة البيانات الخارجة (DLP): اختراق Marquis تضمّن سرقة البيانات قبل تشفيرها. أدوات منع تسريب البيانات (DLP) مثل Microsoft Purview أو Forcepoint UEBA يمكنها رصد التدفقات غير المعتادة والتنبيه قبل اكتمال عملية السرقة.
5. اشتراط تقارير SOC 2 Type II أو ISO 27001 من الموردين: لا تكتفِ بالوثائق التسويقية أو الإجابات على استبيانات الأمن — اطلب من كل مورد حساس تقارير مراجعة أمنية مستقلة، ويُفضّل SOC 2 Type II أو شهادة ISO 27001 سارية المفعول.
6. تمارين محاكاة تشمل الموردين: نفّذ تمارين استجابة للحوادث (Tabletop Exercises) تضم ممثلين من كبار الموردين، لاختبار مدى جاهزيتهم وآليات التنسيق والإبلاغ المشترك عند وقوع أزمة فعلية.

الخلاصة

حادثة Marquis تُذكّرنا بأن المهاجمين لا يستهدفون دائماً البنك مباشرةً — بل يبحثون عن أضعف حلقة في سلسلة الموردين. في بيئة تنظيمية كالسعودية حيث تتصاعد متطلبات SAMA CSCC وNCA ECC لإدارة مخاطر الطرف الثالث، لم يعد مجرد توقيع اتفاقية مشاركة البيانات كافياً — بل يجب بناء برنامج متكامل لإدارة مخاطر الموردين يُقيَّم ويُختبر بانتظام كجزء من منظومة الحوكمة الأمنية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.