خرق Marquis Software يضرب 80 بنكاً: دروس TPRM لبنوك SAMA

خرق Marquis Software Solutions الذي تكشفت تفاصيله الكاملة أخيراً يضع كل CISO سعودي أمام سؤال جوهري: ما حجم البيانات الحساسة الموجودة لدى مزودي خدمة لا تراهم؟ هجوم رانسوم وير عبر جدار SonicWall واحد فتح الباب لاختراق 80 مؤسسة مالية و823,548 عميلاً — وهذا بالضبط نوع الكارثة التي صُممت ضوابط TPRM في إطار SAMA CSCC لمنعها.

تشريح خرق Marquis Software وموجة التداعيات

في 14 أغسطس 2025، تعرضت شركة Marquis Software Solutions — التي تقدم تحليلات بيانات وأدوات CRM وتسويقاً رقمياً لأكثر من 700 بنك واتحاد ائتماني ومُقرض رهن عقاري في الولايات المتحدة — لهجوم رانسوم وير دخل عبر ثغرة في جدار حماية SonicWall التابع لها. سرق المهاجمون ملفات من بنيتها التحتية قبل أن تُكتشف الحادثة، ومرّت أشهر قبل أن تتضح الصورة الكاملة.

بحلول مارس 2026، رفعت الإفصاحات الإلزامية أمام النواب العامين في عدة ولايات أمريكية عدد المؤسسات المتأثرة إلى 80 بنكاً واتحاداً ائتمانياً، وعدد العملاء المتأثرين إلى 823,548 شخصاً، مع تسرّب أسماء كاملة وأرقام ضمان اجتماعي وتواريخ ميلاد ومعلومات حسابات مالية. الأخطر أن إيداعاً رسمياً من اتحاد ائتماني (Community 1st) ذكر أن Marquis دفعت فدية، قبل أن يُحذف الإيداع لاحقاً. هذا النمط يتكرر: مزود طرف ثالث يقع ضحية لاختراق محيط شبكي، يدفع فدية للحد من التسريب، لكن الضحايا الحقيقيين هم البنوك التي ائتمنته على بيانات عملائها.

لماذا هذا الخرق مرآة محتملة للمشهد المصرفي السعودي

سوق الخدمات المالية السعودي يعتمد بدوره على شبكة كثيفة من مزودي الخدمات — من شركات تحليلات الائتمان إلى منصات KYC وحلول إدارة الفروع وموردي البريد المباشر ومنصات تسويق العملاء. كل واحد منهم يحوز مجموعات بيانات شخصية ومالية للعملاء النهائيين. وفقاً لتقارير Sophos لعام 2026، شُفّرت بيانات 59% من مؤسسات الخدمات المالية المُصابة بالرانسوم وير، وفي 31% من الحوادث سرق المهاجمون البيانات قبل التشفير — وهو بالضبط نموذج Marquis.

نقطة الدخول كانت جدار SonicWall، وهي عائلة منتجات تعرّضت بالفعل لموجة ثغرات حرجة في 2026 (CVE-2026-0204/0205/0206) أدرجتها CISA ضمن كتالوج KEV. فإذا كانت جدران Marquis نفسها قد سقطت بسبب فشل الترقيع، فالسؤال المنطقي: كم من موردي البنوك السعودية يشغّلون النسخة نفسها دون تحديث، وكم منهم يكشف ذلك في تقريره الأمني السنوي؟

التأثير على المؤسسات المالية السعودية وضوابط SAMA CSCC وPDPL

إطار SAMA Cyber Security Framework (CSCC) يخصص الضابط 3.3.14 (Third Party Cybersecurity) لإدارة مخاطر الأطراف الثالثة، ويُلزم البنوك بتقييم الوضع الأمني للموردين قبل التعاقد، وإدراج بنود أمنية واضحة في العقود، ومراقبة الالتزام طوال دورة حياة العلاقة. كما يفرض الضابط 3.3.5 (Information Classification) تتبع البيانات المُشاركة مع موردين خارجيين وتطبيق ضوابط حماية متناسبة مع تصنيفها.

في موازاة ذلك، تستوجب أنظمة حماية البيانات الشخصية السعودية (PDPL) — التي دخلت إنفاذها الكامل في 2024 — إخطار هيئة البيانات والذكاء الاصطناعي (سدايا) خلال 72 ساعة من اكتشاف خرق يؤثر على بيانات شخصية، حتى لو وقع الخرق عند مزود معالج (Data Processor) لا عند البنك نفسه. هذا يعني أن أي بنك سعودي يستعمل مزوداً بنموذج Marquis سيتحمل تبعات تنظيمية مزدوجة أمام SAMA وسدايا، إضافة إلى المسؤولية المدنية أمام عملائه ومخاطر السمعة.

التوصيات والخطوات العملية

1. جرد بيانات الأطراف الثالثة: أنشئ سجل Data Flow Map يوضّح ما يخرج من البنك إلى كل مزود (PII، بيانات حاملي البطاقات CHD، أرقام الحسابات، تاريخ المعاملات)، وحدد تصنيفها وفق ضابط SAMA CSCC 3.3.5.
2. تقييم أمني قبل وأثناء التعاقد: اطلب من كل مزود مالي حساس تقرير ISAE 3402 / SOC 2 Type II حديثاً، ونتائج اختبار اختراق مستقل خلال 12 شهراً، إضافة إلى دليل التزام بـ NCA ECC إذا كان يعمل داخل المملكة، وتقرير CITC للترخيص السحابي عند الاقتضاء.
3. بنود تعاقدية ملزمة: أدرج SLA لإخطار الخرق خلال 24 ساعة، حق التدقيق الميداني السنوي، شرط عدم دفع فدية دون التشاور مع البنك، وضمان إعادة البيانات أو إتلافها وفق محضر معتمد عند انتهاء التعاقد.
4. مراقبة سطح هجوم الموردين: ادمج External Attack Surface Management (EASM) لرصد جدران الحماية والخدمات المكشوفة لدى الموردين الحرجين، خاصة منتجات SonicWall وFortinet وIvanti وCitrix التي تكررت في حوادث 2026.
5. تجزئة وتشفير من جانب البنك: لا ترسل بيانات خام للمزود إلا عند الضرورة، وطبّق Tokenization أو Field-Level Encryption قبل المشاركة، بحيث لا تكون البيانات قابلة للاستثمار في حال خرق المزود.
6. دمج مؤشرات المزودين في SOC: اطلب من المزود تغذية SIEM البنك بـ telemetry محدد (سجلات الدخول، إنذارات EDR، حالات فشل التحقق متعدد العوامل)، حتى لا يمر اختراقه دون اكتشاف لأشهر كما حدث في Marquis.
7. سيناريو Tabletop سنوي: خصص محاكاة Incident Response مرة في السنة لافتراض اختراق مزود مالي رئيسي، تشمل الخط الزمني التنظيمي لـ SAMA وسدايا، إعلام العملاء، وإجراءات تجميد التغذية البيانية مؤقتاً.

الخلاصة

خرق Marquis ليس قصة بعيدة عن الواقع السعودي — بل صورة مسبقة لكارثة محتملة في أي بنك يعتمد على مزود خدمة لا يخضع لنفس درجة المراقبة الداخلية. التحول من تقييم تعاقدي شكلي إلى منظومة TPRM ديناميكية مدمجة في SOC هو الفرق بين بنك يكتشف الاختراق ساعة وقوعه، وبنك يقرأ تفاصيل تسرب عملائه في الأخبار بعد ستة أشهر.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.