هجمات سلسلة التوريد: التهديد رقم واحد في 2026 ولماذا يستهدف القطاع المالي السعودي

صدر تقرير Group-IB للجرائم التقنية العالية لعام 2026 بنتيجة لا تحتمل التأجيل: هجمات سلسلة التوريد تحتل المرتبة الأولى بين أخطر التهديدات السيبرانية على مستوى العالم. لم تعد الحماية الداخلية وحدها كافية — فالخصم اليوم لا يكسر الباب الأمامي، بل يدخل عبر مزود الخدمة الذي تثق به منذ سنوات.

ما الذي تغيّر في طريقة تفكير المهاجمين؟

حتى وقت قريب، كانت الهجمات السيبرانية تستهدف مؤسسة واحدة في كل عملية. اليوم، يفكر المهاجمون بمنطق مختلف تماماً: لماذا أخترق مئة بنك واحداً تلو الآخر، حين يمكنني اختراق مزود برمجيات واحد واصل إلى كل هذه البنوك في آنٍ واحد؟ هذا هو جوهر هجمات سلسلة التوريد — استغلال العلاقات الموثوقة بين المؤسسات وموردي البرمجيات والخدمات والبنية التحتية.

يوثّق تقرير Group-IB للعام الحالي تحولاً بنيوياً في أسلوب الجريمة الإلكترونية: انتقل المهاجمون من الاستهداف المعزول إلى ما يُسمى "الاختراق البيئي الشامل"، حيث يستغلون منصات SaaS وامتدادات المتصفحات ومزودي الخدمات المُدارة وبيئات الكود المفتوح المصدر لكسب وصول وراثي إلى مئات المؤسسات في ضربة واحدة.

أرقام لا يمكن تجاهلها

يكشف التقرير عن حجم الضرر الفعلي الذي خلّفته هجمات سلسلة التوريد خلال الفترة الأخيرة، وهي أرقام تتحدث عن نفسها:

• اختراق بيئة Oracle القديمة وحده أفضى إلى تسريب بيانات 6 ملايين مستخدم
• دودة Shai-Hulud المُكتشفة مؤخراً انتشرت ذاتياً عبر 800 حزمة npm، مستهدفةً مطوري البرمجيات وسلاسل الإنتاج البرمجي
• اختراق رموز OAuth الخاصة بمنصات Drift وSalesloft وSalesforce تسبّب في تعرّض أكثر من 700 مؤسسة للاختراق التبعي
• هجوم الفدية على شركة Marquis للتقنية المالية كشف بيانات حساسة تخص 70 مؤسسة مالية دفعةً واحدة

هذه ليست سيناريوهات افتراضية — إنها حوادث موثّقة وقعت خلال الأشهر الأخيرة، وتُظهر أن الضرر يتضاعف بشكل أسي حين يكون نقطة الدخول موردٌ واحد مشترك.

القطاع المالي: الأكثر استهدافاً في المنطقة

في منطقة الشرق الأوسط وأفريقيا تحديداً، رصد تقرير Group-IB أن قطاع الخدمات المالية يحتل المرتبة الثانية من حيث عدد الحوادث الموثّقة بـ25 حادثة مسجّلة. وعلى صعيد حملات التصيد في المنطقة، تستأثر المؤسسات المالية بنسبة 28.5% من إجمالي الاستهداف — أي ما يقرب من ثلاثة أضعاف نصيب قطاعات أخرى.

السبب واضح من منظور المهاجم: المؤسسات المالية تحتفظ ببيانات العملاء الأكثر حساسية وتربطها شبكة واسعة من العلاقات مع موردين خارجيين — من مزودي حلول الدفع ومنصات KYC، إلى شركات التدقيق وتكامل الأنظمة البنكية الأساسية. كل حلقة في هذه السلسلة هي باب محتمل.

التأثير على المؤسسات المالية الخاضعة لرقابة SAMA وNCA

من منظور الامتثال التنظيمي السعودي، تُصنّف هجمات سلسلة التوريد خطراً مباشراً يتقاطع مع متطلبات متعددة في إطار SAMA CSCC (الضوابط الأمنية السيبرانية)، لا سيما ما يخص إدارة المخاطر الخاصة بالأطراف الثالثة. كذلك تتضمّن ضوابط NCA ECC متطلبات صريحة تتعلق بتقييم أمن الموردين وإدارة الوصول الخارجي.

المشكلة أن كثيراً من المؤسسات تُركّز جهود الامتثال على البيئة الداخلية وتُهمل إجراء تقييمات دورية لأمن مزودي الخدمات. هجوم سلسلة التوريد يستغل بالضبط هذه الفجوة: المؤسسة المالية قد تكون ملتزمة تماماً من الداخل، لكن الاختراق يأتيها من باب الثقة — التطبيق المُثبَّت، المكتبة البرمجية المُدمجة، أو الخدمة السحابية المُفعَّلة.

تجدر الإشارة إلى أن متطلبات PDPL (نظام حماية البيانات الشخصية) تُلزم المؤسسات بالإفصاح عن أي اختراق لبيانات العملاء بصرف النظر عن مصدره — بما في ذلك الاختراق الذي جاء عبر مورد خارجي. هذا يعني أن مسؤولية حماية البيانات تظل راسخة على عاتق المؤسسة، حتى حين يكون الخلل عند الطرف الثالث.

التوصيات والخطوات العملية

1. ابنِ سجلاً شاملاً لمزودي الخدمات: حدّد كل طرف ثالث يمتلك وصولاً إلى أنظمتك أو بياناتك — من أكبر شركاء ERP إلى أصغر مكتبة مفتوحة المصدر في بيئة التطوير.
2. طبّق مبدأ الامتياز الأدنى على الوصول الخارجي: لا يحتاج مزود الخدمة الخارجي إلى وصول مفتوح — حدّد الصلاحيات بدقة، وراقبها، وراجعها كل ربع سنة.
3. ادمج تقييم أمن الموردين في عقود الخدمة: اشترط تقارير اختبار الاختراق، وشهادات ISO 27001 أو SOC 2، وإشعارات الحوادث الأمنية ضمن بنود العقد.
4. راقب حركة المرور الناشئة عن التكاملات الخارجية: استخدم حلول SIEM و NDR لرصد أي سلوك شاذ صادر من جلسات المزودين أو واجهات API الخارجية.
5. طوّر خطة استجابة للحوادث تشمل سيناريو سلسلة التوريد: كيف ستُعزل الاتصال بمورد مخترق؟ ومن يتخذ القرار؟ ومتى تُبلّغ جهة الرقابة؟ هذه أسئلة يجب أن تكون لها إجابات مُعدّة مسبقاً.
6. فعّل مراقبة استمرارية لحزم البرمجيات مفتوحة المصدر: حادثة Shai-Hulud تذكّرنا أن npm وpip وgem ليست بيئات آمنة بطبيعتها — استخدم أدوات SCA (Software Composition Analysis) للكشف عن الحزم المُخترقة.

الخلاصة

هجمات سلسلة التوريد ليست تهديداً نظرياً بعيداً — إنها الأسلوب المفضّل للمهاجمين المحترفين لأنها تُضخّم الأثر وتُقلّص الجهد. حين تنجح في اختراق مزود واحد، يصبح أمامه مئات الأهداف في متناول اليد. القطاع المالي السعودي، بحكم درجة الترابط العالية بين مؤسساته ومزوديها، يقع في مركز هذه المخاطر.

المؤسسات التي تنظر إلى إدارة مخاطر الأطراف الثالثة باعتبارها التزاماً تنظيمياً فقط ستجد نفسها في موقف صعب يوم تقع الأزمة. أما من يُعالجها كعنصر استراتيجي في منظومة الأمن، فيبني حصانة حقيقية لا مجرد امتثال على الورق.

هل تعرف مَن يمتلك وصولاً إلى أنظمتك المالية في هذه اللحظة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة مخاطر الأطراف الثالثة وتقييم امتثالك لمتطلبات NCA ECC.