الملخص

  • كشف بنك Evolve Bank عن حادثة أمنية تتضمن وصولًا غير مصرح به وسرقة بيانات، حيث وصفت المواد العامة تورط LockBit، وخطوات الاحتواء، وإخطار العملاء.
  • أصبحت هذه الحادثة قضية مساءلة في الخدمات المصرفية كخدمة (BaaS) لأن الأشخاص المتضررين شملوا عملاء ومستخدمين نهائيين مرتبطين عبر علاقات شركاء التكنولوجيا المالية، وليس فقط عملاء البنك المباشرين.
  • أظهرت إخطارات الشركاء من Wise وMercury وAffirm وغيرهم كيف امتدت حدود الاستجابة عبر المنصات التي اعتمدت على Evolve في الخدمات المصرفية أو الإصدار.
  • عزز إجراء إنفاذ من الاحتياطي الفيدرالي ضد Evolve بشأن قضايا أوسع لإدارة المخاطر وحوكمة BaaS سياق المساءلة، حتى لو لم يكن مجرد إشعار باختراق إلكتروني.
  • يجب أن يُظهر سجل الإصلاح الموثوق تدفقات بيانات محددة، وتقليل البيانات المحتفظ بها لدى الشريك، وملكية واضحة للإخطار، وتنسيق دعم الشريك، وضوابط مخاطر الطرف الثالث، والمرونة ضد برامج الفدية، وأدلة على أن أموال العملاء وبيانات العملاء لم تُعامل كمشكلة واحدة.

الخدمات المصرفية كخدمة تجعل حدود الاختراق صعبة الرؤية

ذكرتصفحة الحادث الإلكترونيالرسمية لبنك Evolve Bank أن البنك حدد نشاطًا غير مصرح به، وأوقف الأنظمة، واستعان بخبراء أمن إلكتروني خارجيين، وقرر لاحقًا أن مجموعة LockBit تمكنت من الوصول إلى البيانات وتنزيلها. كما قدمتالأسئلة الشائعة للحادثوالإشعار البديل لخرق البياناتمزيدًا من التفاصيل للعملاء والأشخاص المتضررين حول ما حدث والبيانات التي قد تكون معنية. هذه الصفحات هي السجل العام الأساسي لاستجابة البنك للاختراق.

أصبح الحادث أكثر تعقيدًا لأن Evolve لم يكن مجرد بنك مجتمعي له عملاء مباشرون. بل كان أيضًا شريكًا مصرفيًا لمنصات التكنولوجيا المالية. تفصل الخدمات المصرفية كخدمة واجهة العميل عن البنية التحتية المصرفية الخاضعة للتنظيم. قد يعتقد الشخص أنه عميل لتطبيق تكنولوجيا مالية، في حين أن البنك الذي يقف وراء حسابات أو مدفوعات أو بطاقات أو تدفقات بيانات معينة هو Evolve. عندما يحدث اختراق في البنك، قد لا يعرف الشخص المتضرر على الفور لماذا كانت معلوماته موجودة هناك، أو أي شركة ستخطرهم، أو أين يطلب المساعدة.

هذه هي مشكلة المساءلة. يمكن لـ BaaS جعل الخدمات المالية أسهل في التضمين في البرمجيات، ولكنها قد تجعل المسؤولية أصعب في الشرح. قد يتم جمع نفس البيانات بواسطة شركة تكنولوجيا مالية، ومعالجتها بواسطة بنك، وتخزينها بواسطة موردين، واستخدامها للامتثال، ومشاركتها مع شركاء البطاقات أو المدفوعات، والاحتفاظ بها لأسباب تنظيمية. إشعار اختراق يذكر البنك فقط قد يربك الأشخاص الذين لم يفتحوا أبدًا علاقة تقليدية مع هذا البنك. إشعار شريك يذكر التكنولوجيا المالية فقط قد يقلل من دور البنك في الحفظ.

ذكرت المواد العامة لـ Evolve أن أموال العملاء ظلت آمنة، وهو أمر مهم. لكن ضمان الأموال والتعرض للبيانات مختلفان. يمكن أن يكون الشخص سليمًا ماليًا بمعنى أن الودائع غير مفقودة، ومع ذلك يواجه مخاطر الهوية أو الاحتيال أو التصيد أو الخصوصية لأن معلوماته الشخصية تم الوصول إليها. كان على استجابة الاختراق معالجة كلا السؤالين دون أن يطغى أحدهما على الآخر.

وبالتالي، فإن السؤال الأساسي للمساءلة ليس فقط "هل تم اختراق Evolve؟" بل "هل يمكن لكل شخص متضرر أن يفهم لماذا كان لدى Evolve بياناته، وما البيانات المعنية، ومن سيساعدهم، وكيف سيقلل البنك والشركاء من الضرر اللاحق؟"