برگزیده

چرخه بی‌پایان هک بانکی

شرق

بروزرسانی 1405/04/06 - 18:18

شرق/ متن پیش رو در شرق منتشر شده و بازنشرش در آخرین خبر به معنای تاییدش نیست

سونیتا سراب‌پور| ازکارافتادن کارت بانکی و سرویس‌های اینترنتی برخی بانک‌ها حداقل از دو سال گذشته به یک روتین طبیعی برای شهروندان تبدیل شده است. هکر یا گروهی از هکرها که آخر هم مشخص نمی‌شود از کجا آمده‌اند، سیستم بانکی کشور را هدف حملات سایبری قرار می‌دهند و مسئولان بانکی و رگولاتور بازار هم فقط از مردم می‌خواهند صبوری کرده و اخبار را از مراجع رسمی دنبال کنند. در نهایت هم بعد از چند روز و حتی چند هفته، بدون توضیح روشن درباره علت حادثه، میزان خسارت، نقاط آسیب‌پذیر و حتی یک عذرخواهی رسمی بابت نقض حقوق مشتریان مشکل برطرف می‌شود. از خرداد ۱۴۰۴ که حمله سایبری به بانک سپه و سپس پاسارگاد بخشی از خدمات بانکی کشور را مختل کرد تا خرداد ۱۴۰۵ که بانک‌های ملی، صادرات، تجارت و توسعه صادرات بار دیگر هدف حملات سایبری قرار گرفتند، یک پرسش بی‌پاسخ مانده است؛ چرا شبکه بانکی ایران هر چند ماه یک‌ بار از کار می‌افتد اما هیچ‌گاه گزارشی شفاف درباره علت حمله، میزان خسارت و مسئولیت نهادهای متولی منتشر نمی‌شود؟ در این میان تنها چیزی که تکرار می‌شود صف مقابل شعب بانک‌ها، کارت‌های بانکی از کار افتاده و درخواست همیشگی مسئولان از مردم برای «صبوری» است.

داستانی که پیوسته تکرار می‌شود
اختلال و حملات سایبری به سیستم بانکی کشور اتفاق جدیدی نیست، اما آنچه در هفته‌های اخیر رخ داده از منظر نوع اتفاق و اطلاع‌رسانی از موارد عجیب است. هنوز مشخص نیست این حملات از داخل است یا خارج از کشور، هیچ گروه هکری مسئولیت انجام این حملات را نپذیرفته و هنوز مشخص نیست چرا در حالی که مقامات دولتی و بانک‌ها خبر از حل مشکل می‌دهند، اما هفته‌هاست که مردم برای خرید نان مشکل دارند، نمی‌توانند کرایه تاکسی‌شان را پرداخت کنند و انتقال یا دریافت وجه نیز همچنان با مشکل مواجه است. اواسط خرداد ۱۴۰۵ بود که خبر آمد شبکه بانکی کشور مورد حمله قرار گرفته و همین امر باعث شده زیرساخت‌های بانک‌های ملی، صادرات، توسعه صادرات و تجارت از کار بیفتد. خودپردازها، اینترنت‌بانک، موبایل‌بانک و بخشی از تراکنش‌های بانکی برای ساعت‌ها و در برخی موارد روزها از دسترس خارج شدند. شورای هماهنگی بانک‌ها و شرکت خدمات انفورماتیک که زیرساخت این بانک‌ها را تأمین می‌کند وقوع حملات سایبری را تأیید کردند اما مانند دفعات قبل تأکید داشتند که اطلاعات مشتریان در امنیت کامل قرار دارد. هنوز خدمات این چهار بانک به چرخه عادی ارائه خدمات باز نگشته بود که دوم تیر و پیش از شروع تعطیلات، خبر رسید که اختلالی گسترده در سطح شبکه بانکی کشور رخ داده و خدمات مبتنی بر کارت با مشکل جدی مواجه شده است. در این اتفاق هم بانک‌های ملی، صادرات و تجارت بیشتر از همه با اختلال روبه‌رو شدند. همان زمان شرکت ملی خدمات انفورماتیک در اطلاعیه‌ای در کنار درخواست صبوری از مردم توضیح داد: «این اختلال‌ها با هدف جلوگیری از دسترسی غیرمجاز و حفاظت از امنیت اطلاعات و دارایی‌های مشتریان، توسط شرکت خدمات انفورماتیک اعمال شده بود». در گام بعدی هم فرماندهی سایبری کشور اعلام کرد اختلال در خدمات کارت‌محور بانک‌های ملی، صادرات و تجارت در پی یک حمله سایبری هدفمند رخ داده است.

ساعت‌هاست که شرکت خدمات انفورماتیک اعلام کرده مشکل برطرف شده و خدمات این بانک‌ها برگشته‌اند اما بسیاری از کاربران در شبکه‌های اجتماعی اعلام می‌کنند که در هنگام خرید یا انتقال وجه با مشکل مواجه هستند. این نخستین بار نیست که شبکه بانکی ایران در برابر حملات سایبری آسیب‌پذیر نشان می‌داد. یک سال قبل و در میانه جنگ ۱۲ روزه ایران و اسرائیل، بانک سپه هدف حمله‌ای قرار گرفت که اختلال گسترده‌ای در خدمات غیرحضوری آن ایجاد کرد. ساعاتی بعد گروه هکری «گنجشک درنده» مسئولیت حمله را بر عهده گرفت و مدعی شد بخشی از زیرساخت‌های بانک را از بین برده است. تنها یک روز بعد نام بانک پاسارگاد نیز به فهرست قربانیان اضافه شد. دولت وقوع حمله به هر دو بانک را تأیید کرد و گفت آسیبی به اطلاعات مردم وارد نشده است؛ هرچند بازگشت کامل خدمات در برخی بخش‌ها روزها و حتی هفته‌ها زمان برد.

وقتی ارتباطی با دنیا نیست
اما اگر فقط رخدادهای دو سال اخیر در حوزه بانکی را کنار هم قرار دهیم، تصویری نگران‌کننده شکل می‌گیرد؛ تصویری از زیرساختی که هر بار با نامی تازه و روایتی متفاوت دچار اختلال می‌شود اما هیچ‌گاه گزارش فنی شفافی درباره علت اختلال و ازکارافتادن سرویس‌های بانکی منتشر نمی‌شود. نه مشخص است مهاجمان از چه مسیرهایی وارد شده‌اند، نه معلوم می‌شود چه آسیب‌هایی به سامانه‌ها وارد شده و نه نهادی مسئولیت مستقیم خسارت‌های واردشده به مشتریان را بر عهده می‌گیرد. در بسیاری از کشورهای جهان، پس از وقوع حمله سایبری به زیرساخت‌های مالی، بانک‌ها موظف‌اند جزئیاتی از حادثه، دامنه نفوذ، مدت اختلال، تعداد کاربران آسیب‌دیده و اقدامات اصلاحی را منتشر کنند. اما در ایران اغلب اطلاع‌رسانی‌ها به چند جمله کوتاه محدود می‌شود؛ جملاتی که معمولا با این عبارت آغاز می‌شوند: «خدمات هدفمند سایبری به زیرساخت‌ها صورت گرفته و اقدامات لازم در حال انجام است یا انجام شده است». به باور کارشناسان همین فقدان شفافیت باعث شده است هر حمله سایبری، علاوه بر خسارت عملیاتی، هزینه‌ای پنهان نیز به‌همراه داشته باشد: فرسایش اعتماد عمومی. اعتمادی که مهم‌ترین سرمایه هر نظام بانکی است و ازدست‌رفتن آن می‌تواند بسیار پرهزینه‌تر از چند ساعت یا چند روز اختلال در سرویس‌ها باشد. نیما امیرشکاری، فعال حوزه بانکداری الکترونیکی و کارشناس اقتصاد دیجیتال، در گفت‌وگو با «شرق» اعلام می‌کند که مسئله اصلی از نگاه او نه این حمله‌های اخیر، بلکه ریشه‌های تکرار چنین حملاتی است. او می‌‌گوید اگر بخواهد علت تکرار مدام حملات سایبری به زیرساخت‌های بانکی کشور را در یک عبارت خلاصه کند، «ضعف ارتباط با دنیا» است.

امیرشکاری معتقد است سیستم‌های زیرساختی برخی از بانک‌های کشور بسیار قدیمی و در مواردی ازکارافتاده شده‌اند: «بخش قابل توجهی از زیرساخت‌های بانکی ایران به حدود سه دهه قبل بازمی‌گردد. سامانه‌هایی که نه‌تنها در داخل کشور توسعه داده نشده‌اند، بلکه سال‌ها پیش از شرکت‌های خارجی خریداری شده و در طول زمان عمدتا فقط ظرفیت سخت‌افزاری آنها افزایش یافته است. تعداد پردازنده‌ها بیشتر شده، فضای ذخیره‌سازی افزایش یافته و تجهیزات جدیدی به آنها اضافه شده است، اما مغز نرم‌افزاری این سامانه‌ها همان چیزی است که سال‌ها قبل طراحی شده بود». به باور او سامانه‌ای که سال‌ها به‌روزرسانی نشود، وصله‌های امنیتی را دریافت نکند و تغییرات لازم روی آن اعمال نشود، به مرور به هدفی قابل پیش‌بینی برای مهاجمان سایبری تبدیل می‌شود: «زمانی که مهاجم بداند یک سامانه سال‌هاست تغییر نکرده، احتمال موفقیت حمله افزایش پیدا می‌کند». او با اشاره به تفاوت نوع کار بانک‌های ایرانی با بانک‌های خارجی می‌گوید: «تفاوت اصلی میان بانک‌های ایرانی و بانک‌های فعال در شبکه مالی جهانی دقیقا همین‌جاست. بانک‌های دنیا به‌طور مستمر مجبور به تطبیق با استانداردهای جدید هستند؛ از شیوه‌های اعتبارسنجی تا مدل‌های اعطای تسهیلات، امنیت اطلاعات و الزامات فنی. اگر بانکی خود را با این استانداردها هماهنگ نکند، به‌تدریج از رقابت حذف می‌شود. اما در ایران چنین فشاری وجود ندارد. بانک‌ها عمدتا در یک محیط بسته فعالیت می‌کنند و تنها الزام جدی آنها بخش‌نامه‌های داخلی ناکارآمد است. نتیجه نیز روشن است؛ نوسازی به یک انتخاب تبدیل می‌شود، نه یک ضرورت». امیرشکاری تأکید می‌کند که مشکل آسیب‌پذیری زیرساخت‌های بانکی کشور فقط نبود زیرساخت‌های به‌روز نیست: «مشکل فقط تجهیزات نیست. حتی بهترین تجهیزات دنیا نیز بدون پیکربندی صحیح و دانش فنی کافی امنیت لازم را نخواهند داشت. یکی از چالش‌های جدی ما این است که در بسیاری از موارد، تجهیزات خریداری می‌شوند اما دانش لازم برای تنظیمات پیشرفته امنیتی، سازگاری با محیط عملیاتی و مقاوم‌سازی آنها به اندازه کافی وجود ندارد».

او ادامه می‌دهد: «این کمبود دانش زمانی بیشتر خود را نشان می‌دهد که حادثه‌ای رخ می‌دهد. در روزهای ابتدایی حمله اخیر، پیشنهاد استفاده از مشاوران خارجی برای کمک به عارضه‌یابی و رفع مشکل مطرح شد. اما در عمل موانع متعددی وجود داشت؛ از محدودیت‌های سفر و شرایط جنگی تا حساسیت‌های امنیتی درباره حضور متخصصان خارجی یا حتی ارائه دسترسی از راه دور برای بررسی سامانه‌ها. نتیجه این می‌شود که بسیاری از ظرفیت‌هایی که می‌توانند به حل سریع‌تر بحران کمک کنند، عملا قابل استفاده نیستند». امیرشکاری اعلام می‌کند که شاید مهم‌ترین مسئله، فراتر از فناوری و تجهیزات، به شیوه حکمرانی بازگردد. آن‌طور که او می‌گوید، در سال‌های اخیر توازن میان نگاه نظارتی و توسعه به‌ تدریج به هم خورده است: «در هر کشوری میان این دو مفهوم نوعی تعادل برقرار می‌شود. نه توسعه بدون امنیت امکان‌پذیر است و نه امنیت بدون توسعه پایدار می‌ماند. اما زمانی که کفه امنیت بیش از حد سنگین شود، تصمیم‌گیری‌های تخصصی نیز تحت تأثیر قرار می‌گیرند. امروز بسیاری از مدیران ترجیح می‌دهند به سامانه‌ای که در حال کار است، دست نزنند. نه به این دلیل که تغییر لازم نیست، بلکه به این دلیل که هزینه تصمیم‌گیری و ریسک تغییر بیش از حد بالا رفته است. مدیری که بخواهد یک تحول جدی ایجاد کند، ممکن است با انواع تفسیرها، سوءظن‌ها و فشارها مواجه شود. بنابراین راه کم‌هزینه‌تر این است که هیچ تغییری انجام نشود».

مدیرانی که تمایل به اطلاع‌رسانی ندارند
در حالی که روایت رسمی درباره اختلال اخیر بانک‌ها همچنان در ابهام قرار دارد، یک نکته بیش از هر چیز خودنمایی می‌کند؛ اینکه نظام بانکی ایران با وجود تجربه مکرر حملات سایبری، هنوز نتوانسته میان سرمایه‌گذاری روی تجهیزات، توسعه دانش تخصصی و پاسخ‌گویی عمومی تعادل برقرار کند. سعید سوزنگر، کارشناس امنیت، معتقد است ریشه بخش مهمی از این آسیب‌پذیری نه در کمبود فناوری، بلکه در ضعف امنیتی، بی‌توجهی به سرمایه انسانی و نبود سازوکارهای الزام‌آور برای پاسخ‌گویی نهفته است. سوزنگر در پاسخ به این پرسش که چرا سیستم بانکی کشور تا این اندازه مورد حمله قرار می‌گیرد، به «شرق» می‌گوید که در این زمینه چند دلیل عمده وجود دارد: «نخست اینکه به دلیل تحریم‌ها، امکان استفاده از بسیاری از ابزارهای به‌روز و استانداردهای جهانی امنیت سایبری را نداریم. دوم اینکه محدودیت‌های اینترنتی و فیلترینگ باعث شده بخشی از پروتکل‌ها و سازوکارهای امنیتی به شکل مطلوب مورد استفاده قرار نگیرند. عامل سوم نیز به ساختار اداری کشور بازمی‌گردد؛ ساختاری که در آن شرایط لازم برای استفاده حداکثری از دانش متخصصان امنیت در سازمان‌ها و بانک‌ها فراهم نشده است». او ادامه می‌دهد: «مشکل دقیقا از همین نقطه آغاز می‌شود. بسیاری از سازمان‌ها حاضرند هزینه‌های سنگین برای خرید تجهیزات و سخت‌افزارهای گران‌قیمت پرداخت کنند، اما حاضر نیستند همان میزان سرمایه‌گذاری را برای نیروی انسانی انجام دهند. نتیجه چنین رویکردی کاملا مشخص است؛ تجهیزات پیشرفته در اختیار داریم، اما دانش استفاده حداکثری از آنها یا دانش بهره‌برداری صحیح از ظرفیت‌هایشان را نداریم. حتی در مواردی که این دانش وجود دارد نیز انگیزه کافی برای استفاده از آن فراهم نشده است». به باور او در چنین شرایطی طبیعی است که متخصصان به همان سطح حداقلی از بهره‌برداری بسنده کنند. سوزنگر یکی دیگر از مشکلات در این زمینه را ضعف در اطلاع‌رسانی عمومی می‌دانند و اینکه نه نهاد ناظر بانکی و نه بانک خود را ملزم به پاسخ‌گویی در زمان اختلالات به دلیل حمله سایبری نمی‌دانند. او با اشاره به نبود اسناد بالادستی مؤثر برای صیانت از حقوق کاربران، می‌گوید: «در شرایط فعلی، بانک‌ها و کسب‌وکارها در بسیاری از موارد الزام جدی برای پاسخ‌گویی عمومی ندارند. همین مسئله باعث شده حملات سایبری به‌ تدریج به پدیده‌ای عادی تبدیل شوند. البته در همه جای دنیا هک اتفاق می‌افتد، اما تفاوت در نحوه مواجهه با آن است. در بسیاری از کشورها، زمانی که یک سازمان دچار حادثه امنیتی می‌شود، موظف است به‌صورت مستمر و شفاف ذی‌نفعان و مشتریان خود را در جریان قرار دهد». این کارشناس امنیتی معتقد است تجربه حملات سایبری اخیر به بانک‌ها نشان می‌دهد‌ اساسا در سیستم بانکی کشور، مدیران نیازی به پاسخ‌گویی نمی‌بینند و تمایلی به پذیرش مسئولیت یا اطلاع‌رسانی شفاف ندارند. او توضیح می‌دهد: «این در حالی است که وقتی سازمانی بابت نشت اطلاعات یا ضعف امنیتی با جریمه، مسئولیت حقوقی یا هزینه‌های مشخص مواجه نشود، انگیزه چندانی برای سرمایه‌گذاری بیشتر در حوزه امنیت نخواهد داشت. وقتی هزینه بی‌توجهی به امنیت پایین باشد، طبیعی است که اصلاح سیاست‌ها، افزایش بودجه امنیتی یا به‌روزرسانی فرایندهای آموزشی نیز در اولویت قرار نگیرد».

آیا اتصال به اینترنت باعث حملات سایبری می‌شود؟
با وجود اعلام بانک مرکزی و شرکت خدمات انفورماتیک مبنی بر حل مشکل ارائه خدمات به دنبال حمله یا حملات سایبری، اما طبق بررسی‌های میدانی و گزارش کاربران، این اختلال‌ها همچنان پابرجاست. پیگیری «شرق» از بانک مرکزی و شرکت خدمات انفورماتیک برای دریافت توضیحاتی در مورد این حمله تا لحظه انتشار این گزارش به نتیجه‌ای نرسیده است. این دو نهاد اعلام می‌کنند ‌‌همچنان کارشناسان امنیتی و پلیس فتا در حال بررسی ابعاد موضوع هستند. در این بین،‌ برخی با سرزنش اتصال اینترنت، اعلام می‌کنند که اگر اینترنت وصل نشده بود، این اتفاق نمی‌افتاد. برای نمونه امیر سیاح، معاون اقتصادی و تنظیم مقررات مرکز ملی فضای مجازی، در توییتی‌ انتقادی در شبکه ایکس (توییتر سابق) نوشت: «یک ماه پیش، متخصصان امنیت سایبری هشدار می‌دادند زیر حملات شدید هستیم اینترنت بین‌الملل را باز نکنید، با روش‌های بی‌خطری می‌توان نیاز عموم به اینترنت بین‌الملل را تأمین کرد. وزیر ارتباطات به جای توجه، به نصیحت‌کننده‌ها توهین کرد. حالا که مردم گرفتار شده‌اند، کجاست بیاید جواب مردم را بدهد؟». در مقابل این نظر‌ از سوی یک مقام فعال در حوزه فناوری، بهزاد اکبری، معاون وزیر ارتباطات و مدیرعامل شرکت ارتباطات زیرساخت، در توییتی این موضوع را فاقد پشتوانه فنی و غیرکارشناسی دانست. اکبری در توییت خود تأکید کرده بود: «سامانه‌های Core Banking این بانک‌ها و شرکت ارائه‌کننده خدمات به آنها اصلا به اینترنت عمومی متصل نیستند و سایر سامانه‌هایشان نیز «ایران‌اکسس» هستند».

اما شاید سؤال اصلی این باشد که آیا قطع اینترنت می‌تواند به افزایش حملات سایبری و کاهش امنیت سیستم‌ها کمک کند؟ سعید سوزنگر در پاسخ به این پرسش نظر نسبتا مثبتی دارد. او توضیح می‌دهد: «پاسخ این پرسش هم بله است و هم خیر. از یک سو، محدودیت‌های اینترنتی می‌تواند فرصت به‌روزرسانی بسیاری از سامانه‌ها را از بین ببرد و همین مسئله یکی از عوامل افزایش آسیب‌پذیری باشد. از سوی دیگر، برخی سناریوهای فنی دیگر نیز ممکن است مطرح باشند که بدون اطلاعات دقیق نمی‌توان درباره آنها با قطعیت اظهار‌نظر کرد». به باور او، اینکه صرف اتصال به اینترنت عامل اصلی حادثه بوده، از منظر فنی توضیح قابل قبولی نیست و نمی‌توان علت اصلی چنین حملاتی را بدون بررسی دقیق توضیح داد. او تأکید می‌کند که امنیت سایبری تنها با خرید تجهیزات حاصل نمی‌شود: «امنیت محصول ترکیبی از دانش، آموزش، نیروی انسانی متخصص، شفافیت، پاسخ‌گویی و سرمایه‌گذاری مستمر است. تا زمانی که این اجزا در کنار هم قرار نگیرند، تکرار چنین حوادثی چندان دور از انتظار نخواهد بود». بانکداری دیجیتال در سال‌های اخیر از یک ابزار کمکی، به ستون‌فقرات اقتصاد روزمره مردم تبدیل شده است؛ از خریدهای خرد تا جابه‌جایی‌های کلان، از دریافت حقوق تا پرداخت قبوض، همه‌ چیز به زیرساخت‌هایی گره خورده که انتظار می‌رود در شرایط عادی و بحران، حداقل سطحی از پایداری را حفظ کنند. با‌این‌حال، هر بار که شبکه بانکی از دسترس خارج می‌شود، مسئله فقط توقف چند سرویس نیست، بلکه زیرساختی حیاتی از کار می‌افتد که عملا روی زندگی روزمره میلیون‌ها نفر سایه انداخته است. مسئله‌ زمانی پیچیده‌تر می‌شود که این اختلال‌ها نه به‌عنوان رخدادهای استثنائی، بلکه به‌عنوان اتفاقاتی تکرارشونده دیده‌ می‌شوند؛ بدون گزارش‌های فنی شفاف، بدون اعلام دقیق دامنه آسیب و بدون پاسخ روشن درباره اینکه چه چیزی دقیقا از کار افتاده است و چرا؟ در چنین شرایطی، هر بحران جدیدی تنها ادامه همان چرخه قدیمی است: قطع سرویس‌ها، سردرگمی کاربران، اطلاعیه‌های کوتاه و کلی‌ و بازگشت تدریجی خدمات بدون توضیحی درباره آنچه واقعا رخ داده است. به باور کارشناسان، تا زمانی که سازوکار شفاف گزارش‌دهی حین بحران و پس از بحران شکل نگیرد، مسئولیت‌ها دقیق تعریف نشود و پاسخ‌گویی جایگزین روایت‌های کلی و تکراری نشود، احتمال تکرار این اتفاق‌ها همچنان بالاست؛ اتفاق‌هایی آشنا که در آن کارت‌ها کار نمی‌کنند، کاربران نمی‌توانند از خدمات استفاده کنند و در نهایت‌ تنها جمله‌ای که باقی می‌ماند همان عبارت تکراری است: «مشکل در حال پیگیری است، صبور باشید».