مقصر هک بانک سپه کیست؟

به گزارش زومان، در روزهای جنگ، مسئله فقط موشک و حمله نظامی نبود. هم‌زمان، امنیت سامانه‌های دولتی و بانکی هم به یکی از نگرانی‌های جدی تبدیل شد. حمله سایبری به بانک سپه نشان داد وقتی یک نهاد مهم هدف قرار می‌گیرد، افکار عمومی فقط دنبال نام هکرها نیست؛ مردم می‌خواهند بدانند مسئول حفاظت از این سامانه‌ها کیست و چرا چنین حمله‌ای ممکن می‌شود؟

آیا قطع‌ و‌ وصل اینترنت در حملات سایبری نقش تعیین‌کننده دارد؟ یا مشکل اصلی را باید در ضعف ساختار امنیت سایبری جست‌وجو کرد؟

در نگاه برخی تصمیم‌گیران، گاهی این تصور وجود دارد که اگر اینترنت قطع یا محدود شود، احتمال حمله سایبری هم کاهش پیدا می‌کند. اما توضیحات وزیر ارتباطات و تحلیل کارشناسان امنیت سایبری نشان می‌دهد این رابطه تا این اندازه ساده نیست.

سیدستار هاشمی، وزیر ارتباطات و فناوری اطلاعات، در نشست خبری امروز خود تأکید کرد که باید میان اختلال در زیرساخت ارتباطی و ضعف سامانه‌های تخصصی دستگاه‌ها تفاوت گذاشت.

به گفته او، در بسیاری از مواقع دستگاه‌های مختلف هنگام اختلال در ارائه خدمات اعلام می‌کنند که «اینترنت قطع است» و به همین دلیل نمی‌توانند خدمت‌رسانی کنند؛ در حالی که همیشه مسئله از شبکه ارتباطی نیست.

هاشمی برای توضیح این موضوع به فعالیت پلتفرم‌های داخلی اشاره کرد و گفت:

وقتی خدمات روی شبکه فعال هستند، نمی‌توان هر مشکل دستگاه‌ها را به قطعی اینترنت نسبت داد. در بسیاری از موارد، مسئله اصلی به کیفیت، فرسودگی یا ضعف سامانه‌های داخلی همان دستگاه‌ها برمی‌گردد.

این نگاه با تحلیل کارشناسان امنیت سایبری هم هم‌خوان است. کارشناسان به زومان می‌گویند باز یا بسته بودن اینترنت به‌تنهایی نه باعث حمله سایبری می‌شود و نه جلوی آن را می‌گیرد. اینترنت فقط یک بستر ارتباطی است؛ بستری که می‌تواند هم برای تبادل داده سالم و هم برای تبادل داده ناسالم استفاده شود.

بنابراین مسئله اصلی صرفا وصل یا قطع بودن اینترنت نیست؛ مسئله این است که دستگاه‌ها تا چه اندازه دسترسی‌ها را کنترل می‌کنند، سامانه‌های خود را به‌روز نگه می‌دارند و اصول امنیتی را رعایت می‌کنند.

کارشناسان تأکید می‌کنند که آلودگی یک شبکه ممکن است مدت‌ها پیش از وقوع حمله وارد سازمان شده باشد؛ از مسیر نیروی انسانی، تجهیزات آلوده، پیمانکاران یا خطاهای داخلی. در چنین شرایطی، حمله لزوما به وصل بودن یا نبودن اینترنت در همان لحظه وابسته نیست.

وقتی روشن می‌شود مسئله فقط قطع یا وصل بودن اینترنت نیست، پرسش بعدی این است که مسئول اصلی امنیت سامانه‌های حساس کشور کیست؟

به گفته وزیر ارتباطات، براساس مصوبات شورای عالی فضای مجازی، مسئولیت امنیت هر دستگاه اجرایی برعهده بالاترین مقام همان دستگاه است؛ یعنی هر سازمان پیش از هر چیز، خودش مسئول حفاظت از سامانه‌ها و داده‌های خود است.

به گفته او، در کنار این مسئولیت مستقیم، نهادهایی هم برای هماهنگی و نظارت تعیین شده‌اند. این نهادها باید به‌صورت دوره‌ای دستگاه‌ها را ممیزی کنند، آسیب‌پذیری‌ها را به آن‌ها گزارش دهند و از دستگاه مربوطه بخواهند ضعف‌های امنیتی خود را برطرف کند.

امنیت سایبری دستگاه‌های حیاتی با سازمان پدافند غیرعامل است، دستگاه‌های زیرساختی زیر نظر مرکز افتا قرار می‌گیرند، دستگاه‌های غیرزیرساختی با وزارت ارتباطات مرتبط هستند و مسئولیت بخش خصوصی نیز با پلیس فتا تعریف شده است.

- سید ستار هاشمی

اما بانک‌ها در کدام بخش قرار می‌گیرند؟ بررسی‌های زومان نشان می‌دهد مرکز افتا، یعنی امنیت فضای تولید و تبادل اطلاعات نهاد ریاست‌جمهوری و مرکز کاشف (بازوی امنیتی بانک مرکزی) نقش اصلی را در پیگیری امنیت شبکه بانکی دارند.

همین تقسیم مسئولیت، یک مسئله مهم دیگر را مطرح می‌کند: اگر مسئولیت‌ها بین چند نهاد پخش شده، آیا این ساختار در عمل به امنیت بیشتر منجر شده یا باعث سردرگمی دستگاه‌ها می‌شود؟

کارشناسان امنیت سایبری می‌گویند یکی از مشکلات جدی همین ناهماهنگی میان نهادهای ناظر است.

به گفته آن‌ها، در برخی موارد دستگاه‌ها با دستورالعمل‌هایی از سوی نهادهایی مانند افتا و پدافند غیرعامل روبه‌رو می‌شوند که همیشه با هم هماهنگ نیستند. نتیجه چنین وضعیتی، سردرگمی در لایه کارشناسی است؛ یعنی همان جایی که باید دستورالعمل‌های امنیتی اجرا شود.

هاشمی هم در بخش دیگری از سخنان خود گفت وزارت ارتباطات می‌تواند وضعیت سامانه‌ها را پایش و ارزیابی کند، اما طراحی و توسعه سامانه‌های تخصصی هر دستگاه برعهده همان دستگاه است.

این جمله نشان می‌دهد حتی از نگاه وزارت ارتباطات هم امنیت و پایداری سامانه‌ها فقط به شبکه اینترنت محدود نمی‌شود و خود دستگاه‌ها باید مسئولیت مستقیم سامانه‌هایشان را بپذیرند.

کارشناسان ریشه بخشی از ضعف امنیت سایبری را در تحریم، فرسودگی تجهیزات و کمبود نیروی متخصص می‌دانند.

تحریم باعث شده دسترسی مستقیم به تجهیزات و بسته‌های امنیتی به‌روز سخت شود و بسیاری از خریدها از مسیر واسطه‌ها انجام بگیرد؛ مسیری که خودش می‌تواند خطر آلودگی، دستکاری یا نبود پشتیبانی معتبر را افزایش دهد.

هاشمی نیز بر نقش نیروی انسانی متخصص تأکید کرده است. او گفت برای به‌روزرسانی سامانه‌ها و استفاده از فناوری‌های نوین، حضور نیروی انسانی متخصص و توانمند ضروری است؛ اما پایین بودن سطح پرداخت‌ها در دستگاه‌های دولتی باعث شده بسیاری از نیروهای نخبه تمایلی به حضور در این بخش نداشته باشند.

اما ماجرای بانک سپه فقط به ضعف تجهیزات یا محدودیت‌های اینترنتی خلاصه نمی‌شود.

کارشناسان می‌گویند ساختار خاص این بانک هم می‌تواند مدیریت امنیت را دشوارتر کرده باشد؛ چون در سال‌های اخیر چند بانک و مؤسسه در بانک سپه ادغام شده‌اند و در چنین مجموعه‌ای، نیروها، تجهیزات، سامانه‌ها و فرهنگ‌های سازمانی متفاوت کنار هم قرار می‌گیرند.

همین تنوع و پیچیدگی، اگر به‌درستی مدیریت و یکپارچه‌سازی نشود، می‌تواند رصد، پالایش و کنترل امنیتی را دشوارتر کند.

بااین‌حال، در کنار همه این موارد، نباید از یک مؤلفه مهم غافل شد: قطعی طولانی اینترنت؛ موضوعی که به گفته وزیر ارتباطات خود به تنهایی می‌تواند آسیب‌پذیری سیستم‌های امنیتی را افزایش دهد.

این بخش از سخنان وزیر از نظر فنی نیز قابل توجیه است و به گفته کارشناسان امنیت سایبری اگر ارتباط سازمان‌ها برای مدت طولانی با اینترنت جهانی مختل شود، دسترسی آن‌ها به به‌روزرسانی‌های امنیتی، بسته‌های اصلاحی و ابزارهای مانیتورینگ دچار مشکل می‌شود.

جمع‌بندی صحبت‌های وزیر ارتباطات و تحلیل کارشناسان امنیت سایبری نشان می‌دهد مسئله را نمی‌توان به یک پاسخ ساده تقلیل داد. قطع و وصل اینترنت لزوما جلوی حمله سایبری را نمی‌گیرد و وصل بودن اینترنت هم به‌خودی‌خود به معنای وقوع حمله نیست.

مسئله اصلی این است که سامانه‌های حساس کشور تا چه اندازه به‌روز، قابل پایش، مجهز و تحت نظارت هماهنگ هستند. اگر تجهیزات فرسوده باشد، به‌روزرسانی‌ها به‌موقع انجام نشود، نیروی متخصص کافی وجود نداشته باشد و نهادهای ناظر هم هماهنگ عمل نکنند، حتی تغییر وضعیت اتصال اینترنت هم نمی‌تواند امنیت ایجاد کند.