ظاهراً در دنیای امنیت سایبری، اینترنت همیشه همان بچه بد و متهم ردیف اولی است که هر بار اتفاق بدی می‌افتد، همه انگشت اتهام را به سمت او می‌گیرند و سریع هم محدودش می‌کنند! در حالی که امنیت را نمی‌شود صرفاً با ساختن دیوارهای بلند بدست آورد؛ به‌خصوص وقتی آن دیوار آن‌قدر بلند شود که خود نگهبان هم نتواند ببیند پشت آن چه خبر است. اتفاقاتی که در خرداد و تیر ۱۴۰۵ برای شبکه‌های بانکی رقم خورد، تقریباً همین بود. ساختن دیوارهای بلندی که به‌جای محافظت، فقط موجب شدند ما از پشت آن‌ها، هیچ‌چیز نبینیم.

مقصران اصلی

«مهاجمان چه کسانی بودند؟ با چه ابزاری و از کدام در، به سامانه‌های حساس ما نفوذ کردند؟» سؤالاتی است که هر بار با فروپاشیِ لحظه‌ای سیستم‌های بانکی، تکرار می‌شوند. در پاسخ به این پرسش‌ها هم عادت کرده‌ایم بگوییم مقصر اینترنت است، مقصر هکرهای آن‌طرف مرزند. انگار اگر اسم یک دشمن خارجی را پیدا کنیم، نصف مسئله خودبه‌خود حل می‌شود. در حالی که هکرها معمولاً با دیلم از دیوار رد نمی‌شوند؛ از همان در نیمه‌بازی وارد می‌شوند که کسی حواسش به آن نیست. یک حمله سایبری، بیش از آنکه نمایش قدرت مهاجم باشد، گزارش کارِ مدافع است، چون اغلب از شکافی عبور می‌کند که از قبل وجود داشته؛ شکافی که یک روز اسمش رمز عبور ضعیف است، روز دیگر سامانه به‌روزرسانی‌نشده و گاهی هم مدیریتی که امنیت را تا روز حادثه جدی نگرفته است. ماجرا این است که در خرداد و سپس اوایل تیرماه شبکه‌های بانکی با اختلال جدی مواجه شدند. چیزی که در ظاهر «حمله سایبری» نامیده شد، درواقع داشت از مفاهیم عمیق‌تری مثل تاب‌آوری زیرساخت‌های بانکی، سیاست‌های فنی احتمالاً اشتباه و حتی ساختار معیوب مدیریتی در نهادهای مسئول سخن می‌گفت. وقتی خدمات بانک‌های بزرگ ناگهان از دسترس خارج شد، ابتدا تصور می‌کردیم با یک اختلال گذرا روبه‌رو هستیم؛ اما وقتی همراه‌بانک، اینترنت‌بانک، خودپردازها و پوزهای فروشگاه‌ها هم از کار افتادند، انگار کل سیستم بانکی کشور دچار سکته شده بود. میلیون‌ها کاربر در انجام ساده‌ترین تراکنش‌ها فلج شدند و کسب‌وکارها با ضررهای سنگین روبه‌رو شدند. شرکت خدمات انفورماتیک که مسئول زیرساخت بخش مهمی از پرداخت‌های کشور است، اعلام کرد برای جلوگیری از دسترسی‌های غیرمجاز و صیانت از داده‌های مشتریان، فعلاً بخشی از خدمات را موقت قطع کرده‌اند. البته بعد از چند روز، بخشی از خدمات برگشت، اما موج دوم اختلالات نشان داد این قصه سر دراز دارد. حتی بانک مرکزی هم اعلام کرد دارد آثار این اختلال بر چک‌ها، اقساط و جریمه‌های دیرکرد را بررسی می‌کند؛ یعنی قضیه از یک اختلال ساده، خیلی پیچیده‌تر بود.

ضعف پشت دیوارها

کمی بعد وقتی گرد و خاک اولیه خوابید، این سؤال مطرح شد که «چقدر زیرساخت‌های بانکی ما در برابر حملات پیچیده آماده‌اند؟» خبرآنلاین از قول یکی از کارشناسان می‌نویسد: حملات سایبری خیلی پیچیده‌تر شده‌اند، اما شدت خسارت تا حد زیادی به کیفیت معماری شبکه، نحوه‌ مدیریت زیرساخت و آمادگی مسئولان بستگی دارد. بعضی از متخصصان امنیت سایبری، حتی سیاست‌های محدودکننده اینترنت را هم وسط کشیدند. آن‌ها معتقدند وقتی همه به ابزارهای دور زدن محدودیت‌ها وابسته می‌شوند، مسیرهای ارتباطی ناشناس بیشتر می‌شود و مدیریت امنیت شبکه سخت‌تر. یعنی شاید هدف این سیاست‌ها افزایش امنیت بوده، اما در عمل دید تیم‌های امنیتی را کور کرده و امکان خطر را بالا برده! بعضی تحلیل‌های فنی دیگر هم به فرسودگی زیرساخت‌های ارتباطی، محدودیت استفاده از فناوری‌های جدید و مشکلات زنجیره تأمین نرم‌افزار اشاره می‌کنند. خلاصه منظورشان این است که امنیت سایبری فقط نصب چند سیستم دفاعی نیست و نیاز به نوسازی مداوم زیرساخت، دسترسی به نرم‌افزارهای معتبر، به‌روزرسانی سامانه‌ها و حفظ نیروی انسانی متخصص دارد. ضعف در هر کدام از این‌ها، کل شبکه را آسیب‌پذیر می‌کند.
مدیریت، مدیریت، مدیریت!
اما فقط مباحث فنی مطرح نبود. یک سؤال دیگر هم نیاز به جواب اساسی داشت اینکه: «ساختار مدیریتی شرکت خدمات انفورماتیک و شرکت ملی انفورماتیک چطور است؟». وقتی بخش بزرگی از ستون فقراتِ پرداخت کشور روی دوش این دو مجموعه است، طبیعی است که نگاه‌ها از زیرساخت‌ها فراتر برود و مستقیماً به سمت نحوه تصمیم‌گیری و نظارت در آن‌ها برگردد. این موضوع موجب شد نمایندگان مجلس و کارشناسان هم خواستار بررسی دقیق‌ترِ منشأ این حمله شوند. درنتیجه دوباره صحبت از تحولات مدیریتی سال گذشته در شرکت ملی انفورماتیک به میان آمد؛ شایعه‌ای که می‌گوید شاید آن اتفاقات، پیوندی با وضعیت امروز زیرساخت‌های بانکی داشته باشد. هرچند هنوز هیچ مرجع رسمی این ارتباط را تأیید نکرده، اما کارشناسان معتقدند حتی اگر این ارتباط در کار نباشد، بررسی پرونده‌های مدیریتی و بازبینی فرایندهای تصمیم‌گیری، بخشی جدایی‌ناپذیر از مدیریت بحران است، چراکه در چنین بحران‌هایی، صرفاً با پیدا کردن مهاجم، نمی‌توان جلو تکرار دوباره‌ آن را گرفت.
در آخر آنچه امروز مهم‌تر از هر چیز دیگری است، افزایش تاب‌آوری شبکه بانکی است. تاب‌آوری‌ای که هم به کیفیت زیرساخت‌های فنی بستگی دارد و هم به شفافیت، پاسخ‌گویی و کارآمدی ساختارهای مدیریتی. اگر می‌خواهیم این اختلال‌ها دیگر تکرار نشوند، باید علاوه بر بررسی فنی حمله، «سیاست‌های زیرساختی» را هم بازنگری، نحوه‌ حکمرانی فناوری اطلاعات را اصلاح و نظام نظارت را تقویت کنیم. تجربه‌ این بحران هم نشان داد امنیت سایبری، فقط محصول دیوارهای دفاعی نیست؛ بلکه حاصل مجموعه‌ای از تصمیمات فنی، مدیریتی و راهبردی است که باید کنار هم دیده شوند. فقط در این صورت است که می‌توانیم امیدوار باشیم شبکه‌ بانکی کشور، در برابر تهدیدهای آینده، مقاوم‌تر باشد. تازه علاوه بر ضعف‌های فنی و سازمانی، عوامل نفوذی داخلی هم به عنوان یکی از تهدیدها مطرح‌اند. مثل ماجرای هک چند ماه پیش بانک سپه که می‌گویند ریشه داخلی داشته است یا مانند اتفاقی که چند سال پیش در روسیه افتاده بود و بخش قابل توجهی از نفوذها و سرقت اطلاعات، توسط کارکنان خودشان رقم خورد. این موضوع، به‌خصوص با افزایش دورکاری و ارزش بالای داده‌های داخلی، اهمیت تهدیدات داخلی را دوچندان می‌کند. بنابراین، در بحث امنیت سایبری خیلی خوب است که با هکرهای خارجی بجنگیم اما از آن طرف باید شش‌دانگ حواسمان به آموزش، نظارت و آگاهی کارکنان خودی هم باشد تا خدایی نکرده از پشت سرمان خنجر نخوریم!