شرکت «کاشف» در آزمون تابآوری شبکه بانکی؛ سامانه بسیار، امنیت اندک

حملات سایبری به بانکها دو حادثه محدود در اتاقهای سرور نبودند و دامنه آنها به زندگی و مبادلات میلیونها مشتری کشیده شد. اکنون مساله فقط چگونگی نفوذ مهاجمان نیست. باید پرسید چرا مجموعه کاملی از حلقههای اجرایی و نظارتی نتوانست از تبدیل نقصهای امنیتی به اختلالهایی با فراگیری چندمیلیونی جلوگیری کند یا دستکم شواهد روشنی از کشف، مهار و بازیابی موثر ارائه دهد.
به گزارش پیوست، حمله سایبری به بانکها در شبکهای اتفاق افتادند که امنیت آن میان نهاد تخصصی کاشف، بانک مرکزی، مدیران بانکها، شرکتهای زیرساختی، پیمانکاران، نهادهای امنیتی و قضایی و ساختارهای ملی فضای مجازی توزیع شده است. طی بیش از یک دهه برای امنیت مقررات نوشته شده، سامانههای پایش توسعه پیدا کرده و آزمونهای امنیتی متعدد و سازوکارهای گزارش رخداد ایجاد شده است.
امنیت بانکی روی کاغذ آماده بود
هشتم تیرماه تقریبا دو هفته پس از آغاز اختلال در خدمات چهار بانک مهم کشور، جلسهای با حضور معاون اول رئیسجمهور، مدیران بانکها، بانک مرکزی، وزارت امور اقتصادی و دارایی و دستگاههای مرتبط برگزار شد. محمدرضا عارف در این جلسه رخدادهای امنیتی اخیر را «قابل پیشبینی» و ناشی از «سهلانگاری در امنیت سایبری» توصیف کرد. با اینکه این صحبتها ارزیابی یک مقام ارشد سیاسی و مدیریتی و بدون اشاره به واقعیتهای فنی است اما بازهم این تناقض را آشکار میکند که شبکه بانکی ایران هنگام وقوع این حملات دارای نهاد تخصصی امنیت بود، مقررات کامل داشت و از سامانههای متعدد برای پایش و مدیریت رخداد بهره میبرد، اما حادثهای با ابعاد ملی در شبکه بانکی رخ داد.
کاشف با چه ماموریتی وارد شبکه بانکی شد؟
شرکت مدیریت امن الکترونیکی کاشف در سال ۱۳۹۲ با انتقال وظایف مرکز کنترل امنیت شبکه و فوریتهای بانکی شکل گرفت و بهعنوان «مجری اهداف حاکمیتی بانک مرکزی» در مدیریت و هدایت امنیت فضای تولید و تبادل اطلاعات بانکی معرفی شد. این شرکت در مجموعه شرکت ملی انفورماتیک قرار دارد. هلدینگی که شرکتهایی مانند خدمات انفورماتیک و شاپرک را نیز در بر میگیرد.
وقوع حملههای اخیر بهتنهایی شکست کاشف را اثبات نمیکند اما معیار واقعبینانهتر این است که پرسیده شود بیش از سیزده سال پس از تشکیل کاشف، چرا هنوز شواهد عمومی کافی برای تعیین اینکه این نهاد چه میزان تابآوری قابل اندازهگیری در کل شبکه بانکی ایجاد کرده، وجود ندارد.
سیزده سال مقررات، سرمایه و سامانه
کاشف در سالهای نخست از یک مرکز هماهنگی رخداد به نهادی با نقشهای مقرراتی، ارزیابی و فنی توسعه یافت. در ۲۹ خرداد ۱۳۹۶، چهلمین نشست شورای راهبردی امنیت اطلاعات، «الزامات سازماندهی امنیت اطلاعات در بانکها و موسسات اعتباری» برای ایجاد کمیته راهبری و مدیر ارشد امنیت اطلاعات و «الزامات گزارشدهی رخدادهای امنیت اطلاعات بانکی» برای طبقهبندی، گزارش اولیه و گزارش نهایی رخداد را تصویب کرد. رعایت این الزامات برای بانکها و موسسات اعتباری غیربانکی الزامآور توصیف شده است.
چندسال بعد مقیاس مالی کاشف نیز افزایش یافت. در ۱۸ بهمن ۱۴۰۱، مجمع عمومی فوقالعاده شرکت، افزایش ۶ برابری سرمایه از ۸۰۰ میلیارد به پنجهزار میلیارد ریال را تصویب کرد. به نظر میرسد بخشی از این سرمایه در سالهای ۱۴۰۱ و ۱۴۰۲ برای تولید مجموعهای از سامانهها و برنامهها صرف شده و بهدنبال این سرمایهگذاری سامانه «رادار» برای ثبت و مدیریت رخداد، «پاسبانک» و «سرآمد» برای پایش و مدیریت آسیبپذیری و فاز نخست مرکز اشتراک و تحلیل اطلاعات مالی یا FS-ISAC راهاندازی شد.
مدیرعامل وقت کاشف در پاییز ۱۴۰۲ اعلام کرد تا مهر آن سال، ۳۰۸۰ رخداد متعلق به ۳۰ موسسه اعتباری در رادار ثبت و رسیدگی شده و ۲۲۱ آسیبپذیری خاص نیز شناسایی شده است. در مجمع سالانه شرکت نیز انجام بیش از ۷۰ آزمون در یک سال مالی اعلام شد. این اعداد فعالیت قابل توجهی را نشان میدهند، اما بهتنهایی درباره شدت رخدادها، سرعت رسیدگی یا اصلاح آسیبپذیریها قابل استناد نیستند.
در یک خرداد ۱۴۰۴، بانک مرکزی اعلام کرد حسابرسی فناوری اطلاعات برای بانکها و موسسات اعتباری الزامی شده و در موارد خاص امکان استفاده از حسابرس ویژه وجود دارد. این تصمیم میتوانست حلقه ارزیابی و نظارت را تقویت کند اما روش حسابرسی، نام یا معیار انتخاب حسابرسان، نتایج ارزیابیها و میزان اصلاح یافتهها عمومی نشد.
آزمونهای تکراری؛ اول سپه بعد چهار بانک دیگر
در ۲۷ خرداد ۱۴۰۴، نخستین اختلال قابل راستیآزمایی در خدمات بانک سپه و تا حدودی بانک پاسارگاد مشاهده شد. وبسایت، کارت، خودپرداز و خدمات غیرحضوری بانک برای دورههایی از دسترس خارج شدند. گروهی با نام «گنجشک درنده» مسئولیت حمله را پذیرفت و مدعی تخریب داده شد، اما این ادعا با یک گزارش جرمیابی مستقل عمومی هیچگاه تایید نشد.
یکی از مدیران شرکت داتین که هسته بانکداری سپه را تشکیل میداد بعدها به آسیب همزمان به محیط اصلی و پشتیبان و استفاده از نسخههای سرد آن هم در یادداشتی در لینکدین اشاره کرد که البته با واکنش تند یکی از مدیران بانک سپه روبرو شد. شاید این خاطره را بتوان تنها روایت عمومی از حمله به بانک سپه دانست. همچنین در هیچ منبعی مشخص نشد کاشف پیش از حمله چه یافتههایی درباره بانک داشت، چه زمانی در جریان قرار گرفت و در بازیابی یا بررسی علت چه نقشی ایفا کرد.
یکسال بعد در ۲۳ خرداد ۱۴۰۵، اختلال در خدمات بانکهای ملی، تجارت، صادرات و توسعه صادرات آغاز شد. شورای هماهنگی بانکها آن را «حمله سایبری محدود» به «زیرساخت ارتباطی مشترک» توصیف و اعلام کرد دسترسی غیرمجاز یا حذف اطلاعات مشتریان رخ نداده است البته این هم ادعای رسمی نهادهای بانکی بود و در منابع عمومی، گزارش فنی مستقلی برای تایید کامل دامنه حمله یا سلامت دادهها یافت نشد. اعلام اولیه رفع اختلال با ادامه مشکلات در روزهای بعد همراه شد و بانک مرکزی در ۲۹ خرداد گفت خدمات پایه کارتی با روشهای جایگزین بازگشتهاند، اما رفع کامل مشکل زمانبر است.
نهم تیر یک روز بعد از انتقاد معاون اول، وزیر اقتصاد از تشکیل کمیتهای ذیل شورای امنیت ملی خبر داد. این توالی نشان میدهد بازگشت برخی خدمات یا فعالشدن مسیرهای جایگزین با بازیابی کامل و پایدار برابر نبوده است و همچنان نقش تخصصیترین نهاد امنیت بانکی در سلسله مراتبی که تا شعام توسعه پیدا کرده مشخص نیست.
عددهای بزرگ، پاسخهای کوچک
از ابتدا تا انتهای دادههای منتشر شده در مورد رخدادها یک سری عبارت کلی و حتی بدون معنای فنی دیده میشود. وبسایت کاشف از پوشش ۴۲ بانک و موسسه اعتباری مجاز و ۱۲ شرکت ارائهدهنده خدمات پرداخت سخن میگوید. اما معلوم نیست چه تعداد از این ساختارها تحت پایش در لحظه قرار دارند و فراتر از یک نام در این لیست تا چه حد در برقراری امنیت مشارکت میکنند. حتی عدد ۳هزار و ۸۰ رخداد در سامانه رادار نیز که یکی از معدود شاخصهای کمی منتشر شده، بدون طبقهبندی شدت و نتیجه رسیدگی قابل تفسیر نیست. یک رخداد میتواند هشدار کمخطر، تلاش ناموفق، خطای پیکربندی یا حادثهای با پیامد عملیاتی باشد. همین مساله درباره ۲۲۱ آسیبپذیری اعلامشده و بیش از ۷۰ آزمون نیز وجود دارد.
تفاوت مشابهی میان انتشار الزام و اجرای آن وجود دارد. الزامات سازماندهی امنیت و گزارش رخداد از سال ۱۳۹۷ لازمالاجرا توصیف شدهاند، اما نرخ انطباق بانکها، تعداد موارد عدم انطباق و پیامدهای آنها منتشر نشده است.
فاز نخست مرکز اشتراک و تحلیل اطلاعات مالی FS-ISAC نیز در سال ۱۴۰۲ رونمایی شد، اما تعداد اعضای فعال، حجم اشتراک اطلاعات، تعداد هشدارهای داخلی و نقش آن در رخدادهای چندبانکی معلوم نیست.
بانک ناامن با چه کسی باید جواب دهد؟
قانون بانک مرکزی مصوب سال ۱۴۰۲ در مواد ۱۹، ۲۲ و ۲۵ تا ۲۸ از الزام تغییرات سامانهای و رسیدگی انتظامی تا جریمه، حسابرس ویژه و ناظر مقیم و ابزارهای نظارتی متعددی را پیشبینی کرده است.بنابراین مشکل را نمیتوان صرفا نبود اختیار قانونی در بانک مرکزی دانست. پرسش این است که یافتههای فنی کاشف چگونه به اقدامات رسمی نظارتی متصل میشوند. آیا گزارش عدم انطباق کاشف میتواند به محدودیت یک خدمت ناامن منجر شود؟ چند بانک به دلیل نقص امنیتی ملزم به اصلاح شدهاند؟
ساختار خود کاشف نیز به توضیح بیشتری نیاز دارد. این شرکت همزمان استاندارد تدوین میکند، ارزیابی و آزمایش انجام میدهد، رخداد دریافت میکند، ابزار پایش و مدیریت آسیبپذیری توسعه میدهد و بهعنوان هماهنگکننده یا اپراتور امنیتی شبکه بانکی معرفی میشود.
قرارگرفتن آن در گروه ملی انفورماتیک، اگرچه تعارض منافع را بهتنهایی اثبات نمیکند اما بهصورت پیشفرض میتوان تردیدهایی در مورد سوگیری و استقلال این ساختار مطرح کرد.
مساله دیگر، نبود گزارشهای پاکسازیشده پس از رخداد است. ممکن است چنین گزارشهایی تهیه و فقط در اختیار نهادهای مسئول قرار گرفته باشند اما پنهانماندن این گزارشها قطعا منجر به تحریک احساس خطر، یادگیری و احتیاط منجر نشده است.
مسئولیت کجا متوقف شد؟
تمرکز بر کاشف نباید سایر حلقههای مسئولیت در امنیت بانکی را پنهان کند. ماموریت این حوزه میان بانک مرکزی، کاشف، مدیران بانکها، شرکتهای زیرساختی، نهادهای امنیتی و قضایی و ساختارهای ملی فضای مجازی توزیع شده است.
کاشف میتواند الزام تدوین کند اما ضمانت اجرای نظارتی، اعمال جریمه، محدودکردن یک خدمت و تصمیمگیری درباره نحوه مدیریت بحران عمدتا در اختیار نهادهای دیگر است. ازاینرو، وقوع اختلال نه بهتنهایی شکست کاشف را ثابت میکند و نه مسئولیت آن را منتفی میسازد. پرسش دقیقتر این است که در این زنجیره، کدام نهاد نقص را دیده، کدام نهاد اختیار اصلاح داشته و کدام نهاد از آن اختیار استفاده نکرده است.
این توزیع مسئولیت همچنین کاشف را در محیطی قرار میدهد که تصمیم فنی تنها ملاحظه موجود نیست. امنیت ملی، محرمانگی تحقیقات، اعتبار نظام بانکی، نگرانی از ایجاد اضطراب عمومی و مدیریت سیاسی روایت بحران، همزمان بر نحوه واکنش و انتشار اطلاعات اثر میگذارند.
اظهارات معاون اول رئیسجمهور پس از اختلال ۱۴۰۵، که رخداد را «قابل پیشبینی» و ناشی از «سهلانگاری» توصیف کرد نیز یک داوری مدیریتی و سیاسی بود. در مقابل، انتظار «مصونیت کامل» یا ایجاد وضعیتی که دشمن «جرات حمله نداشته باشد»، با منطق حرفهای امنیت سایبری که تابآوری را معیار اصلی میداند، فاصله دارد.
این تفاوت زبانی میتواند معیار ارزیابی را تغییر دهد. بااینحال، روشننبودن مرز تصمیم کارشناسی، تصمیم امنیتی و مدیریت سیاسی بحران، یکی از موانع ارزیابی مستقل عملکرد این نهاد و سایر بازیگران شبکه بانکی است.
امنیت را با سامانه نمیسنجند
چارچوبهای خارجی نشان میدهند که امنیت رخدادها را میتوان بدون افشای جزئیات حساس، قابل سنجش کرد. مقررات DORA در اتحادیه اروپا مدیریت ریسک فناوری، گزارش رخداد، آزمون تابآوری و نظارت بر تامینکنندگان حیاتی را به یک زنجیره واحد متصل کرده است. TIBER-EU آزمونهای تیم قرمز مبتنی بر اطلاعات تهدید را روی کارکردهای حیاتی در محیط کنترلشده انجام میدهد. هدف این سازوکارها اثبات وجود سند یا محصول نیست؛ سنجش این است که سازمان چه زمانی حمله را میبیند، چگونه آن را مهار میکند و آیا اصلاحات پس از آزمون انجام شدهاند؟
برنامه CBEST بانک انگلستان نیز نتایج تفصیلی هر موسسه را محرمانه نگه میدارد، اما گزارشهای موضوعی ناشناس منتشر میکند تا صنعت از ضعفهای تکرارشونده بیاموزد. در آمریکا، بانکها باید رخدادهای مهم را حداکثر ۳۶ ساعت پس از تشخیص به ناظر اصلی اطلاع دهند و ارائهدهنده خدمات بانکی نیز در صورت اختلال جدی چهار ساعته یا بیشتر، باید بانک مشتری را مطلع کند. ارزش این اعداد در نسخهبرداری مستقیم نیست؛ در روشنبودن نقطه شروع، مهلت و مسئول گزارش است.
مدل جهانی FS-ISAC نیز نشان میدهد مرکز اشتراک اطلاعات فقط یک سکوی نرمافزاری نیست. هیچیک از این مدلهای خارجی را نمیتوان بدون توجه به ساختار حقوقی، تحریمها، بازار فناوری و ظرفیت نظارتی ایران کپی کرد. آنچه قابل انتقال است اصل اتصال مقررات به فرآیندی از آزمون و گزارش تا مسئولیت هر بخش و انتشار یافتهها است.
امنیت بانکی در حلقه گمشده پاسخگویی
رخدادهای بزرگ امنیتی در بانکها فقط چند سامانه را از دسترس خارج نمیکنند آنها سرمایهای به نام اطمینان به بانکداری الکترونیک را هدف میگیرند که ساختنش سالها زمان برده است. اکنون باید درباره پیامد دیگری هم هشدار داد که تکرار اختلالهای بانکی میتواند رفتار مالی مردم را تغییر دهد و اطمینان آنان به شبکه رسمی را فرسوده کند. شبکهای که با وجود تمام کاستیها، در مقیاس کشوری مانند ایران یکی از زیرساختهای پیشرفته و فراگیر خدمات عمومی در جهان است. بخشی از سرمایه خانوارها همین حالا نیز نه در حسابهای بانکی، بلکه به شکل ارز و طلا نگهداری میشود. خطر آنجاست که در سایه تورم مزمن و چندین ناپایداری دیگر، این بیاعتمادی از شیوه نگهداری پسانداز فراتر برود و به تراکنشهای روزمره برسد. در آن نقطه، مساله فقط نقص امنیتی یا قطعی چند خدمت نیست شبکه بانکی بخشی از کارکرد اصلی خود را بهعنوان بستر گردش پول و اعتماد عمومی از دست خواهد داد.
منبع





