اخبار

شرکت «کاشف» در آزمون تاب‌آوری شبکه بانکی؛ سامانه‌ بسیار، امنیت اندک

حملات سایبری به بانک‌ها دو حادثه محدود در اتاق‌های سرور نبودند و دامنه آنها به زندگی و مبادلات میلیون‌ها مشتری کشیده شد. اکنون مساله فقط چگونگی نفوذ مهاجمان نیست. باید پرسید چرا مجموعه کاملی از حلقه‌های اجرایی و نظارتی نتوانست از تبدیل نقص‌های امنیتی به اختلال‌هایی با فراگیری چندمیلیونی جلوگیری کند یا دست‌کم شواهد روشنی از کشف، مهار و بازیابی موثر ارائه دهد.

به گزارش پیوست، حمله سایبری به بانک‌ها در شبکه‌ای اتفاق افتادند که امنیت آن میان نهاد تخصصی کاشف، بانک مرکزی، مدیران بانک‌ها، شرکت‌های زیرساختی، پیمانکاران، نهادهای امنیتی و قضایی و ساختارهای ملی فضای مجازی توزیع شده است. طی بیش از یک دهه برای امنیت مقررات نوشته شده، سامانه‌های پایش توسعه پیدا کرده و آزمون‌های امنیتی متعدد و سازوکارهای گزارش رخداد ایجاد شده است.

امنیت بانکی روی کاغذ آماده بود

هشتم تیرماه تقریبا دو هفته پس از آغاز اختلال در خدمات چهار بانک مهم کشور، جلسه‌ای با حضور معاون اول رئیس‌جمهور، مدیران بانک‌ها، بانک مرکزی، وزارت امور اقتصادی و دارایی و دستگاه‌های مرتبط برگزار شد. محمدرضا عارف در این جلسه رخدادهای امنیتی اخیر را «قابل پیش‌بینی» و ناشی از «سهل‌انگاری در امنیت سایبری» توصیف کرد. با اینکه این صحبت‌ها ارزیابی یک مقام ارشد سیاسی و مدیریتی و بدون اشاره به واقعیت‌های فنی است اما بازهم این تناقض را آشکار می‌کند که شبکه بانکی ایران هنگام وقوع این حملات دارای نهاد تخصصی امنیت بود، مقررات کامل داشت و از سامانه‌های متعدد برای پایش و مدیریت رخداد بهره می‌برد، اما حادثه‌ای با ابعاد ملی در شبکه بانکی رخ داد.

کاشف با چه ماموریتی وارد شبکه بانکی شد؟

شرکت مدیریت امن الکترونیکی کاشف در سال ۱۳۹۲ با انتقال وظایف مرکز کنترل امنیت شبکه و فوریت‌های بانکی شکل گرفت و به‌عنوان «مجری اهداف حاکمیتی بانک مرکزی» در مدیریت و هدایت امنیت فضای تولید و تبادل اطلاعات بانکی معرفی شد. این شرکت در مجموعه شرکت ملی انفورماتیک قرار دارد. هلدینگی که شرکت‌هایی مانند خدمات انفورماتیک و شاپرک را نیز در بر می‌گیرد.

وقوع حمله‌های اخیر به‌تنهایی شکست کاشف را اثبات نمی‌کند اما معیار واقع‌بینانه‌تر این است که پرسیده شود بیش از سیزده سال پس از تشکیل کاشف، چرا هنوز شواهد عمومی کافی برای تعیین اینکه این نهاد چه میزان تاب‌آوری قابل اندازه‌گیری در کل شبکه بانکی ایجاد کرده، وجود ندارد.

 سیزده سال مقررات، سرمایه و سامانه

کاشف در سال‌های نخست از یک مرکز هماهنگی رخداد به نهادی با نقش‌های مقرراتی، ارزیابی و فنی توسعه یافت. در ۲۹ خرداد ۱۳۹۶، چهلمین نشست شورای راهبردی امنیت اطلاعات، «الزامات سازمان‌دهی امنیت اطلاعات در بانک‌ها و موسسات اعتباری» برای ایجاد کمیته راهبری و مدیر ارشد امنیت اطلاعات و «الزامات گزارش‌دهی رخدادهای امنیت اطلاعات بانکی» برای طبقه‌بندی، گزارش اولیه و گزارش نهایی رخداد را تصویب کرد. رعایت این الزامات برای بانک‌ها و موسسات اعتباری غیربانکی الزام‌آور توصیف شده است.

چندسال بعد مقیاس مالی کاشف نیز افزایش یافت. در ۱۸ بهمن ۱۴۰۱، مجمع عمومی فوق‌العاده شرکت، افزایش ۶ برابری سرمایه از ۸۰۰ میلیارد به پنج‌هزار میلیارد ریال را تصویب کرد. به نظر می‌رسد بخشی از این سرمایه در سال‌های ۱۴۰۱ و ۱۴۰۲ برای تولید مجموعه‌ای از سامانه‌ها و برنامه‌ها صرف شده و به‌دنبال این سرمایه‌گذاری سامانه «رادار» برای ثبت و مدیریت رخداد، «پاسبانک» و «سرآمد» برای پایش و مدیریت آسیب‌پذیری و فاز نخست مرکز اشتراک و تحلیل اطلاعات مالی یا FS-ISAC راه‌اندازی شد.

مدیرعامل وقت کاشف در پاییز ۱۴۰۲ اعلام کرد تا مهر آن سال، ۳۰۸۰ رخداد متعلق به ۳۰ موسسه اعتباری در رادار ثبت و رسیدگی شده و ۲۲۱ آسیب‌پذیری خاص نیز شناسایی شده است. در مجمع سالانه شرکت نیز انجام بیش از ۷۰ آزمون در یک سال مالی اعلام شد. این اعداد فعالیت قابل توجهی را نشان می‌دهند، اما به‌تنهایی درباره شدت رخدادها، سرعت رسیدگی یا اصلاح آسیب‌پذیری‌ها قابل استناد نیستند.

در یک خرداد ۱۴۰۴، بانک مرکزی اعلام کرد حسابرسی فناوری اطلاعات برای بانک‌ها و موسسات اعتباری الزامی شده و در موارد خاص امکان استفاده از حسابرس ویژه وجود دارد. این تصمیم می‌توانست حلقه ارزیابی و نظارت را تقویت کند اما روش حسابرسی، نام یا معیار انتخاب حسابرسان، نتایج ارزیابی‌ها و میزان اصلاح یافته‌ها عمومی نشد.

آزمون‌‌های تکراری؛ اول سپه بعد چهار بانک دیگر

در ۲۷ خرداد ۱۴۰۴، نخستین اختلال قابل راستی‌آزمایی در خدمات بانک سپه و تا حدودی بانک پاسارگاد مشاهده شد. وب‌سایت، کارت، خودپرداز و خدمات غیرحضوری بانک برای دوره‌هایی از دسترس خارج شدند. گروهی با نام «گنجشک درنده» مسئولیت حمله را پذیرفت و مدعی تخریب داده شد، اما این ادعا با یک گزارش جرم‌یابی مستقل عمومی هیچ‌گاه تایید نشد.

یکی از مدیران شرکت داتین که هسته بانکداری سپه را تشکیل می‌داد بعدها به آسیب هم‌زمان به محیط اصلی و پشتیبان و استفاده از نسخه‌های سرد آن هم در یادداشتی در لینکدین اشاره کرد که البته با واکنش تند یکی از مدیران بانک سپه روبرو شد. شاید این خاطره را بتوان تنها روایت عمومی از حمله به بانک سپه دانست. همچنین در هیچ منبعی مشخص نشد کاشف پیش از حمله چه یافته‌هایی درباره بانک داشت، چه زمانی در جریان قرار گرفت و در بازیابی یا بررسی علت چه نقشی ایفا کرد.

یکسال بعد در ۲۳ خرداد ۱۴۰۵، اختلال در خدمات بانک‌های ملی، تجارت، صادرات و توسعه صادرات آغاز شد. شورای هماهنگی بانک‌ها آن را «حمله سایبری محدود» به «زیرساخت ارتباطی مشترک» توصیف و اعلام کرد دسترسی غیرمجاز یا حذف اطلاعات مشتریان رخ نداده است البته این هم ادعای رسمی نهادهای بانکی بود و در منابع عمومی، گزارش فنی مستقلی برای تایید کامل دامنه حمله یا سلامت داده‌ها یافت نشد. اعلام اولیه رفع اختلال با ادامه مشکلات در روزهای بعد همراه شد و بانک مرکزی در ۲۹ خرداد گفت خدمات پایه کارتی با روش‌های جایگزین بازگشته‌اند، اما رفع کامل مشکل زمان‌بر است.

نهم تیر یک روز بعد از انتقاد معاون اول، وزیر اقتصاد از تشکیل کمیته‌ای ذیل شورای امنیت ملی خبر داد. این توالی نشان می‌دهد بازگشت برخی خدمات یا فعال‌شدن مسیرهای جایگزین با بازیابی کامل و پایدار برابر نبوده است و همچنان نقش تخصصی‌ترین نهاد امنیت بانکی در سلسله مراتبی که تا شعام توسعه پیدا کرده مشخص نیست.

عددهای بزرگ، پاسخ‌های کوچک

از ابتدا تا انتهای داده‌های منتشر شده در مورد رخدادها یک سری عبارت کلی و حتی بدون معنای فنی دیده می‌شود. وب‌سایت کاشف از پوشش ۴۲ بانک و موسسه اعتباری مجاز و ۱۲ شرکت ارائه‌دهنده خدمات پرداخت سخن می‌گوید. اما معلوم نیست چه تعداد از این ساختارها تحت پایش در لحظه قرار دارند و فراتر از یک نام در این لیست تا چه حد در برقراری امنیت مشارکت می‌کنند. حتی عدد ۳هزار و ۸۰ رخداد در سامانه رادار نیز که یکی از معدود شاخص‌های کمی منتشر شده، بدون طبقه‌بندی شدت و نتیجه رسیدگی قابل تفسیر نیست. یک رخداد می‌تواند هشدار کم‌خطر، تلاش ناموفق، خطای پیکربندی یا حادثه‌ای با پیامد عملیاتی باشد. همین مساله درباره ۲۲۱ آسیب‌پذیری اعلام‌شده و بیش از ۷۰ آزمون نیز وجود دارد.

تفاوت مشابهی میان انتشار الزام و اجرای آن وجود دارد. الزامات سازمان‌دهی امنیت و گزارش رخداد از سال ۱۳۹۷ لازم‌الاجرا توصیف شده‌اند، اما نرخ انطباق بانک‌ها، تعداد موارد عدم انطباق و پیامدهای آنها منتشر نشده است.

فاز نخست مرکز اشتراک و تحلیل اطلاعات مالی FS-ISAC نیز در سال ۱۴۰۲ رونمایی شد، اما تعداد اعضای فعال، حجم اشتراک اطلاعات، تعداد هشدارهای داخلی و نقش آن در رخدادهای چندبانکی معلوم نیست.

بانک ناامن با چه کسی باید جواب دهد؟

قانون بانک مرکزی مصوب سال ۱۴۰۲ در مواد ۱۹، ۲۲ و ۲۵ تا ۲۸ از الزام تغییرات سامانه‌ای و رسیدگی انتظامی تا جریمه، حسابرس ویژه و ناظر مقیم و ابزارهای نظارتی متعددی را پیش‌بینی کرده است.بنابراین مشکل را نمی‌توان صرفا نبود اختیار قانونی در بانک مرکزی دانست. پرسش این است که یافته‌های فنی کاشف چگونه به اقدامات رسمی نظارتی متصل می‌شوند. آیا گزارش عدم انطباق کاشف می‌تواند به محدودیت یک خدمت ناامن منجر شود؟ چند بانک به دلیل نقص امنیتی ملزم به اصلاح شده‌اند؟

ساختار خود کاشف نیز به توضیح بیشتری نیاز دارد. این شرکت هم‌زمان استاندارد تدوین می‌کند، ارزیابی و آزمایش انجام می‌دهد، رخداد دریافت می‌کند، ابزار پایش و مدیریت آسیب‌پذیری توسعه می‌دهد و به‌عنوان هماهنگ‌کننده یا اپراتور امنیتی شبکه بانکی معرفی می‌شود.

قرارگرفتن آن در گروه ملی انفورماتیک، اگرچه تعارض منافع را به‌تنهایی اثبات نمی‌کند اما به‌صورت پیش‌فرض می‌توان تردیدهایی در مورد سوگیری و استقلال این ساختار مطرح کرد.

مساله دیگر، نبود گزارش‌های پاک‌سازی‌شده پس از رخداد است. ممکن است چنین گزارش‌هایی تهیه و فقط در اختیار نهادهای مسئول قرار گرفته باشند اما پنهان‌ماندن این گزارش‌ها قطعا منجر به تحریک احساس خطر، یادگیری و احتیاط منجر نشده است.

مسئولیت کجا متوقف شد؟

تمرکز بر کاشف نباید سایر حلقه‌های مسئولیت در امنیت بانکی را پنهان کند. ماموریت این حوزه میان بانک مرکزی، کاشف، مدیران بانک‌ها، شرکت‌های زیرساختی، نهادهای امنیتی و قضایی و ساختارهای ملی فضای مجازی توزیع شده است.

کاشف می‌تواند الزام تدوین کند اما ضمانت اجرای نظارتی، اعمال جریمه، محدودکردن یک خدمت و تصمیم‌گیری درباره نحوه مدیریت بحران عمدتا در اختیار نهادهای دیگر است. ازاین‌رو، وقوع اختلال نه به‌تنهایی شکست کاشف را ثابت می‌کند و نه مسئولیت آن را منتفی می‌سازد. پرسش دقیق‌تر این است که در این زنجیره، کدام نهاد نقص را دیده، کدام نهاد اختیار اصلاح داشته و کدام نهاد از آن اختیار استفاده نکرده است.

این توزیع مسئولیت همچنین کاشف را در محیطی قرار می‌دهد که تصمیم فنی تنها ملاحظه موجود نیست. امنیت ملی، محرمانگی تحقیقات، اعتبار نظام بانکی، نگرانی از ایجاد اضطراب عمومی و مدیریت سیاسی روایت بحران، هم‌زمان بر نحوه واکنش و انتشار اطلاعات اثر می‌گذارند.

اظهارات معاون اول رئیس‌جمهور پس از اختلال ۱۴۰۵، که رخداد را «قابل پیش‌بینی» و ناشی از «سهل‌انگاری» توصیف کرد نیز یک داوری مدیریتی و سیاسی بود. در مقابل، انتظار «مصونیت کامل» یا ایجاد وضعیتی که دشمن «جرات حمله نداشته باشد»، با منطق حرفه‌ای امنیت سایبری که تاب‌آوری را معیار اصلی می‌داند، فاصله دارد.

این تفاوت زبانی می‌تواند معیار ارزیابی را تغییر دهد. بااین‌حال، روشن‌نبودن مرز تصمیم کارشناسی، تصمیم امنیتی و مدیریت سیاسی بحران، یکی از موانع ارزیابی مستقل عملکرد این نهاد و سایر بازیگران شبکه بانکی است.

امنیت را با سامانه نمی‌سنجند

چارچوب‌های خارجی نشان می‌دهند که امنیت رخدادها را می‌توان بدون افشای جزئیات حساس، قابل سنجش‌ کرد. مقررات DORA در اتحادیه اروپا مدیریت ریسک فناوری، گزارش رخداد، آزمون تاب‌آوری و نظارت بر تامین‌کنندگان حیاتی را به یک زنجیره واحد متصل کرده است. TIBER-EU آزمون‌های تیم قرمز مبتنی بر اطلاعات تهدید را روی کارکردهای حیاتی در محیط کنترل‌شده انجام می‌دهد. هدف این سازوکارها اثبات وجود سند یا محصول نیست؛ سنجش این است که سازمان چه زمانی حمله را می‌بیند، چگونه آن را مهار می‌کند و آیا اصلاحات پس از آزمون انجام شده‌اند؟

برنامه CBEST بانک انگلستان نیز نتایج تفصیلی هر موسسه را محرمانه نگه می‌دارد، اما گزارش‌های موضوعی ناشناس منتشر می‌کند تا صنعت از ضعف‌های تکرارشونده بیاموزد. در آمریکا، بانک‌ها باید رخدادهای مهم را حداکثر ۳۶ ساعت پس از تشخیص به ناظر اصلی اطلاع دهند و ارائه‌دهنده خدمات بانکی نیز در صورت اختلال جدی چهار ساعته یا بیشتر، باید بانک مشتری را مطلع کند. ارزش این اعداد در نسخه‌برداری مستقیم نیست؛ در روشن‌بودن نقطه شروع، مهلت و مسئول گزارش است.

مدل جهانی FS-ISAC نیز نشان می‌دهد مرکز اشتراک اطلاعات فقط یک سکوی نرم‌افزاری نیست. هیچ‌یک از این مدل‌های خارجی را نمی‌توان بدون توجه به ساختار حقوقی، تحریم‌ها، بازار فناوری و ظرفیت نظارتی ایران کپی کرد. آنچه قابل انتقال است اصل اتصال مقررات به فرآیندی از آزمون و گزارش تا مسئولیت هر بخش و انتشار یافته‌ها است.

امنیت بانکی در حلقه گمشده پاسخ‌گویی

رخدادهای بزرگ امنیتی در بانک‌ها فقط چند سامانه را از دسترس خارج نمی‌کنند آنها سرمایه‌ای به نام اطمینان به بانکداری الکترونیک را هدف می‌گیرند که ساختنش سال‌ها زمان برده است. اکنون باید درباره پیامد دیگری هم هشدار داد که تکرار اختلال‌های بانکی می‌تواند رفتار مالی مردم را تغییر دهد و اطمینان آنان به شبکه رسمی را فرسوده کند. شبکه‌ای که با وجود تمام کاستی‌ها، در مقیاس کشوری مانند ایران یکی از زیرساخت‌های پیشرفته و فراگیر خدمات عمومی در جهان است. بخشی از سرمایه خانوارها همین حالا نیز نه در حساب‌های بانکی، بلکه به شکل ارز و طلا نگهداری می‌شود. خطر آنجاست که در سایه تورم مزمن و چندین ناپایداری دیگر، این بی‌اعتمادی از شیوه نگهداری پس‌انداز فراتر برود و به تراکنش‌های روزمره برسد. در آن نقطه، مساله فقط نقص امنیتی یا قطعی چند خدمت نیست شبکه بانکی بخشی از کارکرد اصلی خود را به‌عنوان بستر گردش پول و اعتماد عمومی از دست خواهد داد.


منبع

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا