اختلال بانک‌ها ناشی از خطای انسانی بود، نه حمله سایبری

شورای هماهنگی بانک‌های دولتی اعلام کرد که اختلال اخیر بانک‌ها به دلیل حمله سایبری بوده است. از نظر شما، آیا نشانه‌ای از وقوع حمله در این مورد مشاهده شده است؟

برای اینکه با اطمینان درباره وقوع یک حمله سایبری صحبت کنیم، باید نشانه‌های این رخداد را مشاهده کرده باشیم. نخستین و رایج‌ترین نشانه این است که معمولاً یک گروه یا عامل مهاجم مسئولیت حمله را بر عهده می‌گیرد. در برخی موارد نیز گروه‌ها پس از نفوذ، اقدام به انتشار عمومی اطلاعات یا بخشی از داده‌های سرقت‌شده می‌کنند. هدف از این کار معمولاً اثبات انجام حمله و نمایش توانمندی فنی است. اما در اتفاق اخیر مربوط به بانک‌ها، نشانه‌ای از این موارد مشاهده نشده است.

در عین حال، در رخداد اخیر باید به نقش نیروی انسانی نیز توجه کرد. به‌طور کلی، بخش عمده آسیب‌ها ناشی از کمبود دانش و تجربه، نبود سیستم‌های نظارتی دقیق و ضعف در فرآیندهاست. این عوامل باعث شده‌اند چرخه‌ای تکرارشونده از خطاها و آسیب‌ها شکل بگیرد.

در برخی موارد، حملات خارجی و هک‌های سازمان‌یافته از خارج از کشور رخ داده‌اند. اما در برخی رخدادهای اخیر، نشانه‌هایی وجود دارد که حاکی از نقش داشتن عوامل داخلی نیز هست. اینکه این اتفاقات ناشی از خطای انسانی، ناآگاهی یا حتی سوءنیت بوده‌اند، نیازمند بررسی دقیق‌تر است. با این حال، بر اساس شواهد موجود، به نظر می‌رسد بخش قابل توجهی از این رخدادها ناشی از ضعف مهارتی و خطای انسانی بوده است. به این معنا که در زمان‌های حساس و اوج بار کاری، تغییرات یا آزمون‌های توسعه‌ای روی سیستم‌های عملیاتی انجام شده و همین موضوع منجر به بروز اختلال شده است. در عین حال، به دلیل نبود فرآیندهای استاندارد برای پشتیبان‌گیری، نگهداری داده‌ها و مدیریت بازگشت به وضعیت پایدار، امکان بازیابی سریع سیستم نیز وجود نداشته است.

نیروی انسانی غیرمتخصص چگونه میزان و شدت این تهدیدات داخلی را برای امنیت سازمان‌ها افزایش می‌دهد؟

مشکلات امنیتی سازمان‌ها زمانی تشدید می‌شود که مدیریت فرآیندها به نیروهای انسانی غیرمتخصص سپرده شود. این تهدید در کنار نبود نظارت ساختاریافته و دقیق، ابعاد گسترده‌تری پیدا می‌کند. در نتیجه، چرخه خطاها تداوم می‌یابد و متوقف نمی‌شود. در بسیاری از دیتاسنترها و زیرساخت‌ها مشاهده می‌شود که حتی استانداردهای اولیه امنیتی نیز به‌طور کامل رعایت نمی‌شوند. در برخی موارد، ساده‌ترین اصول امنیتی، مانند استفاده از رمزهای عبور پیچیده و چندکاراکتری، نیز به‌درستی اجرا نمی‌شود و معمولاً این موضوع با این توجیه همراه است که «در حال حاضر اولویت‌های مهم‌تری وجود دارد.»

از سوی دیگر، نیروی انسانی در بسیاری از موارد بدون نظارت کافی فعالیت می‌کند و همین مسئله به تکرار خطاها و تداوم ضعف‌های ساختاری منجر می‌شود. ادامه این روند در نهایت موجب کاهش اعتماد عمومی، افزایش نارضایتی کاربران و تشدید مشکلات در سطح کلان خواهد شد.

چرا سازمان‌های ایرانی، به‌ویژه بانک‌ها و نهادهای مالی، به امنیت سایبری از منظر سواد و تخصص نیروی انسانی و تجهیزات زیرساختی توجه کافی نمی‌کنند؟

امنیت سایبری در بسیاری از سازمان‌ها در اولویت اصلی قرار ندارد. این موضوع ناشی از مجموعه‌ای از عوامل مختلف، از جمله مشکلات مالی، هزینه بالای تأمین تجهیزات امنیتی و دشواری جذب نیروی انسانی متخصص است. جذب متخصصان امنیت سایبری خود یک چالش جدی به شمار می‌رود؛ زیرا علاوه بر نیاز به دانش و تخصص بالا، مسئله اعتماد و دسترسی به اطلاعات و سامانه‌های حساس نیز مطرح است.

از سوی دیگر، بخش قابل توجهی از نیروهای متخصص یا مهاجرت کرده‌اند یا در دسترس سازمان‌ها نیستند. نیروهای باقی‌مانده نیز به دلیل ریسک بالا و حساسیت شغلی، معمولاً دستمزدهای بالاتری مطالبه می‌کنند یا از نظر ساختارهای سازمانی به‌راحتی مورد تأیید قرار نمی‌گیرند.

تأمین تجهیزات و زیرساخت‌های مورد نیاز نیز با چالش‌های مالی همراه است. عمده تمرکز سازمان‌ها بر پایداری خدمات، افزایش ظرفیت عملیاتی و بهبود تجربه کاربری قرار دارد و امنیت سایبری معمولاً در اولویت‌های بعدی قرار می‌گیرد و در بسیاری از موارد قربانی این رقابت می‌شود. نگاه غالب این است که اگر سیستم سریع، پایدار و در دسترس باشد، مسئله اصلی حل شده است؛ در حالی که به موضوع امنیت کمتر به‌صورت ساختاری و پیشگیرانه توجه می‌شود.

به همین دلیل، در بسیاری از موارد، سرویس‌های اینترنتی، بانک‌ها و پلتفرم‌های آنلاین ابتدا با تمرکز بر سرعت، مقیاس‌پذیری و تجربه کاربری راه‌اندازی می‌شوند. اما زمانی که موضوع امنیت مطرح می‌شود، معمولاً این نگرانی وجود دارد که افزایش لایه‌های امنیتی به یک گلوگاه تبدیل شده و سرعت سیستم را کاهش دهد. همچنین اولویت‌ها اغلب به سمت حوزه‌هایی سوق پیدا می‌کنند که درآمدزایی بیشتری داشته باشند.

در نتیجه، بسیاری از سازمان‌ها با این نگاه که «افزایش امنیت موجب آسودگی خاطر بیشتر مشتریان خواهد شد»، سرمایه‌گذاری متناسبی در این حوزه انجام نمی‌دهند. در عمل نیز این منطق در بسیاری از کسب‌وکارها به‌درستی پیاده‌سازی نمی‌شود و امنیت در اولویت‌های پایین‌تر قرار می‌گیرد.

بر اساس تجربه تعامل با بانک‌ها و مجموعه‌های پرداختی کشور، این الگو به‌وضوح قابل مشاهده است. بسیاری از سازمان‌ها با محدودیت‌های مالی مواجه‌اند و معمولاً اولویت آن‌ها خرید سوئیچ، سرور و توسعه زیرساخت‌ها برای افزایش ظرفیت عملیاتی است، نه سرمایه‌گذاری در تجهیزات و ابزارهای امنیتی مانند سامانه‌های ذخیره‌سازی امن یا زیرساخت‌های تخصصی امنیت اطلاعات.

در چنین شرایطی، نبود جریمه‌های بازدارنده و همچنین فقدان چارچوب‌های نظارتی سخت‌گیرانه، موجب می‌شود انگیزه کافی برای سرمایه‌گذاری در امنیت سایبری از همان مراحل اولیه طراحی و توسعه سامانه‌ها شکل نگیرد.

نقش نهادهای نظارتی و رگولاتور در وضعیت نامناسب امنیت سامانه‌های بانکی چیست و چگونه می‌توان این روند را اصلاح کرد؟

یکی از ضعف‌های اساسی در کشور، نبود چارچوب حقوقی شفاف و کارآمد برای حمایت از کاربران فضای مجازی است. کاربران هنگام استفاده از خدمات آنلاین، اطلاعات شخصی متعددی مانند شماره تلفن، کد ملی، اطلاعات بانکی و سایر داده‌های حساس خود را در اختیار سرویس‌دهندگان قرار می‌دهند، اما در صورت وقوع نفوذ یا افشای این اطلاعات، سازوکار مشخص و مؤثری برای پیگیری حقوقی و احقاق حقوق کاربران وجود ندارد.

این در حالی است که در بسیاری از کشورهای دنیا، پیش از صدور مجوز فعالیت برای یک سرویس، سطح امنیت آن به‌طور کامل ارزیابی و تأیید می‌شود. همچنین در صورت وقوع نشت اطلاعات، مسئولیت‌های حقوقی مشخص و جریمه‌های بازدارنده‌ای برای سازمان‌ها در نظر گرفته می‌شود.

از سوی دیگر، امنیت سایبری ذاتاً یک حوزه حاکمیتی و رگولاتوری است. به همین دلیل، مدیریت مؤثر آن نیازمند وجود یک نظام نظارتی قدرتمند است که به‌صورت مستمر عملکرد سازمان‌ها را پایش و ارزیابی کند. با این حال، در عمل و به دلایلی همچون شرایط اقتصادی، محدودیت‌های اجرایی، مشکلات زیرساختی و ملاحظات مختلف، این نظارت‌ها در بسیاری از حوزه‌ها با ضعف یا اغماض همراه است. همین مسئله موجب تداوم چرخه آسیب‌پذیری‌ها و مشکلات امنیتی می‌شود.

در نهایت، نهاد ناظر، مجریان و حتی کاربران، همگی تا حد زیادی از وضعیت موجود و چالش‌های آن آگاه هستند؛ اما مسئله اصلی در تفاوت سطح آگاهی، توان اجرایی و شرایط واقعی کشور نهفته است. به همین دلیل، هشدارها و الزامات امنیتی معمولاً با تأخیر به اقدامات عملی منجر می‌شوند.

حتی در مواردی که به یک مجموعه آسیب‌دیده توصیه می‌شود تجهیزات امنیتی خود را ارتقا دهد، فرآیندهای داخلی را اصلاح کند و از نیروی انسانی متخصص بهره بگیرد، اجرای سریع این اقدامات به‌دلیل محدودیت‌های موجود همیشه امکان‌پذیر نیست. در نتیجه، بسیاری از سازمان‌ها ناچارند فعالیت خود را با همان شرایط و زیرساخت‌های قبلی ادامه دهند.