تداوم اختلال پس از یک هفته 

بیشتر از یک هفته است که میلیون‌ها مشتری شبکه بانکی با اختلال در خدمات‌رسانی بانک‌های ملی، تجارت، صادرات و توسعه صادرات دست‌وپنجه نرم می‌کنند. شنبه هفته پیش، انواع خدمات این بانک‌ها از انتقال وجه گرفته تا برداشت پول و سایر سرویس‌های الکترونیکی و یا حضوری با مشکل مواجه شدند. طبق انتظار، این فرض وجود داشت که شرکت‌ها و نهادهایی که مسئول پشتیبانی فنی، امنیت شبکه، نگهداری سامانه‌ها و حفاظت از زیرساخت‌های بانکی هستند، بلافاصله درباره منشا این اختلال، آسیب‌پذیری مورد سوءاستفاده و چرایی ناکارآمدی سازوکارهای امنیتی پاسخ‌گو باشند.

با این حال، یک بار دیگر ضعف‌های اطلاع‌رسانی در بحران‌های پیشین نیز تکرار شد. شورای هماهنگی بانک‌های دولتی چند ساعت پس از شروع رخداد اعلام کرد که اختلال ایجادشده در سامانه‌های این بانک‌ها ناشی از یک حمله سایبری محدود بوده است.

همچنین، تاکید شد که هیچ‌گونه دسترسی غیرمجاز به اطلاعات مشتریان و هیچ موردی از نشت اطلاعات رخ نداده است. بانک مرکزی نیز به‌عنوان مهم‌ترین مرجع نظام بانکی کشور، با تاخیر یک‌هفته‌ای به این اختلال  واکنش نشان داد. این بانک در بیانیه‌ای ضمن تاکید بر اینکه اختلال اخیر ناشی از حمله به زیرساخت‌های ارتباطی بوده، ادعای ایجاد اختلال عمدی در سامانه‌های بانکی برای کنترل و محدودسازی بازار ارز و طلا را تکذیب کرد.

 در مجموع، نهادهای ذی‌ربط بر زمان‌بر بودن بازگشت کامل خدمات به روند عادی تاکید کردند. با این حال، گزارش‌ها بیانگر تداوم اختلال در ارائه خدمات این بانک‌هاست. بر همین اساس، در بانک ملی، بیشترین میزان ناپایداری در سرویس‌های اینترنت‌بانک و همراه‌بانک گزارش شده است.

برخی مشتریان از اختلال در ورود به سامانه، تأخیر در نمایش موجودی و خطا در ثبت تراکنش‌ها خبر داده‌اند. بانک صادرات نسبت به روزهای گذشته شرایط باثبات‌تری دارد و بیشتر خدمات کارتی فعال شده است، اما در برخی تراکنش‌های بین‌بانکی از جمله پایا و ساتنا همچنان کندی مشاهده می‌شود. در بانک تجارت نیز خدمات پایه تقریباً به وضعیت عادی بازگشته، هرچند در ساعات اوج مصرف، اختلال‌های مقطعی در اپلیکیشن‌های موبایلی و برخی تراکنش‌های آنلاین گزارش شده است. بانک توسعه صادرات نیز با وجود فعال بودن خدمات حضوری شعب، در بخش سرویس‌های آنلاین و برخی عملیات شرکتی همچنان محدودیت‌هایی دارد.

ضعف اطلاع‌رسانی به‌موقع و شفاف

در دنیا معیارهای مشخصی برای مدیریت بحران‌های امنیتی وجود دارد که پذیرش وقوع مسئله، ابراز همدلی با مخاطبان، تشریح اقدامات اصلاحی، ارائه به‌روزرسانی مستمر از جمله این موارد است. بررسی عملکرد بانک مرکزی، شرکت خدمات انفورماتیک و چهار بانکی که با اختلال مواجه شده‌اند، نشان می‌دهند که آن‌ها در اغلب موارد اصل اطلاع‌رسانی را رعایت کرده‌اند، اما با بازسازی اعتماد عمومی پس از این اتفاق فاصله قابل توجهی دارد.

شورای هماهنگی بانک‌های دولتی، بانک مرکزی و شرکت خدمات انفورماتیک به‌عنوان نهادهای مسئول سعی کردند تا بخشی از ابهامات مرتبط با این رخداد را رفع کنند، اما این روند همچنان با انتقادات زیادی مواجه است. از طرف دیگر، با توجه به اینکه مشتری به‌طور مستقیم با بانک‌ها در ارتباط است و باید در این مواقع فقط یک نهاد واحد برای پاسخگویی و پیگیری مسائل باشد، لازم است تا این چهار بانک که بیشترین ارتباط را با ذی‌نفعان و مخاطبان دارند، نقش محوری در اطلاع‌رسانی داشته باشند. در میان این بانک‌ها، بانک ملی فعال‌ترین حضور رسانه‌ای را داشت.

 این بانک با انتشار چندین اطلاعیه، ارائه گزارش‌هایی از روند رفع اختلال و انتشار اینفوگرافیک درباره اقدامات انجام‌شده، تلاش کرد به‌صورت مستمر وضعیت را برای مشتریان تشریح کند. بانک صادرات نیز با انتشار چند خبر و اطلاعیه، سعی کرد تا اطلاعاتی درباره وضعیت خدمات و روند بازگشت سامانه‌ها در اختیار مخاطبان قرار دهد. در مقابل، بانک توسعه صادرات اطلاع‌رسانی محدودتری داشت و واکنش رسانه‌ای بانک تجارت نیز کمتر در معرض دید افکار عمومی قرار گرفت. البته، این اطلاع‌رسانی‌ها زمانی تاثیرگذار خواهند بود که به پرسش‌ها و نگرانی‌های مخاطبان پاسخ دهد، تصویری روشن از ابعاد بحران و مسیر رفع آن ارائه کند و در نهایت به بازسازی اعتماد عمومی کمک کند. با این حال، یک هفته از این رخداد گذشته و هنوز مشتریان این چهار بانک ابعاد فنی آن را نمی‌دانند.

ضعف ساختاری در حفاظت از اطلاعات سفر

در شرایطی که افکار عمومی همچنان در انتظار شفاف‌سازی اختلال اخیر در عملکرد چهار بانک است، گروه هکری IRLeaks که پیش از این نام آن در چندین رخداد مهم امنیت سایبری در ایران مطرح شده بود، مدعی شده به مجموعه‌ای از داده‌های متعلق به بیش از ۲۰ آژانس مسافرتی و سامانه فروش بلیت ایرانی دسترسی پیدا کرده است.

بر اساس ادعای این گروه، اطلاعات مربوط به شرکت‌هایی از جمله اسنپ‌تریپ در میان داده‌های به‌دست‌آمده قرار دارد. هکرها این مجموعه اطلاعات را برای فروش عرضه کرده و ارزش آن را ۶۰ هزار دلار اعلام کرده‌اند. همچنین بر اساس آگهی منتشرشده توسط این گروه، بیش از ۱۰۷ میلیون رکورد در این مجموعه داده وجود دارد که اطلاعات هویتی، سوابق خرید بلیت و اطلاعات رزرو سفر کاربران در آن موجود است.

روند غیرشفاف و مبهم اطلاع‌رسانی نهادهای ذی‌ربط و استفاده از یک سامانه مشترک که ضعف امنیتی محسوب می‌شود، در این حمله سایبری نیز تکرار شده است. تاکنون هیچیک از نهادهای مرتبط با آژانس‌های مسافرتی و سامانه فروش بلیت واکنشی نسبت به ادعای گروه هکری IRLeaks نشان نداده‌اند. با این حال، مدیران اسنپ‌تریپ و هیلداسیر در گفت‌وگو با دیجیاتو اعلام کرده‌اند که خودشان هک نشده‌اند و ماجرا مربوط به «فرانگر» (یکی از تأمین‌کنندگان خدمات فروش) است. طبق گفته آن‌ها، داده‌های منتشرشده در پی حمله به یکی از سرورهای فرانگر، مربوط به سال ۲۰۲۴ بوده و شامل داده‌های مالی حساس مثل شماره کارت نیست، چون این نوع داده‌ها اصولاً توسط پرووایدرها ذخیره نمی‌شود.

با این همه، اینکه فرانگر و یا شرکت‌ها مورد حمله سایبری قرار گرفته باشد، در درجه دوم اهمیت قرار دارد. آنچه اهمیت بیشتری دارد، حفظ حریم خصوصی و داده‌های کاربران است. موضوعی که سال‌هاست در ایران از نبود حمایت‌های قانونی رنج می‌برد و هنوز تکلیف لوایح و دستورالعمل‌های مربوطه در این خصوص مشخص نشده است. 

چرخه تکراری اختلال و نشت داده

جدای از خلاهای قانونی در حوزه حریم خصوصی و امنیت داده‌های مردم، یک ضعف دیرینه در زیرساخت‌های ارتباطی سازمان‌های کشور وجود دارد. این ضعف، استفاده چند بانک یا شرکت حیاتی از یک سامانه و یا زیرساخت مشترک است.

موضوعی که در اختلال اخیر بانک‌ها و حمله سایبری ادعاشده به آژانس‌های مسافرتی و سامانه‌های فروش بلیت قابل مشاهده است. پیش از این، چندین شرکت بیمه نیز در سال ۱۴۰۲ که از یک سامانه مشترک برای ارائه خدمات استفاده می‌کردند، با حمله سایبری و نشت اطلاعات مواجه شدند. این در حالی است که بر اساس استانداردهای بین‌المللی، وابستگی به تامین‌کنندگان مشترک یک ریسک متمرکز محسوب می‌شود که می‌تواند منجر به یک شکست واحد شود.

 در چنین شرایطی، یک آسیب‌پذیری یا نفوذ در یک ارائه‌دهنده خدمات می‌تواند هم‌زمان چندین سازمان را تحت تأثیر قرار دهد و حتی به بحران در سطح صنعت منجر شود. به همین دلیل، استانداردهای NIST تاکید می‌کنند که سازمان‌ها باید ریسک‌های زنجیره تأمین فناوری را شناسایی و مدیریت کنند. در غیر اینصورت، سطح حمله سایبری احتمالی متمرکز، اثر آن و اختلال عملیاتی تشدید می‌شود.

کارشناس‌های امنیت سایبری، راهکار را در عدم استفاده از سامانه‌های مشترک نمی‌دانند، بلکه به اعتقاد آن‌ها، مسئله اصلی در اینجا مدیریت ریسک است. سازمان‌ها باید این ریسک را با ارزیابی مستمر تأمین‌کنندگان، داشتن برنامه جایگزین، کاهش وابستگی به یک سرویس‌دهنده و تمرین سناریوهای اختلال از بین ببرند. موضوعی که به نظر می‌رسد با تکرار الگوی حملات سایبری به سازمان‌های دولتی و خصوصی در ایران مورد توجه قرار نمی‌گیرد.