از صبح ۲۳ خرداد، خدمات بانک‌های ملی، صادرات، تجارت و توسعه صادرات با اختلال گسترده مواجه شدند. این اختلال که در پی حمله سایبری به زیرساخت‌های بانکی کشور رخ داد، با گذشت بیش از دو هفته همچنان برطرف نشده است.

اواخر هفته گذشته، بانک ملی در اطلاعیه‌ای اعلام کرد سامانه‌های این بانک به‌روزرسانی خواهند شد تا امکان استفاده از خدمات در هفته جاری فراهم شود. با این حال، گزارش‌های مشتریان نشان می‌دهد اختلال در موبایل‌بانک و خدمات مبتنی بر کارت این بانک در روزهای اخیر نیز ادامه داشته است. برخی از مشتریان بانک صادرات نیز همچنان در انتقال وجه و استفاده از خدمات کارتی با مشکل مواجه هستند.

این اختلال‌ها در دوم تیرماه به اوج خود رسید؛ به‌طوری که شرکت خدمات انفورماتیک اعلام کرد برای حفاظت از دارایی‌های مشتریان، ارائه خدمات مبتنی بر کارت به‌صورت موقت از دسترس خارج شده است. با وجود این، مشتریان همچنان از تداوم اختلال در خدمات بانکی خبر می‌دهند، در حالی که مسئولان از رفع این مشکلات سخن می‌گویند.

در شرایطی که مشتریان بانک‌ها همچنان در انتظار رفع کامل مشکلات و شفاف‌سازی ابعاد حمله سایبری هستند، برخی گروه‌های حامی محدودسازی اینترنت بار دیگر ادعایی نادرست را تکرار کرده و اینترنت را مقصر این حمله دانسته‌اند. امیر سیاح، معاون دبیر شورای عالی فضای مجازی، خطاب به وزیر ارتباطات گفت: «نباید اینترنت بین‌الملل را وصل می‌کردید؛ حالا که مردم گرفتار شده‌اند، پاسخگوی آن‌ها هستید؟»

اینترنت مقصر بود یا ضعف امنیتی؟ 

تقابل موافقان و مخالفان اینترنت آزاد در اظهارنظرهای دیگر نیز ادامه پیدا کرد. تا جایی که علیرضا سلیمی، عضو هیئت‌رئیسه مجلس، با کنایه به وزیر ارتباطات ــ که پیش‌تر در پاسخ به موافقان اینترنت سفید و اینترنت پرو، آن‌ها را به «ماست‌خوردن» دعوت کرده بود ــ گفت احتمالاً وزیر ارتباطات نیز هنگام اختلال در خدمات بانکی مشغول خوردن ماست بوده است.

او همچنین خواستار پاسخ‌گویی سازمان پدافند غیرعامل، واحدهای پدافند غیرعامل بانک‌ها، بخش‌های فنی بانک‌ها، وزیر ارتباطات و فناوری اطلاعات، وزیر امور اقتصادی و دارایی و رئیس کل بانک مرکزی درباره این اختلال‌ها شد.

در مقابل، بهزاد اکبری، مدیرعامل شرکت ارتباطات زیرساخت، با استناد به سه دلیل این ادعاها را رد کرد. به گفته او، ایران‌اکسس بودن سامانه‌های بانکی، ثبت روزانه حدود ۶۰۰ هزار رخداد امنیتی با منشأ داخلی و خارجی و دسترسی بیش از ۱۰ درصد کاربران به اینترنت بین‌الملل در زمان محدودیت اینترنت، از جمله دلایلی هستند که نشان می‌دهند قطع اینترنت تأثیری در جلوگیری از حملات سایبری ندارد.

از سوی دیگر، بر اساس اطلاعاتی که تاکنون به‌صورت رسمی منتشر شده، اختلال بانک‌ها در نتیجه حمله به زیرساخت ارتباطی شبکه بانکی کشور رخ داده است و تاکنون هیچ گزارش فنی‌ای منتشر نشده که نشان دهد بازگشایی اینترنت عامل این حمله بوده است.

از منظر استانداردهای امنیت سایبری نیز، امنیت بانک‌ها به معماری شبکه، جداسازی سامانه‌ها، کنترل دسترسی و پایش مستمر امنیتی وابسته است. همچنین برخی کارشناسان امنیت سایبری اعلام کرده‌اند در حملات اخیر علیه بانک‌ها، نشانه‌هایی مشابه اجرای بدافزار مشاهده کرده‌اند. به گفته آن‌ها، بررسی‌های فارنزیک منتشرشده حاکی از وجود زنجیره‌ای از اجرای بدافزار است که از نظر تاکتیک‌ها و تکنیک‌های مهاجمان، شباهت قابل‌توجهی با الگوهای حملات اخیر علیه برخی بانک‌ها دارد.

این تحلیل‌ها نشان می‌دهد در حملات پیشرفته به زیرساخت‌های بانکی، عامل تعیین‌کننده صرفاً دسترسی به اینترنت نیست. بر اساس چارچوب‌های امنیتی مانند MITRE ATT&CK و NIST، مهاجمان پس از نفوذ اولیه معمولاً با استفاده از تکنیک‌هایی مانند ایجاد ماندگاری، پاک‌سازی لاگ‌ها، غیرفعال کردن ابزارهای امنیتی و جلوگیری از بازیابی سامانه‌ها، حمله را تکمیل می‌کنند؛ موضوعی که اهمیت معماری امنیتی، تفکیک شبکه و پایش مستمر را بیش از پیش نشان می‌دهد.

بحران ادامه دارد؛ پاسخگویی نه

در حالی که برخی جریان‌ها بدون ارائه شواهد فنی، اینترنت را مقصر حملات سایبری اخیر معرفی می‌کنند، یک کانال تلگرامی منتسب به گروه هکری «ترول تیم» مدعی شده است که در جریان این حمله سایبری، یکی از بانک‌های درگیر را به‌طور کامل از دسترس خارج کرده است. این ادعا تاکنون از سوی مراجع رسمی تأیید نشده و شرکت خدمات انفورماتیک همچنان تأکید می‌کند که هیچ‌گونه نفوذی به داده‌های مشتریان صورت نگرفته است.

همچنین روزنامه تلگراف به نقل از منابع امنیتی مدعی شده است حمله سایبری اخیر به چهار بانک ایرانی توسط گروه هکری «گنجشک درنده» و با حمایت اسرائیل انجام شده است. با این حال، نهادهای مسئول، از بانک مرکزی گرفته تا چهار بانک آسیب‌دیده، تاکنون توضیحی درباره منشأ این اختلال، آسیب‌پذیری مورد سوءاستفاده یا چرایی ناکارآمدی سازوکارهای امنیتی منتشر نکرده‌اند.

از سوی دیگر، بخشی از مردم و کسب‌وکارهای خرد در نتیجه این اختلال‌ها با تأخیر در دریافت مطالبات، اختلال در پرداخت‌ها و بی‌نظمی مالی دست‌وپنجه نرم می‌کنند و هنوز مشخص نیست چه نهادی مسئول جبران این خسارت‌ها خواهد بود.

در همین زمینه، رئیس اتاق بازرگانی تهران تداوم اختلال در خدمات چهار بانک را عاملی مؤثر در وارد شدن آسیب جدی به کسب‌وکارها دانست و تأکید کرد فعالان اقتصادی، در کنار سایر چالش‌ها، اکنون با کندی بیشتر در انجام امور مالی و تجاری مواجه شده‌اند. او همچنین از نبود شفافیت درباره علت اختلال، وضعیت امنیت سامانه‌های بانکی و روند رفع مشکلات انتقاد کرد و خواستار ارائه توضیحات روشن از سوی مسئولان شد.

در مقابل، بانک مرکزی از اعمال حمایت‌های ویژه برای مشتریان آسیب‌دیده از این اختلال‌ها خبر داد. حذف آثار منفی چک‌های برگشتی از رتبه اعتباری، بخشودگی جریمه دیرکرد اقساط و ارائه سایر حمایت‌های بانکی، از جمله اقداماتی است که این بانک برای کاهش آثار اختلال‌ها اعلام کرده است.

علاوه بر اینکه ابعاد حمله سایبری اخیر به بانک‌ها همچنان مشخص نشده است، هر روز ابهام تازه‌ای نیز به این پرونده اضافه می‌شود. یکی از این موارد، ادعای دخالت بانک مرکزی در نحوه مدیریت اختلال‌های ایجادشده بود.

با این حال، بانک مرکزی در واکنش به این ادعا اعلام کرد که پس از بروز اختلال‌ها، بانک‌ها مطابق مصوبات نهادهای بالادستی مجاز بودند برای بازگرداندن سریع خدمات از ظرفیت سایر شرکت‌های فناوری اطلاعات استفاده کنند. این نهاد همچنین تأکید کرد هیچ نقشی در انتخاب شرکت‌های ارائه‌دهنده خدمات نداشته و تصمیم‌گیری در این زمینه بر عهده خود بانک‌ها بوده است.

با وجود این توضیحات، مهم‌ترین پرسش‌ها درباره این حمله سایبری همچنان بی‌پاسخ مانده‌اند؛ مهاجمان از چه مسیری به زیرساخت بانکی نفوذ کردند؟ چه آسیب‌پذیری یا ضعفی مورد سوءاستفاده قرار گرفت؟ دامنه واقعی خسارت چه بوده است؟ و برای جلوگیری از تکرار چنین رخدادهایی، چه اصلاحاتی در معماری امنیتی شبکه بانکی انجام خواهد شد؟

تا زمانی که پاسخ‌های مستند و فنی به این پرسش‌ها منتشر نشود، نه ابهام‌های موجود برطرف خواهد شد و نه اعتماد میلیون‌ها مشتری که بیش از دو هفته با اختلال در خدمات بانکی مواجه بوده‌اند، به‌طور کامل بازخواهد گشت.