انتقاد از انحصار زیرساخت بانکی 

بانک مرکزی روز گذشته با انتشار بیانیه‌ای، اخبار مربوط به دخالت این نهاد در انتخاب و فعالیت شرکت‌های فناوری اطلاعات چهار بانکی را که هدف حملات سایبری قرار گرفته‌اند، از اساس کذب خواند و این ادعاها را رد کرد. این واکنش در پی انتشار گزارش‌ها و ادعاهایی در برخی رسانه‌ها و شبکه‌های اجتماعی مطرح شد که در آن‌ها از نقش احتمالی بانک مرکزی در هدایت تعدادی از بانک‌ها به همکاری با یک شرکت مشخص سخن گفته شده بود.

این موضوع بار دیگر این پرسش را مطرح کرده است که زیرساخت فناوری بانک‌های کشور تا چه اندازه متنوع است و آیا تمرکز بخش مهمی از این زیرساخت‌ها در اختیار چند بازیگر محدود، خود به یک ریسک امنیتی تبدیل نشده است؟

برای پاسخ به این پرسش، باید بازیگران اصلی ارائه‌دهنده زیرساخت‌های فناوری بانک‌ها، به‌ویژه چهار بانکی را که اخیراً هدف حمله سایبری قرار گرفتند، بررسی کرد. شرکت خدمات انفورماتیک که نام آن در جریان حمله سایبری اخیر بارها مطرح شد، بازوی فناوری اطلاعات بانک مرکزی است و وظیفه توسعه و نگهداری زیرساخت‌های بین‌بانکی کشور را بر عهده دارد. شرکت‌های شاپرک و کاشف نیز از دیگر مجموعه‌های وابسته به بانک مرکزی هستند که به‌ترتیب در حوزه پرداخت و امنیت سایبری فعالیت می‌کنند.

علاوه بر این، دو شرکت داتین و توسن از مهم‌ترین ارائه‌دهندگان نرم‌افزارهای Core Banking و راهکارهای بانکی برای بانک‌های کشور به شمار می‌روند. همچنین بانک‌هایی مانند ملی، صادرات و تجارت نیز هلدینگ‌های فناوری اطلاعات اختصاصی خود را دارند و بخشی از سامانه‌هایشان را از طریق شرکت‌های وابسته توسعه و نگهداری می‌کنند.

با این حال، کارشناسان امنیت سایبری سال‌هاست نسبت به تمرکز زیرساخت‌های حیاتی در اختیار تعداد محدودی از ارائه‌دهندگان هشدار می‌دهند. از نظر آن‌ها، استفاده هم‌زمان چندین بانک از یک زیرساخت، هرچند از نظر اقتصادی و عملیاتی مقرون‌به‌صرفه است، اما در زمان وقوع حملات یا بحران‌های سایبری می‌تواند دامنه خسارات را به‌طور قابل‌توجهی افزایش دهد.

چرا دوباره پای توسن به میان آمده است؟

انتقادها نسبت به تمرکز و انحصار در ارائه زیرساخت‌های بانکی، زمانی افزایش یافت که در سال ۱۴۰۳ گروه هکری IRLeaks مدعی نفوذ به زیرساخت ۲۰ بانک ایرانی شد. بر اساس گزارش‌ها، این حمله در نهایت با پرداخت ۳ میلیون دلار از سوی شرکت توسن پایان یافت و به نشت داده‌های کاربران منجر نشد. البته این روایت عمدتاً بر گزارش‌های تحقیقی Politico و CyberScoop و اسناد افشاشده استوار است و شرکت توسن در آن زمان هیچ بیانیه عمومی یا گزارش فنی رسمی درباره این حمله منتشر نکرد.

علاوه بر این، بانک‌های سپه و پاسارگاد که در جریان جنگ ۱۲ روزه هدف حمله سایبری قرار گرفتند، از جمله مشتریان شرکت داتین بودند و با اختلال گسترده‌ای مواجه شدند. داتین در آن زمان اعلام کرد حمله سایبری ۲۷ خرداد تجهیزات ذخیره‌سازی و مراکز داده (دیتاسنتر) این دو بانک را هدف قرار داده است و سامانه Core Banking این شرکت هدف نفوذ قرار نگرفته و زیرساخت‌های آسیب‌دیده نیز خارج از مسئولیت داتین بوده‌اند.

با این حال، چند روز بعد مدیران فنی بانک سپه تصمیم گرفتند زیرساخت‌های خود را به سامانه‌های شرکت توسن منتقل کنند؛ اتفاقی که این پرسش را مطرح کرد: اگر سامانه‌های داتین هدف حمله قرار نگرفته بودند، چرا زیرساخت‌های بانک سپه به شرکت توسن منتقل شد؟

این پرسش در حالی همچنان بی‌پاسخ مانده است که بانک‌های پارسیان، رفاه کارگران، کارآفرین، سرمایه، توسعه تعاون، گردشگری، رسالت و پاسارگاد از خدمات شرکت داتین استفاده می‌کنند و مشخص نیست اگر آسیب‌پذیری در سامانه‌های داتین وجود داشته، برطرف شده است یا خیر؛ موضوعی که می‌تواند از منظر امنیت سایبری برای این بانک‌ها نیز اهمیت داشته باشد.

در این شرایط و هم‌زمان با تداوم اختلال در چهار بانک، شنیده می‌شود قرار است زیرساخت بانک‌های ملی، تجارت و توسعه صادرات به سامانه توسن منتقل شود. تاکنون هیچ‌یک از بانک‌های یادشده، بانک مرکزی یا شرکت توسن این موضوع را به‌طور رسمی تأیید یا درباره آن توضیح نداده‌اند.

در عین حال، این موضوع پرسش دیگری را نیز مطرح می‌کند: اگر قرار باشد توسن به‌عنوان سامانه جایگزین انتخاب شود، با توجه به ادعاهای مطرح‌شده درباره نفوذ پیشین به زیرساخت‌های این شرکت، چه ملاحظات فنی و امنیتی برای اطمینان از ایمنی این انتقال در نظر گرفته شده است؟

پاسخ‌گویی یا فرافکنی؟

این پرسش‌ها تاکنون بی‌پاسخ مانده‌اند و مسئولان نیز به‌جای پاسخ‌گویی و مدیریت بحران، بدون پذیرش مسئولیت یا سهل‌انگاری احتمالی، یک بار اینترنت و بار دیگر نیروی انسانی را عامل این اتفاق معرفی کرده‌اند.

محمدرضا عارف، معاون اول رئیس‌جمهور، نیز در جلسه بررسی حادثه سایبری بانک‌ها، این رخداد را نتیجه سهل‌انگاری دانست و تأکید کرد که این حمله قابل پیش‌بینی بوده و در صورت تداوم وضعیت فعلی، احتمال تکرار آن نیز وجود دارد. به گفته او، بسیاری از سامانه‌ها بدون توجه کافی به دانش بومی و هشدارهای متخصصان، به‌گونه‌ای طراحی شده‌اند که در برابر حملات آسیب‌پذیر هستند. عارف همچنین گفت رخداد اخیر آن‌چنان پیچیده نبوده که بتوان آن را صرفاً به دشمن نسبت داد.

او در این‌باره گفت: «یک دانشجوی جوان من که سه واحد رمز پاس کرده باشد هم می‌تواند این کار را انجام دهد. بسیاری از کسانی که در شرکت خدمات انفورماتیک یا بخش‌های دیگر فعالیت دارند، از دانشجویان من بوده‌اند و بارها، زمانی که در دولت مسئولیتی نداشتم، به آنان هشدار داده بودم که ممکن است چنین اتفاقاتی رخ دهد، اما متأسفانه به این هشدارها توجه نشد.»

ستار هاشمی، وزیر ارتباطات، نیز که یکی از مسئولان حوزه زیرساخت‌های ارتباطی و امنیت فضای مجازی کشور است، در اظهارات اخیر خود بر ارتقای امنیت سایبری تأکید کرد. به گفته او، توسعه اقتصاد دیجیتال بدون امنیت سایبری امکان‌پذیر نیست و ایجاد محیطی امن برای کاربران و کسب‌وکارهای دیجیتال از الزامات این مسیر است.

در مجموع، صرف‌نظر از منشأ حمله اخیر، آنچه بیش از هر چیز نیازمند شفاف‌سازی است، نحوه مدیریت زیرساخت‌های بانکی پس از این بحران است. اگر قرار است بانک‌های بیشتری به یک ارائه‌دهنده مشترک مهاجرت کنند، لازم است دلایل فنی، ارزیابی‌های امنیتی و معیارهای این تصمیم به‌صورت شفاف اعلام شود. همچنین اگر مشکل از زیرساخت یا معماری سامانه‌های پیشین بوده است، باید مشخص شود چه اقداماتی برای رفع آسیب‌پذیری‌ها و جلوگیری از تکرار چنین حوادثی در سایر بانک‌ها انجام شده یا در دستور کار قرار دارد.