عارف، هک بانکها و پنتست دانشجویی!
تشبیه کنایهآمیز اخیر معاون اول رئیسجمهور درباره اینکه یک دانشجو با پاس کردن سه واحد درس رمز میتوانست سامانههای مالی کشور را مختل کند، شاید در نگاه اول یک موضعگیری سیاسی به نظر برسد؛ اما از منظر امنیت عملیاتی، انگشت اتهام را دقیقاً به سمت یک بحران ساختاری یعنی خطاهای فاحش پیکربندی و فقدان تفکر معماری در شرکتهای دیتای بانکی کشور میبرد.
در دنیای فناوری، مگاپروژهها معمولاً نه با حملات پیچیده روز صفر، بلکه با بیدستانهترین اشتباهات اولیه در لایه وب آسیب میبینند؛ دقیقاً مثل نشت داده اخیر گروه بینالمللی دیالوگ متعلق به پیتر ثیل که به دلیل یک دایرکتوری باز در کد منبع لو رفت. چالش اصلی در بحث امنیت سایبری بانکها، پناه گرفتن پشت کلیدواژه حمله پیچیده دشمن برای فرار از مسئولیت است. وقتی دکترین امنیت یک بانک صرفاً بر روی دیوارهای آتش سنتی در لایه مرزی تمرکز کند و تفکر راستیآزمایی مداوم یا معماری جدی در لایههای درونی کدنویسی بومی وجود نداشته باشد، سیستم با یک تست نفوذ ساده دانشجویی به کما میرود.
اعتراف پاستور به سهلانگاری کاتالیزور یک بحران ساختاری
این واکاوی تحلیلی متعاقب جلسهای اضطراری در هفته اول تیرماه سال هزار و چهارصد و پنج شکل گرفت؛ جایی که محمدرضا عارف با انتقاد تند از اختلال در زیرساختهای پولی، اعلام کرد این اتفاقات به دلیل جدی نگرفتن دانش بومی و توصیههای علمی رخ داده و از دانشجویان سابق خود در شرکت ملی خدمات انفورماتیک گلایه کرد. این اعتراف صریح دولتی، گواهی بر این مدعاست که ضعفهای سایبری کشور بیش از آنکه ناشی از قدرت مهاجم باشد، حاصل فعالیت نهچندان کافی نهادهای متولی و مسئول است.
ریلگذاری جدید فناوری در لایه ایران پساجنگ
پیوند زدن این ضعفهای سایبری با مصوبه جدید شورای راهبری برای بازنگری در برنامه هفتم توسعه متناسب با شرایط ایران پساجنگ و تبعات جنگ چهل روزه، یک زنگ خطر استراتژیک است. کشوری که در حال تدوین پیوستهای بازسازی است، باید بداند که در دکترین پساجنگ، خط مقدم نبرد از مرزهای جغرافیایی به درون دیتاسنترهای بانکی منتقل شده است.
اگر لایههای دفاعی خدمات عمومی نتوانند استانداردهای امنیت عملیاتی را از سطح یک پروژه تمرینی دانشجویی به سطح یک دژ دفاع ملی ارتقا دهند، در نبردهای ترکیبی آینده، خسارتهای اقتصادی ناشی از قطعی سامانهها دستکمی از آسیبهای سختافزاری نخواهد داشت. ارتقای ده برابری امنیت سایبری بانکها دیگر یک توصیه حاکمیتی نیست، بلکه الزام بقای اقتصادی در عصر پساجنگ است.
اتاق تحلیل بیست و چهار نیوز | دیدگاه تحلیلی بهراد یوسفی
پارادوکس امنیت سایبری بانکی؛ چرا معماری دفاعی ما در برابر پروژههای دانشجویی فرومیریزد؟
تشبیه کنایهآمیز معاون اول رئیسجمهور درباره اینکه یک دانشجو با پاس کردن سه واحد درس رمز میتوانست این سامانهها را کور کند، انگشت اتهام را دقیقاً به سمت خطاهای فاحش پیکربندی و فقدان تفکر معماری در شرکتهای دیتای بانکی کشور میبرد. در دنیای امنیت سایبری مدرن، ما بارها شاهد بودهایم که مگاپروژهها و ساختارهای میلیارد دلاری، مانند نشت داده اخیر گروه بینالمللی دیالوگ متعلق به پیتر ثیل که به دلیل یک دایرکتوری باز در کد منبع لو رفت، نه با حملات پیچیده زنجیره تأمین یا حملات روز صفر، بلکه با بیدقتیهای اولیه در لایه وب آسیب میبینند.
مشکل اساسی در بحث امنیت سایبری بانکها، پناه گرفتن پشت کلیدواژه حمله پیچیده دشمن برای فرار از مسئولیت است. وقتی دکترین امنیت یک بانک صرفاً بر روی دیوارهای آتش سنتی در لایه مرزی تمرکز کند و تفکر راستیآزمایی مداوم یا معماری جدی در لایههای درونی کدنویسی بومی وجود نداشته باشد، سیستم با یک پرامپت تکراری یا یک تست نفوذ ساده دانشجویی به کما میرود.
از سوی دیگر، پیوند زدن این ضعفها با کلیدواژه جدید ایران پساجنگ در شورای راهبری برنامه هفتم، یک زنگ خطر استراتژیک است. کشوری که طعم جنگ چهل روزه سختافزاری را چشیده و اکنون در حال تدوین پیوستهای بازسازی است، باید بدانند که در دکترین پساجنگ، خط مقدم نبرد از مرزها به درون دیتاسنترهای بانکی و شرکتهای انفورماتیک منتقل شده است. اگر لایههای دفاعی خدمات عمومی کشور نتوانند استانداردهای امنیت عملیاتی را از سطح یک پروژه تمرینی دانشجویی به سطح یک دژ دفاع ملی ارتقا دهند، در نبردهای ترکیبی آینده، خسارتهای اقتصادی ناشی از قطعی سامانهها دستکمی از آسیبهای موشکی نخواهد داشت.