چه کسی پاسخگوی هک بانکی است؟

حمله سایبری به یک بانک را نمیتوان صرفاً یک اختلال فنی یا حادثهای در حوزه فناوری اطلاعات تلقی کرد. وقتی میلیونها نفر دارایی، اطلاعات شخصی و امکان انجام مبادلات روزمره خود را به شبکه بانکی میسپارند، امنیت این شبکه به بخشی از امنیت عمومی کشور تبدیل میشود. از این منظر همانطور که سهلانگاری در نگهداری از یک سد، نیروگاه یا پالایشگاه میتواند، مسئولیت سنگین حقوقی و قضایی برای مدیران ایجاد کند، بیتوجهی به امنیت زیرساختهای بانکی نیز نمیتواند بدون پاسخ بماند. تجربه حملات سایبری به بانکهای ایرانی در جریان جنگ ۱۲ روزه و رخدادهای پس از آن یک پرسش مهم را پیش روی افکار عمومی قرار داده است. اینکه اگر مشخص شود، مدیران یا نهادهایی در سالهای گذشته نسبت به هشدارهای امنیتی بیتوجه بودهاند، بودجه کافی برای حفاظت از شبکه اختصاص ندادهاند، معماری پشتیبان ایجاد نکردهاند یا آسیبپذیریهای شناخت هشده را نادیده گرفتهاند، آیا نباید پاسخگو باشند؟
پاسخ روشن است. اگر قصور مدیریتی اثبات شود، برخورد اداری یا برکناری کافی نیست. در مواردی که بیتوجهی مدیران، میلیونها مشتری و بخش مهمی از اقتصاد کشور را در معرض خطر قرار داده، موضوع باید از منظر مسئولیت حقوقی و در صورت وجود شرایط قانونی، مسئولیت کیفری نیز بررسی شود.
بیایید داستان هک بانکهای ایرانی را یک بار با هم مرور کنیم.
با آغاز جنگ موسوم به جنگ ۱۲ روزه، شبکه بانکی ایران نیز در معرض حملات سایبری شدید قرار گرفت. نخستین موج حملات در اواخر خرداد ۱۴۰۴ بانک سپه و بانک پاسارگاد را هدف قرار داد. در نتیجه این حملات، بخشی از خدمات الکترونیکی این بانکها از جمله همراهبانک، اینترنتبانک، خودپردازها و برخی سامانههای پرداخت با اختلال جدی مواجه شدند. برخی گروههای هکری مسئولیت حملات را برعهده گرفتند و مدعی نفوذ به زیرساختهای بانکی شدند. اختلال در بانک سپه به دلیل گستردگی شبکه مشتریان و نقش این بانک در ارائه خدمات به بخشهای مختلف اقتصادی و دولتی، بازتاب زیادی داشت. مشتریان برای دسترسی به حسابهای خود، انتقال وجه و استفاده از برخی خدمات روزمره با مشکل مواجه شدند و بازگشت کامل برخی خدمات نیز زمانبر بود. در آن مقطع بخش عمده توجه افکار عمومی به مهاجمان سایبری معطوف شد. این واکنش طبیعی بود. کشوری درگیر جنگ بود و شبکه بانکی آن هدف حمله قرار گرفته بود. اما پس از عبور از شرایط اضطراری پرسش دیگری اهمیت پیدا کرد: چرا حمله توانست چنین اختلال گستردهای ایجاد کند؟
چنانکه نیما امیرشکاری میگوید، در امنیت سایبری یک اصل ساده وجود دارد. نمیتوان همیشه مانع حمله شد اما میتوان مانع تبدیل حمله به بحران شد. تفاوت یک زیرساخت تابآور با یک زیرساخت آسیبپذیر دقیقاً در همین نقطه آشکار میشود. سامانه امن، سامانهای نیست که هرگز مورد حمله قرار نگیرد؛ بلکه سامانهای است که در صورت حمله بتواند آسیب را محدود کند، خدمات حیاتی را ادامه دهد و در کوتاهترین زمان به وضعیت عادی بازگردد. بر همین اساس موفقیت مهاجم تنها یک سوی ماجراست. سوی دیگر، کیفیت دفاع است.
حمله دوباره
اکنون ادامه حملات و اختلال در خدمات چند بانک بزرگ نگرانیها را افزایش داده است. زمانی که چهار بانک بزرگ دولتی شامل بانک ملی ایران، بانک تجارت، بانک صادرات ایران و بانک توسعه صادرات ایران با اختلال در خدمات الکترونیکی مواجه میشوند، دیگر نمیتوان مسئله را صرفاً به یک بانک، یک مدیر فناوری اطلاعات یا یک خطای موردی محدود کرد. اختلال در همراهبانک، اینترنتبانک، خودپردازها، پایانههای فروش یا تراکنشهای بینبانکی برای اقتصادی که بخش بزرگی از مبادلات روزمره آن دیجیتالی شده، مسئلهای بسیار جدی است. میلیونها نفر برای خرید، انتقال پول، پرداخت حقوق، تسویه بدهی و انجام فعالیتهای تجاری به شبکه بانکی وابستهاند. توقف یا اختلال طولانی در این خدمات میتواند، زنجیرهای از مشکلات را ایجاد کند. مسئله نگرانکنندهتر زمانی است که نارسایی در خدمات بانکی برای مدت طولانی ادامه پیدا کند. در چنین شرایطی آثار بحران از نارضایتی مشتریان فراتر میرود. بنگاهها در پرداخت به تأمینکنندگان دچار مشکل میشوند، فروشگاهها نمیتوانند برخی تراکنشها را انجام دهند، انتقال منابع میان افراد و شرکتها مختل میشود و اعتماد عمومی به ابزارهای پرداخت کاهش پیدا میکند. اگر مردم احساس کنند در شرایط بحرانی ممکن است برای مدت طولانی به حساب یا دارایی خود دسترسی نداشته باشند، رفتار اقتصادی آنها نیز تغییر میکند. افزایش تمایل به نگهداری پول نقد، خرید ارز و طلا یا انتقال منابع به شبکههای غیررسمی میتواند یکی از پیامدهای کاهش اعتماد به شبکه بانکی باشد بنابراین امنیت سایبری بانکها، بخشی از ثبات اقتصاد کلان است.
چه کسی باید پاسخگو باشد؟
پس از هر حمله سایبری، سادهترین توضیح این است که «دشمن حمله کرد». بدون تردید مسئولیت اصلی حمله متوجه مهاجم است. اما این توضیح نمیتواند همه پرسشها را پاسخ دهد. فرض کنیم ساختمانی به عمد به آتش کشیده شود. عامل آتشسوزی مجرم است؛ اما اگر مشخص شود مدیر ساختمان سالها اخطارهای ایمنی را نادیده گرفته، سیستم اعلام حریق را تعمیر نکرده، درهای اضطراری را بسته و تجهیزات اطفای حریق را از مدار خارج کرده است، آیا میتوان همه مسئولیت را متوجه فرد آتشافروز دانست؟
در شبکه بانکی نیز باید همین منطق حاکم باشد. باید مشخص شود در سالهای گذشته چه هشدارهایی درباره آسیبپذیری شبکه بانکی مطرح شده است؟ این هشدارها به دست چه مدیرانی رسیده؟ چه اقداماتی باید انجام میشده و انجام نشده است؟ آیا بودجههای امنیت سایبری به درستی هزینه شدهاند؟ آیا بانکها ملزم به انجام آزمونهای نفوذ و ارزیابیهای مستقل امنیتی بودهاند؟ آیا سامانههای پشتیبان واقعاً از شبکه اصلی استقلال داشتهاند؟ برنامه تداوم کسبوکار بانکها در شرایط جنگ و حمله سایبری چه بوده است؟
پاسخ به این پرسشها باید از طریق یک بررسی مستقل و تخصصی به دست آید.
در ماههای گذشته حتی درباره عملکرد مدیران برخی نهادهای اصلی فناوری بانکی و از جمله مدیرعامل پیشین شرکت ملی انفورماتیک، پرسشهایی مطرح شده است. برخی معتقدند، صرف برکناری مدیرانی که در دوره مسئولیت آنها ضعفهای مهم زیرساختی شکل گرفته یا تداوم یافته، کافی نیست و در صورت وجود مستندات باید عملکرد آنها مورد بررسی قضایی قرار گیرد. البته باید بر یک نکته مهم تأکید کرد: برکناری یک مدیر یا وقوع حمله در دوره مسئولیت او به معنای مجرم بودن او نیست. مسئولیت کیفری نیازمند اثبات قصور، تقصیر یا ترک فعل مؤثر براساس قوانین کشور است. اما درست به همین دلیل تشکیل پرونده بررسی و انجام تحقیقات مستقل اهمیت دارد. نه میتوان بدون سند مدیران را مجرم شناخت و نه میتوان به دلیل پیچیدگی فنی موضوع، اساساً از بررسی مسئولیت آنها صرفنظر کرد.
به هر حال ضرورت تهیه و تدوین یک گزارش ملی درباره هک بانکها وجود دارد و نخستین اقدام ضروری، انتشار گزارشی جامع و تا حد ممکن عمومی درباره حملات سایبری به شبکه بانکی است. طبیعی است که جزئیات فنی و امنیتی حملات نباید منتشر شود اما مردم حق دارند، بدانند چرا خدمات بانکی آنها مختل شده و چه اقداماتی برای جلوگیری از تکرار این اتفاق انجام شده است. یک هیأت مستقل متشکل از متخصصان امنیت سایبری، بانکداری، حقوق و مدیریت بحران باید زنجیره تصمیمگیری در سالهای گذشته را بررسی کند. این بررسی نباید به مدیران فعلی محدود شود. امنیت سایبری محصول تصمیمهای انباشته است و ممکن است، ریشه یک آسیبپذیری به چند سال قبل بازگردد. اگر مشخص شود، مدیر یا مدیرانی هشدارهای امنیتی را نادیده گرفتهاند، اجرای پروژههای ضروری را متوقف کردهاند یا برخلاف استانداردهای حرفهای عمل کردهاند، پرونده آنها باید به مراجع قانونی ارجاع شود. در مقابل، اگر مدیران اقدامات لازم را انجام دادهاند و حمله از سطحی فراتر از توان متعارف دفاعی برخوردار بوده باید این واقعیت نیز صریحاً اعلام شود. هدف از این بررسی نباید پیدا کردن قربانی باشد. هدف باید کشف حقیقت و ایجاد پاسخگویی باشد. چراکه بانکداری بیش از هر صنعت دیگری بر اعتماد بنا شده است. مشتری پول خود را به بانک میسپارد زیرا اطمینان دارد هر زمان که بخواهد، میتواند به آن دسترسی پیدا کند. اگر این اطمینان از بین برود حتی سالمترین ترازنامه بانکی نیز با مشکل مواجه میشود. به همین دلیل هک بانک یک حادثه معمولی نیست. حمله به شبکه بانکی، حمله به یکی از ستونهای اعتماد در اقتصاد است. در چنین شرایطی، مجازات مقصران احتمالی انتقامگیری نیست؛ بخشی از سازوکار حفاظت از اعتماد عمومی است. مدیران زیرساختهای حیاتی باید بدانند مسئولیت آنها با مدیر یک بنگاه معمولی تفاوت دارد. تصمیم یا بیتصمیمی آنها میتواند، زندگی میلیونها نفر را تحت تأثیر قرار دهد. در عصر بانکداری دیجیتال، سهلانگاری سایبری دیگر یک اشتباه فنی ساده نیست. گاهی میتواند، میلیونها نفر و ثبات اقتصادی یک کشور را در معرض خطر قرار دهد. درست از همین رو زمان آن رسیده است که مسئولیت مدیران در برابر امنیت دیجیتال نیز به اندازه مسئولیت آنها در برابر پول و دارایی مردم جدی گرفته شود.

