رنگ‌زمینه

صفحه اصلی > اقتصاد : مقصران نفوذ

مقصران نفوذ

چه کسی پاسخگوی هک بانکی است؟

حمله سایبری به یک بانک را نمی‌توان صرفاً یک اختلال فنی یا حادثه‌ای در حوزه فناوری اطلاعات تلقی کرد. وقتی میلیون‌ها نفر دارایی، اطلاعات شخصی و امکان انجام مبادلات روزمره خود را به شبکه بانکی می‌سپارند، امنیت این شبکه به بخشی از امنیت عمومی کشور تبدیل می‌شود. از این منظر همان‌طور که سهل‌انگاری در نگهداری از یک سد، نیروگاه یا پالایشگاه می‌تواند، مسئولیت سنگین حقوقی و قضایی برای مدیران ایجاد کند، بی‌توجهی به امنیت زیرساخت‌های بانکی نیز نمی‌تواند بدون پاسخ بماند. تجربه حملات سایبری به بانک‌های ایرانی در جریان جنگ ۱۲ روزه و رخدادهای پس از آن یک پرسش مهم را پیش روی افکار عمومی قرار داده است. اینکه اگر مشخص شود، مدیران یا نهادهایی در سال‌های گذشته نسبت به هشدارهای امنیتی بی‌توجه بوده‌اند، بودجه کافی برای حفاظت از شبکه اختصاص نداده‌اند، معماری پشتیبان ایجاد نکرده‌اند یا آسیب‌پذیری‌های شناخت ه‌شده را نادیده گرفته‌اند، آیا نباید پاسخ‌گو باشند؟
پاسخ روشن است. اگر قصور مدیریتی اثبات شود، برخورد اداری یا برکناری کافی نیست. در مواردی که بی‌توجهی مدیران، میلیون‌ها مشتری و بخش مهمی از اقتصاد کشور را در معرض خطر قرار داده، موضوع باید از منظر مسئولیت حقوقی و در صورت وجود شرایط قانونی، مسئولیت کیفری نیز بررسی شود.
بیایید داستان هک بانک‌های ایرانی را یک بار با هم مرور کنیم.
با آغاز جنگ موسوم به جنگ ۱۲ روزه، شبکه بانکی ایران نیز در معرض حملات سایبری شدید قرار گرفت. نخستین موج حملات در اواخر خرداد ۱۴۰۴ بانک سپه و بانک پاسارگاد را هدف قرار داد. در نتیجه این حملات، بخشی از خدمات الکترونیکی این بانک‌ها از جمله همراه‌بانک، اینترنت‌بانک، خودپردازها و برخی سامانه‌های پرداخت با اختلال جدی مواجه شدند. برخی گروه‌های هکری مسئولیت حملات را برعهده گرفتند و مدعی نفوذ به زیرساخت‌های بانکی شدند. اختلال در بانک سپه به دلیل گستردگی شبکه مشتریان و نقش این بانک در ارائه خدمات به بخش‌های مختلف اقتصادی و دولتی، بازتاب زیادی داشت. مشتریان برای دسترسی به حساب‌های خود، انتقال وجه و استفاده از برخی خدمات روزمره با مشکل مواجه شدند و بازگشت کامل برخی خدمات نیز زمانبر بود. در آن مقطع بخش عمده توجه افکار عمومی به مهاجمان سایبری معطوف شد. این واکنش طبیعی بود. کشوری درگیر جنگ بود و شبکه بانکی آن هدف حمله قرار گرفته بود. اما پس از عبور از شرایط اضطراری پرسش دیگری اهمیت پیدا کرد: چرا حمله توانست چنین اختلال گسترده‌ای ایجاد کند؟
چنانکه نیما امیرشکاری می‌گوید، در امنیت سایبری یک اصل ساده وجود دارد. نمی‌توان همیشه مانع حمله شد اما می‌توان مانع تبدیل حمله به بحران شد. تفاوت یک زیرساخت تاب‌آور با یک زیرساخت آسیب‌پذیر دقیقاً در همین نقطه آشکار می‌شود. سامانه امن، سامانه‌ای نیست که هرگز مورد حمله قرار نگیرد؛ بلکه سامانه‌ای است که در صورت حمله بتواند آسیب را محدود کند، خدمات حیاتی را ادامه دهد و در کوتاه‌ترین زمان به وضعیت عادی بازگردد. بر همین اساس موفقیت مهاجم تنها یک سوی ماجراست. سوی دیگر، کیفیت دفاع است.

حمله دوباره
اکنون ادامه حملات و اختلال در خدمات چند بانک بزرگ نگرانی‌ها را افزایش داده است. زمانی که چهار بانک بزرگ دولتی شامل بانک ملی ایران، بانک تجارت، بانک صادرات ایران و بانک توسعه صادرات ایران با اختلال در خدمات الکترونیکی مواجه می‌شوند، دیگر نمی‌توان مسئله را صرفاً به یک بانک، یک مدیر فناوری اطلاعات یا یک خطای موردی محدود کرد. اختلال در همراه‌بانک، اینترنت‌بانک، خودپردازها، پایانه‌های فروش یا تراکنش‌های بین‌بانکی برای اقتصادی که بخش بزرگی از مبادلات روزمره آن دیجیتالی شده، مسئله‌ای بسیار جدی است. میلیون‌ها نفر برای خرید، انتقال پول، پرداخت حقوق، تسویه بدهی و انجام فعالیت‌های تجاری به شبکه بانکی وابسته‌اند. توقف یا اختلال طولانی در این خدمات می‌تواند، زنجیره‌ای از مشکلات را ایجاد کند. مسئله نگران‌کننده‌تر زمانی است که نارسایی در خدمات بانکی برای مدت طولانی ادامه پیدا کند. در چنین شرایطی آثار بحران از نارضایتی مشتریان فراتر می‌رود. بنگاه‌ها در پرداخت به تأمین‌کنندگان دچار مشکل می‌شوند، فروشگاه‌ها نمی‌توانند برخی تراکنش‌ها را انجام دهند، انتقال منابع میان افراد و شرکت‌ها مختل می‌شود و اعتماد عمومی به ابزارهای پرداخت کاهش پیدا می‌کند. اگر مردم احساس کنند در شرایط بحرانی ممکن است برای مدت طولانی به حساب یا دارایی خود دسترسی نداشته باشند، رفتار اقتصادی آنها نیز تغییر می‌کند. افزایش تمایل به نگهداری پول نقد، خرید ارز و طلا یا انتقال منابع به شبکه‌های غیررسمی می‌تواند یکی از پیامدهای کاهش اعتماد به شبکه بانکی باشد بنابراین امنیت سایبری بانک‌ها، بخشی از ثبات اقتصاد کلان است.

چه کسی باید پاسخ‌گو باشد؟
پس از هر حمله سایبری، ساده‌ترین توضیح این است که «دشمن حمله کرد». بدون تردید مسئولیت اصلی حمله متوجه مهاجم است. اما این توضیح نمی‌تواند همه پرسش‌ها را پاسخ دهد. فرض کنیم ساختمانی به عمد به آتش کشیده شود. عامل آتش‌سوزی مجرم است؛ اما اگر مشخص شود مدیر ساختمان سال‌ها اخطارهای ایمنی را نادیده گرفته، سیستم اعلام حریق را تعمیر نکرده، درهای اضطراری را بسته و تجهیزات اطفای حریق را از مدار خارج کرده است، آیا می‌توان همه مسئولیت را متوجه فرد آتش‌افروز دانست؟
در شبکه بانکی نیز باید همین منطق حاکم باشد. باید مشخص شود در سال‌های گذشته چه هشدارهایی درباره آسیب‌پذیری شبکه بانکی مطرح شده است؟ این هشدارها به دست چه مدیرانی رسیده؟ چه اقداماتی باید انجام می‌شده و انجام نشده است؟ آیا بودجه‌های امنیت سایبری به درستی هزینه شده‌اند؟ آیا بانک‌ها ملزم به انجام آزمون‌های نفوذ و ارزیابی‌های مستقل امنیتی بوده‌اند؟ آیا سامانه‌های پشتیبان واقعاً از شبکه اصلی استقلال داشته‌اند؟ برنامه تداوم کسب‌وکار بانک‌ها در شرایط جنگ و حمله سایبری چه بوده است؟
پاسخ به این پرسش‌ها باید از طریق یک بررسی مستقل و تخصصی به دست آید.
در ماه‌های گذشته حتی درباره عملکرد مدیران برخی نهادهای اصلی فناوری بانکی و از جمله مدیرعامل پیشین شرکت ملی انفورماتیک، پرسش‌هایی مطرح شده است. برخی معتقدند، صرف برکناری مدیرانی که در دوره مسئولیت آنها ضعف‌های مهم زیرساختی شکل گرفته یا تداوم یافته، کافی نیست و در صورت وجود مستندات باید عملکرد آنها مورد بررسی قضایی قرار گیرد. البته باید بر یک نکته مهم تأکید کرد: برکناری یک مدیر یا وقوع حمله در دوره مسئولیت او به معنای مجرم بودن او نیست. مسئولیت کیفری نیازمند اثبات قصور، تقصیر یا ترک فعل مؤثر براساس قوانین کشور است. اما درست به همین دلیل تشکیل پرونده بررسی و انجام تحقیقات مستقل اهمیت دارد. نه می‌توان بدون سند مدیران را مجرم شناخت و نه می‌توان به دلیل پیچیدگی فنی موضوع، اساساً از بررسی مسئولیت آنها صرف‌نظر کرد.
به هر حال ضرورت تهیه و تدوین یک گزارش ملی درباره هک بانک‌ها وجود دارد و نخستین اقدام ضروری، انتشار گزارشی جامع و تا حد ممکن عمومی درباره حملات سایبری به شبکه بانکی است. طبیعی است که جزئیات فنی و امنیتی حملات نباید منتشر شود اما مردم حق دارند، بدانند چرا خدمات بانکی آنها مختل شده و چه اقداماتی برای جلوگیری از تکرار این اتفاق انجام شده است. یک هیأت مستقل متشکل از متخصصان امنیت سایبری، بانکداری، حقوق و مدیریت بحران باید زنجیره تصمیم‌گیری در سال‌های گذشته را بررسی کند. این بررسی نباید به مدیران فعلی محدود شود. امنیت سایبری محصول تصمیم‌های انباشته است و ممکن است، ریشه یک آسیب‌پذیری به چند سال قبل بازگردد. اگر مشخص شود، مدیر یا مدیرانی هشدارهای امنیتی را نادیده گرفته‌اند، اجرای پروژه‌های ضروری را متوقف کرده‌اند یا برخلاف استانداردهای حرفه‌ای عمل کرده‌اند، پرونده آنها باید به مراجع قانونی ارجاع شود. در مقابل، اگر مدیران اقدامات لازم را انجام داده‌اند و حمله از سطحی فراتر از توان متعارف دفاعی برخوردار بوده باید این واقعیت نیز صریحاً اعلام شود. هدف از این بررسی نباید پیدا کردن قربانی باشد. هدف باید کشف حقیقت و ایجاد پاسخ‌گویی باشد. چراکه بانکداری بیش از هر صنعت دیگری بر اعتماد بنا شده است. مشتری پول خود را به بانک می‌سپارد زیرا اطمینان دارد هر زمان که بخواهد، می‌تواند به آن دسترسی پیدا کند. اگر این اطمینان از بین برود حتی سالم‌ترین ترازنامه بانکی نیز با مشکل مواجه می‌شود. به همین دلیل هک بانک یک حادثه معمولی نیست. حمله به شبکه بانکی، حمله به یکی از ستون‌های اعتماد در اقتصاد است. در چنین شرایطی، مجازات مقصران احتمالی انتقام‌گیری نیست؛ بخشی از سازوکار حفاظت از اعتماد عمومی است. مدیران زیرساخت‌های حیاتی باید بدانند مسئولیت آنها با مدیر یک بنگاه معمولی تفاوت دارد. تصمیم یا بی‌تصمیمی آنها می‌تواند، زندگی میلیون‌ها نفر را تحت تأثیر قرار دهد. در عصر بانکداری دیجیتال، سهل‌انگاری سایبری دیگر یک اشتباه فنی ساده نیست. گاهی می‌تواند، میلیون‌ها نفر و ثبات اقتصادی یک کشور را در معرض خطر قرار دهد. درست از همین رو زمان آن رسیده است که مسئولیت مدیران در برابر امنیت دیجیتال نیز به اندازه مسئولیت آنها در برابر پول و دارایی مردم جدی گرفته شود.

sazandegi

پست های مرتبط

ابهام در مرمت گراند هتل قزوین

بررسی چگونگی احیای یکی از قدیمی‌ترین هتل‌های ایران و قزوین ماجرای گراند…

۲۰ تیر ۱۴۰۵

توزیع استانی فقر

چرا استان‌هایی که بیشترین بیکاری را دارند، بیشترین تورم را تحمل می‌کنند؟…

۱۷ تیر ۱۴۰۵

شلیک به سرمایه

جنگ چه بر سر سرمایه‌گذاری خارجی در خلیج‌فارس آورد؟ مدیران یکی از…

۱۱ تیر ۱۴۰۵

دیدگاهتان را بنویسید