یکشنبه، 27 مهر 1404

آسیب‌پذیری نظام بانکی ایران در برابر حملات سایبری/ درس‌هایی از بحران سپه و پاسارگاد
امروز, 11:49
کد خبر: 1175

آسیب‌پذیری نظام بانکی ایران در برابر حملات سایبری/ درس‌هایی از بحران سپه و پاسارگاد

حمله خردادماه به بانک‌های سپه و پاسارگاد زنگ خطر تازه‌ای برای نظام بانکی ایران بود؛ یادآور اینکه در عصر دیجیتال، امنیت بانکی فقط مسئله فناوری نیست، بلکه مسئله اعتماد ملی است.

به گزارش اقتصادرَوا، بانک‌ها در هر اقتصاد، همان نقشی را ایفا می‌کنند که خون در بدن انسان دارد؛ جریان دائمی اعتبار، پرداخت و اعتماد عمومی. اما در عصر دیجیتال، همین جریان حیاتی بیش از هر زمان دیگری در معرض تهدیدهای سایبری قرار گرفته است. حملاتی که نه‌تنها دارایی‌ها و داده‌های بانکی را هدف می‌گیرند، بلکه توانایی کشورها را در حفظ ثبات مالی و امنیت اقتصادی به چالش می‌کشند. در چنین بستری، آسیب‌پذیری نظام بانکی ایران در برابر حملات سایبری، دیگر یک دغدغه فنی یا فناورانه صرف نیست، بلکه مسئله‌ای ملی و راهبردی است که می‌تواند پیامدهایی فراتر از زیان مالی داشته باشد.

تجربه حملات سایبری به بانک سپه و پاسارگاد در خرداد ۱۴۰۴، نقطه عطفی در تاریخ امنیت بانکی ایران بود؛ حادثه‌ای که هرچند با تأخیر کوتاه در ارائه خدمات همراه شد، اما ضعف‌های ساختاری عمیقی را آشکار ساخت. وابستگی شدید به سامانه‌های متمرکز، تأخیر در روزرسانی زیرساخت‌های حیاتی، نبود مانورهای ملی برای مقابله با بحران، و ناهماهنگی میان بانک‌ها و نهادهای ناظر، از جمله نقاط ضعفی بود که در جریان این حملات آشکار شد. این رخدادها نشان دادند که حتی پیشرفته‌ترین بانک‌های کشور نیز از خطر حملات پیچیده و چندلایه مصون نیستند.

حمله به این دو بانک از منظر فنی، با هدف ایجاد اخلال در خدمات آنلاین و درگاه‌های پرداخت انجام شد. مهاجمان با بهره‌گیری از ضعف در لایه‌های ارتباطی و بهره‌برداری از سامانه‌های به‌روزرسانی‌نشده، توانستند در مقاطع کوتاهی اختلال گسترده ایجاد کنند. هرچند عملیات بازیابی سرویس‌ها سریع انجام شد، اما در همان ساعات نخست بحران، بی‌برنامگی در اطلاع‌رسانی عمومی و نبود هماهنگی میان نهادهای مسئول، اعتماد بخش قابل‌توجهی از مشتریان را تحت تأثیر قرار داد. از نگاه کارشناسان، آنچه بیش از خود حمله نگران‌کننده است، میزان آمادگی و تاب‌آوری نظام بانکی در مواجهه با چنین رخدادهایی است.

حملات سایبری سال‌های اخیر نشان داده‌اند که انگیزه مهاجمان دیگر صرفاً مالی نیست. از حملات باج‌افزاری تا حملات مبتنی بر اهداف سیاسی، اقتصادی و حتی ایدئولوژیک، بانک‌ها به میدان جدیدی از جنگ‌های ترکیبی بدل شده‌اند؛ جایی که اطلاعات مالی، زیرساخت‌های پرداخت و اعتماد عمومی، سلاح‌های اصلی‌اند. تجربه اوکراین، بنگلادش و ایالات متحده نیز همین را نشان می‌دهد: نفوذ به سامانه‌های بانکی، تنها به سرقت داده یا پول منتهی نمی‌شود، بلکه می‌تواند به بی‌ثباتی اقتصادی و بحران‌های دومینویی در سطح ملی بینجامد.

در ایران، ویژگی‌های خاص ساختاری و فناورانه نظام بانکی، زمینه آسیب‌پذیری را تشدید کرده است. بخش قابل توجهی از سامانه‌های بانکی کشور همچنان بر پایه نرم‌افزارها و معماری‌های قدیمی فعالیت می‌کنند؛ سامانه‌هایی که به‌رغم افزودن ماژول‌های جدید، در لایه اصلی خود نوسازی نشده‌اند. این وابستگی به فناوری‌های سنتی موجب شده تا به‌روزرسانی‌های امنیتی با تأخیر انجام گیرد و برخی نقاط آسیب‌پذیر شناخته‌شده (CVE) سال‌ها بدون اصلاح باقی بمانند. علاوه بر این، ناهمگونی میان سیستم‌های بانکی –به‌ویژه میان بانک‌های دولتی و خصوصی– مانع از پیاده‌سازی یک استاندارد یکپارچه امنیتی در سطح ملی شده است.

از سوی دیگر، تمرکز بیش از حد سامانه‌های کلیدی مانند «کاشف»، «نماد»، «نهاب» و «سپام» نیز تهدیدی جدی برای تاب‌آوری شبکه بانکی ایجاد کرده است. این سامانه‌ها هرچند ستون فقرات ارتباطات و امنیت بانکی کشور محسوب می‌شوند، اما در صورت بروز حمله موفق به هر یک از آنها، عملاً کل نظام بانکی دچار اختلال خواهد شد. ضعف در تفکیک دسترسی داده‌ها، ریسک بالای افشای اطلاعات متمرکز، و فقدان رمزنگاری سرتاسری از جمله نقاطی است که تحلیل‌گران آن را «نقطه شکست بحرانی» می‌نامند.

در عرصه جهانی، دو چارچوب مرجع برای مقابله با این وضعیت شکل گرفته که می‌تواند الگوی مناسبی برای ایران نیز باشد: «چارچوب امنیت سایبری NIST» و «معماری صفر اعتماد (Zero Trust)». اولی مجموعه‌ای از استانداردها و سازوکارهای پنج‌گانه برای شناسایی، حفاظت، تشخیص، پاسخ و بازیابی است که در بسیاری از کشورها مبنای حکمرانی امنیت سایبری در بخش مالی قرار گرفته است. دومی اما بر این اصل استوار است که هیچ کاربر یا دستگاهی، حتی درون شبکه، به‌طور پیش‌فرض قابل اعتماد نیست. در این معماری، هویت کاربران به‌صورت مداوم اعتبارسنجی می‌شود، سطح دسترسی بر اساس حداقل نیاز تنظیم می‌گردد و شبکه به بخش‌های کوچک‌تر تقسیم می‌شود تا در صورت نفوذ، مهاجم نتواند آزادانه حرکت کند. پیاده‌سازی این مدل در بانک‌های بزرگ جهان، توانسته میزان خسارات ناشی از حملات را به شکل چشمگیری کاهش دهد.

نقش فناوری هوش مصنوعی نیز در این میان دوگانه است. از یک سو، الگوریتم‌های یادگیری ماشین می‌توانند الگوهای غیرعادی را در کسری از ثانیه شناسایی کرده و از وقوع تراکنش‌های مشکوک جلوگیری کنند. از سوی دیگر، همین فناوری می‌تواند توسط مهاجمان برای تولید بدافزارهای شخصی‌سازی‌شده و حملات فیشینگ هوشمند به‌کار رود. به همین دلیل، استفاده از هوش مصنوعی در حوزه امنیت بانکی باید در چارچوب اصول شفافیت، پاسخ‌گویی و اخلاق فناورانه انجام گیرد تا خود به منبع جدیدی از تهدید تبدیل نشود.

در بررسی تطبیقی، تجربه کشورهای توسعه‌یافته نشان می‌دهد که موفقیت در مقابله با تهدیدات سایبری، صرفاً به ابزار یا فناوری وابسته نیست، بلکه به تغییر ذهنیت و فرهنگ سازمانی بستگی دارد. «ذهنیت نفوذفرض» (Assume Breach) که در آن بانک‌ها به‌جای اتکا به نفوذناپذیری، فرض را بر وقوع حمله می‌گذارند و بر سرعت واکنش و بازیابی تمرکز می‌کنند، امروز یکی از اصول کلیدی امنیت بانکی در جهان است. همچنین، ایجاد شبکه‌های ملی برای تبادل داده تهدیدات، همکاری مستمر میان بانک‌ها و نهادهای ناظر، و برگزاری رزمایش‌های سایبری منظم، اجزای حیاتی تاب‌آوری محسوب می‌شوند.

در ایران، ایجاد سامانه‌هایی مانند «کاشف» و «هامون» گامی در مسیر درست بوده است. کاشف با هدف مانیتورینگ بلادرنگ و مدیریت رخدادهای امنیتی، و هامون با ایجاد زیرساخت امضای دیجیتال و کلید عمومی (PKI)، توانسته‌اند بخشی از حلقه‌های گمشده امنیت بانکی را تکمیل کنند. با این حال، اتکای بیش از حد به سامانه‌های داخلی و نبود پیوند مؤثر با استانداردهای بین‌المللی، موجب شده است که بلوغ امنیتی نظام بانکی هنوز فاصله قابل‌توجهی با معیارهای جهانی داشته باشد.

بررسی‌ها نشان می‌دهد که بخش قابل‌توجهی از حملات موفق در ایران ناشی از خطای انسانی است. ضعف آموزش کارکنان، آگاهی پایین کاربران از روش‌های مهندسی اجتماعی، و عدم وجود سازوکار مؤثر برای اشتراک‌گذاری اطلاعات تهدید، همچنان از چالش‌های اصلی‌اند. تجربه کشورهای شرق آسیا –از جمله ژاپن و سنگاپور– نشان داده است که ترکیب آموزش مستمر نیروی انسانی، استفاده از فناوری‌های بیومتریک، و نظارت هوشمند تراکنش‌ها بر پایه داده‌های کلان، می‌تواند خطر نفوذ را به شکل چشمگیری کاهش دهد.

تحلیل داده‌های رسمی نشان می‌دهد که اگرچه سطح خدمات دیجیتال بانکی در ایران رشد چشمگیری یافته، اما فاصله میان سرعت نوآوری و سطح امنیت، در حال افزایش است. گسترش بانکداری اینترنتی و موبایلی، بدون تقویت همزمان زیرساخت‌های امنیتی، موجب افزایش سطح حمله (Attack Surface) و جذاب‌تر شدن بانک‌ها برای مهاجمان شده است. در چنین شرایطی، اتکا به ابزارهای سنتی مانند فایروال و آنتی‌ویروس دیگر پاسخ‌گو نیست و نیاز به نوسازی عمیق ساختارهای نرم‌افزاری و معماری شبکه بانکی بیش از هر زمان احساس می‌شود.

درس اصلی حملات اخیر آن است که امنیت سایبری، موضوعی فنی و محدود به واحد فناوری اطلاعات نیست. امنیت بانکی، به بخشی از امنیت ملی تبدیل شده است. بدون برنامه‌ریزی مستمر، آموزش نیروی انسانی، هماهنگی نهادی، و سرمایه‌گذاری پایدار در فناوری‌های نوین، نمی‌توان انتظار داشت که نظام بانکی در برابر تهدیدات ترکیبی آینده مقاوم بماند.

ایران برای عبور از وضعیت کنونی، نیازمند تلفیقی از سه اصلاح بنیادین است: نخست، بازطراحی تدریجی سامانه‌های کربنکینگ بر پایه معماری ماژولار و استانداردهای جهانی؛ دوم، ایجاد یک چارچوب حاکمیت داده و امنیت یکپارچه تحت نظارت بانک مرکزی؛ و سوم، گذار از دفاع سنتی به مدل «اعتماد صفر» با تکیه بر تحلیل هوشمند تهدید و خودکارسازی پاسخ‌ها. اجرای همزمان این اصلاحات، همراه با به‌روزرسانی قوانین و ایجاد نظام ملی رزمایش‌های سایبری، می‌تواند نقطه آغاز شکل‌گیری یک سپر پایدار برای نظام بانکی کشور باشد.

در نهایت، تجربه بانک‌های سپه و پاسارگاد هشداری بود که باید جدی گرفته شود. حملات سایبری آینده نه از درِ نفوذ فنی، بلکه از شکاف‌های نهادی و فرهنگی وارد خواهند شد. امنیت بانکی تنها با دیوارهای دیجیتال ساخته نمی‌شود، بلکه بر پایه شفافیت، همکاری، یادگیری مداوم و بازسازی اعتماد عمومی استوار است. ایران اگر می‌خواهد در مسیر بانکداری دیجیتال پیشرو بماند، باید امنیت را نه به‌عنوان هزینه، بلکه به‌عنوان سرمایه‌ای حیاتی برای دوام اقتصاد ملی ببیند.


گزارش از: زینب جمشیدی، کارشناس اقتصادی 

عکس خوانده نمی‌شود