حبیبی
یک کارشناس حوزه امنیت سایبری معتقد است: مشکل اصلی شبکه بانکی ایران، صرفاً «حمله سایبری» نیست؛ معماری‌ای است که ریسک را در سه لایه سامانه، محصول و زیرساخت فیزیکی متمرکز کرده، آن را با تعارض منافع نظارتی تشدید کرده و آن را روی بستری از فرار نیروی متخصص و مانع‌تراشی نهادی در برابر رشد بازیگران بزرگ امنیتی سوار کرده است.

هاشم حبیبی، کارشناس حوزه امنیت سایبری در نگاه ماه شماره 128 ماهنامه نسل چهارم آورده است:

فراتر از یک حمله، یک معماری پرخطر
از خرداد ۱۴۰۴ که حمله به بانک سپه و پاسارگاد بخشی از خدمات بانکی کشور را مختل کرد تا خرداد ۱۴۰۵ که این‌بار چهار بانک بزرگ دولتی هم‌زمان از کار افتادند، تحلیل رایج بر «حمله سایبری هدفمند» متمرکز مانده است، اما پرسش مهم‌تر این است: چرا در نظام بانکی ایران، یک رخداد امنیتی به‌جای آنکه محدود به یک بانک بماند، به‌سرعت به بحرانی چند بانکی و سراسری تبدیل می‌شود؟ پاسخ را باید نه در ماهیت حمله، بلکه در معماری تمرکز ریسک یا خطر جست‌وجو کرد.

1- سه لایه تمرکز خطر
نخستین لایه، تمرکز داده و پردازش در یک سامانه Core Banking واحد برای هر بانک است؛ موضوعی که در بسیاری از نظام‌های بانکی جهان هم وجود دارد، اما با کنترل‌های جبرانی جدی همراه است. لایه دوم، خطرناک‌تر است: چند بانک بزرگ کشور از یک محصول یا پلتفرم نرم‌افزاری مشترک، توسط یک تأمین‌کننده واحد، استفاده می‌کنند. این یعنی، یک آسیب‌پذیری در یک محصول، نه یک بانک بلکه چند بانک را هم‌زمان در معرض خطر قرار می‌دهد. لایه سوم، که تمرکز خطر را به اوج می‌رساند، اشتراک زیرساخت فیزیکی است: چند بانک روی یک مرکز داده مشترک متکی‌اند. در چنین آرایشی، حادثه‌ای که باید محدود به یک نهاد باشد، به‌واسطه اشتراک محصول و اشتراک زیرساخت فیزیکی، به یک نقطه شکست واحد در مقیاس ملی بدل می‌شود؛ دقیقاً همان الگویی که در دور اخیر اختلال هم‌زمان چند بانک دولتی مشاهده شد.
این تمرکز سه‌گانه، به‌خودی‌خود یک تصمیم مهندسی پرخطر است؛ اما تا زمانی که مبانی حقوقی در قراردادهای کسب و کاری میان شرکت‌های پیمانکار و کارفرما به گونه‌ای رقم خورده است که مسئولیت و پاسخ‌گویی و الگوی کارفرما-پیمانکار مبتنی بر تداوم فعالیت و پذیرش وجود ندارد، ابهام و فرار از مسئولیت در ریسک‌های وارده در حوزه پولی و مالی تداوم خواهد داشت.

2- بحران نیروی انسانی متخصص
پشت این معماری پرخطر، یک بحران انسانی نیز جریان دارد. نیروی متخصص و باتجربه حوزه امنیت سایبری بانکی، با حقوق‌های دولتی حاضر به ماندن نیست و به بخش خصوصی یا خارج از کشور مهاجرت می‌کند. برای جبران این خلأ، قراردادهایی با بخش خصوصی بسته می‌شود که به دلیل سقف قیمت‌گذاری دولتی و تشریفات مناقصه، عملاً ارزان و کم‌عمق‌اند؛ فرآیندی که خود بار اداری سنگینی هم به‌همراه دارد و توان جذب بهترین تیم‌های فنی را از کارفرمای دولتی می‌گیرد. نتیجه، سرمایه‌گذاری ناکافی در امنیت است، در حالی که دارایی در معرض خطر — داده و اعتماد مالی میلیون‌ها نفر — هرگز کوچک نبوده است.

3- بخش خصوصی امنیت: کمبود نیرو و مانع نهادی رشد
این بحران به بخش خصوصی هم سرایت کرده است؛ حتی شرکت‌های بزرگ امنیتی کشور هم با کمبود نیروی متخصص روبه‌رو هستند، اما مشکل عمیق‌تر از کمبود نیرو، ساختار نظارتی حاکم بر این بازار است. نهادهای ناظر و تنظیم‌گر، به‌جای تسهیل شکل‌گیری اپراتورهای امنیتی بزرگ، با موانعی مانند صدور مجوز عملاً از تمرکز ظرفیت در چند بازیگر توانمند جلوگیری می‌کنند. الگوی مطلوب این است که سازمان‌های حیاتی مانند بانک‌ها، امنیت را به‌عنوان یک سرویس از یک اپراتور بزرگ و مسئول بخرند و آن اپراتور، شرکت‌های کوچک‌تر و تخصصی‌تر را زیر چتر خود سازمان‌دهی کند. اما رویه فعلی مجوزدهی، مسیر معکوس را تقویت می‌کند؛  شرکت‌های کوچک به‌جای همکاری زیرمجموعه یک اپراتور بزرگ، در جایگاه رقیب پراکنده آن قرار می‌گیرند و در نتیجه، نه تجمیع دانش رخ می‌دهد و نه مقیاسی که بتواند در برابر تهدیدات پیچیده و مستمر (APT) ایستادگی کند، شکل می‌گیرد.

راه پیش رو: اپراتور امنیتی به‌علاوه اعتماد صفر
اصلاح این وضعیت دو رکن اصلی نیاز دارد:
رکن اول، اجرای درست مدل اپراتور امنیتی: این یعنی تفکیک شفاف نقش رگولاتور از نقش مجری، مجوزدهی به چند اپراتور بزرگ و مسئول به‌جای انبوهی از بازیگران خرد، و الزام بانک‌ها به خرید انحصاری (اشتراک) خدمات و محصولات امنیتی، پایش و پاسخ به رخدادهای امنیتی از این اپراتورها به‌جای تکیه بر واحدهای داخلی کم‌نفر و کم‌بودجه.
رکن دوم، پیاده‌سازی واقعی معماری اعتماد صفر :(Zero Trust) نه به‌عنوان یک شعار، بلکه با استقرار ابزارهای مشخص:
• IAM (مدیریت هویت و دسترسی) و PAM (مدیریت دسترسی ممتاز): کنترل دقیق اینکه چه کسی، با چه سطح مجوزی و برای چه مدتی به سامانه‌های حساس دسترسی دارد؛ حذف حساب‌های اشتراکی و دسترسی‌های دائمی مدیران فنی پیمانکاران.
• DLP  (پیشگیری از نشت داده): پایش و کنترل خروج داده‌های حساس مشتریان از مرزهای سازمانی، به‌ویژه در تعامل با پیمانکاران بیرونی.
• ریز- بخش‌بندی شبکه:تفکیک شبکه‌های چند بانکی که روی یک مرکز داده مشترک قرار دارند، به‌گونه‌ای که نفوذ به یک بخش، مسیر مستقیمی به بخش‌های دیگر نداشته باشد.
• SIEM/SOAR  و مرکز عملیات امنیت مشترک: تجمیع رخدادها در یک اپراتور بزرگ به‌جای پراکندگی در واحدهای کوچک ناهماهنگ، برای تشخیص سریع‌تر الگوهای حمله در سطح کل شبکه بانکی.
• MFA  مقاوم و مدیریت رمزهای دسترسی سیستمی: به‌ویژه برای واسط‌های بین‌بانکی و ارتباط با پیمانکاران، جایی که نقطه ورود بسیاری از حملات گزارش‌شده بوده است.
• برنامه تداوم کسب‌وکار مبتنی بر عدم تمرکز زیرساختی:  به‌جای تمرکز چند بانک در یک مرکز داده، طراحی مراکز داده جایگزین و مستقل که در صورت وقوع حادثه در یکی، بانک دیگر را با خود پایین نکشد.

جمع‌بندی
مشکل اصلی شبکه بانکی ایران، صرفاً «حمله سایبری» نیست؛ معماری‌ای است که ریسک را در سه لایه  سامانه، محصول و زیرساخت فیزیکی متمرکز کرده، آن را با تعارض منافع نظارتی تشدید کرده و آن را روی بستری از فرار نیروی متخصص و مانع‌تراشی نهادی در برابر رشد بازیگران بزرگ امنیتی سوار کرده است. تا زمانی که این تمرکز سه‌گانه اصلاح نشود و بازار خدمات امنیتی اجازه شکل‌گیری اپراتورهای بزرگ و مسئول را نیابد، هر رویداد امنیتی هرچند کوچک همچنان توان تبدیل‌شدن به یک بحران ملی را خواهد داشت.

انتهای پیام

تازه ها