بانکها هک شدند یا اعتماد مردم؟/ پشتپرده بحران تازه در شبکه بانکی ایران اختلال اخیر چند بانک بزرگ فقط یک حادثه فنی نیست؛ نشانهای از یک ضعف عمیقتر است: وابستگی خطرناک، بازیابی نامطمئن و نبود تابآوری عملیاتی در زیرساخت مالی کشور. برای میلیونها نفر، بحران از یک لحظه ساده شروع شد: کارت کشیده شد، اما تراکنش انجام نشد. نه در فروشگاه. نه در خودپرداز. نه در اپلیکیشن. نه در برخی خدمات کارتمحور. در نگاه اول، این فقط یک «اختلال بانکی» است؛ عبارتی تکراری، خشک و اداری که در اطلاعیهها زیاد دیدهایم. اما این بار ماجرا کمی متفاوت است. وقتی چند بانک بزرگ همزمان دچار اختلال میشوند، وقتی مشکل به خدمات کارت، خودپرداز، پایانه فروش و اپلیکیشنهای موبایلی میرسد، وقتی یکبار اعلام میشود بخش زیادی از مشکل برطرف شده اما گزارشهای مردمی همچنان از ادامه اختلال خبر میدهند، دیگر با یک قطعی معمولی طرف نیستیم. اینجا مسئله فقط فناوری نیست.مسئله اعتماد عمومی است.و سؤال اصلی این است: چرا شبکه بانکی کشوری که سالهاست برای امنیت، مرکز داده، تجهیزات، سامانههای نظارتی و زیرساختهای فناوری هزینه میکند، هنوز در برابر یک اختلال سایبری میتواند اینقدر آسیبپذیر ظاهر شود؟ وقتی چند بانک با هم میافتند، دنبال یک نقطه مشترک بگردیددر امنیت سایبری، همزمانی همیشه مهم است. اگر یک بانک دچار اختلال شود، میتوان از خطای داخلی، نقص نرمافزاری، حمله محدود یا مشکل عملیاتی سخن گفت. اما وقتی چند بانک بزرگ، با الگوی مشابه، در یک بازه زمانی نزدیک، درگیر اختلال میشوند، ذهن فنی بهسرعت به سمت یک مفهوم میرود: نقطه مشترک. این نقطه مشترک میتواند یک سرویسدهنده، یک سامانه ارتباطی، یک سوئیچ، یک بستر کارتمحور، یک مسیر پردازشی، یک شرکت فناوری، یک زنجیره تأمین یا حتی یک مدل مشابه از معماری امنیتی باشد. در ظاهر، هر بانک نام، شعبه، مدیرعامل، برند و مشتریان خودش را دارد. اما در پشت صحنه بانکداری دیجیتال، بسیاری از سرویسها روی مسیرهای مشترک حرکت میکنند. پرداخت، کارت، شتاب، شاپرک، ارتباطات بینبانکی، مراکز داده، پیمانکاران نرمافزاری، سامانههای احراز هویت و ابزارهای پشتیبانی میتوانند بانکهای مختلف را به هم متصل کنند. همین اتصالهاست که بانکداری مدرن را سریع میکند.اما اگر درست مدیریت نشود، همین اتصالها بحران را چند برابر میکند.در چنین وضعیتی، حمله به یک بانک نیست.حمله به یک گره است.و اگر آن گره درست ایزوله نشده باشد، اختلال از یک نقطه شروع میشود و به چند بانک سرایت میکند. «اطلاعات مردم امن است»؛ اما چرا سرویس برنمیگردد؟ در بحرانهای بانکی، معمولاً نخستین جمله رسمی این است: اطلاعات مشتریان نشت نکرده و موجودی حسابها محفوظ است. این جمله مهم است، اما کافی نیست. چون مردم سؤال دیگری دارند:اگر اطلاعات سالم است، چرا کارت من کار نمیکند؟اگر پول از بین نرفته، چرا نمیتوانم برداشت کنم؟اگر مشکل محدود است، چرا چند روز طول میکشد؟اگر اختلال رفع شده، چرا دوباره گزارش مشکل میآید؟پاسخ فنی این است: سالم بودن دادهها الزاماً به معنای آماده بودن سرویس نیست. ممکن است پایگاه داده اصلی بانک سالم باشد، اما لایه کارت، احراز هویت، سوئیچ، مسیر ارتباطی، سامانه مانیتورینگ، حسابهای مدیریتی، کلیدهای امنیتی یا زیرساخت پشتیبانی دچار مشکل شده باشد. ممکن است اطلاعات مشتریان سرقت نشده باشد، اما تیم فنی هنوز نداند کدام بخش شبکه قابل اعتماد است. این نقطه بسیار مهم است. در یک حمله سایبری جدی، بزرگترین مشکل همیشه پاک کردن بدافزار نیست. بزرگترین مشکل، بازسازی اعتماد درون شبکه است.اعتماد به سرورها.اعتماد به حسابهای مدیر سیستم.اعتماد به بکاپها. اعتماد به مسیرهای ارتباطی.اعتماد به کلیدها و گواهیها.اعتماد به پیمانکار.اعتماد به ابزارهایی که خودشان قرار بوده حمله را تشخیص دهند.وقتی این اعتماد از بین میرود، تعویض سختافزار هم معجزه نمیکند. چون مسئله در بسیاری از موارد «آهن» نیست؛ مسئله «هویت، دسترسی، پیکربندی، زنجیره ارتباطی و اعتماد» است. چرا گاهی تعویض سختافزار هم مشکل را حل نمیکند؟ این پرسش برای افکار عمومی عجیب است:اگر سرورها خراب شدهاند، چرا عوضشان نمیکنند؟اگر دستگاه آلوده است، چرا تجهیزات جدید نمیگذارند؟اگر شبکه مشکل دارد، چرا از نو راهاندازی نمیشود؟ اما در حملات سایبری مدرن، مهاجم معمولاً فقط یک دستگاه را هدف نمیگیرد. مهاجم تلاش میکند به لایههای مدیریتی برسد؛ همانجایی که میتواند شبکه را کنترل کند.اگر حسابهای مدیریتی آلوده یا سرقت شده باشند، سرور جدید هم میتواند دوباره آلوده شود.اگر دامنه داخلی و Active Directory دچار نفوذ شده باشد، سختافزار تازه هم زیر همان ساختار آلوده بالا میآید.اگر بکاپها سالم به نظر برسند اما قبلاً دستکاری شده باشند، بازیابی از آنها یعنی بازگرداندن مشکل.اگر کلیدها و گواهیها لو رفته باشند، ارتباط جدید هم میتواند ناامن باشد.اگر مسیر اتصال بانک و سرویسدهنده مشترک امنسازی نشده باشد، سرویس برگشته دوباره هدف قرار میگیرد. به همین دلیل است که تیمهای حرفهای در چنین شرایطی گاهی کند عمل میکنند؛ نه از سر ناتوانی، بلکه به این دلیل که بازگرداندن عجولانه سرویس میتواند حمله را دوباره فعال کند.اما این توضیح فنی یک شرط دارد: باید شفاف و حرفهای به مردم گفته شود چه نوع سرویسی مختل است، چه چیزهایی امن است، چه چیزهایی در حال بررسی است، مردم چه کار کنند، پذیرندگان چه کنند و بهروزرسانی بعدی چه زمانی منتشر میشود. اطلاعیه مبهم، اعتماد نمیسازد. اطلاعیه دقیق، حتی در بحران، اعتماد را حفظ میکند. احتمالاً با چه نوع بحرانی طرف هستیم؟ هیچ تحلیلگر مستقلی بیرون از تیمهای درگیر نمیتواند با قطعیت بگوید ریشه دقیق این حمله چه بوده است. اما از روی نشانههای منتشرشده، چند احتمال مهم قابل بررسی است. نخست، حمله یا اختلال در لایه خدمات کارتمحور. این همان لایهای است که م
الف
الفالف