چند سالی است که حملات سایبری دیگر یک تهدید فرضی نیستند. تقریباً هر هفته خبری از حمله به یک سازمان، شرکت یا زیرساخت حیاتی در گوشهای از دنیا منتشر میشود. در این میان، بانکها به دلیل حساسیت اطلاعات و حجم بالای مبادلات مالی، همیشه یکی از مهمترین اهداف مهاجمان سایبری بودهاند.
متأسفانه در کشور ما نیز طی یک سال گذشته چندین بار شاهد حملات سایبری به شبکه بانکی بودهایم؛ حملاتی که در برخی موارد باعث شد خدمات تعدادی از بانکها برای ساعتها و حتی چند روز با اختلال روبهرو شود. از کار افتادن همراهبانک، اختلال در خدمات اینترنتی، مشکلات کارتهای بانکی و محدود شدن خدمات پرداخت، تنها بخشی از مشکلاتی بود که مردم در این مدت تجربه کردند.
شاید برخی تصور کنند چنین اتفاقاتی طبیعی است و در همه جای دنیا رخ میدهد. این حرف تا حدودی درست است؛ هیچ کشوری نمیتواند ادعا کند که صددرصد در برابر حملات سایبری مصون است. اما تفاوت کشورها در نحوه آمادگی آنها برای مقابله با این تهدیدهاست. در بسیاری از کشورها اگر حملهای هم رخ دهد، به دلیل وجود زیرساختهای پشتیبان و برنامههای از پیش طراحیشده، خدمات در مدت کوتاهی به حالت عادی بازمیگردد و مردم کمتر متوجه اختلال میشوند. اما وقتی یک حمله سایبری بتواند برای چند روز بخشی از خدمات بانکی را مختل کند، این موضوع زنگ خطری است که نباید به سادگی از کنار آن عبور کرد.
واقعیت این است که تکرار این اتفاقات نشان میدهد امنیت سایبری هنوز در اولویت نخست برخی بانکها قرار ندارد. اگرچه مدیران بانکی پس از هر حادثه از تلاش شبانهروزی کارشناسان برای بازگرداندن خدمات سخن میگویند، اما سؤال اصلی اینجاست که چه اقداماتی برای جلوگیری از وقوع چنین حملاتی انجام شده است؟ اگر یک حادثه یکبار رخ دهد، میتوان آن را ناشی از پیچیدگی حمله دانست؛ اما وقتی اختلالهای مشابه بارها تکرار میشود، دیگر نمیتوان همه مسئولیت را به گردن هکرها انداخت.
در این میان، نقش بانک مرکزی بسیار مهمتر از آن چیزی است که امروز شاهد آن هستیم. بانک مرکزی تنها مسئول سیاستهای پولی و نظارت مالی نیست؛ این نهاد باید امنیت سایبری بانکها را نیز بعنوان بخشی از سلامت نظام بانکی دنبال کند. همانطور که بانکها ملزم به رعایت نسبتهای مالی، کفایت سرمایه و استانداردهای حسابداری هستند، باید رعایت استانداردهای امنیت سایبری نیز برای آنها الزامی باشد.
بانک مرکزی میتواند بانکها را موظف کند که به صورت دورهای تحت آزمونهای نفوذ، ممیزی امنیتی و ارزیابی مستقل قرار گیرند. همچنین لازم است رزمایشهای مشترک سایبری برگزار شود تا میزان آمادگی بانکها در برابر حملات واقعی سنجیده شود. چنین اقداماتی سالهاست در بسیاری از کشورهای پیشرفته انجام میشود و بخشی از فرآیند عادی نظارت بر بانکها به شمار میرود.
نکته دیگری که معمولاً کمتر به آن توجه میشود، نقش نیروی انسانی است. تصور رایج این است که امنیت سایبری فقط به خرید تجهیزات یا نصب نرمافزارهای امنیتی وابسته است، در حالی که تجربه نشان داده بخش قابل توجهی از حملات موفق، از یک اشتباه ساده انسانی آغاز میشود؛ یک رمز عبور ضعیف، باز کردن یک فایل آلوده، بیتوجهی به هشدارهای امنیتی یا دسترسیهایی که نباید در اختیار افراد قرار میگرفت.
به همین دلیل، آموزش کارکنان بانکها نباید به چند دوره آموزشی محدود شود. مدیران، کارشناسان فناوری اطلاعات، برنامهنویسان، مهندسان شبکه و حتی کارکنانی که به اطلاعات حساس دسترسی دارند، باید بطور مستمر آموزش ببینند و با شیوههای جدید حملات سایبری آشنا شوند. امنیت، موضوعی نیست که یک بار برای همیشه تأمین شود؛ فرآیندی است که باید هر روز بهروزرسانی شود.
بانکهای بزرگ دنیا سالهاست مراکز عملیات امنیت (SOC) را به صورت ۲۴ ساعته فعال نگه داشتهاند. آنها حملات را شبیهسازی میکنند، از معماری «اعتماد صفر» استفاده میکنند، احراز هویت چندمرحلهای را برای دسترسی به سامانههای حساس الزامی کردهاند و به طور مداوم سامانههای خود را از سوی شرکتهای مستقل مورد ارزیابی قرار میدهند. در کنار این اقدامات، داشتن مراکز داده پشتیبان و برنامههای بازیابی سریع باعث میشود حتی اگر حملهای هم رخ دهد، خدمات حیاتی برای مدت طولانی متوقف نشود.
امروز وابستگی مردم به خدمات بانکی بیش از هر زمان دیگری است. بسیاری از شهروندان حتی پول نقد همراه ندارند و تمام خریدهای روزانه خود را با کارت یا تلفن همراه انجام میدهند. حال تصور کنید در چنین شرایطی خدمات بانکی برای چند روز از دسترس خارج شود؛ از خرید مایحتاج روزانه گرفته تا پرداخت هزینه درمان، دریافت حقوق، فعالیت واحدهای تولیدی و حتی کسبوکارهای کوچک، همه تحت تأثیر قرار خواهند گرفت. بنابراین، امنیت سایبری بانکها فقط مسئله بانکها نیست؛ مسئله زندگی روزمره مردم است.
اکنون زمان آن رسیده است که بانک مرکزی با نگاهی جدیتر وارد این حوزه شود و یک چارچوب جامع امنیت سایبری برای کل شبکه بانکی تدوین کند؛ چارچوبی که اجرای آن برای همه بانکها الزامی باشد، به صورت مستمر ارزیابی شود و در صورت بیتوجهی، ضمانت اجرایی مشخصی داشته باشد. امنیت سایبری نباید تا زمان وقوع بحران مورد توجه قرار گیرد؛ باید پیش از بحران برای آن سرمایهگذاری کرد.
اعتماد مردم به نظام بانکی به آسانی به دست نمیآید، اما ممکن است با چند اختلال گسترده به شدت آسیب ببیند. اگر امروز برای تقویت امنیت سایبری بانکها تصمیم جدی گرفته نشود، ممکن است فردا هزینهای بسیار سنگینتر از آنچه امروز برای پیشگیری لازم است، به اقتصاد کشور و زندگی مردم تحمیل شود.
سید رضا نبوی، دکتری تخصصی مهندسی کامپیوتر و مدرس دانشگاه*
انتهای یادداشت/
نظر شما