باگ نرم‌افزارهای بانکی چیست؟

فرهیختگان: در چند روز اخیر خبری در فضای رسانه‌ای به نقل از پلتیکو منتشر شد که در آن ادعا شده بود: «درپی یک حمله سایبری توسط گروه هکری با عنوان  «آی‌آر‌لیکس» در ماه گذشته اطلاعات 20 بانک ایرانی به سرقت رفته و شرکت «توسن» به‌عنوان تامین‌کننده خدمات الکترونیکی برای بانک‌های ایران ناچار به پرداخت باجی 3 میلیون دلاری به هکرها شد تا از انتشار داده‌ها و اطلاعات حساب میلیون‌ها ایرانی جلو‌گیری کند.»

اگر‌چه هنوز هیچ واکنش رسمی به این خبر بروز داده نشده اما در صورت صحت اتفاق رخ‌داده یک شکست بزرگ امنیتی رخ داده که به راحتی نمی‌توان از کنار آن عبور کرد. به‌ویژه که در چند ماه اخیر حملات هکری متعددی علیه نهادهای دولتی و غیر‌دولتی رخ داده و در مواردی نیز اطلاعات بزرگی از کشور به سرقت رفته است.

برای بررسی ابعاد حمله هکری احتمالی با پوریا آسترکی، کارشناس حوزه امنیت سایبری به گفت‌وگو پرداخته‌ایم. آسترکی این اتفاق را نتیجه وجود انحصار در طراحی نرم‌افزارهای بانکی دانسته و در این‌باره معتقد است: «کل سیستم بانکی دست چهار یا پنج شرکتی است که حول و‌حوش بانک مرکزی قرار دارند و با استفاده از انحصاری که در اختیار بانک مرکزی بوده رشد کرده‌اند؛ بعد هم به یکباره کل دیتای کشور از دست آنها خارج شده است. داشتن این نظام پرداخت فرصت‌های اقتصادی و تجاری زیادی را از بخش خصوصی گرفته است.»

مشروح گفت‌وگو با آسترکی را در ادامه می‌خوانید.

درحالی‌که چند هفته‌ای است گزاره‌هایی در‌مورد هک بانک‌های ایرانی دست‌به‌دست می‌شود و نشریه پلتیکو نیز مفصلا به آن پرداخته، هنوز هیچ مقام رسمی در رد یا تایید این خبر اظهارنظر نکرده است. این سکوت باعث می‌شود تا درصورت شیطنت رسانه‌های غربی روایت‌های جعلی آنها غالب شود. درصورت صحت اتفاقی با چنین ابعاد امنیتی اتفاقا مقامات ایرانی خودشان باید خط روایت را در دست گرفته و مانع از آن شوند که یک شکست امنیتی تبدیل به یک شکست رسانه‌ای شود. سکوت در فضای رسانه‌ای نه‌تنها جلوی ایجاد التهاب را نمی‌گیرد، بلکه دست رسانه‌های معاند را برای روایت‌سازی و دامن زدن به نگرانی و التهابات اجتماعی بازتر می‌کند. هدفی که اهمیتش برای شبکه امنیتی و دولتی حامی ‌آی‌آر‌لیکس‌ کمتر از اهمیت شکست امنیتی ایران نیست.

بی‌توجهی به اقناع افکار عمومی در مواقع بحران باعث می‌شود تا طرف مقابل این امکان را داشته باشد که حتی از شکست خود نیز تصویری پیروز ساخته و از آن برای تحقیر توان امنیتی ایران حداکثر استفاده را ببرد. برای جلوگیری از این اقدام حداقلی‌ترین کار ورود فعالانه به ماجرا و ارائه روایت منطقی از آن است. 

پوریا آسترکی در رابطه با ابعاد حمله گزارش‌شده را این‌گونه تشریح می‌کند: «چند هفته پیش این شایعه پخش شد که نظام بانکی کشور هدف یک حمله سایبری گسترده قرار گرفت ولی نشانه‌ای از اختلال دیده نشد. به نظر می‌آید که خبر پلتیکو اشاره‌ای به همان خبر دو هفته پیش دارد و احتمالا اگر حمله‌ای صورت گرفته در همان مقطع است. این اتفاق در‌مورد اسنپ و تپسی هم رخ داده و همچنین بیمه‌ها که مبلغی پرداخت نکرده و دیتای‌شان افشا شده است. هنوز رسما واکنشی در مقابل این خبر منتشر نشده است. بانک مرکزی که متولی اصلی قضیه است باید واکنش نشان دهد.»

این کارشناس حوزه سایبر در پاسخ به این پرسش که آیا باج دادن به گروه‌های هکری اقدامی عاقلانه محسوب می‌شود یا می‌تواند آنها را به اقدامات بیشتر علیه کشور ترغیب کند،  گفت این باج‌دهی با هدف جلوگیری از یک اتفاق بدتر انجام می‌شود. آسترکی در این‌باره گفت: «البته هنوز هیچ منبع موثقی واکنشی مبنی‌بر رد یا تایید این شایعه بروز نداده است. کسی که دارد برای افشا نشدن دیتاهایش باج می‌دهد دارد از یک اتفاق بدتر‌ پیشگیری می‌کند. گروه‌هایی که در این سطح هک می‌کنند مثل ‌آی‌آر‌لیکس که ادعا می‌شود در اتفاق اخیر دخیل بوده، دیتاهایی که به دست می‌آورند را در اختیار سرویس‌های اطلاعاتی خارجی قرار می‌دهند‌ که اگر پول هم پرداخته شود تضمینی برای عدم انجام این کار وجود ندارد، یعنی آن بخش امنیتی داستان از دست رفته است اما افشای اطلاعات به صورت عمومی که کاربردهای تجاری هک محسوب می‌شوند می‌تواند برای شهروندان و مشتریان بانک‌ها خطرات جدی ایجاد کند.»

آسترکی معتقد است انحصار در نظام پرداخت شرکت‌های خصوصی توانمند در حوزه نرم‌افزار را متضرر کرده و آنها را به حاشیه می‌راند. او در این‌باره توضیح می‌دهد: «در اثر سیاست‌هایی که در کشور ما بوده است، سال‌ها به جای توجه به امنیت روی فیلترینگ سرمایه‌گذاری شده است. به جای ایجاد شبکه‌های مختلف بانکی در نظام پرداختی کشور انحصار آن در اختیار بانک مرکزی قرار داده شده و بانک مرکزی ‌هم کل پروژه‌های فنی مربوطه را در اختیار چند شرکت خصوصی مثل توسن یا شرکت‌های وابسته به خود بانک مرکزی مثل شاپرک قرار داده است.

کل سیستم بانکی دست این چهار یا پنج شرکتی است که در حول‌و‌حوش بانک مرکزی قرار دارند و با استفاده از انحصاری که در اختیار بانک مرکزی بوده رشد کرده‌اند، بعد هم به یکباره کل دیتا کشور از دست آنها خارج شده است. اگر خدای‌نکرده حمله سایبری شود و نظام پرداخت مورد آسیب قرار گیرد تمام سیستم پرداختی می‌خوابد. داشتن این نظام پرداخت فرصت‌های اقتصادی و تجاری زیادی را از بخش خصوصی گرفته است. یعنی این ضرری برای بخش خصوصی است. یک سیاستگذاری اشتباه که این انحصار را ایجاد کرده است باعث می‌شود که انواع و اقسام مشکلات امنیتی پیش بیاید؛ در شرایطی که خودش هم یک پدیده ضد‌اقتصادی و مخرب است.»

متن کامل گزارش علی مزروعی، خبرنگار گروه نقد روز را در روزنامه فرهیختگان بخوانید.