aparatx logoinstagramtelegramyoutubeyoutubeeitaarubika
شنبه ۰۳ آذر ۱۴۰۳ | 23 Nov 2024
قاف
خبر مهممخالفت رهبر انقلاب با درخواست اصلاح قانون مشاغل حساس
خبر مهممخالفت رهبر انقلاب با درخواست اصلاح قانون مشاغل حساس
روزنامه
ورزشی
دانشگاه
شماره ۴۲۲۲ | صفحه ۷ | نقد روز دانلود این صفحه
ابعاد ماجرای هک سامانه‌های 20 بانک ایرانی در گفت‌وگو با پوریا آسترکی، کارشناس امنیت سایبری
انحصار در شبکه پرداخت مهم‌ترین علت آسیب‌پذیری نرم‌افزارهای بانکی است

علی مزروعی، خبرنگار گروه نقد روز: در چند روز اخیر خبری در فضای رسانه‌ای به نقل از پلتیکو منتشر شد که در آن ادعا شده بود: «درپی یک حمله سایبری توسط گروه هکری با عنوان  «آی‌آر‌لیکس» در ماه گذشته اطلاعات 20 بانک ایرانی به سرقت رفته و شرکت «توسن» به‌عنوان تامین‌کننده خدمات الکترونیکی برای بانک‌های ایران ناچار به پرداخت باجی 3 میلیون دلاری به هکرها شد تا از انتشار داده‌ها و اطلاعات حساب میلیون‌ها ایرانی جلو‌گیری کند.» اگر‌چه هنوز هیچ واکنش رسمی به این خبر بروز داده نشده اما در صورت صحت اتفاق رخ‌داده یک شکست بزرگ امنیتی رخ داده که به راحتی نمی‌توان از کنار آن عبور کرد. به‌ویژه که در چند ماه اخیر حملات هکری متعددی علیه نهادهای دولتی و غیر‌دولتی رخ داده و در مواردی نیز اطلاعات بزرگی از کشور به سرقت رفته است. برای بررسی ابعاد حمله هکری احتمالی با پوریا آسترکی، کارشناس حوزه امنیت سایبری به گفت‌وگو پرداخته‌ایم. آسترکی این اتفاق را نتیجه وجود انحصار در طراحی نرم‌افزارهای بانکی دانسته و در این‌باره معتقد است: «کل سیستم بانکی دست چهار یا پنج شرکتی است که حول و‌حوش بانک مرکزی قرار دارند و با استفاده از انحصاری که در اختیار بانک مرکزی بوده رشد کرده‌اند؛ بعد هم به یکباره کل دیتای کشور از دست آنها خارج شده است. داشتن این نظام پرداخت فرصت‌های اقتصادی و تجاری زیادی را از بخش خصوصی گرفته است.» مشروح گفت‌وگو با آسترکی را در ادامه می‌خوانید. 

دستگاه‌های امنیتی خارجی پشت‌پرده اقدامات «آی‌آر‌لیکس»
آسترکی با توجه به برخی نشانه‌ها احتمال حمایت شدن گروه «آی‌آر‌لیکس» توسط دستگاه‌های امنیتی وابسته به دولت‌های خارجی را مطرح کرده و می‌گوید: «گروه ‌آی‌آر‌لیکس‌ به‌طور تخصصی مجموعه‌هایی را در ایران هدف قرار می‌دهند که در آنها بیگ دیتا تولید می‌شود. این هک‌های مکرر نمی‌تواند صرفا کار گروهی باشد که علاقه‌مند به هک کردن هستند و‌ پول می‌گیرند. حتما مشوق‌های امنیتی و‌ سیاسی در پشت‌صحنه وجود دارد. هرچقدر هم که شبکه اطلاعاتی ما ایرادات زیادی داشته باشد این از توان یک گروه هکری خارج است که بتواند کل کشور را هک کند. مدل‌های هک آنها هم تنوع دارد؛ مثلا هک پمپ‌بنزین‌ها متد و رویکرد متفاوتی داشت با هک بانک‌ها و این هم باز متفاوت بود با هک اسنپ و تپسی و شرکت‌های بیمه‌ای؛ یعنی اینها احتمالا یک مجموعه هم نیستند، بلکه چند تیم هستند که در انواع حملات سایبری تخصص دارند و اقدامات‌شان تحت یک عنوان رسانه‌ای می‌شود. این امر نیز شائبه حمایت‌های امنیتی و‌ دولتی از آنها را تقویت می‌کند.»

خط روایت باید دست ما باشد
درحالی‌که چند هفته‌ای است گزاره‌هایی در‌مورد هک بانک‌های ایرانی دست‌به‌دست می‌شود و نشریه پلتیکو نیز مفصلا به آن پرداخته، هنوز هیچ مقام رسمی در رد یا تایید این خبر اظهارنظر نکرده است. این سکوت باعث می‌شود تا درصورت شیطنت رسانه‌های غربی روایت‌های جعلی آنها غالب شود. درصورت صحت اتفاقی با چنین ابعاد امنیتی اتفاقا مقامات ایرانی خودشان باید خط روایت را در دست گرفته و مانع از آن شوند که یک شکست امنیتی تبدیل به یک شکست رسانه‌ای شود. سکوت در فضای رسانه‌ای نه‌تنها جلوی ایجاد التهاب را نمی‌گیرد، بلکه دست رسانه‌های معاند را برای روایت‌سازی و دامن زدن به نگرانی و التهابات اجتماعی بازتر می‌کند. هدفی که اهمیتش برای شبکه امنیتی و دولتی حامی ‌آی‌آر‌لیکس‌ کمتر از اهمیت شکست امنیتی ایران نیست. بی‌توجهی به اقناع افکار عمومی در مواقع بحران باعث می‌شود تا طرف مقابل این امکان را داشته باشد که حتی از شکست خود نیز تصویری پیروز ساخته و از آن برای تحقیر توان امنیتی ایران حداکثر استفاده را ببرد. برای جلوگیری از این اقدام حداقلی‌ترین کار ورود فعالانه به ماجرا و ارائه روایت منطقی از آن است. 

انحصار در نرم‌افزار‌های بانکی در مواقع بحران کل شبکه را در معرض خطر قرار می‌دهد
پوریا آسترکی در ابتدا ابعاد حمله گزارش‌شده را این‌گونه تشریح می‌کند: «چند هفته پیش این شایعه پخش شد که نظام بانکی کشور هدف یک حمله سایبری گسترده قرار گرفت ولی نشانه‌ای از اختلال دیده نشد. به نظر می‌آید که خبر پلتیکو اشاره‌ای به همان خبر دو هفته پیش دارد و احتمالا اگر حمله‌ای صورت گرفته در همان مقطع است. این اتفاق در‌مورد اسنپ و تپسی هم رخ داده و همچنین بیمه‌ها که مبلغی پرداخت نکرده و دیتای‌شان افشا شده است. هنوز رسما واکنشی در مقابل این خبر منتشر نشده است. بانک مرکزی که متولی اصلی قضیه است باید واکنش نشان دهد.»
آسترکی دراختیار گرفتن انحصاری زیرساخت‌های پرداختی توسط بانک مرکزی را عاملی دانست که می‌تواند در مواقع خطر بحران‌آفرین باشد. او در این‌باره توضیح داد: «در کشور ما زیرساخت پرداختی به صورت انحصاری در اختیار بانک مرکزی است. برای سایر کشور‌ها لزوما این‌گونه نیست. ما یک سامانه پرداخت کلی به نام شاپرک داریم که به شکل انحصاری در اختیار بانک مرکزی است و یک سری هم سامانه‌های در اختیار بانک‌ها است که همه آنها نیز در یک شبکه یکپارچه با یکدیگر مرتبط هستند. شرکت توسن هم تولید‌کننده همین سامانه‌ها است. ظاهرا فهرست بانک‌های هک‌شده همان بانک‌هایی هستند که سامانه‌شان توسط شرکت توسن طراحی شده است. این شیوه چینش شبکه و نوع نرم‌افزارها و همچنین انحصار بانک مرکزی سال‌ها مورد انتقاد هم بوده است. ترکیب‌بندی نرم‌افزارهای پرداخت و همچنین شبکه یکپارچه سال‌هاست که مورد انتقاد کارشناسان دارای تخصص در حوزه زیرساختی بانکی بوده است. زمانی که همه از یک نرم‌افزار استفاده می‌کنند، همه در یک شبکه قرار دارند و این شبکه فقط یک متولی دارد در چنین مواقعی کل دیتای کشور آسیب می‌بیند و مورد دستبرد قرار می‌گیرد.»

باج‌دهی به هکرها شاید بعد عمومی افشای اطلاعات را خنثی کند اما در بعد امنیتی اثری ندارد
این کارشناس حوزه سایبر در پاسخ به این پرسش که آیا باج دادن به گروه‌های هکری اقدامی عاقلانه محسوب می‌شود یا می‌تواند آنها را به اقدامات بیشتر علیه کشور ترغیب کند،  گفت این باج‌دهی با هدف جلوگیری از یک اتفاق بدتر انجام می‌شود. آسترکی در این‌باره گفت: «البته هنوز هیچ منبع موثقی واکنشی مبنی‌بر رد یا تایید این شایعه بروز نداده است. کسی که دارد برای افشا نشدن دیتاهایش باج می‌دهد دارد از یک اتفاق بدتر‌ پیشگیری می‌کند. گروه‌هایی که در این سطح هک می‌کنند مثل ‌آی‌آر‌لیکس که ادعا می‌شود در اتفاق اخیر دخیل بوده، دیتاهایی که به دست می‌آورند را در اختیار سرویس‌های اطلاعاتی خارجی قرار می‌دهند‌ که اگر پول هم پرداخته شود تضمینی برای عدم انجام این کار وجود ندارد، یعنی آن بخش امنیتی داستان از دست رفته است اما افشای اطلاعات به صورت عمومی که کاربردهای تجاری هک محسوب می‌شوند می‌تواند برای شهروندان و مشتریان بانک‌ها خطرات جدی ایجاد کند.» آسترکی بی‌توجهی به از دست رفتن دیتاهای معمولی را نیز امری غلط توصیف کرد و توضیح داد: «یک فرهنگ اشتباه‌ هم در مردم وجود دارد که می‌گویند آنها اطلاعات خاصی در اسنپ ندارند که افشایش باعث متضررشدن‌شان شود. اما این‌گونه نیست؛ چراکه گروه‌هایی که دست به هک می‌زنند زمانی که دیتای بخش‌های مختلف مثل اسنپ، تپسی، بیمه‌ها و بانک‌ها را دارند از طریق ارتباط دادن این داده‌ها به هم اطلاعات عجیب‌و‌غریب زیادی به دست می‌آورند. این اطلاعات دقیق و گسترده داده‌های‌ خوبی درباره رفتارهای کلان جامعه و همچنین رفتار افراد مهم در اختیار هکرها قرار می‌دهد که می‌تواند امنیت اجتماعی و امنیت افراد مهم جامعه را به خطر بیندازد.»

انحصار در شبکه پرداخت بخش خصوصی را متضرر می‌کند
آسترکی معتقد است انحصار در نظام پرداخت شرکت‌های خصوصی توانمند در حوزه نرم‌افزار را متضرر کرده و آنها را به حاشیه می‌راند. او در این‌باره توضیح می‌دهد: «در اثر سیاست‌هایی که در کشور ما بوده است، سال‌ها به جای توجه به امنیت روی فیلترینگ سرمایه‌گذاری شده است. به جای ایجاد شبکه‌های مختلف بانکی در نظام پرداختی کشور انحصار آن در اختیار بانک مرکزی قرار داده شده و بانک مرکزی ‌هم کل پروژه‌های فنی مربوطه را در اختیار چند شرکت خصوصی مثل توسن یا شرکت‌های وابسته به خود بانک مرکزی مثل شاپرک قرار داده است. کل سیستم بانکی دست این چهار یا پنج شرکتی است که در حول‌و‌حوش بانک مرکزی قرار دارند و با استفاده از انحصاری که در اختیار بانک مرکزی بوده رشد کرده‌اند، بعد هم به یکباره کل دیتا کشور از دست آنها خارج شده است. اگر خدای‌نکرده حمله سایبری شود و نظام پرداخت مورد آسیب قرار گیرد تمام سیستم پرداختی می‌خوابد. داشتن این نظام پرداخت فرصت‌های اقتصادی و تجاری زیادی را از بخش خصوصی گرفته است. یعنی این ضرری برای بخش خصوصی است. یک سیاستگذاری اشتباه که این انحصار را ایجاد کرده است باعث می‌شود که انواع و اقسام مشکلات امنیتی پیش بیاید؛ در شرایطی که خودش هم یک پدیده ضد‌اقتصادی و مخرب است.»

استفاده از روش‌های آپدیت‌نشده و غیرقانونی؛ آفت نظام پرداختی ایران
این کارشناس حوزه سایبر مهم‌ترین اقدامات برای جلوگیری از تکرار حملات مشابه را استفاده از نرم‌افزارهای به‌روز جهانی دانسته و نیز در‌مورد نقش تحریم‌ها در این حملات می‌گوید: «اینها از ماژول‌های جهانی استفاده می‌کنند؛ هم در بحث سخت‌افزار، هم شبکه و‌ هم نرم‌افزار. در بسیاری از مواقع از نرم‌افزار و دستوری استفاده می‌شود که به دلیل تحریم‌ها در ایران آپدیت نمی‌شود. لایسنس نرم‌افزار قانونی نیست. همه اینها روی هم تعداد زیادی حفره و نقاط خطر در سامانه‌ها به وجود می‌آورد. این را باید نشست و فکری برایشان کرد و از اول چیزی را ساخت و آورد بالا. من در اخباری که مرور می‌کنم نشنیده‌ام که در هیچ‌جای دنیا سامانه‌های دولتی به اندازه ایران هک شوند. مثلا من خاطرم هست که چند سال پیش بخشی از شبکه ما نرم‌افزارهای سیسکو خود را آپدیت نکرده بودند و درنتیجه شبکه ما به‌یکباره دچار اختلال شد. این اتفاق در ایران مکررا و زیاد رخ می‌دهد، علتش هم این است که یک نظام یکپارچه به دلیل تحریم‌ها شکل نگرفته که بتواند کل شبکه، نرم‌افزارها و سخت‌افزارها را به‌لحاظ امنیتی از همان ابتدا ممیزی کند. صرفا روی محصولات نهایی مباحث امنیتی چک می‌شود، درحالی که نقاط ورود صرفا در محصول نهایی نیست؛ ممکن است یک سوئیچ در یک شبکه باشد که محل آسیب زدن قرار گیرد و آن سوئیچ هم به‌طور غیرقانونی در ایران مورد استفاده قرار گرفته شده، به همین دلیل نیز آپدیت‌‌نشده و بسته‌های امنیتی به‌روز روی آن نصب نشده است. هرچقدر هم محصول نرم‌افزاری که شرکت توسن درست کرده محصول امنی باشد آن سوئیچ باعث می‌شود کل شبکه لو برود.»
آسترکی ورود شرکت‌های خصوصی نرم‌افزاری را در رفع این معضل موثر دانسته و معتقد است: «ما هم به یک تفکر امنیتی جدید در ساخت نرم‌افزارهای حاکمیتی نیاز داریم و هم اینکه باید انحصار از دست بانک مرکزی و شرکت‌های اطرافش خارج شود تا بخش خصوصی هم بتواند نظام پرداختی و زیرساخت بانکی ایجاد کند. تا زمانی که این اتفاق نیفتد ما این آسیب‌پذیری‌ها را داریم. ورود بخش خصوصی و شرکت‌های نوآفرین به این حوزه می‌تواند خیلی از تجارب را تازه کند. سه تا چهار دهه است که نرم‌افزارهای بانکی ما دارد روی هم Develop می‌شود و‌ گسترش می‌یابد. بعضا ماژولی امروز استفاده می‌شود که دهه ۷۰ نوشته شده است. اینها خودش برای کشور خطر محسوب می‌شود.»

سیاست امنیتی حاکم بر فضای نرم‌افزار نباید صرفا فرد‌محور باشد
آسترکی در پایان مهم‌ترین آسیب نظام امنیتی حاکم بر فضای تولید نرم‌افزار را تمرکز آن بر افراد و کم‌توجهی به مجموعه‌های بزرگ دانسته و این آسیب را این‌گونه مورد نقد قرار می‌دهد: «نظام امنیتی در کشور بر فضای تولید نرم‌افزار حاکم است که به نظر می‌رسد بیشتر روی افراد تمرکز دارد. مثلا ما در کشور مرکزی داریم که کارش نظارت امنیتی روی همین نرم‌افزارهای حساس است. اگر فردی نرم‌افزاری بسازد و بخواهد مجوز بگیرد خیلی بررسی‌ها روی آن فرد می‌شود؛ حال آنکه سامانه‌های پیچیده از ماژول‌های مختلف سخت‌افزاری و نرم‌افزاری استفاده می‌کنند و این‌گونه نیست که یک نرم‌افزار بانکی توسط یک تیم از ابتدا تا انتها نوشته شود. لذا باید روی آنها هم یک ممیزی اتفاق بیفتد تا کل آن سامانه و شبکه امن باشد. اینکه بگوییم در یک شرکت نرم‌افزاری پنج متخصص امنیت حضور دارند پس نتیجه بگیریم که محصول خروجی ایمن است روش درستی نیست. تا‌به‌حال این‌گونه کار درست پیش نرفته و‌ می‌بینیم که به‌طور مکرر هک سامانه‌های دولتی و ‌خصوصی بزرگ دارد اتفاق می‌افتد. این نشان می‌دهد که سیاستگذاری امنیتی اشتباه بوده است.»

95 بانک ملیی
بانک صادرات
بانک ملی وام ملی
وام قرض الحسنه
مهربانی ملی2
ویژه نامه عبور بحران از دانشگاه
ویژه نامه راه تمام شده
گفت و گوهای فرهیختگان
ویژه نامه کدام هاشمی؟