علی مزروعی، خبرنگار گروه نقد روز: در چند روز اخیر خبری در فضای رسانهای به نقل از پلتیکو منتشر شد که در آن ادعا شده بود: «درپی یک حمله سایبری توسط گروه هکری با عنوان «آیآرلیکس» در ماه گذشته اطلاعات 20 بانک ایرانی به سرقت رفته و شرکت «توسن» بهعنوان تامینکننده خدمات الکترونیکی برای بانکهای ایران ناچار به پرداخت باجی 3 میلیون دلاری به هکرها شد تا از انتشار دادهها و اطلاعات حساب میلیونها ایرانی جلوگیری کند.» اگرچه هنوز هیچ واکنش رسمی به این خبر بروز داده نشده اما در صورت صحت اتفاق رخداده یک شکست بزرگ امنیتی رخ داده که به راحتی نمیتوان از کنار آن عبور کرد. بهویژه که در چند ماه اخیر حملات هکری متعددی علیه نهادهای دولتی و غیردولتی رخ داده و در مواردی نیز اطلاعات بزرگی از کشور به سرقت رفته است. برای بررسی ابعاد حمله هکری احتمالی با پوریا آسترکی، کارشناس حوزه امنیت سایبری به گفتوگو پرداختهایم. آسترکی این اتفاق را نتیجه وجود انحصار در طراحی نرمافزارهای بانکی دانسته و در اینباره معتقد است: «کل سیستم بانکی دست چهار یا پنج شرکتی است که حول وحوش بانک مرکزی قرار دارند و با استفاده از انحصاری که در اختیار بانک مرکزی بوده رشد کردهاند؛ بعد هم به یکباره کل دیتای کشور از دست آنها خارج شده است. داشتن این نظام پرداخت فرصتهای اقتصادی و تجاری زیادی را از بخش خصوصی گرفته است.» مشروح گفتوگو با آسترکی را در ادامه میخوانید.
دستگاههای امنیتی خارجی پشتپرده اقدامات «آیآرلیکس»
آسترکی با توجه به برخی نشانهها احتمال حمایت شدن گروه «آیآرلیکس» توسط دستگاههای امنیتی وابسته به دولتهای خارجی را مطرح کرده و میگوید: «گروه آیآرلیکس بهطور تخصصی مجموعههایی را در ایران هدف قرار میدهند که در آنها بیگ دیتا تولید میشود. این هکهای مکرر نمیتواند صرفا کار گروهی باشد که علاقهمند به هک کردن هستند و پول میگیرند. حتما مشوقهای امنیتی و سیاسی در پشتصحنه وجود دارد. هرچقدر هم که شبکه اطلاعاتی ما ایرادات زیادی داشته باشد این از توان یک گروه هکری خارج است که بتواند کل کشور را هک کند. مدلهای هک آنها هم تنوع دارد؛ مثلا هک پمپبنزینها متد و رویکرد متفاوتی داشت با هک بانکها و این هم باز متفاوت بود با هک اسنپ و تپسی و شرکتهای بیمهای؛ یعنی اینها احتمالا یک مجموعه هم نیستند، بلکه چند تیم هستند که در انواع حملات سایبری تخصص دارند و اقداماتشان تحت یک عنوان رسانهای میشود. این امر نیز شائبه حمایتهای امنیتی و دولتی از آنها را تقویت میکند.»
خط روایت باید دست ما باشد
درحالیکه چند هفتهای است گزارههایی درمورد هک بانکهای ایرانی دستبهدست میشود و نشریه پلتیکو نیز مفصلا به آن پرداخته، هنوز هیچ مقام رسمی در رد یا تایید این خبر اظهارنظر نکرده است. این سکوت باعث میشود تا درصورت شیطنت رسانههای غربی روایتهای جعلی آنها غالب شود. درصورت صحت اتفاقی با چنین ابعاد امنیتی اتفاقا مقامات ایرانی خودشان باید خط روایت را در دست گرفته و مانع از آن شوند که یک شکست امنیتی تبدیل به یک شکست رسانهای شود. سکوت در فضای رسانهای نهتنها جلوی ایجاد التهاب را نمیگیرد، بلکه دست رسانههای معاند را برای روایتسازی و دامن زدن به نگرانی و التهابات اجتماعی بازتر میکند. هدفی که اهمیتش برای شبکه امنیتی و دولتی حامی آیآرلیکس کمتر از اهمیت شکست امنیتی ایران نیست. بیتوجهی به اقناع افکار عمومی در مواقع بحران باعث میشود تا طرف مقابل این امکان را داشته باشد که حتی از شکست خود نیز تصویری پیروز ساخته و از آن برای تحقیر توان امنیتی ایران حداکثر استفاده را ببرد. برای جلوگیری از این اقدام حداقلیترین کار ورود فعالانه به ماجرا و ارائه روایت منطقی از آن است.
انحصار در نرمافزارهای بانکی در مواقع بحران کل شبکه را در معرض خطر قرار میدهد
پوریا آسترکی در ابتدا ابعاد حمله گزارششده را اینگونه تشریح میکند: «چند هفته پیش این شایعه پخش شد که نظام بانکی کشور هدف یک حمله سایبری گسترده قرار گرفت ولی نشانهای از اختلال دیده نشد. به نظر میآید که خبر پلتیکو اشارهای به همان خبر دو هفته پیش دارد و احتمالا اگر حملهای صورت گرفته در همان مقطع است. این اتفاق درمورد اسنپ و تپسی هم رخ داده و همچنین بیمهها که مبلغی پرداخت نکرده و دیتایشان افشا شده است. هنوز رسما واکنشی در مقابل این خبر منتشر نشده است. بانک مرکزی که متولی اصلی قضیه است باید واکنش نشان دهد.»
آسترکی دراختیار گرفتن انحصاری زیرساختهای پرداختی توسط بانک مرکزی را عاملی دانست که میتواند در مواقع خطر بحرانآفرین باشد. او در اینباره توضیح داد: «در کشور ما زیرساخت پرداختی به صورت انحصاری در اختیار بانک مرکزی است. برای سایر کشورها لزوما اینگونه نیست. ما یک سامانه پرداخت کلی به نام شاپرک داریم که به شکل انحصاری در اختیار بانک مرکزی است و یک سری هم سامانههای در اختیار بانکها است که همه آنها نیز در یک شبکه یکپارچه با یکدیگر مرتبط هستند. شرکت توسن هم تولیدکننده همین سامانهها است. ظاهرا فهرست بانکهای هکشده همان بانکهایی هستند که سامانهشان توسط شرکت توسن طراحی شده است. این شیوه چینش شبکه و نوع نرمافزارها و همچنین انحصار بانک مرکزی سالها مورد انتقاد هم بوده است. ترکیببندی نرمافزارهای پرداخت و همچنین شبکه یکپارچه سالهاست که مورد انتقاد کارشناسان دارای تخصص در حوزه زیرساختی بانکی بوده است. زمانی که همه از یک نرمافزار استفاده میکنند، همه در یک شبکه قرار دارند و این شبکه فقط یک متولی دارد در چنین مواقعی کل دیتای کشور آسیب میبیند و مورد دستبرد قرار میگیرد.»
باجدهی به هکرها شاید بعد عمومی افشای اطلاعات را خنثی کند اما در بعد امنیتی اثری ندارد
این کارشناس حوزه سایبر در پاسخ به این پرسش که آیا باج دادن به گروههای هکری اقدامی عاقلانه محسوب میشود یا میتواند آنها را به اقدامات بیشتر علیه کشور ترغیب کند، گفت این باجدهی با هدف جلوگیری از یک اتفاق بدتر انجام میشود. آسترکی در اینباره گفت: «البته هنوز هیچ منبع موثقی واکنشی مبنیبر رد یا تایید این شایعه بروز نداده است. کسی که دارد برای افشا نشدن دیتاهایش باج میدهد دارد از یک اتفاق بدتر پیشگیری میکند. گروههایی که در این سطح هک میکنند مثل آیآرلیکس که ادعا میشود در اتفاق اخیر دخیل بوده، دیتاهایی که به دست میآورند را در اختیار سرویسهای اطلاعاتی خارجی قرار میدهند که اگر پول هم پرداخته شود تضمینی برای عدم انجام این کار وجود ندارد، یعنی آن بخش امنیتی داستان از دست رفته است اما افشای اطلاعات به صورت عمومی که کاربردهای تجاری هک محسوب میشوند میتواند برای شهروندان و مشتریان بانکها خطرات جدی ایجاد کند.» آسترکی بیتوجهی به از دست رفتن دیتاهای معمولی را نیز امری غلط توصیف کرد و توضیح داد: «یک فرهنگ اشتباه هم در مردم وجود دارد که میگویند آنها اطلاعات خاصی در اسنپ ندارند که افشایش باعث متضررشدنشان شود. اما اینگونه نیست؛ چراکه گروههایی که دست به هک میزنند زمانی که دیتای بخشهای مختلف مثل اسنپ، تپسی، بیمهها و بانکها را دارند از طریق ارتباط دادن این دادهها به هم اطلاعات عجیبوغریب زیادی به دست میآورند. این اطلاعات دقیق و گسترده دادههای خوبی درباره رفتارهای کلان جامعه و همچنین رفتار افراد مهم در اختیار هکرها قرار میدهد که میتواند امنیت اجتماعی و امنیت افراد مهم جامعه را به خطر بیندازد.»
انحصار در شبکه پرداخت بخش خصوصی را متضرر میکند
آسترکی معتقد است انحصار در نظام پرداخت شرکتهای خصوصی توانمند در حوزه نرمافزار را متضرر کرده و آنها را به حاشیه میراند. او در اینباره توضیح میدهد: «در اثر سیاستهایی که در کشور ما بوده است، سالها به جای توجه به امنیت روی فیلترینگ سرمایهگذاری شده است. به جای ایجاد شبکههای مختلف بانکی در نظام پرداختی کشور انحصار آن در اختیار بانک مرکزی قرار داده شده و بانک مرکزی هم کل پروژههای فنی مربوطه را در اختیار چند شرکت خصوصی مثل توسن یا شرکتهای وابسته به خود بانک مرکزی مثل شاپرک قرار داده است. کل سیستم بانکی دست این چهار یا پنج شرکتی است که در حولوحوش بانک مرکزی قرار دارند و با استفاده از انحصاری که در اختیار بانک مرکزی بوده رشد کردهاند، بعد هم به یکباره کل دیتا کشور از دست آنها خارج شده است. اگر خداینکرده حمله سایبری شود و نظام پرداخت مورد آسیب قرار گیرد تمام سیستم پرداختی میخوابد. داشتن این نظام پرداخت فرصتهای اقتصادی و تجاری زیادی را از بخش خصوصی گرفته است. یعنی این ضرری برای بخش خصوصی است. یک سیاستگذاری اشتباه که این انحصار را ایجاد کرده است باعث میشود که انواع و اقسام مشکلات امنیتی پیش بیاید؛ در شرایطی که خودش هم یک پدیده ضداقتصادی و مخرب است.»
استفاده از روشهای آپدیتنشده و غیرقانونی؛ آفت نظام پرداختی ایران
این کارشناس حوزه سایبر مهمترین اقدامات برای جلوگیری از تکرار حملات مشابه را استفاده از نرمافزارهای بهروز جهانی دانسته و نیز درمورد نقش تحریمها در این حملات میگوید: «اینها از ماژولهای جهانی استفاده میکنند؛ هم در بحث سختافزار، هم شبکه و هم نرمافزار. در بسیاری از مواقع از نرمافزار و دستوری استفاده میشود که به دلیل تحریمها در ایران آپدیت نمیشود. لایسنس نرمافزار قانونی نیست. همه اینها روی هم تعداد زیادی حفره و نقاط خطر در سامانهها به وجود میآورد. این را باید نشست و فکری برایشان کرد و از اول چیزی را ساخت و آورد بالا. من در اخباری که مرور میکنم نشنیدهام که در هیچجای دنیا سامانههای دولتی به اندازه ایران هک شوند. مثلا من خاطرم هست که چند سال پیش بخشی از شبکه ما نرمافزارهای سیسکو خود را آپدیت نکرده بودند و درنتیجه شبکه ما بهیکباره دچار اختلال شد. این اتفاق در ایران مکررا و زیاد رخ میدهد، علتش هم این است که یک نظام یکپارچه به دلیل تحریمها شکل نگرفته که بتواند کل شبکه، نرمافزارها و سختافزارها را بهلحاظ امنیتی از همان ابتدا ممیزی کند. صرفا روی محصولات نهایی مباحث امنیتی چک میشود، درحالی که نقاط ورود صرفا در محصول نهایی نیست؛ ممکن است یک سوئیچ در یک شبکه باشد که محل آسیب زدن قرار گیرد و آن سوئیچ هم بهطور غیرقانونی در ایران مورد استفاده قرار گرفته شده، به همین دلیل نیز آپدیتنشده و بستههای امنیتی بهروز روی آن نصب نشده است. هرچقدر هم محصول نرمافزاری که شرکت توسن درست کرده محصول امنی باشد آن سوئیچ باعث میشود کل شبکه لو برود.»
آسترکی ورود شرکتهای خصوصی نرمافزاری را در رفع این معضل موثر دانسته و معتقد است: «ما هم به یک تفکر امنیتی جدید در ساخت نرمافزارهای حاکمیتی نیاز داریم و هم اینکه باید انحصار از دست بانک مرکزی و شرکتهای اطرافش خارج شود تا بخش خصوصی هم بتواند نظام پرداختی و زیرساخت بانکی ایجاد کند. تا زمانی که این اتفاق نیفتد ما این آسیبپذیریها را داریم. ورود بخش خصوصی و شرکتهای نوآفرین به این حوزه میتواند خیلی از تجارب را تازه کند. سه تا چهار دهه است که نرمافزارهای بانکی ما دارد روی هم Develop میشود و گسترش مییابد. بعضا ماژولی امروز استفاده میشود که دهه ۷۰ نوشته شده است. اینها خودش برای کشور خطر محسوب میشود.»
سیاست امنیتی حاکم بر فضای نرمافزار نباید صرفا فردمحور باشد
آسترکی در پایان مهمترین آسیب نظام امنیتی حاکم بر فضای تولید نرمافزار را تمرکز آن بر افراد و کمتوجهی به مجموعههای بزرگ دانسته و این آسیب را اینگونه مورد نقد قرار میدهد: «نظام امنیتی در کشور بر فضای تولید نرمافزار حاکم است که به نظر میرسد بیشتر روی افراد تمرکز دارد. مثلا ما در کشور مرکزی داریم که کارش نظارت امنیتی روی همین نرمافزارهای حساس است. اگر فردی نرمافزاری بسازد و بخواهد مجوز بگیرد خیلی بررسیها روی آن فرد میشود؛ حال آنکه سامانههای پیچیده از ماژولهای مختلف سختافزاری و نرمافزاری استفاده میکنند و اینگونه نیست که یک نرمافزار بانکی توسط یک تیم از ابتدا تا انتها نوشته شود. لذا باید روی آنها هم یک ممیزی اتفاق بیفتد تا کل آن سامانه و شبکه امن باشد. اینکه بگوییم در یک شرکت نرمافزاری پنج متخصص امنیت حضور دارند پس نتیجه بگیریم که محصول خروجی ایمن است روش درستی نیست. تابهحال اینگونه کار درست پیش نرفته و میبینیم که بهطور مکرر هک سامانههای دولتی و خصوصی بزرگ دارد اتفاق میافتد. این نشان میدهد که سیاستگذاری امنیتی اشتباه بوده است.»