کدخبر: ۳۴۹۲۵

۱۴۰۴/۰۱/۲۷ ۱۰:۲۹

در نشست این هفتۀ خانۀ گفتارها با توجه به حملۀ اطلاعاتی به بانک سپه مطرح شد؛

علی عقابی: بدون شفافیت و مدیریت ریسک، نمی‌توان برای سرمایه‌گذاری یا اعتمادسازی تصمیم‌گیری درستی داشت/ در کشورهای غربی، در صورت بروز حمله به سیستم بانکی، بانک‌ها موظف‌اند ظرف ۷۲ ساعت گزارش دهند

نبود سازوکارهای شفاف، ضعف زنجیره تأمین و خلأهای امنیتی در تعامل با بخش خصوصی، شبکه بانکی کشورها را در هنگام حملات سایبری می‌تواند با چالش‌های جدی مواجه کند. در ماه‌های اخیر حملات سایبری گسترده‌ای به برخی نهادهای مالی ایران صورت گرفته که زنگ خطر را برای فعالان این حوزه به صدا درآورده است.

علی عقابی، «کارشناس امنیت اطلاعات و داده»، شامگاه شنبه 24 فروردین 1404 در صدودومین نشست خانه «گفتارها»، با بررسی ابعاد مختلف موضوع و تجربه‌ کشورهای دیگر، به راهکارهایی عملی برای ارتقاء امنیت اطلاعات، بازسازی اعتماد عمومی و اصلاح ساختارهای پشتیبان پرداخت.

این جلسه به اهتمام مجید تفرشی، مدیر و مؤسس خانۀ گفتارها و با اجرای محمدرضا مهاجری برگزار گردید. در ادامه خلاصه‌ای از بیانات علی عقابی خواهد آمد. علاقه‌مندان می‌توانند برای اطلاع از تمامی مباحث طرح ‌شده به آرشیو خانۀ گفتارها در کلاب‌هاوس یا کانال یوتیوب مجید تفرشی مراجعه کنند و پوشۀ شنیداری این جلسه را بشنوند.

مقدمه

علی عقابی: بحث پیش رو در سه بخش تنظیم شده است. در بخش اول یک شمای کلی از امنیت اطلاعات ارائه می‌دهم، اینکه امنیت اطلاعات یا همان information security چیست، چه مواردی را شامل می‌شود و در زندگی روزمره با چه مسائلی سروکار داریم. در بخش دوم به وضعیت جهانی می‌پردازیم؛ مشکلات امنیتی که ما در ایران داریم تا حد زیادی در بانک‌ها و مؤسسات کشورهای دیگر -چه در غرب، چه خاورمیانه و حتیشرق دور- مشترک است. در همین بخش، سعی می‌کنم چند نمونه از حملات گذشته را بررسی کنم. البته نه حملات محرمانه یا خیلی اخیر، بلکه بیشتر موارد عمومی و قابل بحث. در بخش سوم هم به راهکارهایی که به بهبود سطح امنیت سیستم‌های بانکی و مالی کشور کمک می‌کند اشاره خواهم کرد.

امنیت اطلاعات و اصل اعتماد

اگر در یک سیستم نتوانیم اعتماد ایجاد کنیم، کل آن فرو می‌ریزد. سیستم بانکی وقتی معنا دارد که مردم به آن اعتماد داشته باشند-وگرنه، نه پولی می‌گذارند، نه تراکنشی انجاممی‌دهند. در امنیت اطلاعات، ابزارهای متنوعی داریم که در طی دهه‌ها توسعه پیدا کرده‌اند، اما این ابزارها هم نیاز به مراقبت، به‌روزرسانی و نظارت دائمی دارند، چون همواره در معرض تهدید و نفوذ هستند. در مورد زیرساخت‌های ایجاد اعتماد، سه اصل مهم داریم که به آنCIA می‌گویند (البته ربطی به سازمانCIA ندارد):

1- محرمانگی (Confidentiality)

2- یک‌پارچگی (Integrity)

3- دسترس‌پذیری (Availability)

این سه عنصر مثل سه پیچ اصلی در دستگاه امنیت اطلاعات هستند. نکته‌ای که نباید فراموش کنیم، این است که هیچ‌وقت نمی‌توان امنیت ۱۰۰٪ را تضمین کرد، به‌خصوص در فضایدیجیتال. ما فقط می‌توانیم تا حدی ریسک را کاهش دهیم، ولینمی‌توانیم آن را کاملاً حذف کنیم. و یکی از مهم‌ترین چالش‌ها در این مسیر، خودِ کاربران هستند. در واقع کاربران ضعیف‌ترین حلقه در زنجیره امنیتی‌اند. بسیاری از حملات از همین نقطه شروع می‌شود-با نصب نرم‌افزار ناامن،اشتراک‌گذاری رمز عبور و... حتی اگر بهترین تجهیزات امنیتیرا داشته باشید، یک اشتباه کاربر کافی است تا کل سیستم آسیب ببیند.

از طرف دیگر، باید به مسائل ژئوپلیتیکی هم اشاره کرد. ما با محدودیت‌هایی در دسترسی به ابزارها و دانش فنی مواجه هستیم که عمدتاً ناشی از مسائل سیاسی و بین‌المللی است. این موضوع دست متخصصان را برای به‌روزرسانی و مدیریت امنیت اطلاعات بسته‌تر کرده است.

کنشگران در فضای سایبری چه کسانی هستند؟

در ادامه، درباره کنشگران فعال در فضای سایبری صحبت می‌کنم که امنیت اطلاعات را تهدید می‌کنند. این کنشگران به‌طور کلی به چهار گروه اصلی تقسیم می‌شوند:

1. Insiders (افراد داخلی(: کسانی که از داخل سازمان به سیستم آسیب می‌زنند، اغلب به دلایل شخصی یانارضایتی. این تهدید همه‌جا وجود دارد – چه درایران، چه در کشورهای دیگر.

2. State-sponsored actors (گروه‌های وابسته به دولت‌ها(: از سال ۲۰۱۰ به بعد، دولت‌ها به شکل جدی‌تری وارد فضای سایبری شده‌اند، چه برای دفاع از زیرساخت‌هایخود و چه برای حمله به شبکه‌های دشمنان. حملات سایبری بین دولت‌ها دیگر موضوعی عادی شده است.

3. Hacktivists (هک‌تیویست‌ها): این گروه‌ها معمولاً اهداف اجتماعی یا سیاسی دارند و از حملات سایبری برای رساندن پیام خود استفاده می‌کنند. ایننوع فعالیت‌ها در ایران، کشورهای عربی و سایر نقاط دنیا در حال افزایش است.

4. Cybercriminals (مجرمان سایبری(: هدف اصلی آن‌ها منافع مالی است. از باج‌افزار گرفته تا نفوذ به شبکه‌هایمالی و اخاذی، این گروه‌ها با انگیزه سودجویی عمل می‌کنند و تکنیک‌های پیچیده‌ای هم دارند.

در ادامه سعی می‌کنم به چند نمونه از حملات گذشته به سیستم‌های مالی در ایران اشاره کنم و درس‌هایی که می‌توان از آن‌ها گرفت را بررسی کنم. همچنین، مقایسه‌ای کوتاه با شرایط در کشورهایی مثل مصر ارائه می‌دهم.

دسته‌بندی تهدیدهای سایبری رایج و مکانیسم‌های حمله

تهدیدهای امنیت سایبری عموماً به چند دسته اصلی تقسیم می‌شوند. در این بخش، سعی دارم چهار دسته‌ای را که بیشترین فراوانی و اثرگذاری را دارند -به‌ویژه در حوزهشبکه‌های مالی و سازمان‌های غیرنظامی داخل کشور- بررسیکنم.

۱. فیشینگ (Phishing)

ساده‌ترین و در عین حال پرتکرارترین روش نفوذ به شبکه‌ها، فیشینگ است. این روش سهم بسیار بالایی در حملات سایبری دارد؛ به‌ویژه در ایران، حدود ۶۰ تا ۶۴ درصد از حملات گزارش‌شده از این طریق انجام می‌شود. مهاجم با ارسال ایمیلی جذاب-مثلاً شامل خبر، قرعه‌کشی، یا لینکخاصی-کاربر را ترغیب به کلیک می‌کند. در نتیجه، نرم‌افزارمخربی روی دستگاه کاربر نصب می‌شود که می‌تواند دسترسی به اطلاعات یا شبکه را برای مهاجم ممکن کند.

در نمونه‌ای شناخته‌شده، گروهی چینی توانستند از طریق ایمیلی حاوی تبلیغ نمایشگاه لامبورگینی، به یکی از کامپیوترهای شرکت لاکهید مارتین نفوذ کنند. این نفوذ منجر به دسترسی ۱۸ ماهه به شبکه و سرقت اطلاعات حساس نظامی شد.

جالب اینکه در بسیاری از سازمان‌های مالی غربی، میزان کلیک کارکنان روی ایمیل‌های فیشینگ در مانورهای امنیتی به‌عنوان یکی از شاخص‌های عملکرد در نظر گرفته می‌شود.

۲. توزیع بدافزار از طریق نرم‌افزارهای آلوده

یکی دیگر از مشکلات عمده، استفاده از نرم‌افزارهای آلوده در دستگاه‌های کاربران است. در ایران، به‌دلیل نبود زیرساخت توزیع امن نرم‌افزار، حدود ۵۰ تا ۶۰ درصد از موبایل‌ها به نوعی در معرض آلودگی به بدافزار هستند. نبود فروشگاه‌های رسمی و معتبر برای دریافت اپلیکیشن، تبلیغ لینک‌ها از طریق تلویزیون و رسانه‌ها، و بی‌توجهی به منشأ نرم‌افزار، همه این‌ها باعث می‌شود حتی پیشرفته‌ترین سیستم‌های امنیتی سازمانی هم به‌سادگی دور زده شوند.

۳. حملات پیشرفته و ماندگار (APT - Advanced Persistent Threat)

نوع پیشرفته‌ای از حملات سایبری، که بیشتر در حوزه‌های نظامی و حساس استفاده می‌شود، حملات APT هستند. این حملات به‌شکل مرحله‌ای، هدفمند، و ماندگار اجرا می‌شوند و معمولاً بدون برجای‌گذاشتن ردپا، دسترسی طولانی‌مدتی به سیستم هدف ایجاد می‌کنند. مقابله با این حملات نیازمند دانش فنی و هزینه بالاست.

در سال‌های اخیر، این نوع حمله در حوزه‌های مالی هم رواج یافته است. دیگر صرفاً دولت‌ها نیستند که به چنین ابزارهایی دسترسی دارند؛ برخی گروه‌های مجرم نیز با خرید این ابزارها از بازار سیاه یا دارک‌وب، به حملات پیچیده دست می‌زنند. نمونه‌هایی از این حملات، در سال گذشته در سیستم‌های بانکی ایران، از جمله در حمله گسترده‌ای که به بانک سپه صورت گرفت، دیده شده است.

چالش‌های حوزه امنیت اطلاعات

نکته مهم دیگری در این فرآیند وجود دارد که به دو چالش جدید در حوزه امنیت اطلاعات مربوط می‌شود؛ چالش‌هایی که اگرچه از نظر فنی لزوماً نوظهور هم نیستند، اما پیچیدگی قابل‌توجهی به مدیریت امنیت افزوده‌اند.

نخستین چالش، حمله به زنجیره تأمین (Supply Chain Attack) است. امروزه بسیاری از سازمان‌ها، چه در ایران و چه در سایر کشورها، برای بهینه‌سازی خدمات خود، بخشی از سرویس‌ها را به شرکت‌های بیرونی واگذار می‌کنند-چه در حوزهخدمات پرداخت، دستگاه‌های پوز، یا پردازش ابری. در نتیجه،شبکه بانکی دیگر صرفاً محدود به زیرساخت‌های داخلی بانک‌هانیست، بلکه به شرکت‌های زنجیره‌ای نیز وابسته است. این وابستگی، سطح حمله را گسترده‌تر می‌سازد.

یکی از نمونه‌های نفوذهای اخیر به سیستم‌های مالی، از جمله حمله به شرکت توسن، دقیقاً از این گونه بوده است. در کشورهای غربی نیز چالش مشابهی وجود دارد و بانک‌ها برای افزایش امنیت، دسترسی‌ها را محدود کرده‌اند-برای مثال، تنهااجازه اتصال از آی‌پی‌های داخلی داده می‌شود. این اقدام بهمعنای فدا کردن بخشی از سهولت دسترسی در ازای امنیتبیشتر است.

چالش دوم، مربوط به مقوله هوش مصنوعی و ابزارهای مبتنی بر آن است. این ابزارها به‌خودی‌خود روش حمله نیستند، اما سبب پیچیدگی و تسریع در انجام حملات سایبری می‌شوند. به‌عنوان نمونه، در گذشته مهاجم می‌بایست زمان زیادی را صرف حدس زدن رمز عبور می‌کرد، در حالی که اکنون هوش مصنوعی می‌تواند این کار را ظرف چند ثانیه انجام دهد. همچنین، امکان جعل صدا، ساخت اسناد جعلی و شبیه‌سازی کاربران واقعی با کمک این ابزارها فراهم شده است-امری کهپیش‌تر بسیار پرهزینه بود، ولی اکنون به سادگی قابل اجراست.

وضعیت ایران در مقایسه با دیگر کشورها

در ایران هنوز نمونه مشخصی از این نوع حملات گزارش نشده است، اما با گسترش استفاده از هوش مصنوعی، انتظار می‌رود این موضوع نیز به فهرست چالش‌های امنیتی کشور افزوده شود. می‌توان مقایسه‌ای تطبیقی بین ایران و مصر انجام داد، دو کشوری که از نظر جمعیت، ساختار فرهنگی، و جوانبودن جمعیت، شباهت‌های زیادی دارند، و بنده تجربه فعالیت درهر دو کشور را داشته‌ام. در ایران، تا پایان سال ۲۰۲۴، ضریب نفوذ اینترنت حدود ۹۱ تا ۹۲ درصد بوده است، که نشان‌دهنده پوشش بالای این خدمت است.

در مصر، این عدد حدود ۷۲ تا ۷۳ درصد است، اما نکته مهم آن است که نرخ رشد اینترنت در این کشور بسیار بالاست و پیش‌بینی می‌شود که در آینده نزدیک از ایران نیز پیشی بگیرد. علت این امر، تمرکز جمعیت روستایی مصر در مناطق نزدیک به شهرهای بزرگ است، که اپراتورها توانسته‌اند آن‌ها را با سهولت بیشتری پوشش دهند؛ در حالی که در ایران، پراکندگی جغرافیایی بیشتر است و افزایش ضریب نفوذ به همین دلیل دشوارتر شده است.

از نظر ساختار بانکی نیز شباهت‌هایی وجود دارد. ایران از پیش از دهه ۵۰ شمسی زیرساخت‌های ارتباطات بانکی خود را آغاز کرده و به‌تدریج توسعه داده است. مصر نیز دارای شش بانک بزرگ است که سهم عمده‌ای از تراکنش‌های مالی را مدیریت می‌کنند. طبق آمار سال ۲۰۱۴، حجم عملیات بانکی در مصر حدود سه برابر ایران بوده است-تفاوتی که تا حد زیادی ناشی از تحریم‌ها و محدودیت‌های مالی ایران است.

در زمینه فناوری، در مصر استفاده از پرداخت‌های خرد(micro payments) بسیار رایج است؛ امری که باعث می‌شود سیستم‌های بانکی رسمی کمتر با تراکنش‌های کوچک درگیر شوند. در ایران نیز نمونه‌هایی از این سیستم‌ها وجود دارد، اما ثبات آن‌ها کمتر بوده و گاهی به دلایل مختلف محدود یا متوقف شده‌اند.

دو نکته برجسته در این مقایسه وجود دارد:

1. حسابرسی امنیتی در مصر؛ در این کشور، سیستم‌های بانکی به‌صورت منظم مورد حسابرسیامنیتی قرار می‌گیرند؛ فرآیندی مشابه با آنچه برایصورت‌های مالی انجام می‌شود، اما در حوزه امنیتاطلاعات. در ایران، چنین روند منظم و رسمی وجود ندارد، یا حداقل گزارشی از آن منتشر نمی‌شود. حتی از ۲۰ سال پیش که بنده در ایران فعال بودم، نیز چنینفرآیندی مشاهده نمی‌شد.

2. مدیریت زیرساخت و توزیع نرم‌افزار؛ در مصر، اپلیکیشن‌ها الزاماً باید از اپ‌استورهای رسمی داخل کشور عرضه شوند و شبکه نیز به‌شدت کنترل‌شده است. در ایران نیز به‌دلایل قانونی و امنیتی، مشابه اینسازوکار تا حدودی اجرا می‌شود.

با وجود شباهت‌های زیاد، تفاوت‌هایی در مواجهه با چالش‌های امنیتی میان دو کشور وجود دارد که می‌تواند مسیر ارتقای امنیت اطلاعات و زیرساخت‌های بانکی ایران را شفاف‌تر کند.

نکته قابل تأمل دیگر، مربوط به نرم‌افزارها و سخت‌افزارهایی است که در ایران استفاده می‌شود. در بسیاری از موارد، این ابزارها کرک‌شده یا غیررسمی هستند، و همین مسئله به‌عنوان دروازه‌ای برای نفوذ عمل می‌کند. در کشورهایی مانند مصر، با وجود مشکلات مالی، زیرساخت‌ها تا این حد آسیب‌پذیر نیستند.

در خصوص حمله سال گذشته به سیستم بانکی ایران، به‌ویژه شرکت توسن و بانک سپه، اطلاعات محدودی منتشر شده، چرا که بخشی از این اطلاعات محرمانه است. اما آنچه مسلم است، این حمله از نوع APT بوده و از طریق زنجیره تأمین انجام شده است. پس از نفوذ، داده‌ها تهدید به فروش یا افشا شدند و بر اساس گزارش‌ها، حدود نیم میلیون دلار نیز پرداخت شده است. مهاجمان ترکیبی از بازیگران مالی و دولتی بوده‌اند.

سه درس کلیدی از حملات اخیر به سیستم بانکی ایران:

1. لزوم شفافیت؛ در کشورهای غربی، در صورت بروز حمله به سیستم بانکی، بانک‌ها موظف‌اند ظرف ۷۲ ساعت گزارش دهند. این شفافیت موجب جلب اعتماد مشتریان می‌شود. در حالی‌که در ایران، اغلب اطلاع‌رسانی با تأخیر زیاد یا اصلاً انجام نمی‌شود و تلاش بر پنهان‌سازی موضوع است.

2. مشکل زنجیره تأمین؛ بسیاری از شرکت‌های ارائه‌دهنده خدمات بانکی در ایران، از نظر فنی ارزش افزوده قابل‌توجهی ندارند یا به دلیل تحریم‌ها، دسترسی به فناوری‌های روز را ندارند. این وضعیت فشار زیادی را بر متخصصان داخلی وارد می‌کند. برای بهبود وضعیت،باید شرکت‌های خصوصی متخصص را وارد این حوزه کرد و پس از انجام حسابرسی امنیتی، به آن‌ها اعتماد نمود.

3. ضرورت حسابرسی امنیتی و مدیریت ریسک؛ همان‌طور که حسابرسی مالی اهمیت دارد، حسابرسیامنیتی نیز حیاتی است. لازم است بدانیم در طول سال چه تهدیداتی وجود داشته، چه میزان آسیبدیده‌ایم و برای سال آینده چه برنامه‌هایی در نظر داریم. بدون شفافیت و مدیریت ریسک، نمی‌توانبرای سرمایه‌گذاری یا اعتمادسازی تصمیم‌گیریدرستی داشت.

تأثیر روابط سیاسی ایران بر مشکلات امنیتی

این پرسش وجود دارد که آیا در صورت بهبود روابط سیاسی و اتصال به شبکه‌های مالی بین‌المللی، مانند سیستم‌های کارت اعتباری، مشکلات امنیتی نیز کاهش خواهد یافت؟ به‌نظر بنده، پاسخ مثبت است. تجربه کشورهایی مانند مصر نشان می‌دهد که همکاری با سیستم‌های مالی جهانی مستلزم رعایت شفافیت و مسئولیت‌پذیری است. برای مثال، در صورت افزایش تراکنش‌های مشکوک، شرکت‌هایی مانند ویزا یا مسترکارت، ارتباط خود را قطع می‌کنند. بنابراین، برای باقی‌ماندن در این سیستم‌ها، رعایت استانداردهای امنیتی، فارغ از ملاحظات سیاسی، الزامی است.

برای تقویت امنیت اطلاعات چه می‌توان کرد؟

در نهایت، برای آنکه امنیت اطلاعات جدی گرفته شود، باید به‌صورت شفاف، مسئولانه و سیستماتیک عمل کرد.

چند نکته کلیدی وجود دارد که لازم است مجدداً بر آن‌ها تأکید شود:

1. آگاهی عمومی و زیرساخت نرم‌افزاری؛ نیاز مبرمی به سازوکاری ملی برای توزیع و به‌روزرسانی نرم‌افزارهایمعتبر وجود دارد. بسیاری از نرم‌افزارهای مورد استفاده در حال حاضر کرک‌شده‌اند و درگاه نفوذ به‌شمار می‌روند. گرچه تحریم‌ها وجود دارند، اما باید راهکاری برایمدیریت این چالش پیدا شود. همچنین، ارتقایسطح آگاهی عمومی-چه در میان کارکنان سیستم مالیو چه مردم عادی- ضروری است؛ چرا که همگی به نوعیبخشی از این زنجیره هستیم.

2. نقش بخش خصوصی و شفافیت؛ بخش خصوصی بایدفعال‌تر وارد میدان شود، دانش فنی ارائه دهد و خدمات مناسب فراهم کند. در عین حال، باید تحت حسابرسیدقیق امنیتی نیز قرار گیرد تا بتوان به آن اعتماد کرد.

3. زنجیره تأمین قابل‌اعتماد؛ یکی از چالش‌های جدی،زنجیره تأمین سخت‌افزار و نرم‌افزار است. در صورت نبود کنترل کافی، تمام فرآیند امن‌سازی زیر سؤال می‌رود. حملات اخیر نیز عمدتاً از همین مسیر انجام شده‌اند. لذا لازم است تجهیزات مطمئن تهیه، به‌روز، و در طول چرخه عمر آن‌ها مدیریت شوند.

4. بیمه امنیت سایبری؛ متأسفانه در ایران به موضوع بیمه امنیت اطلاعات توجه کافی نشده است. در حالیکه همانند بیمه خودرو، این نوع بیمه نیز می‌تواندنقش مؤثری در ارتقای امنیت ایفا کند. شرکت‌هایبیمه با ارزیابی دقیق ریسک‌ها، شرکت‌ها را به افزایش امنیت سیستم‌های خود ترغیب می‌کنند، امریکه در نهایت به بهبود کلی سیستم خواهد انجامید.

در پایان بدانیم برای اینکه امنیت اطلاعات جدی گرفته شود، باید شفاف، مسئولانه و سیستماتیک عمل کرد. ما از حملات اخیر می‌توانیم مسیرهای روشنی برای اصلاح ساختارهای خود استخراج کنیم، به‌شرط آنکه از آن‌ها درس بگیریم، نه صرفاًعبور کنیم.

خبرنگار: ضحی معتمدی

کدخبر: ۳۴۹۲۵

۱۴۰۴/۰۱/۲۷ ۱۰:۲۹

خانه گفتارها علی عقابی

اخبار مرتبط

ارسال نظر

تبلیغات متنی

خدمات سی ان سی چوب

خرید قسطی کنسول بازی

اخبار مرتبط

نعمت‌الله فاضلی: نظام حکمرانی و دانش ما تاکنون نتوانسته‌اند نوروز را به عنوان یک نظریه فرهنگی مورد توجه قرار دهند

محسن دریابیگی: محبوبیت آیت‌الله خوانساری نشان‌ می‌دهد مردم به دنبال معنویت واقعی هستند، نه معنویتی که با قدرت و ثروت سر سازش داشته باشد

سیدجواد ورعی: امامان معصوم هیچ‌گاه خود را موظف نمی‌دانستند که مردم را به‌زور وادار کنند که راهی را که آنها انتخاب کرده‌اند بپذیرند

شیرین سعیدی: اگر حاکمیت یک بخش وسیع از جامعه را رها کند و تنها بر یک بخش خاص تمرکز کند، به کشور آسیب خواهد زد