شنبه ۷ تیر ۱۴۰۴ - 28 June 2025

در بررسی صمت از نقش بانک مرکزی در مقابله با حملات سایبری به بانک‌ها نمایان شد

ضعف نظام بانکی در مواجهه با تهدیدات نوین

در ادامه تشدید تنش‌های نظامی بین ایران و اسرائیل، حمله سایبری به سامانه بانک سپه و پاسارگاد توجه ناظران امنیت سایبری، کارشناسان بانکی و مردم را به خود جلب کرد. اما واکنش سریع بانک سپه و تدبیر بانک مرکزی در این میان، نه‌تنها از بروز بحران امنیت در دستیابی به اطلاعات بانکی جلوگیری کرد، بلکه نقاط قوت و ضعف نظام بانکی در مواجهه با تهدیدات نوین را آشکار کرد. بانکداری‌الکترونیک بخشی جدایی‌ناپذیر از اقتصاد، زندگی روزمره و نظام مالی کشور است. هرگونه اختلال در آن می‌تواند عملکرد اقتصادی کسب‌وکارها را مختل کند و اعتماد عمومی را کاهش دهد و زمینه وقوع بحران بزرگ‌تر را فراهم کند. به‌همین‌دلیل ناظر بانکی باید به خدمات بانکداری الکترونیک از روزنه امنیتی بنگرد. نقش بانک مرکزی در این میان به عنوان مهم‌ترین نهاد ناظر بانکی از اهمیت ویژه‌ای برخوردار است.

صمت به‌همین منظور به بررسی نقش بانک مرکزی در مدیریت ریسک حملات سایبری به بانک‌ها پرداخته است که در ادامه می‌خوانید.

ضرورت اقدام به‌موقع و سریع علیه بحران

از یک هفته گذشته، تنش نظامی میان ایران و اسرائیل وارد فاز جدیدی شد. در چنین فضایی، زیرساخت‌های حیاتی همچون شبکه بانکی کشور به‌عنوان هدف بالقوه گروه‌های سایبری، همراستا با تهدیدات نظامی در معرض حملات قرار دارند. این شرایط چالشی جدی برای افزایش امنیت اطلاعات و تضمین تداوم خدمات بانکی ایجاد می‌کند؛ چالشی که به‌منظور بررسی و برطرف کردن آن باید بانکداری‌الکترونیک را به‌ویژه در شرایط استراتژیک و تجربه تهدید حملات سایبری زیر ذره‌بین قرار داد.

در حمله سایبری به 2 بانک سپه و پاسارگاد، نوع حمله از نوع نفوذ به سامانه رمزگذاری و اخلال در روند ارسال رمزهای پویا برای کاربران بوده است. گرچه حجم دقیق اطلاعات لو رفته یا آسیب‌دیده مشخص نیست، اما واضح است که هدف مهاجمان از این اقدام، ایجاد اختلال در روابط کاربران با بانک و سلب اعتماد عمومی بوده است. بانک سپه در واکنش ابتدایی توانست با شناسایی سریع نشانه‌های حمله و رهیافت دقیق، مانع توسعه حمله شود. با کمک تیم فنی ـ امنیتی، دسترسی غیرمجاز به این بانک مسدود شد و ضمن تشخیص مقاطع زمانی آسیب‌پذیر سیستم، رمزهای جایگزین و پویا برای مشتریان ارسال و به‌سرعت برای همه مشتریان فعال شد. در این فاصله بانک در راستای اطلاع‌رسانی سریع و شفاف پیام‌های کوتاه و ایمیلی به کاربران ارسال کرد که حمله شناسایی شده و سیستم تحت‌کنترل است. تیم مشاوره و پشتیبانی خطوط تماس ویژه نیز فعال شد تا به پرسش‌ها و نگرانی‌های کاربران پاسخ داده شود. این ترکیب واکنش سریع، تصمیمات تکنیکی و ارتباطی، توانست مانع گسترش بحران شده و اعتماد اولیه کاربران را حفظ کند.

در اتفاق اخیر حملات سایبری به بانک سپه بانک مرکزی وارد عمل شد و دستورالعمل‌هایی در سطح ملی صادر کرد تا سایر بانک‌ها نیز آمادگی لازم را برای مقابله با تهدید مشابه داشته باشند. مهم‌ترین مورد این آمادگی مربوط به الزام به گزارش رخداد به‌صورت فوری است. بانک‌ها باید هرگونه نشانه فشار یا اختلال سایبری را به‌صورت آنی به مشتریان اعلام کنند. بانک مرکزی به‌منظور تسریع در واکنش در چنین مواقعی پروتکل‌هایی مشخص و واضح برای اطلاع‌رسانی به کاربران تهیه کرده است. نمایندگان بانک‌ها نیز دعوت شدند تا استراتژی‌های مقابله به‌موقع را مرور کرده و نقاط ضعف را بازنگری کنند.

بررسی رخداد اخیر، بستر مناسبی برای بازنگری و تقویت زیربناهای امنیتی در تمامی بانک‌ها ایجاد کرد. بانک مرکزی تصویب کرد که طی چند ماه آینده، تمام بانک‌ها مواضع زیر را اجرا کنند: افزایش درصد استفاده از چندمرحله‌ای‌سازی ورود (MFA)، برقراری تست‌های نفوذ دوره‌ای، استفاده از هوش‌مصنوعی برای نظارت بر رفتار غیرعادی در سامانه‌ها و تدوین بسته‌های آموزشی امنیتی برای کارکنان.

نتیجه ادغام ۶ بانک در بانک سپه

حجت‌الله فرزانی، کارشناس پولی و بانکی؛ بانک سپه در رابطه با فناوری اطلاعات چندان در شبکه بانکی کشور پیشرو نبوده و ضعف‌هایی در رابطه با خدمات الکترونیک داشته است. در صورتی که به‌عنوان بانکی شناخته شده است که خدمات غیرحضوری الکترونیک بسیار گسترده‌ای دارد. اما ضعف‌هایی را در حوزه فناوری داشته که تبدیل به پاشنه‌آشیل این بانک شده است. به‌طورکلی در وضعیت کنونی که حملات سایبری محتمل است، ضعف در زیرساختارهای فناوری می‌تواند پاشنه‌آشیل هر بانکی باشد و این اتفاق اخطاری است برای هر بانکی که در زمینه فناوری اطلاعات خود، زیرساخت‌های تقویت‌شده‌ای ندارد. چنین بانک‌هایی شاهد چنین اتفاقاتی خواهند بود. کمااینکه در سال گذشته هم، ما چنین تجربه‌ای را در رابطه با دیگر بانک‌ها و موسسات مالی داشته‌ایم.

باتوجه به اینکه بانک سپه تجربه ادغام 6 بانک را در خود داشته و حجم کارکنان همان 6 بانک را هم در خود پذیرفته است، بیشتر سرگرم حل و فصل چالش‌های این ادغام و مسائل روزمره بوده و چندان به‌دنبال پیشبرد مسائل فناورانه مانند دیگر بانک‌ها نبوده است؛ چنین ضعفی در زیرساخت بانک سپه وجود دارد.

باید به کمک بانک مرکزی، اقداماتی را انجام دهند و خود را از نظر امنیت داده‌ها به بانک‌های دیگر برسانند. درباره موضوع اخیر حمله سایبری به این بانک، بانک مرکزی مشارکت‌هایی داشته است.

در مجموع بانک سپه در حوزه زیرساخت‌های فناوری بسیار جای کار دارد؛ به‌ویژه در حوزه نگهداشت نیروی انسانی در حوزه فناوری اطلاعات. این مسئله ریسکی است که همه بانک‌ها با آن درگیر هستند، اما بانک سپه نیاز به انجام اقدامات خاص دارد تا نیروی انسانی مرتبط با این حوزه را در بانک خود حفظ و حراست کند.

از چند جنبه موضوع حملات سایبری به بانک‌ها از سوی بانک مرکزی در حال پیگیری است که یک نمونه آن در بخشنامه بانک مرکزی درباره مدیریت ریسک فناوری اطلاعات مطرح شده است. بانک مرکزی از طریق این بخشنامه به بانک‌ها هشدار داده است. قرار بود بانک‌ها اقدامات امنیتی در این‌باره انجام دهند و حسابرسی فناوری اطلاعات در بانک‌ها رخ دهد که بتوانند کنترل‌های عمومی و کاربردی فناوری اطلاعات را زیر ذره‌بین قرار دهند و ایرادات را مرتفع کنند. اما برخی بانک‌ها کمتر و برخی بیشتر به این بخشنامه‌های بانک مرکزی دقت می‌کنند.

در مجموع باتوجه به اینکه کشور در مقتضیات زمانی خاصی قرار گرفته بانک‌ها باید آمادگی خود را در مواقع این‌چنینی تقویت کنند، اما متاسفانه بانک‌ها همیشه با اولویت‌های دیگر و مشکلات کلان‌تری درگیر بوده‌ و کمتر به چنین مسائل امنیتی توجه داشته‌اند.

ضعف در حفظ اطلاعات بانکی

مرتضی عزتی، اقتصاددان؛ مخالفان FATF که مدام از اغراض دشمنان سخن می‌گویند حتما می‌دانند که آنها هم به شیوه‌های مختلف می‌توانند به اطلاعات بانکی ما دسترسی پیدا کنند و هم می‌توانند نیروهای نفوذی و جاسوس در ایران داشته باشند. شبکه مبادلات بانکی ایران با اینترنت کار می‌کند و وقتی با اینترنت مبادلات بانکی را انجام می‌دهیم، دسترسی به آن برای کسانی که با این مسائل آشنا و در آن توانا هستند، آنچنان دشوار نیست. اگر هم جاسوسی در اینجا نداشته باشند، نهایت این است که شبکه بانکی را هک می‌کنند.

اطلاعات مالی و بانکی هیچ جای دنیا، آنچنان از دسترسی کسانی که واقعا می‌خواهند به آن دسترسی پیدا کنند، خارج نیست و دسترسی به این اطلاعات کار سختی نیست و نیازی به FATF هم حتی ندارد. البته ممکن است فقط بخش مختصری از مبادلات و ارتباطات بسیار خاص خارج از ایران باشد که با FATF روشن می‌شود وگرنه در شرایط فعلی تمام اطلاعات مبادلاتی ما با بانک‌های خارجی، برای همه کشورهایی که در FATF عضو هستند، در سامانه‌ها موجود است و دسترسی به این بخش هم هیچ مشکلی ندارد.

دسترسی به اطلاعات بانکی مبادلات بین‌المللی ایران با همه‌جای دنیا اکنون در سامانه‌های بانک‌های دیگر که عضو FATF هستند، وجود دارد و آنها برای دسترسی به این اطلاعات هیچ محدودیتی ندارند. در شبکه داخلی بانکی هم اطلاعات عمده‌ای نداریم و در داخل اگر بخواهند اطلاعاتی را مخفی کنند و کسی از آن مطلع نشود، با نام‌های مستعار ثبتش می‌کنند.

دسترسی به اطلاعات بانکی ایران مشکلی ندارد و مخالفت با FATF به دلیل محرمانگی این اطلاعات، بهانه است و مخالفان عمدتا کسانی هستند که نمی‌خواهند ارتباطات ایران با خارج قوی شود، در پی تضعیف ارتباطات بین‌المللی ایران هستند و عمدتا چنین مسائلی را بزرگ‌نمایی می‌کنند تا آن را واقعیت جا بزنند. واقعیت این است که دسترسی به اطلاعات مبادلات خارجی ایران کاملا فراهم است و هیچ مشکلی ندارد و دسترسی به اطلاعات داخلی هم در شرایطی که بخواهند، فراهم می‌شود. ما باید شرایط داخلی را طوری تنظیم کنیم که هم اطلاعاتی که برای FATF می‌رود، واقعی باشد و هم محرمانگی آن حفظ شود.

سخن پایانی

تجربه اخیر بانک سپه، نمونه‌ای عملی از مدیریت بحران در حوزه فناوری اطلاعات است. امکان دارد که اگر این واکنش به‌تاخیر می‌افتاد، حمله گسترده‌تر منجر به قطع خدمات بانکی یا فروپاشی اعتماد عمومی می‌شد.

انتشار پیام شفاف به کاربران، که توضیح می‌داد حادثه رخ داده اما تحت کنترل است، تاثیر روانی مثبتی بر کاربران بانک داشت. در صورتی که فقدان شفافیت، می‌توانست جای خود را به شایعات و اضطراب عمومی دهد. این نقطه عطف در اعتمادسازی توسط بانک سپه، نشان می‌دهد که دست‌کم تمهیدات ارتباطی، درست اجرا شد.

ارسال رمزهای جایگزین، به‌عنوان راهبردی فنی و ارتباطی، نقش مهمی در حفظ خطوط ارتباط با مشتری ایفا کرد. ضمن حفظ امنیت، دستورالعملی عملی برای مواقع اضطراری ارائه شد که موثر بود.

اما باوجود موفقیت، شکافی در حوزه پیشگیرانه نیز آشکار شد. فقدان آمادگی کامل در برابر حملات ناشناخته سایبری، فاصله قابل‌توجه میان بانک‌ها در سطح امنیت فناوری و ضعف در مدیریت مستندسازی و گزارش فقدان دسترسی به داده‌های دقیق حمله که می‌تواند مانع عملکرد موثر در شرایط مشابه شود. این نقاط ضعف، می‌تواند در آینده زمینه‌ای برای شکل‌گیری پروتکل‌های قوی‌تر ایجاد کند.

از سویی اعتماد به نهادهای مالی مانند بانک‌ها، ستون استحکام نظام اقتصادی است. هر اختلال سایبری بزرگ، می‌تواند این سرمایه را به‌یک‌باره تخریب کند. بنابراین واکنش سریع و همراه با شفافیت، مهم‌ترین ابزار برای حفظ این سرمایه است.

در سایر کشورها وقتی نهادهای بانکی در موقعیت بحران امنیت قرار می‌گیرند، اغلب می‌توانند اعتماد عمومی را حفظ کنند. در کشورهای حوزه اسکاندیناوی، نیروهای امنیت سایبری دولتی با همکاری بانک‌ها، اقدام به مانورهای شبیه‌سازی حملات کرده و آمادگی بالا در مقابل رخدادهای مشابه را تثبیت کردند.

این تجارب نشان داده‌اند که مولفه‌های کلیدی موفقیت، شامل هماهنگی بین‌نهادی، آموزش مستمر پرسنل و شفافیت در قبال مخاطبان است.

حمله سایبری به سامانه بانک سپه، در زمانی که تنش نظامی در سطح منطقه در جریان بود، اثبات کرد که امنیت سایبری جزئی از امنیت ملی است. بانک سپه با واکنش به‌موقع و شفاف، اعتماد اولیه را حفظ کرد، اما تجربه نشان می‌دهد که هیچ سیستم بانکی نمی‌تواند بدون آمادگی کامل در برابر حملات سایبری دوام آورد.

بانک مرکزی به‌عنوان بازیگر اصلی باید با تدوین استانداردهای سختگیرانه، اعمال بازدیدهای امنیتی دوره‌ای و تسهیل همکاری میان بانکی و نهادهای فناوری اطلاعات، نقش خود را در پیشگیری و مدیریت بحران تقویت کند. مردم نیز، با همکاری در اجرای دستورالعمل‌های امنیتی و فعال‌سازی ابزارهای محافظتی ساده مانند رمزهای پویا و پیامکی، می‌توانند در برابر حملات سایبری سهیم شوند. در مجموع، اعتماد عمومی، واکنش سریع و تلاش مستمر بانک‌ها و نهادهای نظارتی، از ماحصلی استثنایی فراتر می‌رود؛ یک ساختار پایدار، ایمن و بی‌وقفه برای اقتصاد ملی در عصر دیجیتال.