آیدین عدالت در گفت‌وگو با راه پرداخت: انحصار برندهای خارجی خاص، پاشنه آشیل امنیت سایبری زیرساخت دیجیتال کشور

نویسنده: هانا حیدری انتشار: 28 تیر سال 1404 ساعت 13:31 0

آیدین عدالت، مدیرعامل شرکت رهنمون فناوری اطلاعات و عضو هیئت‌مدیره سندیکای صنعت مخابرات ایران در گفت‌وگو با راه پرداخت حملات سایبری به زیرساخت سخت‌افزاری بانک‌ها را مورد بررسی قرار داد و به تهدیدات فیزیکی نوین در حوزه امنیت سایبری نظام بانکی ایران پرداخت.

در دهه‌های اخیر، امنیت سایبری همواره یکی از دغدغه‌های اصلی در نظام بانکی بوده است. تمرکز اصلی این حوزه عمدتاً بر دفاع در برابر حملات نرم‌افزاری و تهدیدات ناشی از بدافزارها، باج‌افزارها و حملات فیشینگ قرار داشته است. با این حال، تحولات اخیر نشان می‌دهد که حملات سایبری، در حال عبور از لایه نرم‌افزاری و ورود به زیرساخت‌های سخت‌افزاری و فیزیکی هستند. این روند، ضرورت بازنگری در رویکردهای امنیتی بانک‌ها و نهادهای تنظیم‌گر را دوچندان کرده است.

حمله سایبری به زیرساخت‌های سخت‌افزاری بانک‌ها

طی ۱۲ روز جنگ اخیر، دو بانک بزرگ کشور هدف حملات سایبری متمرکز بر زیرساخت‌های سخت‌افزاری قرار گرفتند. بانک پاسارگاد با انتشار بیانیه‌ای همراه با شرکت داتین، اعلام کرد که حملات به شکل مستقیم از طریق نرم‌افزار یا نفوذ به دیتابیس‌ها انجام نشده است و تمرکز حمله روی سخت‌افزارهای ذخیره‌سازی و پردازشی بوده است. اطلاعات ذخیره شده به طور کامل پاک یا تخریب شده‌اند و این تخریب شامل سخت‌افزار اصلی، بکاپ‌های آنلاین و حتی بکاپ‌های آفلاین در سایت‌های دیگر نیز می‌شود.

عدالت در این خصوص بیان کرد: «بر اساس گزارش‌ها، ظاهراً یکی از تجهیزات ذخیره‌سازی که احتمالاً شامل بخشی از سخت‌افزارهای پردازشی نیز می‌شده، به‌طور مستقل در یک زمان مشخص، اقدام به حذف کامل اطلاعات کرده است. این حذف به‌گونه‌ای انجام شده که اطلاعات نه تنها پاک، بلکه اصطلاحاً «وایپ» شده‌اند؛ یعنی داده‌ها با اطلاعات بی‌ارزش جایگزین شده‌اند و امکان بازیابی آن‌ها وجود ندارد.»

او افزود: «ابعاد حمله بسیار گسترده بوده است؛ به‌طوری که هم سخت‌افزار اصلی، هم تجهیزات بکاپ و حتی بکاپ‌های آفلاین ذخیره‌شده در محل‌های دیگر، همگی به‌طور کامل از بین رفته‌اند. نکته نگران‌کننده اینکه، هشدار درباره وضعیت شکننده سخت‌افزاری کشور سال‌هاست از سوی کارشناسان و فعالان صنفی داده می‌شود اما تاکنون جدی گرفته نشده است.»

مدیرعامل شرکت رهنمون فناوری اطلاعات عنوان کرد: «بر خلاف نرم‌افزارهایی که امکان دسترسی به کد منبع، استفاده از نرم‌افزارهای متن‌باز و اشراف فنی بیشتری را فراهم می‌کنند، در حوزه سخت‌افزار چنین شفافیتی وجود ندارد. عمده تجهیزات سخت‌افزاری وارداتی به کشور مانند «جعبه‌های سیاه» هستند؛ استفاده‌کننده هیچ‌گونه اطلاعی از محتوای داخلی، الگوریتم‌ها یا پروتکل‌های به‌کاررفته در آن‌ها ندارد و این خود بستر را برای حملات موسوم به «زیرو-دی» فراهم می‌کند؛حملاتی که از بدو تولید درون سخت‌افزار نهفته‌اند.»

عضو هیئت‌مدیره سندیکای صنعت مخابرات ایران تصریح کرد: «تجربه حمله به تجهیزات لبنانی نیز نشان داد که برخی تجهیزات از همان ابتدای تولید حاوی قطعات یا بردهای اضافه‌ای بودند که در زمان لازم فعال می‌شدند. این نوع تهدیدات معمولاً از چشم شبکه‌های لجستیکی و بازرگانی نیز پنهان می‌مانند.»

عدالت با اشاره به شواهد منتشرشده از سوی ادوارد اسنودن اظهار کرد: «سازمان‌هایی مانند اف‌بی‌آی آمریکا پیش از ارسال تجهیزات به کشورهایی مانند ایران، سوریه، یا سودان، تغییراتی را روی تجهیزات برندهایی مانند سیسکو اعمال می‌کنند. این اقدامات گاه با افزودن سخت‌افزار جدید، گاه با دستکاری نرم‌افزار یا حتی با نصب چیپ‌های اضافی صورت می‌گیرد.»

او ادامه داد: «برای مقابله با این تهدیدات، برخی کشورها اقدام به ایجاد آزمایشگاه‌های امنیتی کرده‌اند. در این آزمایشگاه‌ها، تجهیزات مشکوک تحت اسکن اشعه ایکس قرار می‌گیرند یا در شرایط شبیه‌سازی‌شده، عملکرد آن‌ها به‌مدت چند هفته رصد می‌شود تا هرگونه ارسال یا دریافت مشکوک داده شناسایی شود. با این حال، برخی از این حملات پیچیده‌تر از آن هستند که در چنین مدت‌زمان کوتاهی خود را نشان دهند، چرا که ممکن است پنج سال پیش برنامه‌ریزی و برای فعال‌سازی در تاریخی مشخص تنظیم شده باشند.»

چالش‌های زیرساخت در ایران

عضو هیئت‌مدیره سندیکای صنعت مخابرات ایران گفت: «نکته مهم دیگر این است که برخلاف تصور رایج، در بسیاری از موارد حمله از درون سخت‌افزار فعال می‌شود و نه از طریق نفوذ یک هکر از بیرون. در چنین سناریوهایی، گاه نفوذگر تنها زمانی به سخت‌افزار متصل می‌شود تا حمله را به تعویق بیندازد یا معلق کند. اگر این اتصال به هر دلیل برقرار نشود، سخت‌افزار در تاریخ تعیین‌شده به‌طور خودکار حمله را فعال می‌کند. به‌نظر می‌رسد در حملات اخیر به دو بانک کشور، با سناریویی از این نوع مواجه بوده‌ایم.»

او مشکل اساسی کشور در این حوزه را اتکای بسیار بالا به تجهیزات خاص آمریکایی دانست و بیان کرد: «بیش از ۹۳ درصد سرورهای مورداستفاده در کشور از برند آمریکایی HP هستند. تقریباً تمام تجهیزات ذخیره‌سازی از شرکت Dell EMC تأمین می‌شوند و زیرساخت شبکه نیز عمدتاً متکی بر تجهیزات سیسکو است که همگی برندهایی آمریکایی که در مواردی به داشتن سهام‌داران یا نفوذ امنیتی اسرائیلی مشکوک‌اند.»

عدالت افزود: «این در حالی است که در ایالات متحده، سهم بازار HP تنها ۱۷ درصد است. به‌عبارتی، حتی در کشور مبدأ، زیرساخت‌ها به‌گونه‌ای طراحی شده‌اند که در صورت اختلال در یک برند، تنها بخشی از شبکه آسیب ببیند. در ایران اما تمرکز بر یک یا دو برند خاص، کل زیرساخت را به نقطه آسیب‌پذیر تبدیل کرده است.»

بازطراحی و تقویت زیرساخت‌ها

عضو هیئت‌مدیره سندیکای صنعت مخابرات ایران درخصوص تقویت زیرساخت‌ها اظهار کرد: «کشورهای مختلف برای مقابله با این ریسک، سیاست «چند تأمین‌کننده» (Multi-Vendor) را اتخاذ کرده‌اند. در چنین سیاستی، بخشی از سرورها از برند HP، بخشی دیگر از برند Dell یا Asus تأمین می‌شوند. همچنین تأکید می‌شود که همه تجهیزات از یک کشور نباشند؛ برای مثال، در کنار تأمین‌کنندگان آمریکایی، حتماً برندهای آلمانی، ژاپنی، تایوانی یا چینی نیز وارد چرخه تأمین شوند.»

عدالت ادامه داد: «مشکلات تأمین تجهیزات در ایران دو منشأ دارد: بخشی مربوط به تحریم‌های بین‌المللی و بخش دیگر ناشی از چالش‌های داخلی مانند تخصیص ارز، ثبت سفارش، گمرک و مجوزهای وزارت صمت است. این شرایط باعث شده فرآیند تأمین یک تجهیز سازمانی بیش از ۶ ماه به طول انجامد و در نتیجه، بازار به سمت قاچاق سوق داده شود. تجهیزات قاچاق معمولاً فاقد بررسی‌های امنیتی اولیه هستند و در بسیاری موارد دست دوم یا بازسازی‌شده‌اند.»

او موضوع دیگر را نحوه برگزاری مناقصات دولتی دانست و گفت: «برخلاف قانون مناقصات که ذکر برند و مدل خاص را ممنوع کرده، در بسیاری از مناقصات نام برند و مدل دقیق قید می‌شود. برای نمونه، سازمانی مانند بیمه مرکزی ممکن است در مناقصه‌ای اعلام کند که صرفاً سرورهای HP با مدل مشخص و به‌صورت CTO (سفارشی‌سازی‌شده) مورد قبول است. این شفافیت بیش‌ازحد، مسیر حملات هدفمند را هموار می‌سازد، چرا که مسیر تأمین کالا و مقصد نهایی آن به‌وضوح مشخص است.»

راه‌حل مقابله با حملات سایبری

عضو هیئت‌مدیره سندیکای صنعت مخابرات ایران در نهایت، یکی از راهکارهای مهم برای مقابله با تهدیدات را حرکت به‌سمت بومی‌سازی دانست و تصریح کرد: «البته نه به معنای تولید کامل داخل کشور،که عملاً در هیچ کشوری اجرا نمی‌شود، بلکه با هدف ایجاد شفافیت بیشتر و کاهش وابستگی. اگر بتوان بخشی از تجهیزات وارداتی را در داخل کشور مونتاژ کرد، امکان نظارت و کنترل بر قطعات و بردها افزایش می‌یابد. شرکت‌های داخلی می‌توانند در فرآیند مونتاژ، قطعات را شناسایی و اعتبارسنجی کرده و در مسیر تولید، به تدریج برخی قطعات را نیز خود تولید کنند.»
عدالت با اشاره به این که در حال حاضر، برخی شرکت‌های ایرانی در حوزه تولید بردهای تجهیزات زیرساختی فعال‌ هستند و به طراحی آن‌ها دسترسی دارند، عنوان کرد: «حتی اگر قطعاتی مانند مادربرد یا پردازنده وارداتی باشند، امکان تست امنیتی و بررسی سلامت این قطعات در لابراتوارهای داخلی فراهم است. این روند با همکاری سازمان پدافند غیرعامل در حال اجراست و می‌تواند پایه‌گذار زنجیره‌ای امن‌تر برای تأمین تجهیزات زیرساختی کشور باشد.»

در شرایطی که کشور طی چهار دهه گذشته در وضعیت تخاصم مستمر، ولو بدون درگیری نظامی مستقیم، قرار داشته، غفلت از امنیت سخت‌افزاری می‌تواند پرهزینه باشد. بومی‌سازی به دلیل تجربه‌های ناموفق در حوزه‌هایی مانند خودروسازی یا لوازم خانگی، با بدبینی عمومی مواجه شده است. با این حال، حمایت از شرکت‌های داخلی در حوزه مونتاژ و تولید تجهیزات زیرساختی، نخستین گام برای مقابله با حملات سخت‌افزاری است که همان‌گونه که در روزهای اخیر مشاهده شد، می‌تواند هزینه‌های سنگینی به کشور تحمیل کند.