تازه‌ها

بانک

پرداخت

فین‌تک

کسب‌وکار‌ها

بورس

بیمه

دارایی دیجیتال

راه پرداخت
پارادوکس پایداری و امنیت در زیرساخت‌های مالی دیجیتال ایران؛ وقتی «قطع نمی‌شود» به معنای «امن است» نیست

پارادوکس پایداری و امنیت در زیرساخت‌های مالی دیجیتال ایران؛ وقتی «قطع نمی‌شود» به معنای «امن است» نیست

تحلیلی بر آسیب‌پذیری‌های ساختاری فناوری اطلاعات در صنعت بانکی و پرداختی ایران

محمدرضا روشناس، کارشناس حوزه پرداخت / صنعت بانکداری ایران در سال‌های اخیر بارها شاهد اختلالات گسترده در سرویس‌دهی بوده است. از قطعی سامانه‌های پرداختی در بانک‌های بزرگ کشور گرفته تا توقف خدمات آنلاین در اوج نیاز عمومی، این رخدادها هر بار با سکوت مسئولان یا توضیحات مبهم همراه بوده‌اند. مسئولان همواره از «پایداری زیرساخت» سخن گفته‌اند، اما وقتی سیستم‌ها در اولین فشار جدی از کار افتادند، همین مسئولان ترجیح دادند توضیحی ندهند. این سکوت، خود یک پیام است.

این نوشتار تلاش می‌کند از پشت روایت رسمی عبور کند و آسیب‌پذیری‌های ساختاری را که نه در اتاق‌های کنفرانس، بلکه در عمق عملیات روزمره شکل گرفته‌اند، تحلیل کند. سه لایه اصلی این آسیب‌پذیری عبارتند از: وابستگی به زیرساخت‌های تأمین‌شده از مجاری غیررسمی، حضور احتمالی بدافزارهای نهفته در شبکه‌های حساس، و فرسایش سرمایه انسانی از طریق جابجایی‌های مدیریتی مکرر. هر سه لایه به‌تنهایی خطرناک هستند، اما آنچه وضعیت را به یک بحران ساختاری تبدیل می‌کند، تداخل و تقویت متقابل این سه عامل با یکدیگر است.

لایه اول: زیرساختی که از مجرای غیررسمی آمده

برای درک این مسئله باید از واقعیتی شروع کنیم که در هیچ گزارش رسمی‌ای نمی‌آید: بخش قابل توجهی از سخت‌افزارها، سیستم‌عامل‌ ها و مجوزهای نرم‌افزاری (License) مورد استفاده در زیرساخت‌های بانکی کشور، از طریق بازارهای غیررسمی و واسطه‌ها تأمین شده است. دلیل آن هم روشن است: تحریم‌های بین‌المللی، دسترسی مستقیم به شرکت‌های سازنده را مسدود کرده است.

این واقعیت پیامدهای زنجیره‌ای دارد که هر حلقه از آن به‌تنهایی کافی است تا یک سیستم را آسیب‌پذیر کند. نخستین پیامد، تأخیر در دریافت به‌روزرسانی‌های امنیتی است. وقتی یک آسیب‌پذیری جدی در یک سیستم‌عامل یا سخت‌افزار شبکه‌ای شناسایی می‌شود، شرکت سازنده در عرض ساعت‌ها یا چند روز وصله امنیتی آن را منتشر می‌کند. اما در زیرساخت‌های بانکی ایران، این وصله‌ها یا اصلاً به دست مسئولان فناوری نمی‌رسند، یا از منابعی دریافت می‌شوند که قابلیت اطمینان آن‌ها قابل تأیید نیست، یا با تأخیری طولانی پس از آنکه مهاجمان فرصت کافی برای بهره‌برداری داشته‌اند، اعمال می‌شوند.

پیامد دوم، شاید عمیق‌تر از اول باشد: هر تجهیزی که از مجرای غیررسمی تأمین شده و به شبکه‌های عمومی یا حتی شبکه‌های داخلی متصل است، به‌طور اتوماتیک قابل شناسایی توسط شرکت سازنده است. این به معنای آن نیست که شرکت سازنده لزوماً اقدام خرابکارانه‌ای انجام می‌دهد، بلکه به این معناست که موقعیت جغرافیایی و وضعیت تجهیزات، در پایگاه‌داده‌های جهانی ثبت می‌شود. همین اطلاعات در اختیار نهادهای اطلاعاتی کشورهای صاحب فناوری قرار می‌گیرد. از سوی دیگر، چون این تجهیزات از مجاری غیرمستقیم خریداری شده‌اند، شرکت سازنده هیچ مسئولیتی در قبال اشکالات احتمالی آن‌ها نمی‌پذیرد و هیچ کارشناسی برای بررسی مشکل نخواهد آمد. این ترکیب از «قابل ردیابی بودن» و «فقدان پشتیبانی رسمی»، یک منطقه خاکستری خطرناک ایجاد می‌کند که در ادبیات امنیت سایبری به آن «سطح حمله پنهان»گفته می‌شود.

لایه دوم: بدافزار نهفته، تهدیدی که منتظر فرمان است

در این میان، یک واقعیت نگران‌کننده وجود دارد که اشاره مستقیم به آن الزامی است، هرچند که مستندسازی عمومی آن دشوار باشد. ایران بر اساس آمارهای جهانی متعدد، همواره در میان کشورهایی با بالاترین میزان بدافزار در گردش قرار داشته است. دلیل آن ساده است: محدودیت‌های فیلترینگ، کاربران را به سمت دریافت ابزارهای عبور از فیلتر و از منابع غیررسمی و خارج از فروشگاه‌های معتبر سوق داده است. بخش قابل توجهی از این ابزارها، حامل کدهای مخرب هستند.

اما مسئله به فضای مصرف عمومی محدود نمی‌شود. تجربه‌هایی که در محیط‌های عملیاتی حساس بانکی، حتی در سیستم‌های به‌اصطلاح ایزوله (Air-gapped) وجود داشته، نشان می‌دهد که این آلودگی‌ها راه خود را به درون هسته‌های حیاتی نیز یافته‌اند. کشف بدافزار ستاکس‌نت (Stuxnet) در سال ۲۰۱۰ نشان داد که شبکه‌های ایزوله‌شده نیز در برابر آلودگی‌های ناشی از رسانه‌های فیزیکی مانند حافظه‌های فلش مصون نیستند. آنچه نگران‌کننده‌تر است این است که با به‌روزرسانی نرم‌افزارهای امنیتی در آن دوره، نمونه‌هایی از این بدافزار در سیستم‌های ایزوله‌ای یافت شدند که از نظر تئوری هیچ مسیر ورودی نداشتند.

حالا این پرسش مطرح است: اگر آن اتفاق در آن دوره ممکن بود، چه تضمینی وجود دارد که امروز در سیستم‌های حیاتی بانکی کشور، نسل پیشرفته‌تری از همان بدافزارها وجود نداشته باشند؟ بدافزارهایی که در حالت خواب (Dormant) به سر می‌برند و منتظر یک فرمان خارجی هستند. آنچه تا به امروز اتفاق نیفتاده، لزوماً دلیل بر مقاومت سیستم نیست. شاید دلیل آن این باشد که کسی هنوز دکمه را فشار نداده است. اگر روزی تصمیم گرفته شود که سیستم بانکی کشور فلج شود، ما با چیزی بسیار فراتر از یک حمله انکار سرویس (DDoS) مواجه خواهیم بود. سیستم بانکی اگر از کار بیفتد، نه فقط یک اختلال فنی، بلکه یک فروپاشی اجتماعی در پی خواهد داشت.

لایه سوم: جابجایی مدیران میانی، پنهان‌ترین آسیب‌پذیری

اگر دو لایه پیشین را بتوان با سرمایه‌گذاری و اراده سیاسی تا حدی مدیریت کرد، لایه سوم پیچیده‌ترین و در عین حال کم‌توجه‌ترین آسیب‌پذیری صنعت بانکی است: فرسایش سرمایه انسانی از طریق جابجایی‌های مدیریتی مکرر.

واقعیت عملیاتی صنعت بانکی این است که آنچه سیستم را زنده نگه می‌دارد، نه تصمیمات هیئت‌مدیره، بلکه دانش ضمنی (Tacit Knowledge) مدیران میانی و تیم‌های عملیاتی است. این افراد می‌دانند کجای معماری سیستم شکننده است، کدام سرور سابقه خرابی داشته، کدام پیکربندی با مستندات رسمی فاصله دارد و در ساعت سه بامداد وقتی سیستم پرداخت قطع می‌شود، چه کسی را باید بیدار کرد. این دانش در هیچ مستند فنی‌ای نیست و سال‌ها طول می‌کشد تا شکل بگیرد.

اما الگوی رایج در صنعت بانکی کشور این است که با هر تغییر مدیریتی، یک جابجایی اتوبوسی از مدیران میانی و تیم‌های عملیاتی رخ می‌دهد. این جابجایی‌ها اغلب نه بر اساس ارزیابی عملکرد فنی، بلکه بر اساس وابستگی‌های سازمانی و شبکه‌های شخصی صورت می‌گیرد. نتیجه آن است که سال‌ها دانش عملیاتی تجمیع‌شده، یک‌شبه از سازمان خارج می‌شود، و تیم جدیدی که ممکن است از نظر فنی خوب باشد، باید از صفر با معماری یک سیستم پیچیده آشنا شود. این دوره انتقال، دقیقاً پنجره‌ای است که مهاجمان برای آن صبر می‌کنند.

پیامدهای حقوقی: مسئولیتی که در سکوت گم می‌شود

یکی از ابعاد کمتر موردبحث این بحران، پیامدهای حقوقی آن است. وقتی جابجایی مدیران عملیاتی بدون انتقال صحیح مسئولیت و مستندسازی کافی صورت می‌گیرد، یک خلأ حقوقی شکل می‌گیرد. در صورت وقوع یک رخداد امنیتی جدی، تعیین اینکه قصور متوجه تیم قبلی است یا عدم اشراف تیم جدید، دشوار و گاه غیرممکن می‌شود. این ابهام عملاً مسیر فرار از مسئولیت واقعی را هموار می‌کند.

از سوی دیگر، نهادهای ناظر مانند افتا، کاشف و پدافند غیرعامل الزاماتی برای تداوم خدمات و امنیت زیرساخت‌ها تعریف کرده‌اند. جابجایی‌های ناگهانی و بدون زیرساخت انتقال دانش، می‌تواند بانک‌ها را در موضع نقض صریح این الزامات قرار دهد که پیامدهای سنگینی برای هیئت‌مدیره و مدیران ارشد در پی خواهد داشت. اما مهم‌تر از همه، وقتی جوِ حاکم بر سازمان این باشد که رخداد یعنی تنبیه و جابجایی، مدیران عملیاتی از گزارش‌دهی رخدادهای کوچک اجتناب می‌کنند. این سکوت سازمانی، در درازمدت بدتر از هر رخداد منفردی است، چرا که باعث می‌شود مشکلات انباشته شوند تا روزی که دیگر قابل مدیریت نباشند. در فضای حقوقی، چنین رویه‌ای به‌عنوان تسهیل وقوع خسارت از طریق اغماض سازمانی قابل تفسیر است.

پیشنهادها: از چرخه واکنشی به چرخه تاب‌آوری

خروج از این وضعیت، نیازمند تغییر رویکرد در چند سطح موازی است.

در سطح حاکمیتی، نهادهایی مانند بانک مرکزی، افتا و کاشف باید پروتکل الزامی انتقال مسئولیت را به‌عنوان یک شرط پیش از هرگونه جابجایی مدیریتی در بانک‌ها تعریف و اجرا کنند. این پروتکل باید شامل مستندسازی معماری سیستم، وضعیت آسیب‌پذیری‌های شناخته‌شده، تاریخچه رخدادها و نقشه ارتباطات عملیاتی باشد. بدون این مستندات، هیچ جابجایی‌ای نباید از نظر نهادهای ناظر مشروع تلقی شود.

در سطح حقوقی، پیشنهاد می‌شود که چارچوبی برای حمایت از مدیران فنی که رخدادها را به‌موقع و شفاف گزارش داده‌اند تدوین شود. تا زمانی که گزارش‌دهی با ریسک جابجایی همراه باشد، هیچ سیستم هشدار زودهنگامی به‌درستی کار نخواهد کرد.

در سطح فنی و عملیاتی، بانک‌ها باید برنامه‌های جانشین‌پروری برای مدیران میانی و تیم‌های عملیاتی کلیدی داشته باشند. این برنامه‌ها نباید صرفاً روی کاغذ باشند، بلکه باید به‌طور منظم آزمون شوند. همچنین پدافند غیرعامل باید حداقل استانداردهایی برای ممیزی مستقل زیرساخت‌های بانکی از نظر آلودگی‌های احتمالی تعریف کند؛ ممیزی‌هایی که نه توسط خود سازمان‌ها، بلکه توسط نهادهای بیرونی مستقل انجام شود.

و اما مهم‌ترین پیشنهاد، آن است که از فرصت تاریخی موجود استفاده شود. فضای سیاسی کنونی کشور و توافقات بین‌المللی در حال شکل‌گیری، پنجره‌ای نادر گشوده که پیش از این سال‌ها بسته بود. این پنجره فرصت را نباید صرفاً در ابعاد اقتصادی و تجاری دید؛ یکی از حیاتی‌ترین حوزه‌هایی که باید فوری و با اولویت در دستور کار قرار گیرد، رفع تحریم‌های فناورانه است.

نهادهای مسئول، از جمله وزارت امور خارجه، معاونت علمی و فناوری ریاست‌جمهوری، بانک مرکزی و افتا، باید با رویکردی فعالانه و نه انفعالی، موضوع دسترسی مستقیم به فناوری‌های پایه را در مذاکرات پیش‌رو به‌صراحت مطرح کنند. این به معنای ورود مستقیم به مذاکره با شرکت‌های صاحب‌تکنولوژی است؛ شرکت‌هایی که تجهیزات شبکه، سیستم‌عامل‌های سازمانی، پایگاه‌های داده و نرم‌افزارهای امنیتی مورد استفاده در زیرساخت‌های حیاتی کشور را تولید می‌کنند.

رویکرد باید از دور زدن تحریم به لغو رسمی تحریم تغییر کند. دور زدن تحریم یعنی خرید از واسطه با قیمت بالاتر، بدون پشتیبانی رسمی، با تأخیر در دریافت به‌روزرسانی‌های امنیتی و با ریسک حقوقی برای طرف فروشنده. لغو رسمی تحریم یعنی دریافت مجوزهای مستقیم (General License) از نهادهای بین‌المللی، که امکان خرید قانونی، دریافت پشتیبانی رسمی و برقراری کانال‌های ارتباطی مستقیم با تیم‌های فنی شرکت‌های سازنده را فراهم می‌کند. تفاوت این دو رویکرد از منظر امنیت زیرساخت، تفاوت میان یک سیستم قابل دفاع و یک سیستم آسیب‌پذیر ساختاری است.

همچنین لازم است سازوکارهای حقوقی طراحی شود که به شرکت‌های بین‌المللی اطمینان دهد همکاری در حوزه‌های فناورانه غیرنظامی، مشمول جرایم ثانویه نخواهد شد و بستر امنی برای تعاملات دوجانبه فراهم است. بسیاری از شرکت‌های فناور، نه به دلیل مخالفت با همکاری، بلکه به دلیل ابهام حقوقی از ورود به این حوزه اجتناب می‌کنند. رفع این ابهام، خود به‌تنهایی می‌تواند درهای متعددی را بگشاید.

باید صادقانه گفت که بخش عمده‌ای از آسیب‌پذیری‌های توصیف‌شده در این مقاله، نه ناشی از ضعف مدیران فنی، بلکه ناشی از محدودیت‌های ساختاری است که تحریم‌ها ایجاد کرده‌اند. این محدودیت‌ها با هیچ راهکار داخلی‌ای به‌طور کامل قابل رفع نیستند. مدیران شبکه و امنیت بانک‌ها سال‌هاست با دست بسته در حال مقابله با تهدیداتی هستند که ابزار استاندارد مقابله با آن‌ها در دسترسشان نیست. اگر این پنجره فرصت دیپلماتیک بسته شود بدون آنکه تحریم‌های فناورانه در دستور کار جدی قرار گرفته باشد، ما نه‌تنها یک فرصت اقتصادی، بلکه یک فرصت امنیت ملی را از دست داده‌ایم.

سخن پایانی

آنچه در اختلالات اخیر بانکی کشور رخ داد، نه نتیجه یک حمله پیچیده بود و نه شکست یک تجهیز خاص. نتیجه انباشت سال‌ها تصمیم‌گیری در شرایط اضطرار بود: خرید زیرساخت از منابع غیرمطمئن چون راه دیگری نبود، تحمل آلودگی‌های احتمالی چون ابزار کافی برای شناسایی آن‌ها نبود، و جابجایی مدیران عملیاتی چون ساده‌ترین پاسخ به فشارهای سیاسی و مدیریتی بود.

سیستم بانکی، مهم‌ترین شریان اقتصادی هر جامعه‌ای است. اگر این شریان قطع شود، بحران مالی نیست که ببینیم؛ بی‌اعتمادی اجتماعی ساختاری است که ترمیم آن سال‌ها طول می‌کشد. وقت آن است که از روایت زیرساخت ما مقاوم است عبور کنیم و به روایت صادقانه‌تر ما چه کاری باید انجام دهیم برسیم.

نمایش لینک کوتاه
لینک کوتاه: https://way2pay.ir/vuc3 کپی شد
تصویر راه پرداخت

راه پرداخت

اتاق خبر راه پرداخت مرجع پوشش روزانه اخبار و روندهای بانکداری، پرداخت، فین‌تک، بورس، بیمه و اقتصاد دیجیتال ایران است. تحریریه راه پرداخت از سال ۱۳۹۰ به‌صورت مستمر تحولات این اکوسیستم را رصد و تحلیل کرده و محتوایی تخصصی، دقیق و به‌روز برای مخاطبان خود تولید می‌کند.
دیگر مطالب نویسنده

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

تازه‌های راه پرداخت

ماهنامه عصر تراکنش

مطالب پیشنهادی

برای پیگیری فوری خطاهای بانکی، با کدام شماره‌های پشتیبانی تماس بگیریم؟

️روابط عمومی شرکت خدمات انفورماتیک اعلام کرد: سامانه پایا در هر ۴ بانک ملی، صادرات، تجارت و توسعه صادرات برقرار شد

بیشترین دلیل رد خوردروها در مراکز معاینه فنی چیست؟