یک سال پس از چندین بحران در بانک سپه؛
سایه سکوت بر روایت یک نبرد سایبری دنبالهدار
یک سال از آغاز زنجیرهای از رخدادها که نام بانک سپه را به یکی از مبهمترین پروندههای امنیت سایبری کشور تبدیل کرد، میگذرد.
در این مدت، این بانک سه بحران پیاپی را از سر گذرانده است؛ از ادعای نشت گسترده اطلاعات مشتریان در فروردین ۱۴۰۴، تا توقف خدمات در جریان جنگ ۱۲ روزه و سپس یک مهاجرت زیرساختی پرحاشیه و در نهایت، هک نرمافزاری اسفند ۱۴۰۴ و در بحبوبه جنگ ۴۰ روزه که بار دیگر شریانهای خدماتی این بانک را هدف قرار داد.
در تمام این تقویم پرالتهاب، سیاست غالب در مدیریت افکار عمومی، اتکا به سکوت، تکذیبهای اولیه و ارائه روایتهای قطرهچکانی بوده است. اطلاعات منتشرشده، ملغمهای از ادعاهای گروههای هکری، تأیید و تکذیبهای دیرهنگام مقامات رسمی و گمانهزنیهای رسانهای بود. با این حال، در یک اتفاق جالب توجه، حضور مدیرعامل یکی از شرکتهای زیرساختی در یک برنامه اینترنتی بخشی از آنچه در جنگ ۴۰ روزه گذشت را افشا کرد که البته فارغ از امکان راستیآزمایی مستقل تمام جزئیات آن، نشان میدهد پشت دیوارهای سکوت این بانک بزرگ، در مواجهه با حملات سایبری و فیزیکی جنگ اخیر چه گذشته است.
در این گزارش تلاش میکنیم با کنار هم قرار دادن این چند پرده از بحران تصویری واقعیتر از آنچه بر بانک سپه و ذینفعان آن گذشت، ترسیم کنیم.
فروردین ۱۴۰۴؛ اولین زنگ خطر و مدیریت تکذیب
نخستین بحران با یک ادعای تکاندهنده آغاز شد. در روزهای ابتدایی فروردین ۱۴۰۴، گروه «Codebreakers» مدعی استخراج بیش از ۱۲ ترابایت داده و در اختیار داشتن اطلاعات دهها میلیون مشتری شد و برای اثبات آن بخشهایی از دادهها را منتشر کرد.
واکنش اولیه بانک سپه، اجرای کلاسیکِ سیاست «انکار» بود: تکذیب کامل هرگونه نفوذ و تأکید بر امنیت مطلق اطلاعات. اما این سد دفاعی رسانهای دیری نپایید؛ چند هفته بعد، رئیس مرکز ملی فضای مجازی با یک تغییر موضع آشکار، وقوع حادثه را پذیرفت، اما تلاش کرد با تغییر ادبیات، آن را نه «هک»، بلکه «سرقت داده» بنامد. این عقبنشینی در روایت رسمی، بدون ارائه هیچگونه گزارش شفافی از ابعاد نشت اطلاعات به مشتریان، نشان داد که زنگ خطر در امنترین لایههای دادههای بانکی به صدا درآمده است؛ هرچند ترجیح نهاد متولی بر آن بود که ماجرا در حد یک افشای اطلاعات ساده مسکوت بماند. اما تنها چند ماه بعد، بحرانی از راه رسید که دیگر به دادهها محدود نبود.
خرداد ۱۴۰۴؛ فروپاشی خدمات و خلأ پاسخگویی
بحران دوم در جریان جنگ ۱۲ روزه رقم خورد؛ جایی که دیگر امکان پنهان کردن ابعاد حادثه پشت تکذیبیههای رسمی وجود نداشت، چرا که این بار اختلال، مستقیماً زندگی روزمره مشتریان را فلج کرد. اینترنتبانک، همراهبانک، خدمات کارت، خودپردازها و بخشی از ارتباط بانک با شبکه شتاب از دسترس خارج شدند.
در حالی که مشتریان سرگردان و کسبوکارهای وابسته به خدمات بانک با خسارتهای جدی روبهرو بودند، بانک به جای تمرکز بر حل مشکل دقیقا در اونج بحران تصمیم گرفت زیرساختش را مهاجرت دهد! به طوریکه تا مدتها بانک سر پا نشد و بخشی از سرویسهای آن تا اواخر تابستان همان سال، با مشکل مواجه بود.
اسفند ۱۴۰۴؛ آخرین پرده از سالی با بحرانهای مستمر
اما کمتر از چند ماه بعد، بانک سپه بار دیگر درگیر بحرانی تازه شد. انتشار گزارشهایی از اختلال مجدد خدمات، همزمان با حمله موشکی به یکی از ساختمانهای مرتبط با زیرساخت فناوری بانک، بر پیچیدگی ماجرا افزود.
سیاست اطلاعرسانی در این مقطع نیز تفاوتی با گذشته نداشت؛ اطلاعات عمومی ناقص ماند و تفکیک میان عوارض یک حمله فیزیکی با تداوم احتمالی حملات سایبری در هالهای از ابهام رها شد. کنار هم قرار دادن این سه رویداد، تصویری نگرانکننده از یک سالِ پرالتهاب میسازد. در تمام این مراحل، اصرار بر محرمانگی و فقدان یک استراتژی ارتباطی شفاف در قبال مشتریان، رویهای بود که به موازات خودِ حملات سایبری، اعتبار و اعتماد به این نهاد را با چالش مواجه کرد. اما تنها در حدود ۳ ماه بعد، ابعاد و زوایای دیگری از این دوره از اختلال افشا شد.
رونمایی ناخواسته در یک برنامه رسانهای
گره کور اطلاعرسانی درباره حوادث اخیر بانک سپه، در برنامهای با عنوان «بانکداری در شرایط جنگ؛ از حمله سایبری تا تداوم خدمات» تا حدودی باز شد.
نکته کلیدی این نشست، بحث پیرامون بازه زمانی موسوم به «جنگ ۴۰ روزه» بود. تا پیش از این برنامه، هیچ مرجع رسمی در بانک سپه و شرکت توسن اعلام نکرده بود که در این بازه زمانی، زیرساختهای بانک مورد نفوذ یا هک قرار گرفته است. با این حال، گفتوگوی شکلگرفته در این برنامه، پرده از واقعیتی برداشت که هر دو طرف سعی در دور زدن نام آن داشتند: «هک شدن شبکه بانک سپه».
سایه یک نفوذ؛ هکی که ناگفته ماند
در این برنامه که به صورت آنلاین منتشر شد، مدیرعامل شرکت توسن، در رویکردی محتاطانه به شکلی تلویحی به نفوذ اشاراتی دارد. او ترجیح میدهد به جای استفاده صریح از کلیدواژه «هک»، از واژگانی نظیر «بحران»، «اختلال» و «تصمیمات اقتضایی» استفاده کند. با این حال، کنار هم قرار دادن جزئیات فنی مطرحشده در این برنامه، تصویر روشنی از یک نفوذ سایبری را به ذهن متبادر میکند. زمانی که به نشانههایی از دسترسی غیرمجاز به شبکه از داخل شعبه بانک اشاره میشود و مدیرعامل این شرکت از کنار گذاشتن سایت اصلی و انتقال عملیات به سایت پشتیبان با هدف «حفظ شواهد» سخن میگوید، مختصات یک رخداد امنیتی جدی نمایان میشود. افزون بر این، اشاره به این موضوع که منشأ بحران نه از بیرون شبکه، بلکه از درون «Trusted Zone» و منطقه امن و مورد اعتماد بوده است، عملاً ویژگیهای ساختاری یک نفوذ سایبری را توصیف میکند. چیزی که از آن در شبکههای اجتماعی به عنوان هک و هکهای متعدد بانک سپه در طول جنگ ۴۰ روزه یاد میشود.
امنیت در سایه سکوت؛ چرا آگاهی از نفوذ سایبری حق ذینفعان است؟
این موضوع تنها پرده از جزئیات فنی یک بحران برنمیدارد، بلکه بار دیگر جای خالی «شفافیت» و نادیده گرفتن حق ذینفعان در آگاهی از رخدادهای سایبری را برجسته کرد. با وجود اینکه حضور و سخنان مدیرعامل توسن در رابطه با این موضوع خود گویای اهمیت شفافیت چنین رخدادهایی است اما آنچه محل سوال شده، این است که چرا این توضیح به صورت عمومی بیان نشده است؟
این گفتوگو به وضوح نشان داد که شبکه بانکی در جریان حوادث اخیر با یک نفوذ سایبری جدی مواجه بوده است؛ موضوعی که پیش از این بهطور رسمی درباره ابعاد آن اطلاعرسانی نشده بود. با این وجود، حتی در این برنامه نیز موضوع هک بهصورت شفاف و صریح اعلام نگردید. این رویه در حالی تداوم دارد که رعایت اصل شفافیت در اعلام رخدادهای امنیتی، از مسئولیتهای حرفهای نهاد بانکی و پیمانکاران آن به شمار میرود و اطلاع از وضعیت زیرساختها، حق طبیعی ذینفعان و مشتریان است.