بررسی رخدادهای مرتبط با حملات سایبری در صنعت بانکداری ایران طی سه سال گذشته نشان میدهد که الگوی این حملات از نشت اطلاعات و باجگیری به سمت حمله به زیرساختهای عملیاتی و اختلال در ارائه خدمات بانکی تغییر کرده است؛ روندی که اهمیت تابآوری عملیاتی، برنامههای تداوم کسبوکار و توان بازیابی سریع خدمات را بیش از گذشته در کانون توجه قرار داده است.
به گزارش سیتنا، در سه سال گذشته، صنعت بانکداری ایران یکی از پرتنشترین دورههای امنیت سایبری خود را تجربه کرده است. آنچه ابتدا با نفوذ به زنجیره تأمین نرمافزارهای بانکی و باجگیری آغاز شد، به مرور به حملات مخرب علیه سامانههای عملیاتی بانکها و در نهایت حمله به زیرساختهای مشترک بانکی رسید.
بررسی رخدادهای این دوره نشان میدهد که هدف مهاجمان دیگر صرفاً دسترسی به دادههای محرمانه یا اخاذی مالی نبوده، بلکه ایجاد اختلال در تداوم کسبوکار بانکها و کاهش تابآوری زیرساختهای مالی نیز به یکی از اهداف اصلی تبدیل شده است.
نخستین زنگ خطر جدی در شهریور ۱۴۰۳ به صدا درآمد؛ زمانی که گروه هکری IRLeaks مدعی نفوذ به کربنکینگ (سامانه بانکداری متمرکز) شرکت توسن، یکی از تأمینکنندگان نرمافزار بانکداری کشور شد. مهاجمان اعلام کردند به اطلاعات مربوط به حدود ۱۰ بانک مشتری این شرکت دست یافتهاند و بخشی از دادهها را منتشر کردند.
پس از این رخداد، ایمیلی منتشر شد که نشان میداد مدیرعامل این شرکت توافقی با مهاجمان انجام داده و در ازای پس گرفتن دادهها، ۳۴ بیتکوین باج داده است.
چند ماه بعد، گروه Code Breakers مدعی شد به بیش از ۱۲ ترابایت اطلاعات بانک سپه شامل دادههای حدود ۴۲ میلیون مشتری دسترسی پیدا کرده و این اطلاعات را برای فروش عرضه کرده است. همچنین ادعا شد که برای جلوگیری از انتشار اطلاعات، درخواست ۴۲ میلیون دلار باج مطرح شده است.
بانک سپه این ادعا را رد کرد و اعلام کرد: سامانههای بانک به اینترنت متصل نیستند و نفوذی رخ نداده است. با این حال، سید محمدامین آقامیری، رئیس مرکز ملی فضای مجازی بعد از مدتی نشت اطلاعات بانک سپه را تایید و به ایرنا گفت: «در رابطه با بانک سپه سرقت داده رخ داده و نه هک، سرقت داده به این معنا که بدون نفوذ خارجی و از راههای مختلف مثل افشای داخلی یا خطای انسانی و... دادهها نشت پیدا کرده و این موضوع، نشاندهنده عدم آسیبپذیری زیرساختهای فنی بانک سپه است و به نشت اطلاعات محدود میشود.»
همزمان با آغاز درگیری نظامی ایران و رژیم صهیونیستی در جنگ ۱۲ روزه، حملات سایبری وارد مرحلهای متفاوت شد. گروه «گنجشک درنده (Predatory Sparrow) مسئولیت حمله به بانک سپه را برعهده گرفت و مدعی شد دادههای این بانک را از بین برده است. همزمان بانک پاسارگاد نیز با اختلال گسترده در خدمات مواجه شد.
در نتیجه این حملات، اینترنتبانک، همراهبانک، خودپردازها و خدمات پرداخت دو بانک برای ساعتها و در برخی موارد چند روز از دسترس خارج شدند.
بعدها شرکت داتین که زیرساخت نرمافزاری این دو بانک را پشتیبانی میکرد، با انتشار بیانیهای اعلام کرد که زیرساختهای سختافزاری دو بانک کشور هدف یک حمله سایبری بزرگ و پیچیده قرار گرفت و تجهیزات ذخیرهسازی داده (Storage) بانکها آسیب بسیار جدی دیدند و غیرقابل استفاده شدند. ابعاد آسیب به زیرساختهای ذخیرهسازی اطلاعات تحت مالکیت این دو بانک، بهحدی بود که منجر به توقف کامل و ناگهانی خدمات بانکی شد.
در نتیجه این حمله هر دو بانک با سامانههای مدیریت بحران داتین با سرویسهای اصلی، مجدداً فعال شدند. بعدتر بانک سپه اعلام کرد با تغییر تأمینکننده نرمافزار بانکداری از داتین به توسن، سرویسها را تکمیل خواهد کرد. پاسارگاد ۱۰ روز پس از حمله اعلام کرد، همه خدمات به حالت قبل از حمله بازگشته، اما مشتریان بانک سپه تا مهر ماه همان سال (۴ ماه بعد از حمله) با مشکلاتی از جمله پرداخت اقساط و... مواجه بودند.
در جریان جنگ ۴۰ روزه، دامنه حملات به دو بانک ملی و بانک سپه برای بار دوم رسید و بخشی از خدمات بانکی این دو بانک از دسترس خارج شدند. این حملات همزمان با افزایش تنشهای سایبری میان ایران و اسرائیل رخ داد و نشان داد که زیرساختهای مالی به یکی از اهداف اصلی جنگ سایبری تبدیل شدهاند.
در بانک ملی خدمات سامانه اینترنتی بام و برخی خدمات شعبهای با اختلال مواجه شد. بانک ملی در لایه Core Banking دچار مشکل نشد، بلکه خدماتی که از طریق شرکت سداد زیرمجموعه بانک ملی ارایه میشد، با اختلال مواجه شدند.
اما در بانک سپه موضوع پیچیدهتر بود. این بار نیز تمامی خدمات بانک متوقف شد و همه خدمات شعبهای و کارتی حضوری و غیرحضوری مختل شد.
به گفته مدیرعامل توسن که عهدهدار زیرساخت این بانک بود، هکرها از داخل شعبه بانک سپه به شبکه بانک دسترسی غیرمجاز پیدا کردند.
بررسی های سیتنا در شبکههای اجتماعی نشان میدهد که بانک سپه چندین بار در طول جنگ ۴۰ روزه مورد حمله قرار گرفته و بر اساس بررسی های میدانی خبرنگار سیتنا در آن دوره، عموم شعب این بانک هم در خدمت رسانی به مشترکان دچار اختلال بودند. اگرچه در طول این دوره چندین بار بانک سپه اعلام کرد خدمات برقرار شده، اما عملاً از ۱۹ اسفند تا نیمه فروردین اختلالهای گسترده و قطعیهای طولانی مدت، شائبه چندین بار هک را به ذهن متبادر میکند.
همچنین پس از حمله سایبری، در تاریخ ۲۰ اسفندماه ۱۴۰۴ دیتاسنتر بانک سپه مورد تهاجم هوایی دشمن آمریکایی - صهیونیستی قرار گرفت و در پی انفجار مرکز داده، تمامی تجهیزات سختافزاری از بین رفت.
در تاریخ ۲۳ خرداد ۱۴۰۵ شورای هماهنگی بانکها حمله سایبری به بانکهای ملی، تجارت، صادرات و توسعه صادرات را تأیید کرد. شرکت خدمات انفورماتیک عهدهدار زیرساخت نرمافزاری این چهار بانک بود و این حمله باعث اختلال در شعب، خدمات کارتی، اینترنتبانک، همراهبانک و خودپردازها شد.
هرچند مسئولان اعلام کردند که هیچگونه دسترسی غیرمجاز به اطلاعات مشتریان یا حذف دادهها رخ نداده است، اما این حادثه نشان داد حملات سایبری به سمت هدف قرار دادن زیرساختهای مشترک صنعت بانکداری حرکت کردهاند؛ حملاتی که در صورت موفقیت، میتوانند همزمان چندین بانک را تحت تأثیر قرار دهند.
طبق اعلام شرکت خدمات انفورماتیک، پس از اختلال در سامانههای اصلی، با استفاده از سامانه جایگزین «هور» خدمات پایه بانکی در کمتر از چند ساعت به مدار سرویسدهی بازگشته و هماکنون بانکها از طریق این زیرساخت در حال ارائه خدمات هستند.
مدیرعامل شرکت خدمات انفورماتیک اعلام کرد: از آن روز تاکنون چندین بار حمله سایبری رخ داده و حتی بعد از فعالسازی مجدد سامانه، دوباره حملاتی رخ داده و با گذشت نزدیک به ۳ هفته از بروز رخداد، همچنان سامانهها به پایداری نرسیده اند.
مرور این رخدادها از سوی سیتنا نشان میدهد که ارزیابی امنیت بانکها دیگر صرفاً با شاخصهایی مانند محرمانگی اطلاعات یا جلوگیری از نشت دادهها ممکن نیست. امروز، تابآوری عملیاتی، توان بازیابی سرویسها و بازگشت سریع به مدار و داشتن برنامههای تداوم کسبوکار به اندازه امنیت اطلاعات، به یکی از معیارهای اصلی ارزیابی بلوغ امنیت سایبری بانکها تبدیل شده است.