رویداد ۲۴| اظهارنظر مدیرعامل بانک سپه درباره اینکه دیگر «هیچ تهدیدی نمیتواند مشکل ایجاد کند» بیش از آنکه نشانه اعتماد فنی باشد، یادآور الگوی تکراری در مدیریت بحرانهای فناوری است؛ الگویی که در آن، پس از هر حادثه سایبری، ادبیات «کنترل کامل اوضاع» جایگزین توضیح شفاف درباره میزان خسارت و نقاط ضعف واقعی میشود.
بیشتر بخوانید:
واقعیت این است که تجربه حملات بدافزاری به شبکه بانکی طی سالهای گذشته نشان داده که زیرساختهای مالی، به دلیل گستردگی شبکه، وابستگی به سختافزارهای قدیمی و اتصال به سامانههای متعدد، ذاتاً در برابر حملات پیچیده آسیبپذیرند. در ماجرای حمله سایبری جنگ ۱۲ روزه نیز گزارشهای غیررسمی از آسیب جدی به بخشی از تجهیزات فیزیکی و سختافزارها حکایت داشت؛ مسائلی که معمولاً با تعویض تجهیزات یا بازسازی سامانهها حل میشوند، نه صرفاً با «ایمنسازی کامل زیرساخت».
از منظر فنی، ادعای «غیرممکن شدن ایجاد مشکل در آینده» بیشتر شبیه یک موضع تبلیغاتی است تا یک گزاره تخصصی. در دنیای امنیت سایبری، هیچ سامانهای صددرصد امن نیست و حتی پیشرفتهترین بانکها و نهادهای مالی دنیا نیز دائماً مورد حمله قرار میگیرند. اصول امنیت اطلاعات بر پایه «کاهش ریسک» است، نه حذف کامل تهدید.
نکته قابل توجه دیگر، نبود توضیح دقیق درباره ماهیت حمله، میزان خسارت واقعی و تغییرات انجامشده در معماری امنیتی است. در اغلب کشورها، بعد از حملات سایبری بزرگ، گزارشهای فنی منتشر میشود تا هم اعتماد عمومی بازسازی شود و هم نقاط ضعف برای متخصصان روشن شود. اما در فضای بانکی ایران معمولاً روایت رسمی به چند جمله کلی درباره «رفع کامل مشکل» محدود میشود.
از سوی دیگر، جایگاه نظارتی نهادهایی مانند بانک مرکزی جمهوری اسلامی ایران در چنین مواردی اهمیت پیدا میکند. اگر قرار است اعتماد عمومی به امنیت سیستم بانکی تقویت شود، لازم است ارزیابیهای مستقل و گزارشهای شفاف درباره سطح آمادگی سایبری منتشر شود، نه صرفاً اظهارنظرهای اطمینانبخش مدیران اجرایی.
مسئله اصلی شاید خود حمله سایبری نباشد، بلکه نحوه روایت آن است. وقتی سابقه حملات بدافزاری، اختلال در خدمات و حتی آسیب فیزیکی به تجهیزات وجود دارد، ارائه تصویر «امنیت کامل و دائمی» بیشتر باعث تردید افکار عمومی میشود تا ایجاد اعتماد. در حوزه امنیت سایبری، واقعبینی و شفافیت معمولاً مؤثرتر از اطمینانبخشی مطلق است. موضوعی که به نظر میرسد اتاق فکر و روابط عمومی و مدیریت بانک سپه هیچ توجهی به آن ندارد.
مسئله فقط خودِ حمله یا خسارت نیست، بلکه «چرخه یادگیری از بحران» است؛ چیزی که معمولاً در ساختارهای بزرگ مالی اگر جدی گرفته نشود، باعث تکرار آسیبها میشود. تجربه حملات سایبری در دنیا نشان میدهد سازمانهایی که بعد از هر حمله، بازطراحی عمیق معماری امنیتی، آموزش نیروی انسانی و تستهای نفوذ مستقل را جدی میگیرند، در بلندمدت تابآوری بیشتری پیدا میکنند. اما اگر بحران صرفاً با تعویض تجهیزات یا چند ارتقای نرمافزاری جمع شود، در واقع فقط صورت مسئله پاک شده است.
در مورد بانک سپه نیز پرسش اصلی این است که آیا بعد از آن اتفاق، تغییر ساختاری در مدل امنیت سایبری رخ داده یا صرفاً زیرساخت قبلی با نسخه جدیدتری جایگزین شده است. تفاوت این دو بسیار مهم است؛ چون حملات مدرن فقط ضعف نرمافزار یا سختافزار نیستند، بلکه ترکیبی از نفوذ انسانی، مهندسی اجتماعی، حمله به زنجیره تأمین و تخریب فیزیکی را شامل میشوند.
نکته دیگری که کمتر به آن پرداخته میشود، مسئله اعتماد مشتریان در عصر بانکداری دیجیتال است. امروز کاربران فقط دنبال فعال بودن خدمات نیستند؛ آنها میخواهند بدانند دادههای مالیشان چقدر امن است. ادبیات «هیچ تهدیدی دیگر اثر ندارد» شاید در کوتاهمدت آرامش ایجاد کند، اما در بلندمدت اگر با شفافیت فنی همراه نباشد، میتواند اثر معکوس بگذارد و این تصور را ایجاد کند که اطلاعات کامل به افکار عمومی داده نمیشود.