روز شنبه ۲۳ خرداد ۱۴۰۵، خدمات بانکی چهار بانک ملی، تجارت، صادرات و توسعه صادرات در ایران دچار اختلال شد و کاربران در سراسر ایران در استفاده از برخی خدمات کارتی، خودپردازها، کارت‌خوان‌ها، موبایل‌بانک و اینترنت‌بانک با مشکل روبه‌رو شدند. نهادهای بانکی بعدتر اعلام کردند این اختلال ناشی از یک «حمله سایبری محدود» به زیرساخت ارتباطی مشترک این چهار بانک بوده است. مقام‌های رسمی همچنین گفتند اطلاعات مشتریان افشا نشده و داده‌ای از بین نرفته است.

اهمیت این حادثه فقط در تعداد بانک‌های درگیر نیست. مسئله اصلی این است که چهار بانک بزرگ، هم‌زمان و در چند خدمت مختلف دچار مشکل شدند. این هم‌زمانی نشان می‌دهد اختلال احتمالاً از یک نقطه مشترک در زیرساخت بانکی شروع شده، نه از چهار مشکل جداگانه در چهار بانک مستقل. همین نکته، حادثه را از یک قطعی معمولی بانکی به یک هشدار درباره تاب‌آوری شبکه مالی کشور تبدیل می‌کند.

اختلال فقط یک خطای اپلیکیشن نبود

وقتی موبایل‌بانک باز نمی‌شود، کاربر معمولاً تصور می‌کند مشکل از همان اپلیکیشن است. اما در این حادثه، نشانه‌ها گسترده‌تر بود. برخی کاربران نمی‌توانستند از خدمات اینترنتی استفاده کنند. برخی تراکنش‌های کارتی انجام نمی‌شد. در مواردی، کارت‌خوان فروشگاه‌ها یا پمپ‌بنزین‌ها هم دچار مشکل شده بود. خودپردازها، مانده‌گیری، انتقال وجه و ورود به سامانه‌های غیرحضوری نیز در بعضی گزارش‌ها به‌عنوان سرویس‌های مختل‌شده مطرح شدند.

این دامنه اختلال نشان می‌دهد ما با یک مشکل ساده در رابط کاربری یا نسخه موبایل‌بانک طرف نبودیم. اگر فقط یک اپلیکیشن از کار می‌افتاد، اثر آن محدودتر می‌ماند. اما وقتی کارت، خودپرداز، اینترنت‌بانک، موبایل‌بانک و حتی تسویه وجوه پذیرندگان تحت تاثیر قرار می‌گیرند، مسئله به لایه‌های عمیق‌تر خدمات بانکی مربوط می‌شود.

در بخش پذیرندگان هم موضوع مهم بود. اعلام شد برای جلوگیری از مشکل در تسویه، وجوه برخی پذیرندگانی که حسابشان در این چهار بانک بوده، به حساب پشتیبان واریز می‌شود. این یعنی اختلال فقط کاربران عادی را درگیر نکرده بود؛ کسب‌وکارهایی که فروش روزانه‌شان به پرداخت الکترونیکی وابسته است هم تحت تاثیر قرار گرفته بودند.

زیرساخت مشترک یعنی چه؟

بانکداری دیجیتال فقط کارت بانکی و یک اپلیکیشن روی گوشی نیست. هر تراکنش بانکی از چند لایه عبور می‌کند: بانک صادرکننده کارت، سامانه‌های پردازش تراکنش، شبکه‌های ارتباطی، سوئیچ‌های بانکی، سامانه‌های احراز هویت، مراکز داده و زیرساخت‌های واسط. کاربر در نهایت فقط یک پیام می‌بیند: «تراکنش موفق» یا «خطا در انجام عملیات». اما پشت همین پیام کوتاه، چند سامانه باید بدون وقفه و با هماهنگی کامل کار کنند.

وقتی یک لایه مشترک در این زنجیره دچار اختلال شود، اثر آن می‌تواند هم‌زمان در چند بانک دیده شود. به زبان ساده، لازم نیست مهاجم یا عامل اختلال به تک‌تک بانک‌ها ضربه بزند. اگر نقطه‌ای هدف قرار بگیرد که چند بانک به آن وابسته‌اند، نتیجه می‌تواند گسترده‌تر از اندازه خود حمله باشد.

این هم‌زمانی، در کنار روایت رسمی درباره زیرساخت ارتباطی مشترک، احتمال وجود یک نقطه شکست مشترک را برجسته می‌کند. نقطه شکست مشترک بخشی از زیرساخت است که اگر از کار بیفتد، فقط یک سرویس را مختل نمی‌کند؛ چند سامانه، چند بانک و تعداد زیادی کاربر را هم‌زمان تحت تاثیر قرار می‌دهد. در شبکه بانکی، چنین نقطه‌ای حساس‌تر است، چون نتیجه اختلال مستقیماً در زندگی روزمره مردم دیده می‌شود.

روایت رسمی چه می‌گوید؟

روایت رسمی می‌گوید اختلال اخیر نتیجه یک حمله سایبری محدود بوده و این حمله به زیرساخت ارتباطی مشترک چهار بانک مربوط می‌شده است. همچنین اعلام شده که دسترسی غیرمجاز به اطلاعات مشتریان رخ نداده و داده‌ای حذف نشده است.

این بخش باید دقیق بیان شود. تا وقتی گزارش فنی مستقل یا جزئیات قابل راستی‌آزمایی منتشر نشده، بهتر است گفته شود «مقام‌های بانکی می‌گویند نشت اطلاعات رخ نداده»، نه اینکه با قطعیت بنویسیم «هیچ اطلاعاتی نشت نکرده است». در گزارش‌گری امنیت سایبری، همین تفاوت اهمیت دارد. نبود شواهد عمومی از نشت داده، با اثبات قطعی نبود نشت داده یکی نیست.

در عین حال، همه حملات سایبری قرار نیست به سرقت اطلاعات ختم شوند. بعضی حملات با هدف اختلال در دسترس‌پذیری انجام می‌شوند. در چنین سناریویی، مهاجم ممکن است به دنبال نمایش قدرت، ایجاد بی‌ثباتی، فشار روانی یا مختل کردن خدمات باشد؛ نه الزاماً سرقت داده‌های کاربران. اختلال اخیر، دست‌کم بر اساس اطلاعات موجود، بیشتر به مسئله دسترس‌پذیری خدمات مربوط است.

چه چیزهایی هنوز روشن نیست؟

هنوز مشخص نیست حمله دقیقاً کدام بخش از زیرساخت را هدف گرفته است. معلوم نیست مشکل در لایه ارتباطی بوده، سوئیچ‌های خدمات بانکی، مسیرهای پردازش تراکنش، سامانه‌های واسط یا بخشی دیگر از شبکه. همچنین هنوز هیچ انتساب معتبر و قابل اتکایی درباره عامل حمله منتشر نشده است.

در چنین شرایطی، نسبت دادن حادثه به یک گروه مشخص یا یک دولت خارجی زودهنگام است. سابقه حملات قبلی به زیرساخت‌های مالی ایران وجود دارد، اما سابقه برای اثبات نقش یک عامل در حادثه جدید کافی نیست. بدون بیانیه معتبر، نشانگر فنی، نمونه بدافزار یا گزارش فنی قابل بررسی، انتساب فقط در حد حدس باقی می‌ماند.

یک ابهام دیگر هم به روند اطلاع‌رسانی برمی‌گردد. در ساعات اول، روایت‌ها میان «مشکل فنی»، «اختلال زیرساختی» و «حمله سایبری محدود» تغییر کرد. بعد هم در حالی از بازگشت بخشی از خدمات خبر داده شد که برخی کاربران همچنان از مشکل در سرویس‌های غیرحضوری می‌گفتند. این نوع اطلاع‌رسانی مرحله‌ای اگر دقیق و شفاف نباشد، می‌تواند اعتماد عمومی را کاهش دهد و فضا را برای شایعه باز کند.

چرا این حادثه مهم است؟

اختلال چهار بانک ایران یادآوری کرد که امنیت بانکی فقط به معنای جلوگیری از نشت اطلاعات نیست. دسترسی پایدار به پول هم بخشی از امنیت است. وقتی کاربر نمی‌تواند از حساب خود پول جابه‌جا کند، فروشنده نمی‌تواند تراکنش روزانه‌اش را تسویه کند و بانک ناچار می‌شود از راهکارهای جایگزین مثل حساب پشتیبان استفاده کند، با یک مسئله صرفاً فنی طرف نیستیم. این اختلال به زندگی روزمره مردم و گردش مالی کسب‌وکارها وصل می‌شود.

قابل اتکاترین جمع‌بندی تا این لحظه: چهار بانک بزرگ ایران هم‌زمان دچار اختلال شدند؛ مقام‌های رسمی علت را حمله سایبری محدود به زیرساخت مشترک اعلام کرده‌اند؛ نشت اطلاعات تأیید نشده؛ بازیابی خدمات تدریجی بوده؛ و هنوز جزئیات فنی کافی برای شناخت دقیق روش حمله یا عامل آن منتشر نشده است.

حتی با همین اطلاعات محدود، پیام حادثه روشن است: در شبکه بانکی، یک نقطه مشترک می‌تواند به یک ریسک بزرگ تبدیل شود. اگر چنین نقطه‌ای هدف قرار بگیرد یا دچار اختلال شود، اثر آن فقط روی سامانه‌های بانکی نمی‌ماند؛ به کارت‌خوان فروشگاه، پمپ‌بنزین، حساب پذیرنده و دسترسی روزمره مردم به پول خودشان می‌رسد.