به گزارش مشرق، پس از اختلالات اخیر در شبکه بانکی، بار دیگر یک خطای تحلیلی آشنا تکرار شد: بهجای آنکه منشأ واقعی نفوذ و ضعفهای امنیتی بررسی شود، برخی تحلیلها ابزارهای دفاعی را در جایگاه متهم نشاندند. یادداشتی با عنوان «فیلترینگ چگونه شبکه بانکی را آسیبپذیر کرد؟» نمونهای روشن از این وارونگی است؛ متنی که با کنار هم گذاشتن چند مفهوم فنی، نتیجهای میگیرد که نه با اصول شناختهشده امنیت سایبری سازگار است و نه با تجربه جهانی حفاظت از زیرساختهای حیاتی.
در امنیت سایبری یک اصل بنیادین وجود دارد: هر اتصال اضافی، هر وابستگی بیرونی و هر مسیر کنترلنشده، یک درگاه بالقوه برای نفوذ است. به همین دلیل، چارچوب NIST Cybersecurity Framework و کنترلهای CIS بر کاهش سطح حمله، تفکیک شبکهها، کنترل دسترسیها و اصل حداقل دسترسی تأکید دارند. بنابراین محدودسازی مسیرهای ارتباطی، بهویژه در زیرساختهای حساس مالی، فینفسه عامل ضعف نیست؛ بلکه بخشی از منطق دفاعی است. اگر این منطق در اجرا با نقص، پیکربندی اشتباه یا مدیریت ضعیف همراه شود، باید همان اشکالات اصلاح شود، نه اینکه اصل سیاست دفاعی بهعنوان علت حمله معرفی شود.
نخستین خطای یادداشت مورد نقد، خلط میان «نقص در اجرا» و «بطلان راهبرد» است. حتی اگر بپذیریم برخی محدودسازیها در اجرا بدون پیشبینی مسیرهای جایگزین امن، بدون طراحی مناسب شبکه یا بدون آمادگی فنی کافی اعمال شدهاند، باز هم نتیجه منطقی آن رد اصل کنترل مرزهای ارتباطی نیست. در هیچ چارچوب حرفهای امنیتی، ضعف در پیادهسازی به معنای کنار گذاشتن اصل حفاظت از زیرساخت تفسیر نمیشود. برعکس، معنای آن اصلاح اجرا، تقویت معماری و بستن مسیرهای نفوذ است.
نخست؛ IPv۶
ادعای اینکه غیرفعال بودن یا استفاده محدود از IPv۶ علت آسیبپذیری شبکه بانکی بوده، از نظر فنی قابل اثبات نیست. IPv۴ و IPv۶ صرفاً دو پروتکل انتقال هستند و هیچیک بهتنهایی امنیت ایجاد یا امنیت را نابود نمیکنند. در بسیاری از شبکههای بانکی و مراکز داده جهان، تا زمانی که زیرساخت نظارتی، سامانههای تشخیص نفوذ و سیاستهای امنیتی برای هر دو پروتکل به بلوغ کامل نرسیده باشد، محدود کردن IPv۶ یک تصمیم مدیریتی رایج برای کاهش پیچیدگی و جلوگیری از ایجاد مسیرهای نظارتنشده است. در بسیاری از رخدادهای امنیتی نیز مسئله اصلی نه غیرفعال بودن IPv۶، بلکه ضعف در مدیریت همزمان و کنترلنشده پروتکلها بوده است. بنابراین بدون شواهد جرمشناسی دیجیتال، نمیتوان میان وضعیت IPv۶ و موفقیت یک حمله سایبری رابطه علت و معلولی برقرار کرد.
دوم؛ DPI
در متن مورد نقد، تجهیزات بازرسی عمیق بستهها (DPI) بهگونهای معرفی شدهاند که گویی خود منشأ ضعف امنیتی بودهاند. در حالی که DPI ابزار دفاعی برای افزایش دید شبکه، شناسایی رفتارهای مخرب و کشف ناهنجاریهاست، نه عامل تهاجم. این ابزارها در صورت طراحی یا پیکربندی نادرست میتوانند موجب افت کارایی شوند، اما این مسئله بههیچوجه به معنای نقش آنها در ایجاد یا تسهیل حمله نیست. نسبت دادن رخداد امنیتی به وجود DPI، بدون گزارش فنی، لاگهای تحلیلی یا مستندات جرمشناسی، از نظر حرفهای قابل اتکا نیست. در گزارشهای منتشرشده تاکنون نیز DPI بهعنوان مسیر نفوذ معرفی نشده است.
سوم؛ فشار ترافیکی و اختلالات شبکه
ادعای اینکه فیلترینگ باعث افزایش بار پردازشی، ایجاد Timeout و سپس فراهم شدن زمینه حمله شده است، خلط میان «کاهش کارایی» و «نفوذ امنیتی» است. افزایش بار ترافیکی ممکن است بر کیفیت خدمات و زمان پاسخگویی اثر بگذارد، اما بهخودیخود هیچ مسیر جدیدی برای عبور از کنترلهای امنیتی، دور زدن احراز هویت یا اجرای کد مخرب ایجاد نمیکند. حمله سایبری زمانی موفق میشود که آسیبپذیری نرمافزاری، خطای پیکربندی، ضعف در احراز هویت یا نقص در مدیریت دسترسی وجود داشته باشد، نه صرفاً افزایش بار شبکه. بنابراین افت عملکرد شبکه، معادل رخنه امنیتی نیست.
چهارم؛ زنجیره تأمین نرمافزار
حملات زنجیره تأمین از پیچیدهترین تهدیدهای سایبری جهان هستند و حتی در کشورهایی با دسترسی آزاد به اینترنت و مخازن جهانی نیز رخ دادهاند. تجربه جهانی نشان میدهد که باز بودن دسترسی بهتنهایی امنیت ایجاد نمیکند؛ مسئله اصلی، مدیریت اعتماد است. راهکارهای پذیرفتهشده در این حوزه شامل امضای دیجیتال، ممیزی مستمر کد، کنترل یکپارچگی بستهها، مدیریت وابستگیها و اجرای معماری اعتماد صفر است. بنابراین نسبت دادن این نوع حملات به اصل محدودسازی دسترسی، نه از نظر فنی دقیق است و نه از نظر تجربی قابل دفاع.
پنجم؛ VPN و فیلترشکن
وابستگی کاربران به ابزارهای ناشناس و غیرقابل اعتماد، بدون تردید یک ریسک امنیتی است؛ اما این مسئله دلیلی برای حذف کنترلهای امنیتی نیست. تاکنون هیچ گزارش فنی رسمی منتشر نشده که نشان دهد منشأ نفوذ در رخداد اخیر، استفاده از VPNهای عمومی یا فیلترشکنها بوده است. در سطح حرفهای، راهحل این مسئله ایجاد گذرگاههای امن، VPNهای سازمانی کنترلشده، احراز هویت قوی و دسترسی مبتنی بر هویت، و کانالهای ارتباطی ممیزیشده است. حذف کنترل دسترسی، جایگزین امنیت نمیشود؛ بلکه صرفاً سطح حمله را افزایش میدهد.
ششم؛ سرمایه انسانی
مهاجرت متخصصان امنیت سایبری واقعیتی قابل انکار نیست و میتواند بخشی از ظرفیت دفاعی را تضعیف کند، اما تقلیل آسیبپذیری یک شبکه ملی به این عامل، تحلیل کامل و دقیقی نیست. تجربه جهانی نشان میدهد حتی پیشرفتهترین کشورها و شرکتها با تیمهای بزرگ امنیتی نیز هدف حملات پیچیده قرار میگیرند. آنچه تعیینکننده میزان خسارت است، بلوغ حکمرانی امنیت، معماری صحیح، مراکز عملیات امنیت (SOC)، مدیریت رخداد، رزمایشهای مستمر، دفاع در عمق، تداوم خدمت در شرایط بحران و حفظ دانش سازمانی است. در امنیت زیرساخت، نیروی انسانی مهم است، اما ساختار تعیینکنندهتر است.
در نهایت، ضعف اصلی یادداشت مورد نقد در خلط میان «نقد اجرای سیاست» و «رد اصل سیاست» است. اگر در اجرا، طراحی شبکه، کیفیت کنترل دسترسی یا جایگزینهای امن اشکال وجود داشته باشد، باید همان موارد اصلاح شوند. اما نسبت دادن رخدادهای پیچیده سایبری به اصل وجود سازوکارهای دفاعی، بدون ارائه مستندات فنی، نتیجهای جز انحراف بحث از منشأ واقعی تهدید ندارد.
حمله به شبکه بانکی بار دیگر یک واقعیت بنیادین را یادآوری کرد: امنیت زیرساختهای حیاتی نه با سادهسازی صورت مسئله، بلکه با معماری دقیق، دفاع چندلایه، مدیریت مستمر آسیبپذیریها، کنترل مؤثر دسترسیها و طراحی تابآوری حاصل میشود. مسئله اصلی این نیست که چرا دیوار دفاعی وجود دارد؛ مسئله این است که چرا در کنار آن، مسیرهای امن، کنترلشده و بهروز به اندازه کافی کامل و مقاوم طراحی نشدهاند.
یادداشت از: افسانه حاجیلو




