فرار بزرگ بعد از هک بانک‌ها / به‌جای پاسخگویی، اینترنت را متهم می‌کنند / تجهیزات شبکه، استوک و دست‌دوم است / مجوز آپدیت تجهیزات را هم ندادند

تینا مزدکی _ یکی از رایج‌ترین توجیه‌هایی که پس از هر موج از هک‌های سریالی از سوی برخی سیاست‌گذاران و تندروها مطرح می‌شود، متهم کردن خودِ فناوری اینترنت و پیوند دادن امنیت به استراتژی‌های انزواگرایانه‌ای چون «ایران‌اکسس» (Iran Access) کردن شبکه‌هاست؛ دقیقا همان بهانه‌ای که اکنون در خصوص هک‌ شدن بانک‌ها عنوان شده است. اما آیا تمام ابعاد امنیت در اتصال اینترنت خلاصه می‌شود یا این‌ حرف‌ها تنها راهی برای فرار از مسئولیت است؟

برای بررسی دقیق‌تر ابعاد این مسئله با وحید فرید، کارشناس امنیت شبکه در خبرآنلاین به گفت‌وگو پرداختیم که در ادامه مشروح آن را می‌خوانید:

مغلطه امنیت در انزوا

وحید فرید کارشناس فاوا در پاسخ به این پرسش که اینکه گفته می‌شود وقوع هک‌، نتیجه‌ مستقیم اتصال به اینترنت جهانی است و اگر اینترنت قطع یا محدود شود، امنیت زیرساخت‌ها تأمین خواهد شد؛ از نظر فنی چطور ارزیابی می‌شود می‌گوید:« اینکه عنوان می‌شود «هک نتیجه‌ اینترنت یا تقصیر اینترنت است»، یک مغلطه‌ی بسیار واضح و بزرگ است. مثل این است که شما بگویید «وقوع تصادفات رانندگی، نتیجه‌ وجود خیابان است!» در وهله‌ی اول ممکن است این حرف به نظر برخی درست بیاید؛ چرا که اگر خیابانی وجود نداشت، تصادفی هم رخ نمی‌داد. اما مگر می‌شود در دنیای امروز خیابان نباشد؟ خیابان نیاز اساسی زندگی امروزی است.»

او می‌گوید:«اینترنت نیز دقیقاً به همین شکل است؛ یک تکنولوژی و نیاز حیاتی برای زندگی امروز بشر است و شما اصلاً نمی‌توانید این نیاز را فاکتور بگیرید. شاید مثل تنفس کردن نباشد، اما واقعاً با پدیده‌ای مثل «برق» قابل مقایسه است. مگه‌ شما می‌توانید برق کشور را قطع کنید، به دوره پارینه‌سنگی برگردید و بگویید من از این به بعد با آتش خودم را گرم می‌کنم؟ قطعاً نمی‌شود. به لحاظ منطق نظری، شاید یک چوپان در وسط بیابان مجبور باشد بدون این امکانات زندگی کند؛ اما چرا ما باید زندگی شهری و اقتصاد یک کشور را نابود کنیم؟ آن هم فقط به خاطر اینکه یک عده به خاطر منافع یا عدم استفاده از متخصصین، باعث کوچ و هجرت اجباری «نیروهای مولد» شده‌اند.»

فرید ادامه می‌دهد:«من اینجا تعمداً از عبارت «نخبه» استفاده نمی‌کنم؛ اما می‌توانیم بگوییم نیروهای مولد؛ یعنی کسانی که متخصص بودند، امنیت ایجاد می‌کردند، تکنولوژی را ارتقا می‌دادند و زیرساخت‌ها را امن و به‌روز نگه می‌داشتند. شما وقتی تمام این بخش فنی را فلج کردید، نیروهای متخصص را کنار گذاشتید و در مقابل، نیروهای بله‌قربان‌گو را بالای سر کار گذاشتید، طبیعی است که سیستم آسیب‌پذیر می‌شود؛ اما الان می‌آیید و می‌گویید اینترنت باعث هک شدن است!»

او در پاسخ به این پرسش که چه چیزی باعث بروز این مشکلات می‌شود می‌گوید:«آن چیزی که باعث هک شدن می‌شود «عدم توجه به موارد امنیتی» است. وگرنه چرا در تمام دنیا اینترنت وجود دارد ولی آن‌ها به این شکلِ سریالی و فاجعه‌بار هک نمی‌شوند؟ هک همه جا ممکن است رخ دهد. کما اینکه شما اگر بیشترین احتیاط را هم در خیابان انجام دهید، ممکن است یک راننده‌ی مست بیاید و به شما بزند؛ ولی به این خاطر، ما هیچ‌وقت نمی‌گوییم خیابان یا ابزار خودرو بد است. اینترنت یک ابزار است و ما باید خودمان را در آن فضا امن نگه داریم. آن بانک‌ها باید از درآمدی که بابت سود خدمات بانکداری از مردم می‌گیرند، سرمایه‌گذاری کنند تا زیرساخت‌هایشان امن شود.»

او همچنین در پاسخ به این پرسش که چرا سرمایه‌گذاری صورت نمی‌گیرد می‌گوید:« بخشی از آن را اصلاً نمی‌توانند؛ چون پول ملی بی‌ارزش شده، تجهیزات روز دنیا فوق‌العاده گران است و آدم‌های متخصص هم گران هستند. در نتیجه‌ی این وضعیت، چون مسئولیت روزمره‌ای حس نمی‌شود، می‌آیند و مثلاً بچه‌ی راننده‌شان را می‌گذارند مسئول امنیت شبکه! سیستم به صورت روزمره کار می‌کند و کارشان گیر نیست؛ پس آن آدم چهار سال آنجا می‌ماند و حقوق می‌گیرد، اما یک بار سیستم هک می‌شود و بعد برای اینکه مسئولیت را از گردن خودشان دور کنند، می‌آیند و می‌گویند تقصیر اینترنت بود! وگرنه بی‌احتیاطی شما در آن فضاست که باعث اتفاقات بعدی می‌شود.»

این کارشناس امنیت شبکه در پاسخ به این پرسش که گفته می‌شود سامانه‌های بانکی ما اصلاً به اینترنت وصل نیستند و روی شبکه‌های مستقل قرار دارند، آیا از نظر فنی صحت دارد؟ می‌گوید:«اینکه می‌گویند فلان بانک به اینترنت وصل نبوده، ادعایی است که من اصلاً آن را درک نمی‌کنم و به نظرم کاملاً اشتباه است. بانک حتماً به اینترنت وصل است. ما صنایع خاصی در کشور داریم؛ مثلاً صنایع اتمی یا صنایع نظامی ما ممکن است شبکه‌های کاملاً مستقل و ایزوله داشته باشند، ولی سیستم بانکی که نمی‌تواند شبکه مستقل داشته باشد. سرور بانک باید به صورت مداوم آپدیت و به‌روزرسانی بگیرد. سرور بانک به شبکه داخلی وصل است و دارد به مشتریان خدمات می‌دهد؛ وقتی سرور به شبکه داخلی وصل است، یعنی حتی اگر منِ نوعی به عنوان کاربر قطع باشم، آن «خطوط سفید» (دسترسی‌های ویژه) وصل هستند.»

او می‌گوید:«این یعنی آن شبکه، یک شبکه ایزوله نیست و در نقاط متعددی به اینترنت جهانی متصل است؛ بنابراین شما اگر اینترنتِ منِ کاربر را هم قطع کنید، بانکتان امن نمی‌شود. شما یک شبکه گسترده دارید به اسم «شبکه ملی»؛ این شبکه ملی که ایزوله نیست، بلکه از هزاران نقطه دارد به اینترنت جهانی وصل می‌شود. حالا اگر حتی کانال‌ها را محدود کنیم و دیوایس‌های کاربر عادی را کنار بگذاریم، ما مسیرهای اینترنت جهانی داریم که یک‌سری فایروال‌ها آمده‌اند و این مسیرها را برای یک عده بسته‌اند، ولی برای یک عده‌ی دیگر باز نگه داشته‌اند. حتی اگر شبکه یک نقطه اتصال هم به بیرون داشته باشد، دیگر آن شبکه ایزوله به شمار نمی‌رود.»

زمانی که اینترنت سفید وجود دارد، دیوایس و دستگاه کاربر متصل به آن، تبدیل به «زامبی» می‌شوند.

فرید در پاسخ به این پرسش که هکرها در زمان قطعی یا محدودیت شدید اینترنت، دقیقاً چطور به سیستم‌ها متصل می‌شوند و حملات خود را جلو می‌برند؟ نیز می‌گوید:« کسانی که می‌آیند و اینترنت را قطع می‌کنند، چون دانش فنی این کار را ندارند، فکر می‌کنند وقتی کاربر نهایی را قطع کردند، شبکه‌شان را امن ساخته‌اند. آن‌ها اصلاً به این فکر نمی‌کنند که وقتی شما می‌آیید برای صد و خورده‌ای روز دسترسی دیتاسنترهای کشور را از اینترنت قطع می‌کنید، اتفاقاً آن‌ها را شدیداً آسیب‌پذیر کرده‌اید؛ چرا؟ چون این سرورها و دیتاسنترها بیش از سه ماه است که هیچ آپدیت و به‌روزرسانی دریافت نکرده‌اند. در این مدت، کلی حفره‌ی امنیتی جدید در دنیا کشف شده اما این‌ها آپدیت نشده‌اند.»

او می‌گوید:«در چنین وضعیتی، هکر به راحتی می‌تواند از طریق یکی از دیوایس‌های همین خطوط سفید، یا همین اینترنت‌هایی که به هر حال ترافیکشان را از روز اول جنگ به یک‌سری افراد می‌فروختند، نفوذ کند. در زمان قطعی، یک عده این وسط داشتند ترافیک اینترنت را با قیمت‌های گزاف به فروش می‌رسانند و مردم هم می‌خریدند؛ حالا شما اصلاً بگویید بسترش استارلینک بوده، یا آن کسب‌وکار آی‌پی سفیدی بوده که ترافیک داشته است.»

به گفته این کارشناس، زمانی که اینترنت سفید وجود دارد، دستگاه کاربر متصل به آن تبدیل به یک «دیوایس زامبی» می‌شود؛ به این معناست که هکر از طریق همان دیوایس به شبکه بانکی حمله می‌کند. نفوذ از طریق همان ابزاری رخ می‌دهد که آن را سفید کردند و گفتند فقط به کسانی اینترنت می‌دهیم که صدای ما باشند! دقیقاً همان آدم‌ها و دستگاه‌ها می‌شوند حفره‌های امنیتی داخل شبکه. در نتیجه آن کاربر سروری دارد که به‌روزرسانی نشده، و در کنارش یک دیوایس متصل دارد که محل نفوذ هکر می‌شود. در اوج قطعی اینترنت، همچنان دو تا سه درصد ترافیک اینترنت در کشور وجود داشت که همان، محل ورود هکر می‌شود.»

«ایران‌اکسس کردن شبکه»

فرید همچنین در پاسخ به این پرسش که آیا ایران‌اکسس کردن شبکه، سیاست درستی است؟ می‌گوید:«این رویکرد دقیقاً برعکس عمل می‌کند؛ یعنی قطع کردن اینترنت، آسیب‌پذیری زیرساخت‌ها را بالا می‌برد. اصلاً همین ایده و تفکر «ایران‌اکسس کردن شبکه» خودش بزرگترین خطر برای زیرساخت‌های ما بوده است. متأسفانه یک عده نادان این ایده را ترویج کرده‌اند که اگر زیرساخت‌ها را ایران‌اکسس کنیم، خیالمان راحت است؛ در صورتی که این کار واقعاً کمکی به جلوگیری از هک نمی‌کند. شاید این کار احتمال حملات تصادفی را کمی کاهش دهد، اما هکری که یک سازمان یا یک بانک را «تارگت» کرده باشد، به راحتی می‌تواند با وجود ایران‌اکسس بودن هم هدفش را پیش ببرد؛ چون شما هزاران نقطه دسترسی در داخل کشور دارید که هکر می‌تواند از آن‌ها استفاده کند. ما همین الان در شبکه، دیتاسنترها و شرکت‌هایمان سرورهای زامبی به تعداد فراوان داریم؛ چون اصلاً دانش امنیت وجود ندارد. واقعاً می‌توانم به شما بگویم ۷۰ تا ۸۰ درصد شرکت‌های ما در واحدهای آی‌تی خود اصلاً «نفرِ امنیت» ندارند و اصلاً نمی‌دانند امنیت چیست! یعنی یک متخصص امنیت تا به حال یک بار هم پایش را در آن شرکت نداشته است.»

او همچنین در پاسخ به این پرسش که در خصوص هک شدن بانک‌ها، سناریو استفاده از تجهیزات آلوده یا قدیمی در زنجیره تأمین، چقدر واقع‌بینانه است؟ می‌گوید:« سرفصل این موضوع را نمی‌توانم انکار کنم؛ اما بیشتر فکر می‌کنم که طرح این مباحث، یک‌جور فرار از مسئولیت است. اولاً شما چرا تجهیزات قدیمی استفاده کردید؟ تجهیزات جدید استفاده کنید! چرا استفاده نمی‌کنید؟ چون پول شما بی‌ارزش است، چون نمی‌خواهید سرمایه‌گذاری کنید. من شخصاً معتقد نیستم که تجهیزات حتماً آلوده باشد؛ به نظرم یک مقدار زیادی مسئله را بزرگ کرده‌اند. مگر ما دیوایس‌هایمان را رفته‌ایم مثلاً از کمپانی سیسکو به نام ایران خریده‌ایم؟ خیر؛ این‌ها رفته‌اند تجهیزات را از استوک‌های جهان جمع کرده‌اند و آورده‌اند.»

تجهیزات شبکه، استوک و دست‌دوم است!

وحید فرید می‌گوید:« در شبکه‌های داخلی ما ۸۰ درصد یا ۷۰ درصد تجهیزاتی که خریده‌اند و دارند استفاده می‌کنند، اصلاً استوک و دست‌دوم بوده است. چون تجهیزات نو گران است و ما اصلاً نمایندگی رسمی نداریم که مستقیم بیاورند اینجا؛ در نتیجه هر چیزی را که می‌رویم می‌خریم، یا به اسم نو می‌خریم یا به اسم استوک می‌خریم که این فرآیند اصلاً خودش ذاتاً ناامن است. ولی اینکه بخواهیم بگوییم زنجیره تأمین جهانی مشخصاً ما را هدف قرار داده تا چیزی در آن تجهیز بگذارد، خیلی بعید است. منتها بحث اصلی این است که وقتی شما هک شده‌اید، تقصیر را به گردن تجهیزات قدیمی بیاندازید، در واقع بار مسئولیت را از گردن خودتان برمی‌دارید. حتی اگر دلیلش تجهیزات قدیمی باشد، بازهم شما مقصرید، باز هم بانک مقصر است، شورای عالی فضای مجازی مقصر است که اجازه نداد تجهیزات آپدیت بشوند. من معتقد نیستم که آن‌ها عواقب کارشان را نمی‌دانستند.

این کارشناس خاطرنشان می‌کند که بخشی از این تصمیمات نیز ناشی از مشاوره‌های اشتباه است و می‌گوید:« به عنوان مثال به سیاست‌گذاران مشاوره می‌دهند: «آقا اگر اینترنت را قطع کنیم امنیت بیشتر می‌شود!» در صورتی که در همه قطع‌شدن‌های اینترنت و فیلترینگ‌های شدید، تعداد هک‌ها در آن بازه زمانی به شدت بالا رفته است. دقیقاً ما می‌توانیم نتیجه بگیریم که فیلترینگ شدید و قطع کردن‌های متوالی و طولانی‌مدت، زیرساخت‌ها را دارد آسیب‌پذیرتر می‌کند، نه اینکه بهبود بدهد.»

فرید همچنین در پاسخ به این پرسش که چرا سیستم‌های نظارتی ما موقع خرید و ورود این دستگاه‌ها به کشور، متوجه آلوده بودن یا نواقص فنی آن‌ها نمی‌شوند؟ توضیح می‌دهد:« من اصلاً نمی‌دانم به چه چیزی می‌گویید سیستم نظارتی چرا که اصلاً سیستم نظارتی نداریم؛ ما سیستم فیلترینگ داریم! دغدغه‌ی سیاست‌گذار ما فقط این است که جلوی اتصال مردم به اینترنت و شبکه‌های مجازی را بگیرد؛ اصلاً دغدغه‌ی امنیت ندارد. اگر دغدغه‌ی امنیت داشتند، به جای اعضای فعلی شورای عالی فضای مجازی، ۱۰ تا آدم متخصص می‌نشستند. چرا باید یک نفری که اصلاً دانش امنیت ندارد برود در شورای عالی فضای مجازی؟»

این کارشناس امنیت می‌گوید:«علاوه بر این، این مسئله اصلاً قابل نظارت نیست. بانک‌هایی که هک شدند دولتی بودند؛ مگه در بانک دولتی اصلاً سیستم نظارتی به این معنا وجود دارد؟ اگر به این سازمان‌ها بروید، می‌بینید که سیستم‌های نظارتی‌شان دانش امنیت ابتدایی را ندارند که بخواهند بفهمند این موضوع فنی چیست. نگاه آن‌ها امنیت فنی نیست، نگاهشان امنیت اجتماعی است؛ مثلاً نگاه این است که «مراقب باشید کاربر من را از طریق سؤال و جواب تخلیه اطلاعاتی نکنند!» یکی از مهم‌ترین دلایلش این است که ما آدم در سطح بالای امنیت فنی در این شرکت‌ها خیلی کم داریم؛ و آن‌هایی هم که هستند اصلاً حرفشان شنیده نمی‌شود.»

باید در سیاست‌های کلان کشور بازنگری کنیم

او در پاسخ به این پرسش که علاوه بر خلأ دانش فنی، سایه‌ تحریم‌ها چقدر بر این ناتوانی در تأمین تجهیزات امنیتی سنگینی می‌کند؟ نیز توضیح می‌دهد:«تحریم، گریبان این صنعت را گرفته است؛ این‌جوری نیست که شما فکر کنید من از هر جا دلم خواست می‌روم تجهیزات می‌خرم، از هر جا که توانستید مجبورید بخرید. آلترناتیو و جایگزینی ندارد. در واقع نمی‌توان گفت این بار از هوآوی می‌خرم، شاید بخرند اما نمی‌توانند همه‌چیز را از آن بخرند. به عنوان مثال اگر می‌خواهند دیوایس فورتی‌گیت بخرند، نه پولش را دارند، نه تحریم اجازه می‌دهد و نه کمپانی به آن‌ها می‌فروشد. در نتیجه باید از هزار واسطه بخرند، آخرش هم می‌بینیم دیوایس آپدیت نمی‌شود و در نهایت باید همیشه تن و بدنشان بلرزد که نکند این تجهیزات را برای من دستکاری کرده باشند.»

این کارشناس می‌گوید:« من می‌دانم پشت‌پرده‌ی این تفکر چیست؛ آنهایی که فرضیه تجهیزات آلوده را مطرح می‌کنند، می‌خواهند در نهایت به این نتیجه برسند که «ما باید همه چیز را خودمان در داخل بسازیم». ولی اتفاقاً از درونِ همین تجهیزات بومی‌سازی شده، حفره‌های امنیتی بیشتری در می‌آید تا اینکه مثلاً بروید در سیسکو بگردید؛ آن تجهیزات خارجی اتفاقاً خیلی حرفه‌ای‌تر هستند. اما این‌ها دارند به این سمت می‌روند که بگویند گوشی، سوئیچ، فایروال، روتر و سی‌دی‌ان را خودمان بسازیم. درِ کشور را ببندیم؛ ولی آخرش هم حفره‌های امنیتی این تجهیزات بومی، بسیار بیشتر از وضعیت موجود خواهد بود. ما اگر واقعاً بخواهیم این بحران‌های امنیتی را حل کنیم، باید در سیاست‌های کلان کشور بازنگری کنیم.»

کاری از دست بانک‌ها بر نمی‌آید

این کارشناس در پاسخ به اینکه بانک‌ها در این وضعیت چه کار می‌توانند بکنند؟ می‌گوید:«در ساختار و چارچوب موجود، شاید خیلی هم کاری از دست بانک‌ها برنیاید. دلیل اول و اصلی به وضعیت نیروی انسانی بازمی‌گردد. متخصصان امنیت و شبکه خیلی راحت‌تر از متخصصان سایر حوزه‌ها می‌توانند اقدام کنند؛ این افراد یا خیلی راحت به خارج از کشور مهاجرت می‌کنند، یا اینکه ترجیح می‌دهند به صورت فریلنس با دنیا کار کنند. از طرف دیگر، آن دسته از نیروهای متخصصی هم که در کشور می‌مانند، به مرور زمان کمتر مسئولیت‌پذیر می‌شوند؛ به خاطر اینکه بالا سر این نیروهای زبده، یک مدیر کم‌سواد می‌گذارند که حرف این متخصصان را نمی‌شنود و دائم برایشان مانع ایجاد می‌نماید. دلیل دوم به نحوه سرمایه‌گذاری مربوط می‌شود. من نمی‌گویم بانک‌ها اصلاً هزینه نمی‌کنند، اتفاقاً بودجه‌های امنیتی کم ندارند و مبالغ کلانی را هم خرج می‌کنند، اما مسئله این است که دقیق و نقطه‌زن در راه درست هزینه نمی‌کنند. شما وقتی تهِ ماجرا را بررسی می‌کنید، می‌بینید این بودجه‌ها متأسفانه با رویکردهای رابطه‌بازی و زدوبند مدیریت می‌شود و خروجی آن همین وضعیت می‌شود.»

 فرید با تاکید بر این موضوع که بحث ارزش پول ملی یکی از چالش‌های بسیار کلیدی است، می‌گوید:« این مشکلی است که اپراتورها چند وقتی است دارند آن را به طور علنی مطرح می‌کنند، اما بانک‌ها کمتر به آن اشاره می‌کنند؛ چون بانک در جامعه همیشه به عنوان یک سازمان پولدار شناخته می‌شود و نباید بیاید ناله کند که مشتری‌اش بترسد و اعتمادش سلب شود. ولی واقعیت این است که همه این‌ها ــ چه بانک‌ها و چه اپراتورها ــ درگیر یک مشکل واحد هستند: بی‌ارزش شدن پول ملی. وقتی درآمد شما به «ریال» است ولی تمام تجهیزات سخت‌افزاری و نرم‌افزاری شبکه و امنیت را باید به «دلار» بخرید، ناچار می‌شوید کمتر هزینه کنید. از طرفی، وقتی شما یک متخصص امنیت تراز اول می‌خواهید که در حال حاضر دارد با آن طرف دنیا به صورت دلاری کار می‌کند، باید هزینه بسیار سنگینی بپردازید تا بیاید برای شما کار کند. تازه وقتی با این هزینه‌های گزاف چنین آدمی را می‌آورید، باز هم نمی‌توانید خروجی مناسب از او بگیرید؛ چون همان‌طور که گفتم چهار تا نیروی بی‌سواد را آنجا مستقر کرده‌اید که این نیروها را آزار می‌دهد. خروجی رفتار آن‌ها این است که نیروی متخصص دائماً دچار تنش و فشار روانی می‌شود. در چنین فضایی، متخصصان ترجیح می‌دهند اصلاً خودشان را درگیر نکنند.»

او ادامه می‌دهد:«از آن طرف ماجرا هر وقت دلشان بخواهد، اینترنت را قطع می‌کنند یا ترافیک یک‌سری از سرورها را می‌بندند. در چنین شرایط بی‌ثباتی، دیوایس امنیتی شما یک روز آپدیت می‌شود، یک روز نمی‌شود؛ یک روز سیستم پشتیبان‌گیری شما دچار مشکل می‌شود. این وضعیت دائماً و به صورت مستمر، نقاط آسیب‌پذیری جدید و شکاف‌های امنیتی متعددی را به سامانه‌های ما اضافه می‌کند.»

این کارشناس بر این باور است که ساختار اقتصاد دیجیتال ما به شدت بیمار است و این بیماری از سیاست‌گذار به آن به ارث رسیده است. او می‌گوید:«این‌طور نیست که بخواهیم بگوییم فقط سیستم بانکی مقصر است؛ ما دیده‌ایم که سازمان ثبت احوال کشور هک شده، پلتفرم‌های بزرگی مثل اسنپ، تپسی و دیجی‌کالا همگی هک شده‌اند. شما دست روی هر بخش و سازمانی در این اقتصاد دیجیتال که بگذارید، هک شده است. حالا این وسط یکی آمده سرمایه‌گذاری بیشتری کرده و سعی کرده تکرار این اتفاق را کمتر کند، اما یکی دیگر در قالب سازوکارهای دولتی عمل کرده که سازوکار دولتی هم اصلاً پاسخگو نیست.»

او می‌گوید:« چندسال قبل که بانک پاسارگاد هک شد؛ در نهایت آن اتفاق چه شد؟ بعد از یک هفته که مردم عذاب کشیدند، مدیرعامل آن بانک آمد و گفت هرچه کردیم لطف خدا بوده است! اصلاً کسی نیست که به این‌ها بگویند بالای چشمتان ابروست. همان‌طور که چند وقت پیش بانک سپه هم هک شد و تمام آن بانک‌هایی که پیش از این با هم ادغام شده بودند، همه با هم هک شدند و اطلاعات زار و زندگی مردم را بردند و منتشر کردند. آیا کسی پاسخگو بود؟ وقتی مدیر دولتی می‌بیند که هیچ اتفاقی برایش نمی‌افتد، مدیر بانک هم با خود می‌گوید من برای چه باید در این حوزه بیشتر هزینه کنم؟ در نتیجه، در همان حدی هزینه می‌کند که فردا اگر یکی آمد و گفت «تو مواظب امنیت نبودی»، بتواند یک زونکن نشان دهد و بگویند «چرا، ببینید من این‌قدر بودجه امنیتی داشتم!» حالا اینکه این بودجه چطور خرج شده دیگر مهم نیست؛ رفته است و در یک مناقصه‌ای، بودجه را داده به یک شرکت امنیت سایبری که خودش به یک جایی وصل بوده است.»

وحید فرید، در آخر می‌گوید:« وقتی شما حتی یقه یک بانک مشخص را هم نمی‌توانید بگیرید. وقتی سازمان حاکمیتی مثل ثبت احوال هک می‌شود، دیگر می‌دانید که نباید فقط یقه بانک را گرفت؛ بلکه باید یقه این اقتصاد مریض را گرفت که از هر طرف دارد هر کس می‌رسد، یک چاقو به آن می‌زند. در این میان، شورای عالی فضای مجازی که کلاً قاتل این اقتصاد دیجیتال است؛ وزارت ارتباطات از یک طرف، نهادهای امنیت ملی از طرف دیگر، و از آن سو هم آدم‌های جریان‌ها و گروهک‌های تندرو نشسته‌اند که تا حرفی می‌شود، فورا می‌گویند «آقا اینترنت را قطع کنید!». این تندروها معتقدند ما فقط به خاطر وصل بودن به اینترنت جهانی داریم آسیب می‌بینیم. با این وضعیت، به نظر من عملکرد آن شرکت و آن مدیر هم یاد گرفته که در این فضا فقط این‌جوری می‌شود کار کرد.»

به گفته این کارشناس این طرز تفکر، تفکری کاملاً ناسالم است. شاید در قضیه هک اسنپ یا شرکت‌های دیگر و حتی ثبت احوال، مردم خیلی حساسیت بالایی نشان ندادند؛ اما بانک چون مستقیماً با سرمایه و پول مردم سروکار دارد، مردم بیشتر می‌ترسند و نگران می‌شوند، با این حال در هر نقطه از این اقتصاد که نگاه می‌کنیم، این آسیب‌پذیری‌ها و چالش‌ها وجود دارد.

۲۲۷۳۲۳