عودة الإنترنت أم هشاشة البنية؟ جدل إيراني حول اختراق البنوك وحدود التفسير الفني

منذ سنوات، يتجدد في إيران الجدل كلما تعرضت إحدى البنى التحتية الحيوية لهجوم سيبراني، بين من يرى أن الانفتاح على الإنترنت الدولي يضاعف المخاطر الأمنية، ومن يعتبر أن المشكلة تكمن في هشاشة البنية التحتية وضعف منظومة الحماية الرقمية، لا في الاتصال بالشبكة العالمية بحد ذاته. وقد عاد هذا السجال إلى الواجهة بقوة عقب الهجوم الذي استهدف عددا من البنوك الإيرانية، بعدما ربط نواب ومسؤولون بين الاختراق وإعادة فتح خدمة الإنترنت الدولي، في مقابل نفي رسمي وفني لهذا الطرح. وبين الروايتين، تتواصل التساؤلات حول الأسباب الحقيقية للهجوم، وحدود الجاهزية التقنية للقطاع المصرفي، وقدرته على مواجهة التهديدات السيبرانية المتزايدة في ظل بيئة أمنية وسياسية معقدة.

اتهام سياسي يربط الأزمة بعودة الإنترنت الدولي

برزت في قلب الأزمة الحالية تصريحات لافتة من بعض النواب والمسؤولين الإيرانيين الذين ربطوا بين الاختلال المصرفي وإعادة فتح الإنترنت الدولي. فقد اعتبر النائب مرتضى محمودي أن التعطل الذي استمر عدة أيام في البنوك الرئيسية جاء نتيجة ما وصفه بعدم التزام المسؤولين واعتمادهم على قرارات شعبوية، بينها الإسراع في إعادة فتح الإنترنت الدولي من دون توفير البنية التحتية اللازمة وأمن الشبكة في مواجهة الهجمات السيبرانية.

Image

هذا الطرح وجد صداه أيضا لدى أمير سياح، نائب الشؤون الاقتصادية والتنظيمية في المركز الوطني للفضاء الإلكتروني، الذي قال إن خبراء الأمن السيبراني حذروا قبل شهر من أن البلاد تتعرض لهجمات شديدة، وأنه لم يكن ينبغي فتح الإنترنت الدولي في ذلك التوقيت. وبحسب هذه الرواية، كان يمكن تلبية حاجة المواطنين إلى الإنترنت عبر طرق أقل خطورة، بدل إعادة الاتصال الواسع بالشبكة الدولية في ظل أجواء حرب سيبرانية.

Image

لكن هذا الاتهام لم يمر دون رد، فقد واجهت وزارة الاتصالات هذه الرواية بنبرة حادة، إذ كتب محمد حافظ حكمي، نائب وزير الاتصالات لشؤون التكنولوجيا والابتكار والعلاقات الدولية، أن على من يربطون الاختلالات المصرفية بإعادة فتح الإنترنت أن يقدموا تقريرا رسميا أو دليلا فنيا يثبت هذا الربط، وإلا فإن الأمر لا يتجاوز كونه تكهنات سياسية. وذهب حكمي إلى حد القول إن الخوف من الله واجب قبل إطلاق مثل هذه الاتهامات.

Image

كما دخل بهزاد أكبري، نائب وزير الاتصالات والرئيس التنفيذي لشركة الاتصالات والبنية التحتية، على خط الرد الفني، مؤكدا أن أنظمة Core Banking للبنوك المتضررة، وكذلك الشركة المقدمة للخدمات لها، ليست متصلة أساسا بالإنترنت العام، وأن بقية الأنظمة تعمل وفق نموذج إيران أكسس، أي الوصول الداخلي. وبذلك حاولت وزارة الاتصالات تفكيك الرواية التي تجعل الإنترنت الدولي سببا مباشرا في الهجوم، معتبرة أن البنية المصرفية الأساسية لا تمر عبر الإنترنت المفتوح حتى يقال إن إعادة تشغيله فتحت الباب أمام الاختراق.

Image

في المقابل، كشفت تصريحات ميثم ظهوريان، عضو اللجنة الاقتصادية في البرلمان، جانبا آخر من الأزمة. فقد قال إن اجتماعا عقد مع وزير الاقتصاد والبنك المركزي ومديري البنوك الأربعة المتضررة، وإن المشكلة وقعت نتيجة هجوم استهدف البنية التحتية والنواة الخدمية التي تقدمها شركة خدمات المعلوماتية. وأوضح أن هذه الشركة تقدم أيضا خدمات شتاب وشابرك، وأن البنك المركزي يمتلك 46% من أسهمها، كما أن ثلاثة من البنوك المتضررة مساهمة فيها.

Image

الأهم في تصريحات ظهوريان أنه أقر بأن مصدر الهجوم وسببه الرئيسي لم يتحددا حتى الآن، رغم تحقيقات جهات مختلفة، وأن استبدال بعض العتاد لم يحل المشكلة بالكامل. وقدر أن معالجة الأزمة بشكل نهائي قد تستغرق أسابيع، مع تأكيده أن الخدمات بين البنوك لم تتضرر، وأنه جرى استخدامها لتوفير الخدمات الأساسية للمواطنين. هذه التصريحات أظهرت أن الملف لا يزال مفتوحا، وأن الرواية الرسمية لم تستقر بعد على تفسير نهائي لما حدث.

هل يمكن فنيا أن تؤدي عودة الإنترنت إلى اختراق البنوك؟

من الناحية الفنية، تبدو فرضية الربط المباشر بين فتح الإنترنت الدولي وتعطل البنوك محل شك كبير، وفق ما ورد في تصريحات مسؤولي الاتصالات والخبراء. فالشبكة المصرفية الإيرانية تعتمد في تبادل البيانات بين البنوك على بنية خاصة تعرف بالشبكة الوطنية بين البنوك، وهي منفصلة عن الإنترنت العام، وتعمل عليها خدمات أساسية مثل شتاب، شابرك، ساتنا وبايا. كذلك تعمل بوابات الدفع وسويتشات البنوك والجزء الأكبر من بنية الدفع الإلكتروني داخل شبكة داخلية، ولا تحتاج في أصل تشغيلها إلى اتصال مباشر بالإنترنت الدولي.

Image

هذا لا يعني أن النظام المصرفي محصن بالكامل، ولا يعني أيضا أن الإنترنت لا علاقة له بأي مخاطر سيبرانية، لكنه يعني أن الادعاء بأن مجرد فتح الإنترنت الدولي تسبب مباشرة في تعطيل Core Banking يحتاج إلى أدلة تقنية دقيقة. فالهجوم على نظام غير متصل بالإنترنت العام يتطلب عادة مسارات أخرى، مثل ثغرات داخلية، وصول غير مصرح به عبر الشبكات المحلية، ضعف في إدارة الصلاحيات، اختراق موردين أو أطراف وسيطة، أو استغلال أنظمة مرتبطة بشكل غير مباشر.

وقد عزز بهزاد أكبري هذا الطرح حين قال إن متوسط الأحداث الأمنية اليومية ذات المنشأ الداخلي يصل إلى نحو 350 ألفا، مقابل نحو 250 ألف حدث مصدره الإنترنت الدولي. هذا الرقم استخدمه للدلالة على أن التهديدات لا تأتي فقط من الخارج، وأن الشبكة الداخلية نفسها قد تكون مصدرا أو قناة لهجمات معقدة. كما أشار إلى أنه حتى في فترة تقييد الإنترنت ظل أكثر من 10% من المستخدمين قادرين على الوصول إلى الإنترنت الدولي، ما يضعف فرضية أن إعادة الفتح وحدها غيرت فجأة بيئة التهديد.

ومع ذلك، يرى بعض خبراء الأمن أن السؤال لا ينبغي أن يصاغ بطريقة ثنائية مفاده هل الإنترنت هو السبب أم لا؟ فالإجابة الأكثر دقة أن القيود الطويلة على الإنترنت والعزلة التقنية قد تسهم بصورة غير مباشرة في إضعاف الأمن السيبراني، لأنها تحد من تحديث الأنظمة، وتحرم المؤسسات من الوصول السلس إلى أدوات الحماية، والاستشارات الخارجية، والمعايير العالمية، والتدريب المستمر. ومن هذه الزاوية، لا يكون فتح الإنترنت سببا مباشرا للهجوم، بل قد تكون المشكلة الأعمق في سنوات من الانغلاق التقني وضعف التحديث وقلة الشفافية.

وقد عبر الخبير في المصرفية الإلكترونية نيما أمير شكاري عن هذا المعنى حين ربط تكرار الهجمات بضعف الاتصال بالعالم. فحسب رأيه، تعتمد بعض البنوك الإيرانية على أنظمة قديمة تعود جذورها إلى عقود سابقة، جرى تعزيز قدراتها المادية من حيث المعالجات والتخزين، بينما ظل العقل البرمجي قديما وغير مواكب. وهذه الأنظمة، عندما لا تحصل على تحديثات أمنية منتظمة ولا تخضع لتطوير مستمر، تصبح أهدافا يمكن توقع نقاط ضعفها.

Image

أما الخبير الأمني سعيد سوزنكر فيرى أن الأمن لا يتحقق بشراء المعدات وحدها، بل عبر منظومة تشمل المعرفة، التدريب، الكفاءات البشرية، الشفافية، المساءلة والاستثمار المستمر. ووفق هذا التصور، فإن المشكلة ليست في اتصال الإنترنت فقط، بل في ضعف حوكمة الأمن السيبراني، وغياب آليات إلزامية للإفصاح والمحاسبة، وعدم توفير البيئة التي تسمح للمتخصصين باستخدام أدواتهم وخبراتهم بأفضل صورة.

Image

الهجمات المتكررة… أزمة بنية تحتية أم أزمة إدارة وشفافية؟

لا تبدو الهجمات الأخيرة على البنوك الإيرانية حدثا معزولا، بل تأتي ضمن سلسلة من الاختراقات التي شهدها القطاع المصرفي خلال العامين الماضيين. ففي خضم حرب يونيو/ حزيران 2025، تعرض بنكا سبه وباسارجاد لهجمات سيبرانية أدت إلى تعطيل واسع في خدماتهما، وتبنى حينها فريق القرصنة المعروف باسم العصفور الجارح المسؤولية عن استهداف بنك سبه، مدعيا تدمير جزء من بنيته التحتية. ولم تكد آثار تلك الهجمات تنحسر حتى شهدت البلاد موجة جديدة استهدفت البنك الوطني الإيراني، ثم أربعة بنوك رئيسية هي ملي، صادرات، تجارت، وتنمية الصادرات.

Image

وتظهر هذه الوقائع أن المشكلة لم تعد تقتصر على نجاح المهاجمين في تنفيذ هجمات إلكترونية، بل أصبحت تتعلق بقدرة النظام المصرفي على استعادة خدماته بسرعة، والحفاظ على استمرارية الأعمال في الظروف الاستثنائية. ففي حين تؤكد الجهات الرسمية في كل مرة أن بيانات العملاء لم تتعرض للتسريب، فإن استمرار تعطل الخدمات الأساسية لأيام، وأحيانا لأسابيع، يفرض تحديات مباشرة على المواطنين والاقتصاد، ويؤثر في حركة الأسواق، ودفع الرواتب، وتسوية الشيكات، والأنشطة التجارية اليومية.

وفي هذا السياق، يرى عدد من الخبراء الإيرانيين أن الأزمة تكشف عن فجوة بين حجم التهديدات السيبرانية ومستوى الجاهزية المؤسسية. ويشيرون إلى أن البنية التحتية المصرفية لا تزال تعتمد في أجزاء منها على أنظمة قديمة، بعضها يعمل على حواسيب IBM Mainframe التي وصفها عضو اللجنة الاقتصادية في البرلمان ميثم ظهوريان بأنها تمثل عامل مخاطرة ينبغي التعامل معه بجدية، خاصة في ظل صعوبة تحديثها أو استبدالها بسرعة.

كما يلفت خبراء الأمن إلى أن الاستثمار في الأجهزة وحده لا يكفي إذا لم يترافق مع الاستثمار في الكوادر البشرية، والتدريب المستمر، وإجراءات الاختبار الدوري، وخطط التعافي من الكوارث. ويؤكدون أن العديد من المؤسسات تنفق مبالغ كبيرة على شراء المعدات الأمنية، لكنها لا تمنح القدر نفسه من الاهتمام لتطوير الكفاءات القادرة على تشغيل هذه المنظومات وإدارتها والاستفادة القصوى من إمكاناتها.

Image

إلى جانب التحديات التقنية، برزت قضية الشفافية باعتبارها أحد أبرز أوجه الأزمة. فعلى الرغم من مرور أيام طويلة على الهجمات، لم تصدر حتى الآن تقارير فنية مفصلة توضح كيفية تنفيذ الاختراق، أو نقطة الدخول التي استغلها المهاجمون، أو حجم الأضرار الفعلية، أو الإجراءات التصحيحية التي اتخذت لمنع تكرار الحادث. وقد أقر ميثم ظهوريان نفسه بأن التحقيقات لم تتمكن حتى الآن من تحديد المصدر الحقيقي للهجوم أو سببه المباشر، وهو ما يعكس استمرار الغموض الذي يحيط بالملف.

ويرى متخصصون أن غياب هذه الشفافية لا يؤثر فقط في تقييم الحادث، بل ينعكس أيضا على مستوى الثقة العامة بالنظام المصرفي. ففي العديد من الدول، تلزم المؤسسات المالية بالإفصاح عن تفاصيل الحوادث السيبرانية، ومدى تأثيرها، والخطوات التي اتخذت لمعالجة الثغرات، بما يسمح للعملاء والأسواق بتقييم المخاطر بصورة واقعية. أما في الحالة الإيرانية، فقد اقتصرت البيانات الرسمية في معظمها على التأكيد بأن الخدمات ستعود تدريجيا، وأن بيانات العملاء لم تتعرض للاختراق، دون تقديم صورة تقنية متكاملة عن الحادث.

Image

وفي المقابل، تشير البيانات الرسمية إلى أن عملية استعادة الخدمات شهدت تقدما تدريجيا. فقد أعلن البنك المركزي إعادة تشغيل الخدمات الأساسية المعتمدة على البطاقات عبر حلول بديلة، كما أكدت شركة خدمات المعلوماتية عودة عدد من الخدمات إلى العمل بصورة طبيعية. وأوضح ظهوريان أن بنك تنمية الصادرات أنهى معالجة مشكلاته بالكامل، بينما أعاد بنك تجارت تشغيل معظم خدماته، في حين توقعت إدارة بنك صادرات استكمال إعادة الخدمات تدريجيا، باستثناء بعض الخدمات المرتبطة بالشيكات، خلال فترة قصيرة. ومع ذلك، استمرت شكاوى بعض العملاء من تعثر تنفيذ بعض العمليات المصرفية، وهو ما يشير إلى أن العودة الكاملة إلى الوضع الطبيعي احتاجت إلى وقت أطول من المتوقع.

في النهاية، تكشف الأزمة أن النقاش في إيران تجاوز سؤال الجهة المنفذة للهجوم إلى مراجعة أوسع لجاهزية القطاع المصرفي أمام التهديدات السيبرانية. وبينما ربط بعض النواب والمسؤولين ما جرى بإعادة فتح الإنترنت الدولي، تنفي وزارة الاتصالات وخبراء فنيون وجود علاقة مباشرة، استنادا إلى طبيعة البنية المصرفية غير المعتمدة على الإنترنت العام. غير أن تكرار الهجمات خلال فترة قصيرة يفرض مراجعة شاملة لسياسات الحماية، وتحديث البنية التحتية، وتعزيز الشفافية. وتبقى الإجابة الحاسمة مرهونة بنشر نتائج تحقيق فني واضح يشرح أسباب الهجوم وسبل منع تكراره.

كلمات مفتاحية: