از جنگ تا هک

به گزارش گروه رسانه‌ای شرق،

درست در روزی که اعلام آتش‌بس جنگ اسرائیل و ایران با اما و اگرهایی همراه بود، به برج «فناوری شریف» رفتم، جایی که «نوبیتکس» در آن، یک هفته بحرانی را زیر سایه بحرانی دیگر به نام «جنگ» سپری می‌کرد. بزرگ‌ترین صرافی رمز ارز ایران، در روزهایی که هر لحظه حملات موشکی شدت می‌گرفت و باعث شده بود بسیاری از تهرانی‌ها به اجبار با خانه‌هایشان خداحافظی کنند، ‌هدف حمله سایبری قرار گرفت، حمله‌ای که رسانه‌های بین‌المللی آن را پیچیده‌ترین و بی‌سابقه‌ترین نفوذ به زیرساخت یک شرکت توصیف کردند.

وقتی از در شیشه‌ای بزرگ وارد ورودی برج فناوری شریف می‌شوم، دیگر آن رفت‌وآمد و جنب‌وجوش ساکنان که اکثرشان را کسب‌وکارهای نوآور تشکیل‌ می‌دهند، دیده نمی‌شود. فضای سنگین ناامنی و اضطراب، سایه‌اش را بر تمام گوشه‌های این برج اداری انداخته بود. نگهبان در جای همیشگی‌اش در سکوت نشسته و برخی از مراجعه‌کنندگان را که سؤال‌هایی از نوبیتکس داشتند، به انتهای راهرو راهنمایی می‌کرد. وقتی نوبت من می‌شود، می‌پرسد برای چه آمدی و می‌فهمد که می‌خواهم با پشتیبانی نوبیتکس صحبت کنم، با خونسردی و لبخندی روی لب می‌گوید: «نگران نباش، همه چیز امن است».

نگهبان جوان با احتیاط من را به بخشی از شرکت هدایت می‌کند که در طبقه همکف قرار دارد؛ جایی که به دلیل امنیت بیشتر، این روزها میزبان تیم پشتیبانی و فنی نوبیتکس شده است. یک تیم چندنفره از پشتیبانی، تحت مدیریت زنی مصمم و آرام، در اتاقی شیشه‌ای مشغول کار هستند. در همان ابتدای صحبت می‌فهمم که در میانه روزهای پرالتهاب جنگ و حمله هکری، آنها بی‌وقفه تلاش می‌کردند تا خیال بیش از 11 میلیون کاربر نوبیتکس را آسوده کنند و به آنها ثابت کنند که دارایی‌هایشان در آن روزهای آخرالزمانی، در امنیت کامل قرار دارد.

این گروه در کنار مدیران و دیگر نیروهای دورکار در حالی هفت‌ روز هفته و ۲۴ ساعت شبانه‌‌روز بعد از حمله هکر‌ها به نوبیتکس، به پشت میزهایشان بازگشته بودند که در روزهای ابتدایی جنگ ۱۲روزه تحمیل‌شده اسرائیل به ایران، بخشی از آنها مانند دیگر شهروندان از ترس به خطر افتادن امنیتشان یا تهران را ترک کرده‌ بودند یا تصمیم به ترک تهران داشتند. هنوز وقتی از حس‌وحالشان از روزهای اول جنگ و بعد هم باخبرشدن از حمله هکر‌ها به نوبیتکس می‌پرسم، می‌توان استرس و اضطراب را در چشمانشان دید، اما با این حال همه‌ آنها بر سر یک چیز توافق نظر دارند، اینکه برگرداندن اعتماد به کاربران نوبیتکس و پاسخ‌گوبودن به آنها در شرایط جنگی، برایشان بیشتر از امنیت جانشان اهمیت داشته است. توضیحات درباره بازگشتشان به شرکت در زمان جنگ و تلاش برای حل گام‌به‌گام این بحران آن هم در شرایطی که اینترنت قطع شده بود، نشان می‌دهد صحبت‌هایشان فقط شعار نیست، بلکه از دل فرهنگ سازمانی می‌آید که اولویتشان حفظ اعتماد کاربر و اعتبار شرکت است.

این گزارش، نه فقط شرح یک حمله سایبری است در میانه بحران جنگ، بلکه روایتی است از فرهنگ سازمانی‌ای که در اوج جنگ و ناامنی، اولویت را به بازگشت اعتماد کاربران داد.

تیم پشتیبانی: خط مقدم بحران

یکی از دفتر‌های نوبیتکس در طبقه همکف برج فناوری شریف، بعد از حمله گروه هکری گنجشک پرنده، به محیطی تبدیل شد تا به خاطر امنیت بیشتر در روزهایی که صدای موشک و پدافند از هر گوشه پایتخت شنیده‌ می‌شد، برخی اعضای گروه پشتیبانی را گرد هم جمع کند تا در نبود اینترنت و خاموش‌شدن سرور‌های نوبیتکس، بتوانند بحران به‌وجودآمده و نگرانی کاربرانشان را مدیریت کنند.

آزاده رحیمی، مدیر تیم پشتیبانی نوبیتکس، در خط اول مدیریت این بحران در مقابل کاربران قرار گرفته است. او کنار سه نفر دیگر از سرپرست‌های بخش‌های مختلف پشتیبانی، مرکز تماس یا کال‌سنتر را که در روزهای اولیه هک به خاطر قطع اینترنت و خاموش‌شدن سرورهای نوبیتکس تنها راه ارتباط با مشتریانشان بود، راهنمایی می‌کند. در طول صحبت از تجربه تلخ به خطر افتادن امنیت دارایی‌های مشتریان نوبیتکس، او بسیار آرام است و شاید همین آرامشی که در کار دارد باعث شده تا هم‌‌تیمی‌هایش نیز همان‌طور آرام و با ملاحظه نیروهای کال‌سنتر را راهنمایی کنند و بتوانند نگرانی مشتریان را مدیریت کنند.

شاید آرامش آزاده، بی‌ارتباط با تجربه‌های بحرانی که در شرکت‌های دیگر پشت سر گذاشته، نباشد. وقتی از او می‌پرسم که چطور در این شرایط بحرانی به خاطر یکی از پیچید‌ترین هک‌ها به یک شرکت آن‌قدر ریلکس است، با خنده می‌گوید: «واقعیت این است که من شخصا در هر سازمانی که بوده‌ام، وضعیت‌های عجیبی را تجربه کرده‌ام. برای مثال در زمان فیلترشدن اینستاگرام و فیس‌بوک هم شرایط عجیبی در استارتاپی که آن زمان در آن کار می‌کردم حاکم بود. در مرحله بعد وقتی کرونا آمد، همه‌چیز در وضعیت بسیار پیچیده‌‌تری قرار گرفت. یادم است آن زمان در علی‌بابا کار می‌کردم و به خاطر شرایط قرنطینه و لغوشدن سفر‌ها تجربه پیچیده‌ای در مقابل مشتریان نگران داشتم». آزاده می‌گوید باخبرشدن از هک نوبیتکس آن‌هم در روز ششم جنگ در‌حالی‌که در تصمیم‌گیری برای این بوده که از تهران خارج شود یا نه، برایش شوکه‌کننده بوده، اما تلاش کرده آن را مدیریت کند: «به خاطر شرایط جنگ تمامی ما دورکار بودیم. صبح ۲۸ خرداد به روال همیشه، لپ‌تاپ را روشن کردم که کارم را شروع کنم، اما نوتیفی از سوی هکر‌ها دریافت کردم که نوبیتکس هک شده است. سعی کردم با مدیران ارتباط بگیرم که همان زمان پدرم زنگ زد و درحالی‌که سعی می‌کرد مرا نگران نکند، گفت: «همه‌چیز خوب است، در نوبیتکس همه‌چیز روبه‌راه است». من هم با خنده گفتم بله پدر می‌دانم چه شده و همه چیز در امنیت قرار دارد».

کنترل هم‌زمان بحران جنگ، هک و قطعی اینترنت

به گفته آزاده برای جلوگیری از خرابی بیشتر آنها مجبور شده‌ بودند که سرور‌ نوبیتکس را خاموش و خدمات آن را غیرفعال کنند. از طرف دیگر هم اختلال و قطعی اینترنت به‌خاطر شرایط جنگ باعث شده بود تیم از طریق شبکه داخلی نتوانند با همدیگر ارتباط برقرار کنند و راه ارتباطی آنها با کاربران کامل قطع شده بود: «ما برای ارتباط با کاربران چند کانال مختلف داشتیم از جمله تیکتینگ، چت‌‌آنلاین و کال‌سنتر. از آنجا که سیستم ارتباط با کال‌سنتر متفاوت بود توانستیم، از بخشی از بچه‌ها که برای حضور داوطلب بودند، کمک بگیریم، چراکه شرایط جنگ بود و ما نمی‌خواستیم نیروهای پشتیبانی به شکل فیزیکی حضور داشته باشند. با این حال با وجود این شرایط بحرانی تمام بچه‌ها برای حضور و مدیریت بحران همراهی کردند».

آزاده توضیح می‌دهد که یک روز بعد از حمله یعنی پنجشنبه ۲۹ خرداد تیم‌های درگیر مانند دیتا، امنیت و پشتیبانی با اینکه برخی از آنها به دلیل جنگ از تهران خارج شده‌ بودند، به دفتر نوبیتکس بازگشتند. طبق گفته او از روز شنبه ۳۱ خرداد آنها توانستند با وجود محدودیت‌های اینترنت بخشی از کارشناسان پشتیبانی را آنلاین کنند. در این روز ۲۵ درصد از بیش از ۱۵۰ نیروی پیشتیبانی نوبیتکس آنلاین شدند، هرچند هنوز سیستم تیکتینگ و چت‌آنلاین غیرفعال بود. او دلیل آنلاین‌کردن این میزان از تیم پشتیبانی را محدودیت روی اینترنت عنوان می‌کند، چراکه آنها باید بخش بیشتری از پهنای باندی را که در اختیار داشتند به تیم‌های فنی و امنیت اختصاص می‌دادند تا آنها بتوانند با وجود قطع اینترنت و ملی‌شدن اینترنت، وی‌پی‌ان‌هایی را برای دسترسی نیروها فراهم کنند. او در پاسخ به این سؤال که آیا نهادی مانند وزارت ارتباطات تلاش نداشته با توجه به شرایط بحران، اینترنت در اختیار آنها بگذارد، می‌گوید: «خیلی با محدودیت همراه بودیم. توانستیم به اینترنت دسترسی پیدا کنیم، ولی بسیار محدود. اولویت این بود که سایت بالا بیاید و بتوانیم مشکل را به کاربران توضیح دهیم. سعی ما بر این بود که به روش‌هایی بتوانیم بچه‌های پشتیبانی را آنلاین کنیم، ولی اولویت اول این بود که اینترنت در اختیار تیم فنی قرار دهیم که بتوانند ارتباط بین بخش‌های مختلف را فراهم کنند. در واقع به‌خاطر محدودیت در پهنای باند، براساس اولویت، دسترسی‌ها داده می‌شد». به گفته او کم‌کم شرایط آسان‌تر شد و آنها توانستند هرچند با اختلال از چهارشنبه چهارم تیر برای کل تیم پشتیبانی دسترسی به اینترنت فراهم کنند.

بیش از ۵ هزار تماس در روز اول بعد از حمله

آن‌طورکه آزاده می‌گوید در روز‌های اول بعد از حمله با تمرکز روی کال‌سنتر به‌عنوان تنها راه ارتباطی، نزدیک به چهار تا پنج هزار ورودی تماس داشتند. به گفته او بعد از اطلاع‌رسانی عمومی که در روز اول تیر انجام دادند که کال‌سنتر فعال است و کاربران می‌توانند با شماره پشتیبانی تماس بگیرند، میزان تماس‌های ورودی افزایش یافت و تا شش هزار تماس هم رسید. براساس توضیحات آزاده در شرایط عادی کال‌سنتر از روز شنبه تا پنجشنبه بین ساعت هشت صبح تا ۱۸ پاسخ‌گوی کاربران بوده است. در حالی که به خاطر حمله هکر‌ها و همچنین شرایط جنگی مجبور شده بودند ساعات کار نیروهای حاضر را محدود کنند، اما چند روز بعد و با فراهم‌شدن شرایط محدود برای آنلاین‌شدن، پشتیبانی هفت روز هفته کارش را از ۸ صبح تا ۱۲ شب ادامه می‌دهد. طبق ادعای او وب‌سایت نوبیتکس یک هفته بعد از حمله پیچیده هکر‌ها در دسترس قرار گرفت و همچنین پشتیبانی چت آن نیز فعالیت می‌کند. اگر به عنوان کاربر وارد سایت نوبیتکس شوید و بخش پشتیبانی آنلاین را انتخاب کنید، از ابتدا به تمام اطلاعیه‌های نوبیتکس دسترسی دارید، به سؤال‌های مختلف شما مانند اینکه چرا نمی‌توانید دارایی‌تان را ببینید یا چرا باید حساب‌تان را بازیابی کنید و... پاسخ داده شده است.

بیشترین سؤال‌های کاربران نوبیتکس بعد از هک چه بود؟

بخشی از صحبت‌های آزاده رحیمی با طنز تلخی همراه است، در حالی که تیم نوبیتکس در تمام بخش‌های این صرافی رمزارز، از روز اولِ اعلام‌شدن هک نوبیتکس در تلاش برای مدیریت این بحران و انتشار اطلاعیه برای جلوگیری از نگرانی کاربران بودند، اما از سوی دیگر بخشی از کاربران نوبیتکس به‌خاطر قطع‌بودن اینترنت و اختلال در دسترسی به شبکه‌های اجتماعی، حتی باخبر نشده‌ بودند که چه اتفاقی برای حساب‌های کاربری‌شان در این پلتفرم افتاده است. آزاده می‌گوید بخشی از کاربران کاملا بی‌‌خبر بودند و درست بعد از وصل‌شدن اینترنت آن هم به‌صورت محدود در روز چهارشنبه چهارم تیر متوجه شده‌ بودند که چه اتفاقی افتاده است.

آزاده می‌گوید: «روز اولی که اینترنت وصل شد، یکی از کاربران در یکی از شهر‌های ایران که تازه بعد از یک هفته متوجه هک نوبیتکس شده بود، با نگرانی به تهران آمد و به دفتر مراجعه کرد. او می‌خواست بداند چه اتفاقی افتاده است. بعد از توضیحات لازم تیم پشتیبانی و امنیت و متوجه‌شدن از اینکه دارایی‌اش بدون کم‌وکسر به او بازگردانده خواهد شد، دفتر را ترک کرد».

آزاده اعلام می‌کند با اینکه بعد از حمله هکر‌ها به نوبیتکس تیم پشتیبانی در طبقه همکف دفتر اصلی نوبیتکس شرایطی را فراهم کرده بود تا کاربران به شکل حضوری نیز آمده و به شکل شفاف در جریان فرایند بازگرداندن دارایی و امنیت اطلاعاتشان باشند، اما در روز‌های اول تنها بین پنج تا هفت نفر به شکل حضوری به تیم پشتیبانی مراجعه می‌کردند.

سؤال‌هایی هم که از کارشناسان تیم پشتیبانی به خاطر این حمله پرسیده می‌شد، جالب است. آزاده در توضیح اینکه کاربران در تماس با کارشناسان پشتیبانی بیشتر چه نگرانی داشتند و ‌چه سؤالاتی مطرح می‌کردند؟ می‌گوید: «اولین سؤال اکثرشان این بود که آیا دارایی آنها هم تحت تأثیر قرار گرفته است یا نه؟ اینکه چه زمانی امکان دسترسی به آن را دارند؟ آیا می‌توانند آن را نقد کنند یا نه؟ در‌واقع هیچ‌کس این دغدغه را نداشت که دیگر به پولش دسترسی پیدا نخواهد کرد. فکر می‌کنم به خاطر اطلاع‌رسانی مشخص و اعتمادی که کاربران به ما داشتند، مطمئن بودند ‌دارایی به آنها بر‌می‌گردد». او ادامه می‌دهد: «از طرفی این سؤال‌ها هم مطرح می‌شد که آیا موجودی براساس همان ارزشی که داشته به آنها برمی‌گردد یا به شکل ریالی به آنها برگشت داده می‌شود؟ پاسخ ما هم روشن بود که طبیعتا همان چیزی که در کیف پول خود داشتند به آنها بازخواهد گشت. سایر دغدغه‌ها از این جنس بود که آیا به زمان‌ها و گام‌هایی که در اطلاعیه نوبیتکس برای برگشت دارایی‌ها اعلام شده است، متعهد خواهیم بود؟».

آزاده در پاسخ به اینکه آیا نوبیتکس پیش از این هم تجربه هک و نفوذ داشته، تأکید می‌کند که پیش از این تلاش‌هایی برای هک و نفوذ به نوبیتکس انجام شده بود، اما همیشه جلوی آن گرفته شد. هک اخیر هم تنها به این دلیل رخ داده که پشت آن یک تیم وابسته به اسرائیل ایستاده که از قدرت بالایی در بخش‌های مختلف برخوردار است. اما تمام کاربران در تماس با پشتیبانی به راحتی‌ای که آزاده توصیف می‌کند، خیالشان راحت نمی‌شده: «در دو هفته که از هک نوبیتکس می‌گذرد با دو کاربر خاص در تماس با پشتیبانی مواجه شدیم. یکی از آنها خیلی ‌عصبانی بود و فقط می‌خواست ما به او ثابت کنیم آیا رقم بیش از ۹۰ میلیون دلاری که از نوبیتکس به سرقت رفته، همین حالا در نوبیتکس وجود دارد که می‌خواهیم آن را به کاربرانش بازگردانیم یا خیر و همان لحظه می‌خواست دارایی‌اش را به کیف‌ پولش بازگردانیم. دومین مورد هم کاربری بود که رقم کیف‌ پول او در نوبیتکس بسیار بالا بود. او این دغدغه را داشت که می‌خواهم به خاطر شرایط جنگی همین حالا از ایران بروم و باید همین الان به او دسترسی به دارایی‌اش را فراهم کنیم و آن را هم به حسابش واریز کنیم». به گفته آزاده تمام دغدغه تیم نوبیتکس،‌ در مدیریت، فنی، امنیت، پشتیبانی و... این بوده که در ساعت‌ها و روزهای اولیه بعد از هک وضعیت سایت به حالت پایدار برسد و با ایمنی کامل در دسترس قرار بگیرد تا دوباره دچار مشکل نشود.

چطور بحران مدیریت شد؟

هک زیرساخت و اطلاعات هر سازمان و شرکتی به تنهایی یک بحران نفس‌گیر است؛ حالا اینکه هم‌زمان با جنگ یک شرکت بزرگ فعال در حوزه رمزارز مورد سخت‌ترین و پیچیده‌ترین حمله هکری قرار بگیرد، می‌تواند به یک بحران غیرقابل توصیف تبدیل شود. تیم پشتیبانی نوبیتکس مدیریت دو بحران که در یکی امنیت مالی مردم در خطر بود و در دیگری امنیت جانی را کاری سخت و سنگین توصیف می‌کنند. آزاده رحیمی می‌گوید در شرایط جنگی بسیاری از تیم‌های پیشتیبانی «مرامی» در شرکت حاضر شدند؛ آن‌هم در شرایطی که مدیریت از آنها هیچ درخواستی برای بازگشت به کار خود در شرایط جنگ نداشته است: «وقتی این اتفاق افتاد، با اینکه همه ما در شوک و نگرانی به خاطر جنگ بودیم، همه مشتاق بودند که حاضر شوند و بحران را مدیریت کنند؛ چرا‌که اولویت ما چه در شرایط جنگ و چه در شرایط عادی، حفظ امنیت و اعتماد کاربران است. تیم‌های مختلف در نوبیتکس شبانه‌روز پای کار بودند. حتی آقای راد به‌عنوان مدیرعامل پیوسته در شرکت بود و در آن شرایط جنگی شاید چهار یا پنج ساعت در روز می‌توانست کنار خانواده‌اش باشد».

امیرحسین کاظمی، سرپرست ارشد پشتیبانی چت که در زمان حمله از اولین افرادی بوده که در دفتر نوبیتکس حاضر شده، بدون هیچ مکثی وقتی از او می‌پرسم در حالی که پدرش در بیمارستان بوده، چطور توانسته به سر کار برگردد؟ می‌گوید: «اولویت ما براساس آن مرام‌نام نانوشته بازگرداندن اعتبار به نوبیتکس و اعتماد به کاربران بود تا شرایط را هرچه سریع‌تر به حالت اول بازگردانیم». به گفته او بعد از حمله سایبری به نوبیتکس، نزدیک به دو هفته طول کشید تا آنها توانستند وب‌سایت نوبیتکس را در دسترس قرار دهند. کاظمی تأکید می‌کند اگر در مدیریت این بحران بزرگ، افراد در تیم‌های مختلف کنار هم نبودند، شاید اوضاع کمی متفاوت‌تر رقم می‌خورد. نریمان فاضلی، سرپرست شیفت عصر چت، محل زندگی‌اش در تهران به خاطر قرارگرفتن در کنار نهادهای نظامی، در معرض حملات موشکی شبانه‌‌روزی بوده است. همین امر هم باعث شده بود چند روز بعد از شروع جنگ تحمیلی اسرائیل به ایران تصمیم بگیرد به شمال کشور برود. اما ماندن در مکان امن برای او کمتر از ۲۴ ساعت طول کشید؛ چرا‌که بعد از باخبر‌شدن از حمله سایبری به نوبیتکس، چهار صبح به تهران بازمی‌گردد تا در کنار تیم پشتیبانی باشد: «شرایط واقعا سخت بود. احساسم همراه با ترس بود و اینکه دوست داشتم به شرکت برگردم و کار را پیش ببرم. ما مطمئن بودیم ‌دارایی مردم به آنها بازگردانده می‌شود، اما می‌خواستم در شرکت باشم، چون شرایط بحرانی بود». کیانوش سلیمانی هم که سرپرست شیفت شب در تیم پشتیبانی است، احساسش متفاوت‌تر از همکارانش نیست. او هم در محلی زندگی کرد که یک بار با شدید‌ترین حمله موشکی همراه‌ شد و آتش‌سوزی و خرابی زیادی به بار آورد: «من در خانه مشغول ‌کار بودم، در حالی که بخشی از بچه‌ها از تهران خارج شده بودند. با هم در ارتباط بودیم. در این شرایط از یکی از بچه‌های پشتیبانی کاری خواستم که انجام دهد و او به من گفت از استرس نمی‌توانم دستانم را روی کیبورد بگذارم، چرا‌که نور پدافند روی آن افتاده است. با‌این‌حال در آن شرایط همه می‌دانستیم باید سر کار باشیم و جواب کاربران را بدهیم و به آنها ثابت کنیم که دارایی‌شان در امنیت است تا در آن شرایط جنگی، نگرانی مالی هم نداشته باشند».

روابط‌‌عمومی؛ پل ارتباطی با کاربران

هک نوبیتکس بعد از حمله سایبری به بانک‌های سپه و پاسارگاد اتفاق افتاد. در حالی که بعد از گذشت بیش از سه هفته این دو بانک پاسخ روشنی به سؤال‌ها در مورد چرایی این اتفاق، نوع حمله، وضعیت اطلاعات خصوصی کاربران و... نداده‌اند،‌ نوبیتکس از ۲۸ خرداد هم‌زمان با حمله سایبری تا این لحظه هشت اطلاعیه و چندین هشدار از طریق کانال‌های ارتباطی خود منتشر کرده است.

حدیث خسروی، روابط‌عمومی نوبیتکس، از روزی که حمله هکر‌ها اتفاق افتاد تا این لحظه روزهای پرفشاری را پشت سر گذاشته است؛ چراکه بیان هر نظر از سوی تیم یا خود او، می‌توانست وضعیت را بحرانی‌تر کند.

خسروی می‌گوید اولین اقدام تیم روابط‌عمومی انتشار یک اطلاعیه کوتاه مبنی بر اختلال بود؛ چراکه آن لحظه درکی از ابعاد ماجرا نداشته‌اند و حتی دقیقا نمی‌دانستند چه مسئله‌ای رخ داده است: «در فاصله کمتر از یک ساعت یعنی حدودا ۵۰ دقیقه بعد، در تعامل مستمر با تیم فنی و مدیریتی، هک را تأیید و مسئولیت آن را بر عهده گرفتیم».

از جنگ تا هک

آن‌طور که خسروی می‌گوید، آنها در روابط‌عمومی سناریو‌های مختلفی برای شرایط بحران داشته‌اند: «ما بارها روی هک صرافی‌ها و برندها به لحاظ ارتباطات برند کار کرده‌ بودیم. تقریبا بخش قابل توجهی از مواردی را که از قبل به آن فکر کرده بودیم و با توجه به شرایط برند و سازمان خودمان طراحی کردیم، در این اتفاق مورد استفاده قرار دادیم. در‌واقع ما چارچوب، باید و نبایدها را ایجاد کرده بودیم».

او در مورد اینکه چه سازوکارهایی برای هماهنگی میان تیم فنی، پشتیبانی و روابط‌عمومی وجود داشت تا اطلاعات نادرست منتشر نشود، توضیح می‌دهد: «یک استاندارد جهانی در ارتباطات وجود دارد به نام ارتباطات برند. نه‌فقط اطلاعیه‌ها، بلکه پشتیبانی تا محصول و هر نوع پیامی در زمان بحران همگی از طریق روابط‌عمومی مدیریت می‌شود. سازمان ما به‌خوبی برای چنین ارتباطاتی آماده است. به ‌طور خاص در لایه مدیریتی، فنی و حقوقی همسو هستیم تا دقیق‌ترین اطلاعات از طریق روابط‌عمومی و سپس پشتیبانی و محصول به کاربران منتقل شود».

او در مورد اینکه در‌باره اطلاع‌رسانی عمومی، چه معیارهایی برای تعیین زمان و محتوای پیام‌های رسمی داشته‌اند، می‌گوید: «ما با تمام توان سعی کردیم در سریع‌ترین زمان ممکن هر‌چه را لازم است‌ منتقل کنیم. این رویه را حتی قبل از حادثه امنیتی داشتیم؛ اگر به کانال‌های اطلاع‌رسانی نوبیتکس رجوع کنید از آغاز شرایط خاص جنگی در کشور با اطلاع‌رسانی مستمر همراه کاربر بودیم تا خطاها و مشکلات را کاهش دهیم».

اما قطعا در شرایط جنگی که حمله سایبری هم به یک بحران بزرگ برای شرکتی تبدیل می‌شود، تمام اطلاعات منتشر نمی‌شود یا به تعویق می‌افتد؛ با‌این‌حال خسروی اعلام می‌کند ‌اولویت آنها اطلاع‌رسانی به کاربر در مورد‌ امنیت دارایی، دسترسی به خدمات و برگشتن سیستم بوده است. به باور او هر چیزی که این پیام‌ها را مخدوش می‌کرد، از دایره اطلاع‌رسانی‌ خود خارج کردند: «فکر می‌کنم زمانی که کاربر آنچه را ‌لازم است‌ دریافت کرد، می‌شود به مابقی موارد رسیدگی کرد. اصطلاحا می‌گویم این موارد برای زمان صلح است؛ در زمان جنگ/‌بحران پیام‌ها کوتاه، صریح و بر‌اساس نیاز باید تنظیم شود تا از مخدوش‌شدن فضا جلوگیری کنیم. حتی اگر یک مطلب مثبت است و برای ما خوب باشد، برای کاربر اگر ضروری نیست پس منتشر نمی‌شود».

این حمله سایبری به یکی از بزرگ‌ترین صرافی‌های رمز‌ارز ایران اگر‌چه نمونه‌های جهانی هم دارد، اما این موضوع باز این سؤال را مطرح می‌‌کند که آیا حفظ دارایی‌ها در این پلتفرم‌ها‌ راهکار درستی است؟ چگونه بعد از چنین اتفاق‌هایی می‌توان اعتماد کاربری را که از دست رفته ‌بازگرداند؟ خسروی در این مورد می‌گوید: «در مسیر پیش‌رو می‌دانیم که لازم است در یک تعامل مستمر با کاربر باشیم و این تعامل با گذر از بحران تمام نمی‌شود. برای پاسخ دقیق امروز هر‌چه بگوییم عجولانه است، اما در حال طراحی هستیم، امیدوارم بعدا بازخوردش را از شما و دیگر دوستان رسانه بگیریم».

هک نوبیتکس در شرایط خاص جنگ و فشارهای سیاسی، درس بزرگی برای اکوسیستم اقتصاد دیجیتال ایران است؛ رویدادی که اهمیت امنیت سایبری، تاب‌آوری سازمانی و مدیریت مؤثر بحران را به همه یادآوری کرد.‌ تجربه این شرکت نشان می‌دهد ‌فناوری به‌تنهایی کافی نیست و ترکیب هوشمندانه نیروی انسانی، مدیریت استراتژیک و ارتباطات شفاف، ستون‌های اصلی بقای شرکت‌ها در دنیای پرریسک امروز است.

-----------------------------------------------------------------

امیرحسین راد، مدیرعامل نوبیتکس، از جزئیات حمله سایبری در شرایط جنگ می‌گوید

فرماندهی در توفان

هنوز اطلاعات روشنی از اینکه نوبیتکس مورد چه نوع حمله سایبری قرار گرفته، از طرف شما اعلام نشده است. شایعات زیادی در این زمینه تاکنون مطرح شده، از‌جمله اینکه ردوبدل‌شدن یک ایمیل بین نیروهای نوبیتکس باعث لو‌رفتن اطلاعات شده و شرایط برای نفوذ فراهم شده است.

نوبیتکس هدف یک حمله سایبری پیچیده قرار گرفت. اول و مهم‌تر از همه تأکید می‌کنیم این نقض امنیتی از طریق تیم‌های پشتیبانی مشتری یا front-end ما صورت نگرفته است. این تیم‌ها به زیرساخت سرور یا اطلاعات حساس دسترسی ندارند. طبق تحقیقات اولیه ما، مهاجمان از طریق دسترسی سطح پایین مدیریتی به زیرساخت‌ها و همچنین دسترسی غیرمجاز به کلیدهای خصوصی حیاتی مرتبط با پرسنل کلیدی سازمان، به این اطلاعات دسترسی پیدا کرده‌اند. سطح پیچیدگی و دقت این حمله بسیار فراتر از عملیات معمول هکرها بوده است‌ که در یک گزارش مجزا به آن خواهیم پرداخت.

چه زمانی متوجه حمله شدید؟ وقتی خود هکرها اعلام کردند؟

سیستم‌های مانیتورینگ امنیت ما به دلایل اختلال اینترنت با فاصله زمانی نوتیف یا پیام هشدار را دریافت کرده بودند، نهایتا حدود هشت صبح روز ۲۸ خرداد متوجه فعالیت‌ مشکوک در پلتفرم شدیم و کمی بعد متأسفانه هکر موفق شد به کاربران پیامی ارسال کند. ‌

واکنش اضطراری شما در آن لحظه چه بود؟

در چند سطح اقدام کردیم؛ قطع دسترسی‌های مهم، تخلیه باقی‌مانده موجودی از کیف‌پول‌های گرم و در نهایت قطع و ایزوله‌کردن سرور‌ها را انجام دادیم.

بعد از حمله چه تغییرات فوری در ساختار امنیتی دادید؟

به‌‌طور کامل باز‌طراحی شده‌اند. درواقع با درس‌آموخته‌های این حمله به‌طور کامل بازطراحی کردیم و در حال حاضر یک ساختار تازه ایجاد کرده‌ایم که در حال امن‌سازی آن هستیم.

آیا از قبل شبیه‌سازی حمله یا سناریوی بحران داشتید؟

شبیه‌سازی حمله کار سخت یا دور از ذهنی نبود؛ ما پن‌تست، باگ بانتی و تست‌های امنیتی دوره‌ای داشتیم. نحوه نفوذی که توضیح دادم در پیش‌بینی ما نبوده و از سوی دیگر شدت اقدامات هکرها و کندی و اختلال در اینترنت در لحظه کار را سخت‌تر کرد. در‌واقع مجموعه‌ای از عوامل محیطی از کنترل ما خارج بود و کار را در لحظات بحران سخت‌تر کرد.

 وقتی این حمله اتفاق افتاد، با توجه به حمله به بانک سپه این شائبه درباره نوبیتکس مطرح شد که شاید نوبیتکس به یک نهاد نظامی وابسته است. از طرف دیگر برخی هم در شبکه‌های اجتماعی اعلام می‌کردند شاید این کار خودشان باشد. چه توضیحی می‌توانید به این واکنش‌ها بدهید؟

نوبیتکس یک شرکت خصوصی با سهامداری کاملا خصوصی است که بدون وابستگی به هیچ نهاد دولتی یا حاکمیتی، استارتاپی کار خود را شروع کرده و ترکیب مدیریتی ما گواه این مسئله است. اگر ما به جایی وصل بودیم، چرا اولین صرافی رمز‌ارزی بودیم که سال گذشته درگاه پرداخت آن بسته شد و تا‌کنون هم باز نشده است؟ در مورد اینکه می‌گویند کار خودشان بوده‌‌ هم می‌توانم بگویم‌ کاملا شفاف و به گواه بسیاری از افراد فعال در سراسر جهان، این دارایی به کیف پول‌هایی بدون کلید خصوصی ارسال شده است، پس این گزاره که کسی این پول را برداشته کاملا غلط است. حتی این دارایی‌ها در کنترل هکر‌ها هم نیست و به‌اصطلاح سوخته شده است.

چرا اصلا نوبیتکس انتخاب شد‌؟

اسرائیل این ادعا را مطرح می‌کرد که با مردم ایران مشکلی ندارد، اما با حمله به نوبیتکس دارایی مردم را هدف قرار داد. از شواهد و تحلیل‌های رسانه‌های معتبری که شما هم حتما بررسی کردید، ‌‌این گروه به دولتی وابسته است که با کشور ما در جنگ بود و هدف به‌هم‌ریختن امنیت روانی مردم به نظر می‌رسید. نوبیتکس ۱۱ میلیون کاربر دارد؛ یعنی از هر ۱۰ ایرانی یک نفر کاربر نوبیتکس است. در نتیجه به نظر می‌رسد گزینه درخورتوجهی برای برهم‌زدن آرامش خاطر جامعه و ایجاد احساس ناامنی از نظر هکرها باشد.

وقتی این حمله اتفاق افتاد، شما در یکی از اطلاعیه‌های خود با اینکه هکر‌ها گفته بودند ۹۰ میلیون دلار از دارایی نوبیتکس را به سرقت برده‌اند، اعلام کردید دارایی کاربران در امنیت است و به آنها بازخواهد گشت. این یک ادعا و برای کاهش نگرانی کاربران بود یا واقعا دارایی کاربران در امنیت قرار داشت؟

ما در اولین اطلاعیه‌هایمان گفتیم از صندوق بیمه و ذخایر نوبیتکس این سرقت جبران خواهد شد؛ مقصود ما این است که نوبیتکس در طول سال‌ها فعالیت خود از محل دارایی خود، نه دارایی کاربران، اندوخته‌ای برای موارد خاص مانند حادثه امنیتی در نظر گرفته است و زیان این حادثه را از محل ذخیره خود جبران خواهد کرد‌ تا بتواند اعتماد کاربران را بازیابی و به تعهد خود عمل کند. به موازات این کار، پیگیری‌های بین‌المللی را هم ادامه خواهیم داد به امید اینکه بتوانیم بخشی از دارایی از‌دست‌رفته را برگردانیم.

خود شما در شرایطی که جنگ بود و مانند هر شهروند امنیت خود و خانواده‌تان در خطر بود، چقدر برایتان سخت بود که به محیط کار برگردید‌ و ۲۴‌ساعته در حال در نظر گرفتن راه‌های خروج از این بحران باشید؟

بحران به‌‌وجود‌آمده برای ما در میانه جنگ به قدری تأثیرگذار بود که ناخودآگاه ‌موضوع جنگ و امنیت خودم در اولویت دوم قرار گرفت. از لحظات اولیه این بحران به تنها چیزی که فکر می‌کردم، حل سریع‌تر این مشکل و رفع دغدغه و نگرانی شکل‌گرفته در کاربران بود. بسیاری از مدیران و افراد درگیر در کمیته بحران ما به همین شکل عمل کردند و بلافاصله از مسیرهای دور و نزدیک در نقاط مختلف شهر، به هر طریقی که شده بود خودشان را به شرکت رساندند تا بتوانند به شکل مؤثرتری به تصمیم‌گیری و مدیریت بحران کمک کنند. 

چقدر فکر‌ می‌کنید این اتفاق به اعتماد کاربران‌تان و حتی گرفتن کاربر جدید لطمه وارد کرده است؟

هک در دنیای رمزارز اتفاق تازه‌ای نیست؛ چند ماه قبل یک صرافی معتبر بین‌المللی هک شد. به نظرم آنچه اهمیت دارد اقدامات ما پس از هک است که نهایت تلاش‌مان را می‌کنیم تا اعتماد را بازسازی کنیم. هنوز در میانه بحران هستیم و برای آموختن و صحبت‌کردن در مورد آن زود است، اما می‌دانیم با مسئله پیچیده‌ای طرف هستیم و لازم است مقاوم و منسجم به کار ادامه دهیم تا بتوانیم تمامی خدمات خود را پایدار کنیم. 

چقدر دید شما برای تغییر ساختار امنیتی نوبیتکس تغییر کرد؟ آیا به‌نوعی می‌توان این اتفاق را به اهمال‌کاری از سمت نوبیتکس ارتباط داد؟

ما تمام ساختار را بازطراحی کرده‌ایم، پس این تغییر عمده از یک تغییر نگرش نشئت می‌گیرد. این اتفاق متغیرهای زیادی داشته و حتما قصور‌هایی از سمت ما وجود داشته است، ولی اگر در پس‌زمینه یک جنگ و حمله نظامی به این حمله سایبری نگاه کنید، ابعاد آن متفاوت می‌شود. من فکر می‌کنم این اتفاق در پس‌زمینه جنگ غیر‌قابل پیشگیری بود. 

شما بلافاصله بعد از اعلام هکر‌ها به نفود در نوبیتکس، این اتفاق را اطلاع‌رسانی کردید. در این زمینه خط قرمزهای شما برای شفاف‌سازی عمومی چه بود؟

ما با فاصله کمتر از یک ساعت دو اطلاعیه منتشر کردیم. در اطلاعیه دوم مسئولیت خسارات را بر عهده گرفتیم. آنچه همواره برای ما خط قرمز است، نقض صداقت، شفافیت و امانت‌داری است. در تمامی اطلاعیه‌ها به ارزش‌های نوبیتکس پایبند بودیم. به‌طور کلی هر کجا جواب سؤالی را نداشته باشیم، به صراحت می‌گوییم هنوز بررسی ما تکمیل نشده و جایی که لازم باشد مثل جبران خسارت با کاربران صریح گفت‌وگو می‌کنیم تا آرامش را برقرار کنیم.

در این اتفاق آیا از شرکت‌های خاص یا مشاورهای امنیتی هم کمک گرفتید؟

امکان کمک‌گرفتن از یک شرکت خارجی را با توجه به شرایط کشور نداشتیم، عمده کار توسط تیم و مشاوران همیشگی نوبیتکس انجام شد و خدا ر‌ا شکر الان شرایط تحت کنترل است.

فشار یا توصیه خاصی از نهادهای دولتی برای مدیریت اطلاع‌رسانی وجود داشت؟

خیر، بیشتر از جنس هماهنگی و مشورت بود.