بزرگمهری: اختلالهای اخیر، زنگ خطر بحران ساختاری در معماری شبکه فناوری اطلاعات بانکهاست
عضو هیئتمدیره انجمن تحول دیجیتال ایران، با اشاره به تکرار اختلالهای گسترده در بانکهای کشور، تأکید کرد که مشکل صرفاً به یک حمله سایبری یا یک سامانه کربنکینگ محدود نیست، بلکه کل معماری فناوری اطلاعات شبکه بانکی از نظر امنیت، تابآوری و مدیریت بحران نیازمند بازنگری اساسی است.
در پی اختلالهای اخیر در سامانههای بانکی، علیرضا بزرگمهری، عضو هیئتمدیره انجمن تحول دیجیتال ایران، در گفتوگو با خبرنگار سیتنا اظهار کرد: آنچه طی هفتههای گذشته در شبکه بانکی کشور رخ داد، صرفاً یک اختلال فنی یا حمله به یک بانک خاص نبود، بلکه نشانهای از یک بحران ساختاری در معماری فناوری اطلاعات نظام بانکی کشور است.
وی با بیان اینکه از ابتدای سال ۱۴۰۴ تاکنون، چندین اختلال گسترده، همزمان و تکرارشونده در بانکهای بزرگ کشور رخ داده است، افزود: تجربه مشتری از خدمات بانکی تنها به سامانه کربنکینگ (Core Banking) محدود نمیشود و اختلال میتواند در سوئیچ کارت، اینترنتبانک، موبایلبانک، پایگاه داده، سامانه احراز هویت، شبکه ارتباطی یا مرکز داده رخ دهد. اما زمانی که چند بانک بزرگ بهصورت همزمان و برای مدت طولانی با اختلال مواجه میشوند، دیگر نمیتوان آن را یک اشکال محدود تلقی کرد.
بزرگمهری، گفت: با وجود نامشخص بودن علت دقیق حادثه، برخی بانکها سامانههای خود را دوباره راهاندازی کردند و همین موضوع موجب تکرار حملات و اختلالها شد. در نهایت نیز از شرکت خدمات انفورماتیک خواسته شد به جای تمرکز بر ارائه سرویس، منشأ حمله را شناسایی کرده و در راهاندازی سامانههای جایگزین مشارکت کند.
وی ادامه داد: این تصمیم نشان میدهد که بازگرداندن سامانههای قبلی، بدون شناسایی ریشه اصلی حادثه، میتواند به تکرار بحران منجر شود.
عضو هیئتمدیره انجمن تحول دیجیتال ایران با اشاره به تصمیم برخی بانکهای دولتی برای تغییر سامانههای کربنکینگ خود تصریح کرد: تغییر Core Banking یک پروژه چندماهه یا تصمیمی مقطعی نیست. چنین تصمیمی نشاندهنده کاهش اعتماد به وضعیت موجود است، اما نباید تصور کرد که صرفاً با تغییر تأمینکننده، مشکل برطرف خواهد شد.
وی افزود: تجربه سالهای گذشته نشان داده است که سایر سامانههای کربنکینگ نیز با رخدادهای امنیتی و نشت اطلاعات مواجه بودهاند. بنابراین مسئله، یک شرکت یا یک محصول خاص نیست، بلکه کل اکوسیستم کربنکینگ کشور از منظر امنیت، تابآوری، شفافیت رخدادها، استقلال از تأمینکننده و قابلیت بازیابی اضطراری، نیازمند بازنگری جدی است.
بزرگمهری با اشاره به تجربه جهانی در نوسازی سامانههای بانکی گفت: در بانکهای بزرگ دنیا، مهاجرت از سامانههای قدیمی به معماریهای جدید، فرآیندی تدریجی است که با اصلاح APIها، پاکسازی دادهها، بازطراحی کانالهای خدماتی و مهاجرت مرحلهای ماژولها انجام میشود، نه اینکه کل سامانه بهصورت یکباره تعویض شود.
وی با تأکید بر اینکه شرایط ایران به دلیل تحریمها، الزامات حاکمیتی و محدودیت در استفاده از زیرساختهای بینالمللی با سایر کشورها متفاوت است، اظهار داشت: هرچند در جهان حرکت به سمت رایانش ابری و کربنکینگ مبتنی بر Cloud در حال گسترش است، اما این مدل در شرایط فعلی ایران از اتکاپذیری کافی برخوردار نیست و باید راهکارهای بومی و متناسب با شرایط کشور طراحی شود.
این کارشناس حوزه بانکداری دیجیتال، ضعف مدیریتی در حوزه فناوری بانکی را یکی از عوامل اصلی وضعیت کنونی دانست و گفت: طی حدود ۱۵ سال گذشته، تصمیمگیریهای نادرست و تعلل در نوسازی زیرساختها موجب شده است که امروز مهمترین شرکتهای ارائهدهنده خدمات بانکی کشور با چنین بحرانهایی روبهرو شوند.
وی همچنین به موضوع تمرکز دادههای بانکها در مراکز داده شرکتهای ارائهدهنده کربنکینگ اشاره کرد و افزود: نگهداری انحصاری دادههای چند بانک در زیرساخت یک تأمینکننده، ریسک سرایت بحران را افزایش میدهد. اگر هر بانک مالک دادههای خود باشد یا از مراکز داده مستقل و متعدد استفاده کند، احتمال گسترش اختلال به سایر بانکها بهمراتب کاهش خواهد یافت.
بزرگمهری با انتقاد از کاهش نظارتهای تخصصی بر روند تحول دیجیتال بانکها در سالهای اخیر گفت: زمانی که ارزیابیهای مستمر و تخصصی از عملکرد بانکها انجام میشد، بانکها ناچار به اجرای پروژههای تحول دیجیتال بودند؛ اما کاهش این نظارتها، روند نوسازی را نیز کند و در مواردی متوقف کرده است.
وی با اشاره به اینکه حتی بانکهایی که از سامانههای اختصاصی استفاده میکنند نیز از این تهدیدها مصون نیستند، خاطرنشان کرد: فناوریهای قدیمی، مشکلات ناشی از تحریم، کمبود تجهیزات بهروز، ضعف در پایش امنیتی و محدودیتهای سختافزاری، کل شبکه بانکی کشور را در معرض تهدید قرار داده است.
عضو هیئتمدیره انجمن تحول دیجیتال ایران با تأکید بر ضرورت تدوین چارچوب ملی تابآوری دیجیتال بانکی گفت: بانک مرکزی نباید از کنار این رخدادها بهسادگی عبور کند. لازم است گزارشی فنی و شفاف از منشأ حادثه منتشر شود و با مشارکت متخصصان، چارچوبی جامع برای ارتقای تابآوری دیجیتال شبکه بانکی تدوین شود.
وی تصریح کرد: این چارچوب باید شامل شناسایی خدمات حیاتی، تعیین شاخصهای RTO و RPO، برگزاری مانورهای واقعی بازیابی بحران (Disaster Recovery)، تدوین استانداردهای امنیت سایبری، ممیزی مستقل سامانههای کربنکینگ، استقرار معماریهای Active-Active، کاهش وابستگی به تأمینکنندگان و پیشبینی سازوکار جبران خسارت مشتریان باشد.
بزرگمهری در پایان تأکید کرد: اگر در زمان وقوع بحران، بانکها تازه به دنبال مرکز داده جایگزین، سامانه جایگزین یا تیم بازیابی باشند، به این معناست که برنامه تداوم کسبوکار (Business Continuity Plan) از پیش طراحی نشده است. آنچه امروز شاهد آن هستیم، صرفاً یک اختلال بانکی نیست، بلکه زنگ خطری راهبردی برای آینده نظام بانکی کشور است و وزارت امور اقتصادی و دارایی و بانک مرکزی باید با نگاهی ملی، تخصصی و بلندمدت برای اصلاح این وضعیت اقدام کنند.
انتهای پیام
گفتوگو: سارا استوار
دیدگاهها
سیتنا لطفا پیگیری کن آیا حقیقت داره؟
افزودن دیدگاه جدید