کد خبر: 338916
17 تیر 1405 - 11:06

چرا ایران به مدل ملی حکمرانی بانکداری متمرکز الکترونیکی و چارچوب ملی تاب‌آوری دیجیتال بانکی نیاز دارد؟

عضو هیات مدیره انجمن تحول دیجیتال ایران، معتقد است: اختلال‌های اخیر در شبکه بانکی نشان داد که چالش نظام بانکی ایران تنها به نقص یک سامانه یا وقوع یک حمله سایبری محدود نمی‌شود، بلکه ریشه در ضعف حکمرانی فناوری، مدیریت ریسک و تاب‌آوری عملیاتی دارد. در چنین شرایطی، تدوین یک مدل ملی برای حکمرانی بانکداری متمرکز الکترونیکی و استقرار چارچوبی جامع برای تاب‌آوری دیجیتال بانکی، ضرورتی اجتناب‌ناپذیر است تا تداوم خدمات حیاتی، حفظ اعتماد عمومی و پایداری زیرساخت‌های مالی کشور تضمین شود.

متن خبر

علیرضا بزرگمهری، عضو هیات مدیره انجمن تحول دیجیتال ایران در یاددشات ارسالی برای سیتنا آورده است:

اختلالات اخیر بانکی را نباید فقط در سطح یک حادثه فنی، یک حمله سایبری یا ضعف یک سامانه توضیح داد. این رخدادها نشانه شکاف عمیق‌تری هستند: رشد بانکداری دیجیتال در ایران از رشد حکمرانی فناوری، تاب‌آوری عملیاتی و مدیریت ریسک تمرکز جلو افتاده است. وقتی چند بانک بزرگ در یک دوره زمانی کوتاه با اختلال جدی مواجه می‌شوند، مسئله دیگر فقط Core Banking یک بانک یا عملکرد یک تأمین‌کننده نیست؛ مسئله به سطح اعتماد عمومی، ثبات خدمات مالی و حکمرانی ملی زیرساخت‌های حیاتی بانکی می‌رسد.

در ادبیات فنی، Core Banking قلب عملیاتی بانک است؛ جایی که حساب، مانده، سپرده، تسهیلات، گردش حساب، دفتر کل عملیاتی و منطق اصلی محصولات بانکی مدیریت می‌شود. با این حال تجربه مشتری از بانک فقط به Core محدود نیست. مشتری وقتی می‌گوید بانک قطع است، ممکن است با اختلال در کارت، سوئیچ، موبایل‌بانک، اینترنت‌بانک، مرکز داده، شبکه، HSM، API Gateway، پایگاه داده یا حتی یک تصمیم حفاظتی برای توقف موقت سرویس مواجه شده باشد.

به همین دلیل، تحلیل حرفه‌ای باید از «سامانه‌محوری» به «خدمت‌محوری» مهاجرت کند. پرسش درست این نیست که فقط کدام نرم‌افزار آسیب دید؛ پرسش درست این است که کدام خدمت حیاتی بانکی از دسترس خارج شد، چه تعداد مشتری و چه حجم تعهد مالی تحت تأثیر قرار گرفت، تحمل اختلال آن خدمت چقدر بود و بانک برای ادامه حداقل خدمت در شرایط بحران چه مسیر جایگزینی داشت.

در کشورهای توسعه‌یافته، رگولاتور معمولاً وارد انتخاب نام محصول یا شرکت تامین کننده، نمی‌شود، اما بانک را ملزم می‌کند سرویس‌های حیاتی، وابستگی‌های فناوری، تحمل اختلال، گزارش رخداد، تست بازیابی و ریسک اشخاص ثالث را دقیق و قابل ممیزی مدیریت کند. کمیته بازل در اصول تاب‌آوری عملیاتی، تاب‌آوری را توان بانک برای ارائه عملیات حیاتی در زمان اختلال تعریف می‌کند. 

در بریتانیا، بانک‌ها باید سرویس های حیاتی کسب و کارها را شناسایی کنند و برای هرکدام Impact Tolerance بگذارند. در اتحادیه اروپا، DORA از سال ۲۰۲۵ چارچوبی واحد برای ریسک فناوری اطلاعات، گزارش رخداد، تست تاب‌آوری و ریسک تأمین‌کنندگان حیاتی ایجاد کرده است.

1

ایران به نسخه بومی‌شده‌ای از این رویکرد نیاز دارد؛ چارچوبی که نه صرفاً چند بخشنامه امنیتی باشد و نه دخالت مستقیم در انتخاب تامین کننده سامانه Core، بلکه مدل ملی حکمرانی Core Banking و تاب‌آوری دیجیتال بانکی را تعریف کند. چنین چارچوبی باید چند جزء حداقلی داشته باشد:

  • طبقه‌بندی Core، کارت، کانال دیجیتال، دفتر کل، HSM، API Gateway، پایگاه داده و مراکز داده بانکی به‌عنوان دارایی‌ها و خدمات حیاتی.

  • ایجاد رجیستری محرمانه ملی از وابستگی‌های حیاتی بانک‌ها؛ شامل Core، دیتاسنتر، پایگاه داده، سوئیچ کارت، ابزارهای امنیتی، تأمین‌کنندگان اصلی و زنجیره پیمانکاران بعدی.

  • الزام هر بانک به تعریف Impact Tolerance، RTO و RPO برای خدماتی مانند مانده‌گیری، برداشت، پرداخت، انتقال وجه، چک، حقوق و خدمات شعبه.

  • اجباری شدن مانورهای دوره‌ای بازیابی، تست سناریوهای شدید اما محتمل، Cyber Vault، پشتیبان غیرقابل تغییر و گزارش رسمی درس‌آموخته‌ها.

  • الزام Vendor Exit Plan برای Core، کارت، کانال و دیتاسنتر؛ یعنی بانک از قبل بداند اگر تأمین‌کننده حیاتی از دسترس خارج شد، چگونه خدمت را با حداقل اختلال ادامه می‌دهد.

جمع بندی اینکه بانکداری دیجیتال بدون تاب‌آوری دیجیتال، توسعه‌ای شکننده است. اختلالات اخیر نشان داد که ایران باید از نگاه سامانه‌محور به نگاه خدمت‌محور، از اتکای تک‌مسیره به معماری چندمسیره، از قرارداد نرم‌افزاری به حکمرانی تأمین‌کننده حیاتی، و از بازیابی نمایشی به تست واقعی تداوم خدمت حرکت کند. Core Banking قلب بانک است، اما قلب بدون شبکه خون‌رسانی، سیستم ایمنی و برنامه احیا ضامن حیات نیست. چارچوب ملی حکمرانی بانکداری متمرکز الکترونیکی و تاب‌آوری دیجیتال بانکی باید بانک‌ها را ملزم کند در روز عادی، برای روز بحران طراحی کنند.

جمله نهایی این است: حادثه سایبری ممکن است جرقه باشد، اما وسعت اختلال را معماری، تمرکز ریسک، کیفیت حکمرانی فناوری و آمادگی عملیاتی تعیین می‌کند. اگر از این رخداد درس نگیریم، اختلال بعدی فقط مسئله فناوری نخواهد بود؛ بحران اعتماد عمومی خواهد بود.

انتهای پیام

نظرات خود را با ما درمیان بگذارید

افزودن دیدگاه جدید

کپچا
CAPTCHA ی تصویری
کاراکترهای نمایش داده شده در تصویر را وارد کنید.