در پی اختلالهای اخیر در سامانههای بانکی، علیرضا بزرگمهری، عضو هیاتمدیره انجمن تحول دیجیتال ایران، در گفتوگو با خبرنگار ما در شماره 128 ماهنامه نسل چهارم اظهار کرد: آنچه طی هفتههای گذشته در شبکه بانکی کشور رخ داد، صرفاً یک اختلال فنی یا حمله به یک بانک خاص نبود، بلکه نشانهای از یک بحران ساختاری در معماری فناوری اطلاعات نظام بانکی کشور است.
وی با بیان اینکه از ابتدای سال ۱۴۰۴ تاکنون، چندین اختلال گسترده، همزمان و تکرارشونده در بانکهای بزرگ کشور رخ داده است، افزود: تجربه مشتری از بانک تنها به سامانه Core Banking محدود نمیشود و اختلال میتواند در سوئیچ کارت، اینترنتبانک، موبایلبانک، پایگاه داده، سامانه احراز هویت، شبکه ارتباطی یا مرکز داده رخ دهد؛ اما زمانی که چند بانک بزرگ بهصورت همزمان و برای مدت طولانی دچار اختلال میشوند، دیگر نمیتوان آن را یک اشکال محدود تلقی کرد.
بزرگمهری با اشاره به اظهارات معاون فناوریهای نوین بانک مرکزی مبنی بر اینکه منشأ اصلی حملات هنوز مشخص نشده است، گفت: با وجود نامشخص بودن علت حادثه، برخی بانکها مجدداً سامانههای خود را راهاندازی کردند و همین موضوع موجب تکرار حملات و اختلال شد. در نهایت نیز از شرکت خدمات انفورماتیک خواسته شد به جای تمرکز بر ارائه سرویس، منشأ حمله را شناسایی کرده و در راهاندازی سامانههای جایگزین مشارکت کند.
وی ادامه داد: این تصمیم نشان میدهد که بازگرداندن ساده سامانههای قبلی، بدون کشف ریشه اصلی حادثه، میتواند منجر به تکرار بحران شود.
عضو هیاتمدیره انجمن تحول دیجیتال ایران با اشاره به تصمیم برخی بانکهای دولتی برای تغییر سامانههای کربنکینگ خود تصریح کرد: تغییر Core Banking یک پروژه چندماهه یا تصمیمی مقطعی نیست. چنین تصمیمی نشاندهنده کاهش اعتماد به وضعیت موجود است، اما نباید تصور کرد که صرفاً با تغییر تأمینکننده، مشکل حل خواهد شد.
وی افزود: تجربه سالهای گذشته نشان داده است که سایر سامانههای کربنکینگ نیز با رخدادهای امنیتی و نشت اطلاعات مواجه بودهاند؛ بنابراین مسئله، یک شرکت یا یک محصول خاص نیست، بلکه کل اکوسیستم کربنکینگ کشور از منظر امنیت، تابآوری، شفافیت رخدادها، استقلال از تأمینکننده و قابلیت بازیابی اضطراری نیازمند بازنگری جدی است.
بزرگمهری با اشاره به تجربه جهانی در نوسازی سامانههای بانکی گفت: در بانکهای بزرگ دنیا، مهاجرت از سامانههای قدیمی به معماریهای جدید، فرآیندی تدریجی است که با اصلاح APIها، پاکسازی دادهها، بازطراحی کانالهای خدماتی و مهاجرت مرحلهای ماژولها انجام میشود؛ نه اینکه کل سامانه بهصورت یکباره تعویض شود.
وی با تأکید بر اینکه شرایط ایران به دلیل تحریمها، الزامات حاکمیتی و محدودیت استفاده از زیرساختهای بینالمللی با سایر کشورها متفاوت است، اظهار داشت: هرچند در دنیا حرکت به سمت رایانش ابری و Core Banking مبتنی بر Cloud در حال گسترش است، اما این مدل در شرایط فعلی ایران قابلیت اتکای کافی ندارد و باید راهکارهای بومی و متناسب با شرایط کشور طراحی شود.
این کارشناس حوزه بانکداری دیجیتال، ضعف مدیریتی در حوزه فناوری بانکی را یکی از عوامل اصلی وضعیت فعلی دانست و گفت: طی حدود ۱۵ سال گذشته تصمیمگیریهای نادرست و تعلل در نوسازی زیرساختها موجب شده است که امروز مهمترین شرکتهای ارائهدهنده خدمات بانکی کشور با چنین بحرانهایی مواجه شوند.
وی همچنین به موضوع تمرکز دادههای بانکها در مراکز داده شرکتهای ارائهدهنده کربنکینگ اشاره کرد و افزود: نگهداری انحصاری دادههای چند بانک در زیرساخت یک تأمینکننده، ریسک سرایت بحران را افزایش میدهد. اگر هر بانک مالک دادههای خود باشد یا از مراکز داده مستقل و متعدد استفاده کند، احتمال گسترش اختلال به سایر بانکها بهمراتب کاهش خواهد یافت.
بزرگمهری با انتقاد از کاهش نظارتهای تخصصی بر تحول دیجیتال بانکها طی سالهای اخیر گفت: زمانی که ارزیابیهای مستمر و تخصصی بر عملکرد بانکها انجام میشد، بانکها ناچار به اجرای پروژههای تحول دیجیتال بودند؛ اما کاهش این نظارتها، روند نوسازی را نیز متوقف کرده است.
وی با اشاره به اینکه حتی بانکهایی که از سامانههای اختصاصی استفاده میکنند نیز از خطر مصون نیستند، خاطرنشان کرد: فناوریهای قدیمی، مشکلات ناشی از تحریم، کمبود تجهیزات بهروز، ضعف در پایش امنیتی و محدودیتهای سختافزاری، کل شبکه بانکی کشور را در معرض تهدید قرار داده است.
عضو هیاتمدیره انجمن تحول دیجیتال ایران با تأکید بر ضرورت تدوین چارچوب ملی تابآوری دیجیتال بانکی گفت: بانک مرکزی نباید از کنار این رخدادها بهسادگی عبور کند. لازم است گزارش فنی و شفافی از منشأ حادثه منتشر شود و با مشارکت متخصصان، چارچوب جامعی برای تابآوری دیجیتال شبکه بانکی تدوین شود.
وی تصریح کرد: این چارچوب باید شامل شناسایی خدمات حیاتی، تعیین شاخصهای RTO و RPO، برگزاری مانورهای واقعی بازیابی بحران (Disaster Recovery)، استانداردهای امنیت سایبری، ممیزی مستقل سامانههای کربنکینگ، معماریهای Active-Active، کاهش وابستگی به تأمینکنندگان و سازوکار جبران خسارت مشتریان باشد.
بزرگمهری در پایان تأکید کرد: اگر در زمان وقوع بحران، بانکها تازه به دنبال مرکز داده جایگزین، سامانه جایگزین یا تیم بازیابی باشند، یعنی برنامه تداوم کسب وکار (Business Continuity Plan) از قبل طراحی نشده است. آنچه امروز شاهد آن هستیم صرفاً یک اختلال بانکی نیست، بلکه زنگ خطر راهبردی برای آینده نظام بانکی کشور است و وزارت امور اقتصادی و دارایی و بانک مرکزی باید با نگاهی ملی، تخصصی و بلندمدت برای اصلاح آن اقدام کنند.
انتهای پیام






این وب سایت در دیتاسنتر آسیاتک میزبانی می شود