بزرگمهری
عضو هیات‌مدیره انجمن تحول دیجیتال ایران، با اشاره به اختلال‌های گسترده و تکرارشونده در برخی بانک‌های کشور، این رخدادها را فراتر از یک نقص فنی دانست و تأکید کرد: آنچه در هفته‌های اخیر رخ داده، نشانه ضعف عمیق در معماری فناوری اطلاعات نظام بانکی، وابستگی به زیرساخت‌های محدود، نبود سناریوهای خروج اضطراری و فقدان تاب‌آوری عملیاتی است؛ مسائلی که نیازمند بازنگری اساسی در سیاست‌گذاری و حکمرانی فناوری بانکی هستند.

در پی اختلال‌های اخیر در سامانه‌های بانکی، علیرضا بزرگمهری، عضو هیات‌مدیره انجمن تحول دیجیتال ایران، در گفت‌وگو با خبرنگار ما در شماره 128 ماهنامه نسل چهارم اظهار کرد: آنچه طی هفته‌های گذشته در شبکه بانکی کشور رخ داد، صرفاً یک اختلال فنی یا حمله به یک بانک خاص نبود، بلکه نشانه‌ای از یک بحران ساختاری در معماری فناوری اطلاعات نظام بانکی کشور است.
وی با بیان اینکه از ابتدای سال ۱۴۰۴ تاکنون، چندین اختلال گسترده، همزمان و تکرارشونده در بانک‌های بزرگ کشور رخ داده است، افزود: تجربه مشتری از بانک تنها به سامانه Core Banking محدود نمی‌شود و اختلال می‌تواند در سوئیچ کارت، اینترنت‌بانک، موبایل‌بانک، پایگاه داده، سامانه احراز هویت، شبکه ارتباطی یا مرکز داده رخ دهد؛ اما زمانی که چند بانک بزرگ به‌صورت همزمان و برای مدت طولانی دچار اختلال می‌شوند، دیگر نمی‌توان آن را یک اشکال محدود تلقی کرد.
بزرگمهری با اشاره به اظهارات معاون فناوری‌های نوین بانک مرکزی مبنی بر اینکه منشأ اصلی حملات هنوز مشخص نشده است، گفت: با وجود نامشخص بودن علت حادثه، برخی بانک‌ها مجدداً سامانه‌های خود را راه‌اندازی کردند و همین موضوع موجب تکرار حملات و اختلال شد. در نهایت نیز از شرکت خدمات انفورماتیک خواسته شد به جای تمرکز بر ارائه سرویس، منشأ حمله را شناسایی کرده و در راه‌اندازی سامانه‌های جایگزین مشارکت کند.
وی ادامه داد: این تصمیم نشان می‌دهد که بازگرداندن ساده سامانه‌های قبلی، بدون کشف ریشه اصلی حادثه، می‌تواند منجر به تکرار بحران شود.
عضو هیات‌مدیره انجمن تحول دیجیتال ایران با اشاره به تصمیم برخی بانک‌های دولتی برای تغییر سامانه‌های کربنکینگ خود تصریح کرد: تغییر Core Banking یک پروژه چندماهه یا تصمیمی مقطعی نیست. چنین تصمیمی نشان‌دهنده کاهش اعتماد به وضعیت موجود است، اما نباید تصور کرد که صرفاً با تغییر تأمین‌کننده، مشکل حل خواهد شد.
وی افزود: تجربه سال‌های گذشته نشان داده است که سایر سامانه‌های کربنکینگ نیز با رخدادهای امنیتی و نشت اطلاعات مواجه بوده‌اند؛ بنابراین مسئله، یک شرکت یا یک محصول خاص نیست، بلکه کل اکوسیستم کربنکینگ کشور از منظر امنیت، تاب‌آوری، شفافیت رخدادها، استقلال از تأمین‌کننده و قابلیت بازیابی اضطراری نیازمند بازنگری جدی است.
بزرگمهری با اشاره به تجربه جهانی در نوسازی سامانه‌های بانکی گفت: در بانک‌های بزرگ دنیا، مهاجرت از سامانه‌های قدیمی به معماری‌های جدید، فرآیندی تدریجی است که با اصلاح APIها، پاکسازی داده‌ها، بازطراحی کانال‌های خدماتی و مهاجرت مرحله‌ای ماژول‌ها انجام می‌شود؛ نه اینکه کل سامانه به‌صورت یکباره تعویض شود.
وی با تأکید بر اینکه شرایط ایران به دلیل تحریم‌ها، الزامات حاکمیتی و محدودیت استفاده از زیرساخت‌های بین‌المللی با سایر کشورها متفاوت است، اظهار داشت: هرچند در دنیا حرکت به سمت رایانش ابری و Core Banking مبتنی بر Cloud در حال گسترش است، اما این مدل در شرایط فعلی ایران قابلیت اتکای کافی ندارد و باید راهکارهای بومی و متناسب با شرایط کشور طراحی شود.
این کارشناس حوزه بانکداری دیجیتال، ضعف مدیریتی در حوزه فناوری بانکی را یکی از عوامل اصلی وضعیت فعلی دانست و گفت: طی حدود ۱۵ سال گذشته تصمیم‌گیری‌های نادرست و تعلل در نوسازی زیرساخت‌ها موجب شده است که امروز مهم‌ترین شرکت‌های ارائه‌دهنده خدمات بانکی کشور با چنین بحران‌هایی مواجه شوند.
وی همچنین به موضوع تمرکز داده‌های بانک‌ها در مراکز داده شرکت‌های ارائه‌دهنده کربنکینگ اشاره کرد و افزود: نگهداری انحصاری داده‌های چند بانک در زیرساخت یک تأمین‌کننده، ریسک سرایت بحران را افزایش می‌دهد. اگر هر بانک مالک داده‌های خود باشد یا از مراکز داده مستقل و متعدد استفاده کند، احتمال گسترش اختلال به سایر بانک‌ها به‌مراتب کاهش خواهد یافت.
بزرگمهری با انتقاد از کاهش نظارت‌های تخصصی بر تحول دیجیتال بانک‌ها طی سال‌های اخیر گفت: زمانی که ارزیابی‌های مستمر و تخصصی بر عملکرد بانک‌ها انجام می‌شد، بانک‌ها ناچار به اجرای پروژه‌های تحول دیجیتال بودند؛ اما کاهش این نظارت‌ها، روند نوسازی را نیز متوقف کرده است.
وی با اشاره به اینکه حتی بانک‌هایی که از سامانه‌های اختصاصی استفاده می‌کنند نیز از خطر مصون نیستند، خاطرنشان کرد: فناوری‌های قدیمی، مشکلات ناشی از تحریم، کمبود تجهیزات به‌روز، ضعف در پایش امنیتی و محدودیت‌های سخت‌افزاری، کل شبکه بانکی کشور را در معرض تهدید قرار داده است.
عضو هیات‌مدیره انجمن تحول دیجیتال ایران با تأکید بر ضرورت تدوین چارچوب ملی تاب‌آوری دیجیتال بانکی گفت: بانک مرکزی نباید از کنار این رخدادها به‌سادگی عبور کند. لازم است گزارش فنی و شفافی از منشأ حادثه منتشر شود و با مشارکت متخصصان، چارچوب جامعی برای تاب‌آوری دیجیتال شبکه بانکی تدوین شود.
وی تصریح کرد: این چارچوب باید شامل شناسایی خدمات حیاتی، تعیین شاخص‌های RTO و RPO، برگزاری مانورهای واقعی بازیابی بحران (Disaster Recovery)، استانداردهای امنیت سایبری، ممیزی مستقل سامانه‌های کربنکینگ، معماری‌های Active-Active، کاهش وابستگی به تأمین‌کنندگان و سازوکار جبران خسارت مشتریان باشد.
بزرگمهری در پایان تأکید کرد: اگر در زمان وقوع بحران، بانک‌ها تازه به دنبال مرکز داده جایگزین، سامانه جایگزین یا تیم بازیابی باشند، یعنی برنامه تداوم کسب ‌وکار (Business Continuity Plan) از قبل طراحی نشده است. آنچه امروز شاهد آن هستیم صرفاً یک اختلال بانکی نیست، بلکه زنگ خطر راهبردی برای آینده نظام بانکی کشور است و وزارت امور اقتصادی و دارایی و بانک مرکزی باید با نگاهی ملی، تخصصی و بلندمدت برای اصلاح آن اقدام کنند.

انتهای پیام

تازه ها