اختلال بانک‌
رئیس هیأت‌مدیره انجمن شرکت‌های نرم‌افزاری (آشنا)، معتقد است: مشکل اصلی در بانک‌های بزرگ، معمولاً سنگینی زیرساخت‌های قدیمی در برابر حملات سایبری و حجم انبوه تراکنش‌هاست. راه‌حل، تنها خرید سخت‌افزار نیست، بلکه تغییر در معماری نرم‌افزار و فرهنگ مدیریت عملیات است.

سید مرتضی مهدوی، رئیس هیأت‌مدیره انجمن شرکت‌های نرم‌افزاری (آشنا) در تحلیل ویژه شماره 128 ماهنامه نسل چهارم آورده است:

صبح روز شنبه ۲۳ خردادماه، اختلال فنی در زیرساخت‌های شرکت ملی خدمات انفورماتیک باعث ایجاد مشکل در خدمات الکترونیکی چهار بانک بزرگ کشور شد و این اختلال موجب کاهش دسترسی کاربران به برخی سرویس‌های بانکی شد.

در جریان این اختلال، کاربران از مشکلات گسترده در خدمات زیر گزارش داده‌اند:

• اینترنت ‌بانک
• موبایل ‌بانک
• دستگاه‌های خودپرداز
• پایانه‌های فروش (کارت‌خوان)
• برخی خدمات کارتی بانکی

و نهایتا این مشکلات باعث اختلال در انجام تراکنش‌های روزمره کاربران شد و رفع این اختلال‌ها تا چندین هفته ادامه یافت.

در ایران، هر روز حدود ۳۰۰ تا ۴۰۰ میلیون تراکنش بانکی غیرحضوری، با حجم جابه‌جایی روزانه حدود ۱۴۰ همت، انجام می‌شود، یعنی هر ایرانی به‌طور متوسط، هفته‌ای چند بار از خدمات پرداخت غیرحضوری استفاده می‌کند؛ به‌گونه‌ای که تمام آحاد جامعه به آن وابسته هستند. حال اگر فقط درصدی از این جریان برای یک روز متوقف شود، هزاران میلیارد تومان از چرخه اقتصادی راکد خواهد شد. این دیگر یک اختلال فنی نیست؛ بلکه یک شوک اقتصادی بزرگ است. در سطح شاخص‌های بین‌المللی، نظیرDoing Business  نیز رویدادهایی از این دست، تأثیر منفی قابل‌توجهی بر جایگاه کشور خواهند گذاشت.

بر اساس الگوهای فنی و تجربه سیستم‌های بانکی بزرگ و سنتی، می‌توان یک تحلیل تخصصی از «علت‌های احتمالی» و «راهکارهای استراتژیک» برای چنین بحران‌هایی ارائه داد.
معمولاً در سیستم‌های بانکی با مقیاس بزرگ، قطع شدن خدمات اینترنتی ناشی از یکی از چهار دسته زیر است:

۱. علت‌های احتمالی (تحلیل فنی)
الف) حملات سایبری، به‌ویژه حملات  DDoS
در فضای سایبری ایران، بانک‌های بزرگ همواره هدف حملات DDoS (محروم‌سازی از سرویس) هستند. در این نوع حملات، حجم عظیمی از درخواست‌های جعلی به سمت سرورهای بانک ارسال می‌شود تا پهنای باند یا منابع پردازشی سرور اشباع شده و از دسترس خارج شود. این حملات باعث می‌شود مشتریان واقعی نتوانند وارد سامانه شوند.
ب) فرسودگی زیرساخت و سیستم‌های قدیمی  (Legacy Systems)
بانک‌های بزرگ سال‌هاست بر روی زیرساخت‌های بسیار قدیمی و سنگین فعالیت می‌کنند. زمانی که حجم تراکنش‌ها، مانند روزهای پرداخت حقوق یا پایان ماه، به‌شدت افزایش می‌یابد، این سیستم‌های قدیمی که ممکن است مبتنی بر معماری‌های یکپارچه باشند، توان مدیریت هم‌زمان درخواست‌های میلیون‌ها کاربر را ندارند و دچار «فلج پردازشی» می‌شوند.
ج) خطاهای ناشی از به‌روزرسانی یا تغییرات ساختاری
گاهی اوقات قطع سرویس پس از یک به‌روزرسانی نرم‌افزاری یا تغییر در پایگاه داده رخ می‌دهد. اگر فرآیند تست و استقرار (Deployment) به‌درستی انجام نشده باشد، یک خطای کوچک در کد می‌تواند باعث از کار افتادن کل سیستم‌های مرتبط، مانند سامانه پرداخت یا اطلاع‌رسانی، شود.
د) گلوگاه‌های ارتباطی و زیرساخت‌های شبکه
ممکن است مشکل از خود سرورهای بانک نباشد، بلکه در لایه‌های میانی، مانند اتصال به شبکه شتاب، سوئیچ‌های اصلی یا زیرساخت‌های ارتباطی شرکت‌های مخابراتی، اختلالی ایجاد شده باشد که باعث قطع ارتباط میان کاربر و بانک شود.

۲. راهکارهای پیشنهادی (استراتژی‌های نوین بانکی)
برای جلوگیری از تکرار این بحران‌ها، بانک‌های بزرگ باید از مدل‌های سنتی به سمت «بانکداری دیجیتال مدرن» حرکت کنند. چند مورد از این راهکارها در ادامه آمده است:
الف) گذار به معماری میکروسرویس  (Microservices Architecture)
به‌جای داشتن یک سیستم عظیم و یکپارچه که با خرابی یک بخش، کل سیستم از کار می‌افتد، بانک باید از معماری میکروسرویس استفاده کند. در این مدل، هر سرویس، مانند انتقال وجه، مشاهده موجودی یا پرداخت قبوض، مستقل از سایر سرویس‌هاست. اگر سرویس «پرداخت قبوض» دچار مشکل شود، مشتری همچنان می‌تواند موجودی خود را مشاهده کند. این رویکرد باعث افزایش مقاومت در برابر شکست می‌شود.
ب) استفاده از زیرساخت‌های ابری و مقیاس‌پذیری خودکار  (Auto-scaling)
بانک باید از فناوری‌های ابری یا ابر خصوصی (Private Cloud) استفاده کند. در این صورت، زمانی که حجم تراکنش‌ها به‌طور ناگهانی افزایش می‌یابد، مانند روزهای تعطیل یا زمان پرداخت حقوق، سیستم به‌صورت خودکار منابع پردازشی را افزایش می‌دهد تا از بروز اختلال جلوگیری شود.
ج) تقویت لایه‌های دفاع سایبری و مدیریت حملات  DDoS
استفاده از سرویس‌های تخصصی Anti-DDoS و ایجاد مراکز عملیات امنیت (SOC) پیشرفته که بتوانند حملات را در لایه‌های اولیه (Edge) شناسایی و مسدود کنند، پیش از آنکه فشار به سرورهای اصلی بانک وارد شود.
د) پیاده‌سازی متدولوژی DevOps
هرگونه تغییر در کدهای بانکی باید از طریق Pipelineهای خودکار و تست‌های بسیار سخت‌گیرانه انجام شود. این کار تضمین می‌کند که هیچ کد جدیدی، بدون بررسی کامل از نظر امنیت و عملکرد، وارد محیط عملیاتی نشود.
هـ) استقرار سیستم‌های بازیابی فاجعه  (Disaster Recovery - DR)
بانک باید از مراکز داده (Data Center) دوم و سوم در مناطق جغرافیایی مختلف استفاده کند. در صورت بروز مشکل در مرکز داده اصلی، سیستم باید بتواند در عرض چند ثانیه یا چند دقیقه، به‌صورت خودکار به مرکز داده پشتیبان منتقل شود  (Failover)، بدون آنکه کاربر متوجه قطع سرویس شود.

جا دارد در اینجا اشاره‌ای نیز به وظیفه رگولاتور بانکی (بانک مرکزی) داشته باشیم. رگولاتور به‌عنوان «ناظر و سیاست‌گذار» سیستم مالی عمل می‌کند. هدف اصلی رگولاتور این نیست که خود به مردم وام بدهد یا خدمات بانکی ارائه کند، بلکه هدف آن، حفظ نظم، امنیت و ثبات در کل سیستم بانکی است تا اقتصاد کشور دچار فروپاشی نشود.
مشکل اصلی در بانک‌های بزرگ، معمولاً سنگینی زیرساخت‌های قدیمی در برابر حملات سایبری و حجم انبوه تراکنش‌هاست. راه‌حل، تنها خرید سخت‌افزار نیست، بلکه تغییر در معماری نرم‌افزار و فرهنگ مدیریت عملیات است. شرکت‌های بزرگی مانند خدمات انفورماتیک که متعلق به بانک مرکزی هستند، نباید هم‌زمان در جایگاه رگولاتور و مجری قرار گیرند و بانک مرکزی نیز نباید با صدور بخشنامه، بانک‌ها را ملزم به استفاده از نرم‌افزار Core Banking شرکت خدمات انفورماتیک کند. با هر قرارداد خدمات انفورماتیک، ده‌ها شرکت چابک و به‌روز بخش خصوصی زمین‌گیر شده‌اند؛ شرکت‌هایی که می‌توانستند در سالیان گذشته مجری پروژه‌های موفق بانکی باشند.

وظیفه رگولاتور، تأمین نظم، امنیت و ثبات در کل سیستم بانکی است؛ بنابراین، در این میان، مرکز کاشف بانک مرکزی نیز کوتاهی آشکاری داشته و به وظایف خود عمل نکرده است.
با توقف بیست‌روزه خدمات چهار بانک اصلی کشور، لطمات جبران‌ناپذیری به اقتصاد بخش خصوصی و اعتبار کشور وارد شده است. جا دارد قوه قضائیه این موضوع را از منظر ترک فعل بررسی کرده و با مسببان اصلی برخورد قاطع داشته باشد و به هر طریق ممکن، خسارات مالی و اعتباری جامعه، به‌ویژه کسب ‌وکارها، جبران شود تا در آینده از تکرار چنین اتفاقاتی جلوگیری به عمل آید.
البته وظیفه دولت نیز در این میان بسیار حائز اهمیت است. در شرایطی که منابع مالی بسیاری از کسب ‌وکارها در بانک‌ها مسدود شده، سازمان تأمین اجتماعی همچنان جریمه دیرکرد پرداخت لیست بیمه را فراموش نمی‌کند.

انتهای پیام

تازه ها