پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
دغدغه اصلی؛ نگاه بالا به پایین / چرا «یکپارچگی» در مانیتورینگ عملیات مهم است؟
ماهنامه عصر تراکنش شماره ۴۲ / سازمانها و نهادهای بزرگ از جمله بانکها، همچون مجمعالجزایری هستند که در ظاهر بهعنوان یک مجموعه واحد دیده میشوند، ولی وقتی موشکافی میکنیم، میبینیم که از جزیرههای کوچک و بزرگی تشکیل شدهاند که به شکلهای مختلفی با یکدیگر در ارتباط هستند و هر جزیره برای رسیدن به اهدافی خاص، مجموعهای از عملیات و ماشینها را مدیریت میکند که خود نیز به مانیتورینگ پیوسته نیاز دارند تا بتوانند چرخه حیاتشان را ادامه دهند. تا به امروز این مانیتورینگ به شکلهای مختلف و جزیرهجزیره صورت گرفته که چالشهای خاص خودش را نیز داشته است.
ارزش افزوده واقعی مانیتورینگ در چنین سازمانهای عظیمالجثهای زمانی شکل میگیرد که این مانیتورینگ به شکل «یکپارچه» صورت بگیرد. این یکپارچگی مانیتورینگ ضمن افزایش سطح و عمق دید و بینش مدیران جهت تصمیمگیری، خود نیز به دادهها و کلاندادههای تازهای میانجامد که در نوع خود یکتا هستند. به نظر میرسد سامانه معین یا همان سامانه مانیتورینگ عملیات یکپارچه نوین بانک ملت که حاصل تلاش مشترک سه شرکت بهسازان ملت، پایشافزار فناوران شریف و دانشافزار نارون شریف بوده، بهدنبال چنین اهدافی بوده است.
به همین بهانه میزگردی با حضور محمد ساعدی، مشاور مدیرعامل شرکت بهسازان ملت؛ ابوالحسن شمسایی، مدیرعامل شرکت «پایشافزار فناوران شریف» و مدیر ارشد توسعه محصول «معین» و سیدرضا بنیهاشمی، معاون معاون مدیرعامل در امور بانکهای اطلاعاتی ترتیب دادیم و درباره چیستی مانیتورینگ عملیات و اهمیت یکپارچگی آن صحبت کردیم.
اگر موافق باشید ابتدا از مفهوم «مانیتورینگ عملیات» شروع میکنیم. اول این سؤال مطرح میشود که منظور از عملیات چیست و دوم آنکه مانیتورینگ چه معنی دارد و نهایتاً آنکه ترکیب آن دو با هم چه معنی میدهد و چه نیازی به وجودش داریم؟ در بانک یا سازمانهای بزرگ دیگر مثل بیمه، کارگزاری بورس و حتی شرکتهایی که متمرکز بر حوزه فناوری نیستند، چه نیازی به رفتن به سمت مفهوم مانیتورینگ عملیات وجود دارد؟
ساعدی: همه کسبوکارهای مبتنی بر فناوری اطلاعات نیازمند پایداری سرویس هستند. تمام کسبوکارها این دغدغه را دارند که آیا سرویسی که به مشتری عرضه میکنند، پایدار هست یا نه. بانکها یکی از کسبوکارهای دارای سرویسهای پرتراکنش هستند که همیشه دغدغه کاهش میزان خطا و ارتقای کیفیت سرویس را دارند و میخواهند کیفیت سرویسهایشان تداوم داشته باشد و تصادفی نباشد. برداشت مشتریان از خطا نیز با برداشت کسبوکارها از خطا متفاوت است. بسیار اتفاق میافتد که ارائهدهنده محصول میگوید «من خطایی ندارم و کیفیت سرویسهایم بالاست»، ولی مشتری سرویس مناسبی دریافت نمیکند.
اصلیترین ابزار برای پوشش هر دو دیدگاه از پایداری و کیفیت سرویس، مانیتورینگ جامع و کامل سرویسهاست. به عبارتی نیازمند سامانه مانیتورینگی هستیم که پایش از دیدگاه مشتری تا پایینترین لایه فناوری را پوشش دهد و هر سرویس را از هر سطح و دیدگاهی پایش کند. وقتی فناوری اطلاعات بخواهد به یک نیازمندی پاسخ دهد، طبیعتاً از لایههای مختلف تجهیزات و سرویسهای مختلفی بهره میبرد که اختلال در هر کدام از آن لایهها، کسبوکار را مختل میسازد. سامانه جامع مانیتورینگ عملیات کمک میکند که چنین اختلالهایی سریعاً کشف و رفع شود و نهایتاً سرویس پایدارتر و باکیفیتتری به مشتریان ارائه شود.
شمسایی: یک سرویس نرمافزاری، در فاز توسعه، توسط متخصصان نرمافزار پیادهسازی میشود و در فاز عملیات، توسط متخصصان فناوری اطلاعات اجرایی شده و نگهداری میشود. به عبارتی، پس از اینکه سرویس نرمافزاری تولید و توسعه داده شد، وارد فاز اجرایی و عملیاتی میشود. عملیاتیسازی سرویس، مجموعه اقداماتی است که بهمنظور راهاندازی، اجرا و نگهداری یک سرویس انجام میشود؛ این اقدامات شامل تهیه و نگهداری تجهیزات و منابع سختافزاری، تهیه و مدیریت شبکه ارتباطی، نصب، راهاندازی و مدیریت ابزارهای نرمافزاری مورد نیاز است؛ بنابراین صفر تا صد حیات یک سرویس شامل دو فاز توسعه و عملیات است.
یکی از مهمترین دغدغهها در فاز عملیات یک سرویس، نظارت بر صحت عملکرد سرویس و المانهای وابسته به آن سرویس است که این مهم همان مفهوم مانیتورینگ عملیات است. در مانیتورینگ عملیات، همواره از المانهای زیرساختی و وابسته به یک سرویس؛ مجموعهای از شاخصهای کارایی بهطور دائمی استخراج و به شاخصهای کیفی تحلیل میشوند تا صحت و کیفیت عملکرد یک سرویس، بهصورت 7×24 نظارت شود و در صورت وقوع مشکلی در عملکرد آن سرویس، آن مشکل و منشاء آن، در اسرع وقت کشف و در جهت رفع آن اقدام شود.
در بسیاری از کسبوکارها، سرویسها و خدمات از فضای فیزیکی به فضای سایبری مهاجرت کردهاند. حتی در کسبوکارهایی که متمرکز بر فناوری اطلاعات نیستند، این مهاجرت در حال وقوع است. همین مسئله باعث اهمیت روزافزون مانیتورینگ عملیات در بسیاری از کسبوکارهای امروز و آینده میشود.
بنیهاشمی: هر جایی که یک سرویس مالی یا بانکی ارائه میشود، زیرساخت فناوری اطلاعات آن بسیار پیچیده و متشکل از تجهیزات و ابزارهایی متنوع است. یک سرویس در صورتی پایدار است که تمام اجزای این زیرساخت، صحیح و منسجم عمل کنند. اهمیت بخش عملیات هم همینجا مشخص میشود. اطلاعات بین زیرساختهای فناوری اطلاعات بانک و کاربر نهایی توسط بستر اینترنت تبادل میشود.
کاربر از طریق اینترنت به سرویس و شبکه داخلی بانک متصل میشود و درخواست او به زیرساختهای فناوری اطلاعات بانک میرسد و در زیرساختهای فناوری اطلاعات بانک پردازش و اجرا میشود تا درخواست مالی کاربر عملیاتی شود. این همان محیط عملیاتی است. مفهوم مانیتورینگ عملیات هم نظارت بر کارکرد و کارایی تکتک اجزای این محیط است تا بتوان هر لحظه وضعیت المانهای این محیط را رصد کرد و نهایتاً سرویس پایدار و باکیفیتی را به کاربر ارائه داد.
با توجه به بحثهایی که مطرح شد یک سؤال از آقای شمسایی میپرسم. به استخراج شاخصهای کیفی اشاره کردید. آیا در یک بانک یا یک صنعت، تمام شاخصهای کیفی قابل استخراج و قابل اندازهگیری هستند؟
شمسایی: در ابتدا باید بگویم که ما از شاخصهای کیفی المانهای موجود در فضای مجازی یا سایبری صحبت میکنیم و این شاخصهای کیفی را از استخراج شاخصهای کارایی که عمدتاً از این المانها قابل استخراج هستند، به دست میآوریم. در هر کسبوکار فعالی در فضای مجازی یا سایبری، همه سرویسها یا خدمات الکترونیکی، در فضای ابری اختصاصی یا اجارهای آن کسبوکار در حال اجراست. میدانیم فضای ابری شامل سه لایه است.
لایه اول شامل تجهیزات سختافزاری و شبکه است، مانند سوئیچها، روترها، فایروالها، آیپیاس/آیدیاسها، ذخیرهسازها، سرورها، سرورهای تیغهای، ابزارهای مجازیساز و سیستمعاملها که برای اجرای یک سرویس در فضای ابری، یک یا چند ماشین مجازی و ارتباطات لازم را فراهم میکند و شما میتوانید بهطور مثال، روی آنها سرویس خود را اجرا و راهاندازی کنید؛ بنابراین در این لایه، یک یا چند رایانه یا ماشین مجازی به اضافه شبکه و ارتباطات لازم بین آنها یا اتصال به اینترنت جهت ارتباط با مشتریان فراهم میشود.
در لایه دوم، علاوه بر ماشینهای مجازی، ابزارها و تجهیزات نرمافزاری که لازمه یک سرویس یا خدمت الکترونیک هستند، در این رایانهها یا ماشینهای مجازی راهاندازی میشوند، مانند پایگاههای داده، سیستمهای صف پیام، سرورهای وب، سرورهای کاربردی، ابزارهای تدارک سرویس، ابزارهای تحلیل داده، ابزارهای ارکستریشن و بسیاری نرمافزارهای دیگری که بهعنوان پیشنیازهای سرویس تهیه و نصب میشوند.
بنابراین تا این لایه، یک کسبوکار، همه زیرساختهای سختافزاری و نرمافزاری لازم را برای اجرا و راهاندازی سرویس خود دارد. لایه سوم مربوط به سرویسهایی است که یک کسبوکار تولید میکند. در این لایه برنامه کاربردی یا سرویس تولیدشده توسط یک کسبوکار روی زیرساخت سختافزاری و نرمافزاری فراهم شده و روی دو لایه قبل قرار میگیرد و بدین ترتیب همه اقدامات لازم برای عملیاتیسازی یک سرویس انجام شود.
حال اگر از مانیتورینگِ عملیات صحبت میکنید، یعنی تمام المانهای هر سه لایه فضای ابری یک کسبوکار باید مورد نظارت و مانیتورینگ قرار گیرند. در واقع در پاسخ به پرسش شما میتوان گفت، لازم است که شاخصهای کارایی همه المانهای فناوری اطلاعات که در فضای ابری یک کسبوکار مانند بانک قرار دارند و در شبکه در دسترس هستند، استخراج و وضعیت کیفی این المانها تحلیل شود و این امکان عمدتاً وجود دارد.
آقای ساعدی، در گذشته بانکها از چه ابزارها یا روشها یا استانداردهایی برای مانیتورینگ بهره میبردند؟
ساعدی: در ابتدا در تکمیل بحثهای قبل باید گفت بلوغ یک کسبوکار در گرو کیفیت سرویسهای آن است و اینجاست که شاخصهای کارایی و کیفی اهمیت مییابند. در این خصوص، قوانین تنظیم مقررات نیز بهشدت ناظر هستند. در حوزه رتبهبندی، الزاماتی وجود دارد و برای سرویسدهی نامناسب ارائهدهندگان خدمات حوزه پرداخت، جرائمی تعریف شده است. در این شرایط اهمیت مانیتورینگ شاخصهای کیفی ملموستر میشود.
هر کسبوکاری که بتواند توافق سطح سرویس (SLA) مناسبی؛ حتی با سطوح پایین منعقد کند، در سنجش کیفی موفقتر است. با استاندارد شدن و افزایش بلوغ کسبوکار، «سطح سرویس» کاملاً معنی و مفهوم پیدا میکند. کسبوکارهایی که به سمت بلوغ و استاندارد شدن حرکت میکنند، همگی نیازمند مانیتورینگ دقیق سطح کیفی سرویسهای خود هستند.
اما در رابطه با اینکه تا پیش از این، بانکها از چه روشها و ابزارهایی برای مانیتورینگ عملیات بهره میبردند، باید گفت که هر کسبوکاری که یک سرویس را عملیاتی میکند، از روز نخست با مانیتورینگ و پایش آن سرویس سروکار دارد. هرچه سرویسها و سیستمها بزرگتر شوند، دغدغهها نیز افزایش مییابند و به همین دلیل هر کدام از بانکها بهناچار از ابزارهای گوناگون برای مانیتورینگ بهره میگیرند. اما مسئله نبود مانیتورینگ عملیات در بانکها نیست؛ بلکه مسئله این است که مانیتورینگ عملیات بهطور عمده جزیرهای و بهصورت تکههای مجزا از هم است.
در حوزه امنیت از ابزارهای متفاوت استفاده میکنند. در حوزه کارایی و کیفیت سرویس نیز نرمافزارهای مختلفی تهیه یا توسعه داده شده و برای مانیتورینگ استفاده میشود. حتی در کانالهای بانکی نیز، ابزارهای گوناگونی به کار میرود. بنابراین وقتی نگاه کنید، میبینید برای یک سرویس چندین نوع ابزار مانیتورینگ مختلف وجود دارد و همگی صحت عملکرد بخشی از سیستم را نشان میدهند، ولی تجمیع نشده و تحلیل جامعی از وضعیت سرویس ارائه نمیدهند.
به نکته بسیار مهمی اشاره کردید. از صحبت شما چنین برداشت کردهام که تاکنون بانکها و مؤسسات مالی بزرگ، مانیتورینگ داشتهاند، ولی از لحاظ یکپارچگی ضعیف بودهاند. اهمیت این دو نکته در آن است که از حالت جزیرهای به سمت یکپارچگی برویم.
شمسایی: این یکپارچگی میتواند برایمان ارزش افزوده داشته باشد.
از آقای بنیهاشمی میخواهم که مفهوم یکپارچگی را تشریح کنند. اهمیت یکپارچگی در عملیات چیست؟ آقای ساعدی بخشی از اهمیت آن را توضیح دادند، ولی با ایجاد یکپارچگی در عمل چه اتفاقی میافتد؟
بنیهاشمی: تجربه 15ساله بنده در بخش بانکهای اطلاعاتی و همچنین سروکار داشتن با سایر بخشهای عملیاتی، محیطهای توسعه و طراحی و محیط کسبوکار این امر را نشان میدهد که وقتی تعداد و تنوع کاربران و سرویسها زیاد میشود، زیرساختها نیز پیچیده میشوند و نیاز به یکپارچگی پیچیدهای دارند.
در این شرایط باید تمام زیرساختها هماهنگ با یکدیگر کار کنند. ابزار مانیتورینگ در تمام حوزهها لازم است. هر سازندهای که تجهیزی را تولید میکند، برای آن یک ابزار مانیتورینگ خاص میسازد و گاهی مدل کسبوکاری آن سازنده طوری است که فقط از ابزار مانیتورینگ خود کسب درآمد میکند. چالش مهم ما این است که بین این ابزارها ارتباطی وجود ندارد و ما نمیتوانیم بهصورت یکپارچه، بر کل مجموعه نظارت کنیم.
وقتی در ارائه سرویس کسبوکاری مشکلی پیش میآید که ریشه آن در یکی از زیرساختهای فناوری اطلاعات آن است، پیدا کردن ریشه مشکل، امر بسیار پیچیدهای است؛ چراکه گاهی میبینیم اجزای سیستم بهتنهایی خوب عمل میکنند، ولی در تعامل با یکدیگر مشکل دارند. گاهی قطعی در بخشی از شبکه داخلی یا اختلال در یک سرویس بیرونی، تمام عملکرد یک سرویس را مختل میسازد. اینجاست که یکپارچگی در مانیتورینگ عملیات و اهمیت آن معلوم میشود. سیستم نظارت یکپارچه، نظامی است که روی تمام اجزا نظارت دارد و در صورت رخداد یک مشکل، ما را بهسرعت به ریشه مشکل میرساند.
آقای شمسایی، لطفاً راجع به ارزش افزوده یکپارچگی توضیح دهید.
شمسایی: یکپارچگی در مانیتورینگ دو ارزش افزوده ایجاد میکند. اولین ارزش افزوده، کاهش هزینههای مانیتورینگ است. وقتی تجهیزاتی را از برندهای مختلف خریداری میکنیم، گاهی مجبور به خرید ابزارهای مانیتورینگی میشویم که آن برندها را پوشش میدهند. این ابزارهای مانیتورینگ خارجی هستند و هزینههای دلاری بالایی بابتشان میپردازیم و چون عمده این ابزارهای مانیتورینگ پوششی صددرصد نسبت به برندهای مختلف ندارند، بنابراین مجبوریم تعدادی از آنها را بهصورت جزیرهای برای مانیتورینگ همه تجهیزات موجود داشته باشیم و بابت بهروزرسانی آنها نیز هزینههای مکرر بسیاری بپردازیم. این جزیرهایبودن در هر سه سطح فضای ابری یک کسبوکار مطرح است و تعداد ابزارهای مانیتورینگ مورد استفاده را افزایش میدهد.
وقتی ابزارهای مانیتورینگ متنوع باشند، مجبوریم اولاً برای خرید و بهروزرسانی آنها هزینه بسیاری بپردازیم و ثانیاً به کارشناسان مانیتورینگ بیشتری برای کار با ابزارهای متنوع نیاز داریم و این مسئله هزینه عملیات را بالا میبرد. در نتیجه وجود یک ابزار یکپارچه مانیتورینگ میتواند این هزینهها را کاهش دهد.
ارزش افزوده دوم، تحقق تجمیع اطلاعات همه المانهای دخیل در یک سرویس و امکان تحلیل یکپارچه آنهاست تا در صورت بروز مشکل در یک سرویس، منشاء خطا بهسرعت و دقت بیشتری کشف و رفع شود. وقتی تمام اطلاعات استخراجی المانهای فضای ابری یک کسبوکار را به شکل یکپارچه داشته باشیم، امکان تحلیل این دادهها (به نحوی که بتوانیم علاوه بر تشخیص خطا به سمت پیشگیری خطا هم برویم) وجود دارد. در حالت جزیرهای این اتفاق نمیافتد، چون دادههای لازم برای تشخیص یا پیشگیری از مشکل در یک سرویس را در اختیار نداریم. اهداف ما در محصول جدیدی که توسعه میدهیم، همین است.
آقای ساعدی؛ آقای شمسایی به اهمیت کاهش هزینه اشاره کردند و اینکه چگونه یکپارچگی باعث کاهش مخارج دلاری، جامعشدن اطلاعات و پیشگیری از خطا میشود. برایمان در اینباره بیشتر توضیح دهید که یک بانک یا یک مجموعه مالی چگونه با خرید سامانه و لایسنس شما هزینههای خود را کاهش میدهد؟ بالأخره بابت خرید این سرویس باید پولی بپردازند.
ساعدی: به نظر من اصلیترین دغدغه صاحبان کسبوکار پایداری سرویس و حفظ برند کسبوکار است. هزینهای که بابت خرید یک محصول مانیتورینگ یکپارچه پرداخته میشود، قابل قیاس با هزینههای ایجاد زیرساخت و تولید محصول نیست، ولی تأثیر مهمی در حفظ برند آن کسبوکار خواهد داشت. همچنین گاه صاحبان کسبوکار در بانکها، هزینههایی را خواهناخواه بهدلیل جرائم رگولاتوری میپردازند که با مانیتورینگ یکپارچه سرویس و تشخیص سریع مشکل و منشاء آن میتوان این موارد را کاهش داد. نکته دیگر اینکه در حالت مانیتورینگ جزیرهای وقتی خطا رخ میدهد، زمان یافتن ریشه خطا و برگرداندن سرویس به حالت عادی بهشدت بالاست.
بعضاً گزارشهای کارشناسی در مدت طولانی تهیه میشوند. در دنیای فناوری اطلاعات این عبارت مشهور است که «به محض اینکه هر صاحب کسبوکاری به سازندگان اعلام کند که سیستم دچار خطا شده، سازندگان به او میگویند منابع سختافزاری شما ضعیف هستند». بدین ترتیب، تمام تقصیرات را بر گردن سختافزار میاندازند. با ابزار مانیتورینگ یکپارچه، میتوان محل خطا و دلایل آن را دقیقتر و سریعتر مشخص کرد و حتی از هزینههای سختافزاری بیمورد نیز جلوگیری کرد.
در حال حاضر بانکها در زمان تراکنشهای بالا و در هنگام پیک، با بیشترین خطا مواجهاند و مجبورند منابع اضافه اختصاص دهند، در حالی که با مانیتورینگ یکپارچه مناسب میتوانند روند رشد استفاده از منابع سختافزاری را درک کرده و منابع سختافزاری بهینه را با هزینه پایینتر تأمین کنند.
آقای بنیهاشمی، با توجه به مواردی که آقای ساعدی و آقای شمسایی درباره کاهش هزینه و تمام مزایای مانیتورینگ یکپارچه گفتند، بهتر است از بحث راجع به بانک ملت فراتر برویم و کاربرد سامانه معین را در بانکهای دیگر مثل تجارت، صادرات یا حتی بانکهای کوچکتر بررسی کنیم. فرض کنید یکی از آن بانکها با مشکلاتی که گفتید مواجه باشد و سامانه شما بتواند مشکل او را حل کند.
در این صورت به چه دلیل ممکن است که نخواهد به سراغ سامانه معین بیاید؟ چرا از شرکتهای خارجی یک سیستم یکپارچه مشابه را تهیه نکند؟ چرا به سمت شرکتهای دیگری نمیرود که همین سامانههای مانیتورینگ را برایش فراهم میکنند؟ مزیت رقابتی سامانه معین چیست که کسبوکارها به نفعشان است که به سراغش بیایند؟
بنیهاشمی: نقطه قوت سامانه مانیتورینگ معین که باید بر آن تأکید کرد، این است که ما میتوانیم یک کسبوکار را با زیرساختها و فناوریهای زیرمجموعه آن بهصورت یکجا مانیتور کنیم. ابزارهای مانیتورینگ برای زیرساختها، فراوان هستند و همگی بدون استثنا خارجی و متأسفانه قفلشکسته هستند. تحریمها، نبود نمایندگی فروش، نبود پشتیبانی، نبود مستندات استقرار و هزینههای ارزی، مشکلات زیادی را برای تهیه یک نسخه مناسب ایجاد کرده است.
از سوی دیگر به فرض اینکه تحریمها وجود نداشته باشد و بتوانیم ابزارهای خارجی را بهراحتی بخریم؛ با مطالعه ابزارهای مانیتورینگ خارجی رایج در ایران فهمیدیم که در هیچکدام از آنها چیزی به نام «مانیتور کردن سرویس بهصورت یکپارچه» وجود ندارد. ما میخواهیم کل کسبوکار را یکجا مانیتور کنیم، یعنی المانهای زیرساختی تشکیلدهنده سرویسهای یک کسبوکار را در یک سامانه با واسط کاربری مناسب تعریف و ارتباطات بین آنها را وارد کنیم و یک گراف از المانها و سرویسهای آن کسبوکار تشکیل دهیم تا بتوانیم ساختار زیرساخت فناوری اطلاعات آن کسبوکار و وابستگی بین آنها و سرویسها را مشخص سازیم. اینگونه است که وقتی مشکلی در یک سرویس به وجود میآید، سامانه معین با رهگیری این گراف میتواند به ریشه دقیق مشکل برسد.
از طرفی تمام دوستان حوزه فناوری اطلاعات میدانند که ابزار سولارویندز بهعنوان یکی از قویترین نرمافزارهای مانیتورینگ در دنیا شناخته میشود، ولی در یک ماه اخیر توسط هکرهای روسی هک شد. سازمانهای آمریکایی به خاطر اینکه اطلاعات آنها در دست رقیبشان قرار گرفته، متحمل هزینه فراوان شدهاند. اگر ما این ابزار را از خارج میخریدیم با چالش امنیتی مواجه بودیم.
با توجه به موقعیت ایران، حتی اگر پول داشته باشیم و تحریم هم پیش نیاید و بهراحتی بتوانیم لایسنس بخریم، در مورد چالشهای امنیتی مربوط به نرمافزارهای خارجی چه کاری میتوانیم انجام بدهیم؟ اگر تمام زیرساختهای مالی یک مؤسسه مالی را هک کنند و اطلاعات را بردارند، چه کاری از دستمان برمیآید؟
پرسیدید که چرا مؤسسات مالی باید به سمت «معین» بیایند. الان ما نمیتوانیم ابزارهای مانیتورینگ خارجی را بهصورت رسمی و از تولیدکننده اصلی بخریم و اگر هم بخریم با چه اطمینانی از آنها استفاده کنیم؟ متأسفانه در ایران از سولارویندز بهصورت قفلشکسته برای مانیتورینگ زیرساخت بهصورت گسترده استفاده میشود و این خطر را در بسیاری از جاهای مملکت و دیتاسنترها به وجود میآورد که در آنها نفوذی صورت گیرد. سامانه معین مشکل تحریم، مشکل لایسنس و مشکلات امنیتی را بهصورت یکجا پوشش میدهد و پشتیبانی قوی ارائه میکند.
با توجه به اینکه بحث امنیت را مطرح و یک نمونه هکشدن را ذکر کردید؛ آیا شما تضمین میدهید که معین به هیچوجه قابل نفوذ نباشد و ملاحظات امنیتی آن 100 درصد قابل اتکا و اعتماد باشد؟ میدانید که امنیت یک موضوع نسبی است. وقتی مقایسه میکنید این حس به وجود میآید که ابزار خود را غیرقابل نفوذ میدانید.
بنیهاشمی: هنوز کسی پیدا نشده که ادعا کند «محصول ما به هیچوجه قابل نفوذ نیست». در واقع کسی نمیتواند چنین ادعایی کند، ولی وقتی یک محصول در داخل کشور تولید میشود، کدهای آن موجود است و میتوان امنیت آن را ارزیابی و بهینه و حتی سفارشیسازی کرد. وقتی یک محصول خارجی میآوریم، هیچ اطلاعاتی از امنیت آن نداریم. در این شرایط چگونه میخواهید امنیت آن را بپذیرید، در حالی که امنیت سیستمی که در کشورتان تولید شده و قابل ارزیابی است را قبول نمیکنید؟ در حوزه نرمافزار نمیتوان ادعا کرد که خارجیها بهتر از داخلیها هستند. شاید در مورد محصولات سختافزاری این ادعا را بتوان مطرح کرد، ولی در عرصه نرمافزار اینگونه نیست.
شمسایی: میدانیم که امنیت مطلق وجود ندارد. در مقابل هک و نفوذ، یک راهکار، پیشگیری قبل از وقوع است و یک راهکار، درمان پس از وقوع است. برای محصول معین که بهطور کامل در داخل تولید شده، این امکان وجود دارد که تا جایی که ممکن است امنیت را در تعامل با مشتری سفارشیسازی کرد تا بتوان از وقوع هک و نفوذ جلوگیری کرد و اگر هم در هر جایی از سیستم هک و نفوذ اتفاق افتد، پاسخگوی مشکلات احتمالی آن بود و راهکار و پشتیبانی لازم را ارائه داد. به همین منظور، در سامانه معین با المانهای فضای ابری، تا حد امکان بدون نصب برنامهای (عامل) در سمت آن المان ارتباط برقرار میشود و با حداقل دسترسی مانیتورینگ میشوند تا مدیران آن المانها و سامانههای موجود از عدم احتمال هر گونه نقض امنیت از جانب سامانه معین اطمینان یابند.
این یکی از مزایای رقابتی محصول معین است، اما مزیت رقابتی اصلی معین این نیست. سامانه مانیتورینگ معین با شعار «مانیتورینگ هوشمند خدمات» آمد و نگاه بالا به پایین دارد. نگاه اکثر محصولات دنیا «پایین به بالا» است؛ یعنی بیشتر به این میپردازند که «چه ابزارهایی دارید؟» و سپس تکتک آنها را مانیتور میکنند. نگاه بالا به پایین کاملاً متفاوت است؛ به سرویس نگاه میکند و میخواهد بداند یک سرویس که از بسیاری ملزومات نرمافزاری و سختافزاری تشکیل شده، آیا در سطح کلان بهطور مطلوبی کار میکند یا خیر؟ این نگاه بهخصوص زمانی اهمیت مییابد که بخواهیم از نسل هزاره به سمت «نسل زِد» برویم که به خدمات الکترونیکی عادت داشته و تحمل تأخیر و خرابی در این خدمات را ندارند و به هیچ برندی پایبند و متعهد نمیمانند. برای نسل جدید باید تدبیری اندیشید.
یکی از تدابیر مهم این است که همیشه سرویس را یک موجود پیچیده و درهمتنیده از المانهای مختلف لایههای مختلف فضای ابری ببینیم و آن را بهصورت یکپارچه مانیتور کنیم و از صحت و سلامت عملکرد آن مطمئن شویم. سامانه معین بهدلیل نگاه بالا به پایین خود، امکان تعریف و مانیتورینگ یک سرویس بهصورت یک موجود پیچیده و درهمتنیده از المانهای مختلف را فراهم میکند. مزیت رقابتی اصلی ما نیز همین نگاه متفاوت است. البته وجود پشتیبانی و امکان سفارشیسازی هم از سایر مزایای رقابتی ما نسبت به محصولات خارجی محسوب میشود.
ساعدی: به این نکته دقت کنیم که دغدغه اصلی، نگاه بالا به پایین نسبت به سرویسها در کسبوکارهاست. تاکنون چنین نگاهی در مانیتورینگ عملیات وجود نداشته است. همچنین در سامانه معین، شناخت خوبی از نیازمندیهای مانیتورینگ داخل کشور حاصل شده و مطالعاتی در این حوزه مرتب در حال انجام است.
شمسایی: توجه داشته باشید که در سامانه معین، امکان مانیتورینگ کسبوکار و مانیتورینگ عملیات بهصورت توأمان وجود دارد. به عبارتی مدیران کسبوکارها میتوانند با کمک معین، پارامترهای کسبوکاری را استخراج کرده و داشبوردهای هوش تجاری ایجاد کنند و متخصصان بخش عملیات هم میتوانند توسط معین، سامانهها و تجهیزات سختافزاری و نرمافزاری زیرساختی آنها را مانیتور کنند.
فکر کنید مدیرعامل یا تیم تصمیمگیرنده یک بانک با اطلاعاتی که میبینند و جلساتی که با شما میگذارند، متوجه میشوند سامانه معین همان چیزی است که میخواهند و جواب نیازشان را میدهد. در مرحله آخر یک مانع آنها را به تردید میاندازد: «سامانه معین مال چه کسی است؟ آیا به بانک ملت تعلق دارد یا بهسازان یا یک کنسرسیوم؟ چه نگاهی باید به آن داشته باشند؟». این سؤال میتواند ذهن آنها را کمی اذیت کند.
بالأخره بازار رقابتی است و به خودشان میگویند «مبادا دیتای ما از طریق معین به بانک رقیب برود یا از آنجا رصد شود». این نگرانیها زیاد هستند و معمولاً شرکتهای وابسته به بانک بهسختی میتوانند به بانکهای دیگر محصول بفروشند. در مورد بعضی محصولات میبینیم که بانکها ترجیح میدهند نمونههای ضعیفتر را از شرکتهای مستقل بخرند، ولی نمونههای قوی را از شرکتهای وابسته به بانک نگیرند.
شمسایی: بانک ملت یکی از مشتریان ماست. «بهسازان ملت» بهعنوان زیرمجموعه این بانک، نیاز به این محصول را احساس کرده و به میدان آمده و این محصول را حمایت کرده است. در فرایند توسعه محصول دو مجموعه بیرونی که عمدتاً از نخبگان دانشگاه شریف هستند با هم این محصول را تولید کردهاند. این دو مجموعه از قبل دانش لازم را در این حوزه داشتهاند و در این عرصه قدم گذاشتهاند و برای فرایندهای توسعهشان به یک مشتری با امکانات و تجهیزات نیاز داشتند که خودشان قادر به تهیه آنها نبودند؛ پس در استراتژی این دو شرکت حتماً باید یکی از ارائهدهندگان خدمات و سرویسهای الکترونیکی که هر سه لایه فضای ابری را در اختیار داشته باشد، وارد مشارکت میشد که این قرعه به نام بهسازان ملت افتاد. از طرفی بهسازان ملت خود نیز مأموریتی در حوزه مانیتورینگ داشت و خودش میدانست که نمیتواند نیازهایش را با محصولات دیگر برطرف کند؛ پس در قالب یک قرارداد، بخشی از هزینههایی توسعه محصول را پرداخت کرد و پذیرفت که زیرساخت خودش را جهت تست و توسعه معین در دسترس آن مجموعه قرار دهد.
در نتیجه این مشارکت، شرکت جدیدی در شرف تأسیس است که سهامدار عمده آن، دو شرکت مستقل و دانشبنیان «پایشافزار فناوران شریف» و «دانشافزار نارون شریف» هستند. یکی از نکات مهم این مشارکت برای ما آن است که ما انتخاب کردیم که اولین مشتری ما سختترین مشتری ما باشد. بعید میدانم در ایران مشتری دیگری داشته باشیم که از لحاظ امکانات و تجهیزات در مقیاس بالاتری از بانک ملت باشد؛ حداکثر ممکن است سایر بانکها و سازمانهای مبتنی بر فناوری اطلاعات هم در مقیاس بانک ملت باشند. دلیل ما از این انتخاب، همین مقیاس بالای تجهیزات و امکانات زیرساختی بانک ملت بوده و به نظر من این مورد میتواند نقطه قوت ما در ارائه و فروش این محصول باشد.
ساعدی: به نظر من پایش سرویس یکی از اصلیترین دغدغه تمامی سرویسدهندگان یک کسبوکار است، چون میخواهند تکریم مشتری و پایداری سرویس را با ارتقای خدمات خود بر مبنای سنجههای کیفی همراه کنند. از سنجههای زمانی گرفته تا سایر سنجههای کیفی همگی نیازمند پایش هستند. همانطور که عرض کردم، مجبوریم منابع خود را برای پیک تراکنش آماده کنیم و خدمات پشتیبانی برایش قرار دهیم، در صورتی که اگر سامانه مانیتورینگ خوبی برای یک سرویس داشته باشیم و سرویس را درست پایش کنیم، در عین حال که منابع بهینه میشوند، قبل از اینکه با خطا مواجه شویم، منابع را ارتقا میبخشیم. با داشتن مانیتورینگ جامع، هزینه پشتیبانی بهشدت کاهش مییابد.
بنیهاشمی: شاید خوب باشد که در پایان بر اهمیت سه نکته شامل امکان سفارشیسازی، امکان پشتیبانی و فراهمشدن شفافیت با سامانه مانیتورینگ معین تأکید کنم. بهعنوان یک کارشناس بانکهای اطلاعاتی که بخشی از عملیات بانک ملت را مدیریت میکنم، این مشکل را زیاد میبینم که حتی اگر قویترین نرمافزار مانیتورینگ را انتخاب و راهاندازی کنید، باز هم به خاطر تنوع سرویسها، نیازمند ابزارهایی خواهید شد که در هیچ ابزار آمادهای وجود ندارد و مختص خودتان هست. در محصول معین امکان تهیه مانیتورینگ سفارشی برای سازمانهای مختلف مهیاست.
مسئله دیگر مربوط به پشتیبانی در استقرار سیستم مانیتورینگ است. در سازمانی مثل بانک یا مؤسسات مالی نسبتاً بزرگ، استقرار سیستمهای جدید مانیتورینگ بسیار پیچیده است. وقتی راهبران سیستم بسیار متنوع هستند و سلایق و سبکها و نگاههای مختلف دارند، در هنگام مهاجرت از سیستمهای فعلی به سامانههای جدید یکپارچه، وجود پشتیبانی سامانه معین بسیار راهگشاست. ما برای یکپارچهسازی و استقرار کامل سیستم مانیتورینگ از نیروهای پشتیبان سامانه معین استفاده کردیم و توانستیم به نگاه واحدی درباره مانیتورینگ برسیم.
یکی دیگر از اهداف سیستم معین ایجاد شفافیت در سطوح بالاتر سازمانی است. اگر مشکلی در یک زیرساخت وجود دارد که یک سرویس را متأثر کرده، مدیران ارشد باید بتوانند مطلع شوند و نیروی انسانی نتواند جلوی مطلعشدن آنها را بگیرد. در یک سامانه یکپارچه امکان شفافیت برای مدیران ارشد مهیاست. در نهایت به بعضی قابلیتها که مختص معین است تیتروار اشاره میکنم: امکان مانیتورینگ تجهیزات و ابزارهای برند IBM توأم با سایر برندها، امکان دسترسی به همه امکانات به واسطه وب و بعضی امکانات به واسطه دسکتاپ و موبایل، امکان تشکیل واحدهای مانیتورینگ مستقل با مدیریت مستقل و استقلال در واحدها و کاربران، امکان اتصال به سامانههای خارجی سازمانی و شبکههای اجتماعی، امکان مقیاسپذیری عرضی با فناوری داکر در بخش جمعآوری داده تا 10 هزار تجهیز، استفاده از فناوریهای دادههای حجیم جهت نگهداری تاریخچه دادهها و آنالیز آنها، امکان داشبوردسازی از لایه زیرساخت تا لایه کسبوکار برای کاربران (از سطح راهبر تا سطح مدیران ارشد سازمان)، نگاه سازمانی در محصول مانند تعریف واحدهای مانیتورینگ، شیفت و کاربران شیفت، امکان دریافت گزارشهای متنوع پیشساخته و ساخت گزارشهای دلخواه و در نهایت امکان استفاده از تیکتینگ داخلی یا اتصال به تکتینگ خارجی.
بنیهاشمی: هنوز کسی پیدا نشده که ادعا کند «محصول ما به هیچوجه قابل نفوذ نیست». در واقع کسی نمیتواند چنین ادعایی کند، ولی وقتی یک محصول در داخل کشور تولید میشود، کدهای آن موجود است و میتوان امنیت آن را ارزیابی و بهینه و حتی سفارشیسازی کرد. وقتی یک محصول خارجی میآوریم، هیچ اطلاعاتی از امنیت آن نداریم. در این شرایط چگونه میخواهید امنیت آن را بپذیرید، در حالی که امنیت سیستمی که در کشورتان تولید شده و قابل ارزیابی است را قبول نمیکنید؟
شمسایی: میدانیم که امنیت مطلق وجود ندارد. در مقابل هک و نفوذ، یک راهکار، پیشگیری قبل از وقوع است و یک راهکار، درمان پس از وقوع است. برای محصول معین که بهطور کامل در داخل تولید شده، این امکان وجود دارد که تا جایی که ممکن است امنیت را در تعامل با مشتری سفارشیسازی کرد تا بتوان از وقوع هک و نفوذ جلوگیری کرد و اگر هم در هر جایی از سیستم هک و نفوذ اتفاق افتد، پاسخگوی مشکلات احتمالی آن بود و راهکار و پشتیبانی لازم را ارائه داد.
بنیهاشمی: به فرض اینکه تحریمها وجود نداشته باشد و بتوانیم ابزارهای خارجی را بهراحتی بخریم؛ با مطالعه ابزارهای مانیتورینگ خارجی رایج در ایران فهمیدیم که در هیچکدام از آنها چیزی به نام «مانیتور کردن سرویس بهصورت یکپارچه» وجود ندارد. ما میخواهیم کل کسبوکار را یکجا مانیتور کنیم.