پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
ما نگران اینترنت هستیم / آش دهانسوز پهنای باند با ترکیب انحصار، مشکلات امنیتی و بیتوجهی به استانداردهای تداوم کسبوکار
صبح روز جمعه، 13 اسفندماه، تأسیسات مربوط به اتاق باتری در ساختمان LCT شرکت ارتباطات زیرساخت دچار آتشسوزی شد. در نتیجه این آتشسوزی اختلالاتی در اینترنت ثابت و همراه دو استان تهران و البرز و حتی سایر استانها پیشآمد. برخی کاربران خارج از کشور نیز از مشکل در دسترسی به سایتهای داخل ایران گزارش دادند.
چند ساعت بعد از وقوع حادثه مدیرعامل شرکت ارتباطات زیرساخت توضیحات مربوط به حادثه و اختلالات اینترنتی پیشآمده را تشریح کرد. روابط عمومی این شرکت نیز از یک اختلال چهارساعته در روز بعد، یعنی 14 اسفندماه خبر داد و دلیل آن را تعمیر تأسیسات حادثهدیده عنوان کرد.
اما آیا ماجرا به همینجا ختم میشود؟ شاید پاسخ این سؤال در نگاه اول مثبت باشد اما اگر کمی وارد جزئیات شویم این آتشسوزی و اختلالات ناشی از آن را از منظر زیرساختی بررسی کنیم، با سؤالات و نگرانی و نگرانیهای زیادی مواجه میشویم. آیا عدم توانایی شرکت ارتباطات زیرساخت در جلوگیری از بروز حادثه یا اختلال ناشی از آن امری طبیعی است یا کاهلیهایی در شناسایی و کنترل چنین ریسکهایی رخ داده است و با مشکلات عدیده زیرساختی یا حتی سیاستی در این زمینه مواجه هستیم؟
به هرحال حادثه آتشسوزی شرکت ارتباطات زیرساخت و اختلالات ناشی از آن پایان یافت و توضیحات مربوط به اتفاق پیشآمده همان روز از منابع مختلف ارائه شد. حتماً تمام اقدامات لازم برای اطفای حریق و رفع اختلال اینترنتی پیشآمده و همچنین جلوگیری از حوادثی نظیر قطعی برق و تبعات ناشی از آن انجام شده است؛ یا حداقل در خصوص مورد آخر امیدواریم که انجام شده باشد؛ اما با توجه به موضوعاتی که در ادامه مطرح میشود از چنین مراکز خطیری انتظار میرود حداقل زمانی که انحصار توزیع پهنای باند کشور را در اختیار دارند، همه جوانب امر را بررسی و با انجام همه اقدامات لازم از امنیت و تداوم سرویسدهی اطمینان حاصل کند.
انحصار با طعم خر و خرما
در همین راستا با دو متخصص زیرساخت گفتوگو کردیم تا از چندوچون دلایل اصلی و جزئیات اتفاقاتی از این دست و راههای جلوگیری و کنترل تبعات ناشی از آنها آگاه شویم.
در ابتدا سینا سلطانی، مدیرعامل ابر دراک، در توضیح حادثه مربوط گفت: «مشکل پیشآمده در ساختمان LCT مربوط به قطعی برق بوده است و در نتیجه این قطعی برق، اتاق باتری دچار آتشسوزی میشود. این آتشسوزی باعث میشود برق تجهیزات اکتیوی که در دیتاسنتر تلکام است قطع شده و 15 تا 20 درصد از کل ترافیک کشور تحت تأثیر قرار گیرد.»
سلطانی در توضیح چگونگی پیشگیری و کنترل اتفاقاتی از این دست توضیح داد: «راه حل اول این است که شرکت ارتباطات زیرساخت اجازه بدهد همه از نقاط مختلف کشور از ارائهدهندگان خارجی پهنای باند بخرند که در حال حاضر این اجازه را نمیدهد.»
طبق توضیحات مدیرعامل ابر دراک راه حل دیگر این است که شرکت ارتباطات زیرساخت به جای تجمیع همه پهنای باند کشور در تهران آن را با همان قیمتی که در پایتخت ارائه میدهد در نقاط دیگر کشور مانند تبریز، شیراز و سایر شهرهایی که از نقطه انتقال پهنای باند از کشورهای مختلف هستند، ارائه دهد که به طور مثال برای شرکتی نظیر ایرانسل صرفه اقتصادی داشته باشد که پهنای باند مورد نیاز خود را از شیراز خریداری کند و در صورت بروز چنین مشکلاتی نظیر آنچه روز جمعه در شرکت ارتباطات زیرساخت رخ داد، مشترکین این شرکت در همه کشور دچار مشکل نشوند.
به گفته او به طور کلی بهتر است تجمیع شبکه تأمین دیتا در سراسر کشور توزیع شود؛ بنابراین مسئله اصلی در بروز انحصار است؛ یعنی باید پهنای باند با یک قیمت در سراسر ایران و توسط شرکتهای مختلف ارائه شود؛ اما در سالهای گذشته به دلیل سیاستهای غلط شرکت ارتباطات زیرساخت، شرکتها تجهیزات خود را در تهران جمعآوری کردهاند و بنابراین برایشان بهتر است پهنای باند موردنیاز خود را از تهران تأمین کنند.
او در ادامه توضیحات خود عنوان کرد: «نکته دیگر این است که در ایران زمانی که یک دیتاسنتر تلکامی دچار مشکل میشود، دیتاسنترهای دیگر این ظرفیت را ندارند که بار مرکز دادهای را که دچار مشکل شده است تحمل کنند و فشار دادههای دریافتی را افزایش دهند و حتی اگر چنین عملی صورت گیرد شبکه دچار ازدحام میشود که این هم پیامدهای عدیده و پیچیدهتری در پی دارد.»
سلطانی در انتها با بیان اینکه راه حلهای مذکور باید در مرحله طراحی و خرید مورد استفاده قرار گیرند، تشریح کرد: «تغییر رویکرد شرکت ارتباطات زیرساخت و مسئله مهم انحصار در ارائه پهنای باند مانع اجرایی شدن این راهحلها میشود. مسلماً اگر ارائه پهنای باند توسط چند شرکت صورت میگرفت که در حال حاضر در کشور به دلیل سیاستهای کلان عملی نیست شاهد اتفاقاتی از این دست نبودیم.»
ما حق داریم نگران باشیم
در ادامه، بهناز آریا، رئیس کمیسیون افتا نصر تهران، نگرانیهایی را که این اتفاق در خصوص امنیت و موضوعات مربوط به تداوم کسبوکار (Business Continuity) ایجاد کرده است به حق عنوان کرد و توضیح داد: «چه در موضوعات مربوط به امنیت و چه در موضوعات مربوط به تداوم کسبوکار استانداردهایی وجود دارد که در مراکزی که به این شکل در حال سرویسدهی هستند، آن هم خدمات مربوط به زیرساختهای حیاتی، باید رعایت شود. طبیعی است که حفاظت از اطلاعاتی که در این زیرساختها وجود دارد از بخشهای مهم این استانداردهاست. استاندارد امنیت ISMS از جمله استانداردهای معروف امنیت است که کنترل 7.5 در خصوص آن وجود دارد که به محافظت در مقابل تهدیدات فیزیکی و محیطی مربوط میشود.»
به گفته آریا مهمترین کاری که ما به عنوان ارائهدهنده زیرساخت باید ارائه دهیم ارزیابی ریسکهایی است که مرکز مورد نظرمان با آن روبهرو است. آنگاه برای ریسکهایی که برای ما پذیرفته نیست به دنبال کنترلهای باشیم که در زمان بروز آن ریسک یا تهدید بتوانیم با آن مقابله کنیم. نمیتوان کوچکترین ریسکها را در خصوص چنین مراکز مهمی نادیده گرفت.
به عقیده رئیس کمیسیون افتا آنچه این نگرانیها را به وجودآورده این است که یا ریسک اتفاقی که در شرکت ارتباطات زیرساخت رخ داد دیده نشده و یا اگر هم دیدهشده کنترل مناسبی برای آن در نظر گرفته نشده است؛ در غیر این صورت در اثر بروز حادثه دچار اختلال اینترنت در سطح دو استان بزرگ تهران و البرز نبودیم چراکه هدف از کنترلکردن، جلوگیری وقوع اتفاق یا به حداقلرساندن خسارات است.
میتوان جلوی حادثه را گرفت یا خسارات آن را به حداقل رساند
او با بیان اینکه طبیعتاً برای مباحث امنیت محیطی و فیزیکی اتفاقاتی مانند آتشسوزی و سیل کنترلهای مختلفی وجود دارد، توضیح داد: «از جمله در مورد حادثه آتشسوزی کنترل دیتکت و شناسایی آتش قبل از رسیدن به نقطه بحرانی در لحظه اولیه و کنترلهای مربوط به اطفای حریق وجود دارد. همینطور اگر این حادثه را از دیدگاه موضوعات مربوط به تداوم کسبوکار بررسی کنیم، برای Down نشدن سرویس، ما مسئله جایگزینی بلافاصله نسخه پشتیبانی را داریم که پیشتر برای همینکار درنظر گرفته شده است. حتماً انتظار ما از چنین مراکز حساسی استفاده از این نوع استانداردها و کنترلهای پیشگیرانه است.»
آریا در ادامه توضیح داد: «در شرایط کنونی که این حادثه برای شرکت ارتباطات زیرساخت رخ داد اولین چیزی که مورد مطالبه و انتظار ماست طبیعتاً یک اقدام اصلاحی است که این اختلالات مجدداً تکرار نشوند. علاوه بر این برای اطمینان از اینکه که برنامهریزیهایی که برای جلوگیری از این تهدیدات در نظر گرفتیم از کارایی لازم برخوردارند میتوانیم مانورهایی انجام دهیم و در این مانورها سطح کیفی استانداردها و کنترلهای خود را ارزیابی کنیم.»
رئیس کمیسیون افتا در انتهای گفتوگو عنوان کرد: «به طور کلی یا ریسک مربوط به حادثهای که روز جمعه در شرکت ارتباطات زیرساخت رخ داد و اختلالات اینترنتی پس از آن دیده نشده است و یا اگر هم دیدهشده کنترل مربوط به آن از کارکرد لازم برخوردار نبوده است. در نتیجه باید در موضوعات مربوط به شناسایی ریسکها و ایجاد کنترلهای لازم بازنگری شود چرا که مسئله بسیار حساس و یکی از مهمترین تهدیدات و نگرانیهایی است که در این حوزه وجود دارد.»
