پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
فهرستوارهای از درسآموختههای فنی و الزامات حاکمیتی پسابحران
مرتضی ترک تبریزی، رئیس هیئتمدیره بانک تجارت / در روزهای پرتنشِ درگیری با رژیم صهیونیستی، حوزه فناوری اطلاعات نظام بانکی کشور، تحت فشارهای بیسابقهای قرار گرفت. این رویداد، صرفاً یک آزمون برای مقاومت کسبوکارها نبود، بلکه بیش از هر چیز، محک جدی برای استحکام، افزونگی و پایداری زیرساختهای فنی و شبکههای ارتباطی و سیستمی بانکها در شرایط بحران بود. اکنون که گردوغبار بحران فرونشسته، وظیفه ما بازبینی دقیق و فنی این تجربیات تلخ و تبدیل آن به بستری برای ارتقای بنیادین سیستم بانکی است.
آنچه در این دوره به عیان مشاهده شد، خطر شکنندگی برخی لایههای زیرساختی و عدم آمادگی کافی در مواجهه با حملات سایبری پیچیده و اختلالات گسترده بود. واقعیت این است که تمرکز صرف بر گزارشگیریهای پس از بحران، بدون درک عمیق و ریشهیابی فنی مشکلات، راه به جایی نخواهد برد. باید بهجای رویکرد صرفاً بازخواستگرانه، به سمت ایجاد چارچوبهای حمایتی و تسهیلگرانه برای تقویت زیرساختهای حیاتی بانکی حرکت کرد.
در رابطه با آنچه در بحران اخیر مشاهده کردیم و با نگاهی فنی، فهرستوارهای کلی و مدیریتی از راهکارهای بنیادین را میتوان برشمرد:
۱.افزونگی و توزیعشدگی زیرساختهای هسته:
ما نیاز مبرمی به بازنگری در معماری مراکز داده کشور یا به عبارتی مراکز تجمیع دیتا داریم؛ صرف وجود یک یا دو مرکزداده کافی نیست. باید به سمت ایجاد مراکز داده کاملاً مستقل، توزیعشده جغرافیایی، با قابلیت جایگزینی آنی و بدون قطعی حرکت کرد. این مهم با ساخت و سرویسدهی مناسب در حوزههای مختلف محقق خواهد شد. این ساختوساز نیز مستلزم اقدامات متنوعی است که میتوان از جمله آنها به بازبینی نحوه سرویسدهی در همه ابعاد تا پروتکلهای اجاره فضا با رویکردهایی از قبیل تسهیل در تأییدیهها و عدم دخالت نهادهای نامرتبط در خریدها و فعالیتها اشاره کرد. همچنین، لزوم تقویت زیرساختهای بازیابی فاجعه با قابلیت بازیابی در چند دقیقه و حداقل ازدسترفتن داده حیاتی است.
پرهیز از هرگونه متمرکزسازی بیمورد یا تعدیل آنها و ارتباط دیتایی بانکها از روشهای مختلف با یکدیگر و حرکت به سمت سرویسدهی از نوع اپلیکیشنهای غیرمتمرکز (دیفای (DeFi) و … بسیار راهگشاست.
تجربه اخیر نشان داد وابستگی شدید به زیرساختهای مخابراتی متمرکز، یک نقطه شکست است. باید سرمایهگذاری جدی در ایجاد مسیرهای ارتباطی جایگزین مانند شبکههای خصوصی با قابلیتهای امنیتی بالا و حتی استفاده از بستر ماهوارهای برای مواقع اضطراری صورت پذیرد.
۲.تقویت لایههای امنیتی و دفاع سایبری:
ارتقای مستمر نسل جدید سیستمهای تشخیص و پیشگیری نفوذ و مانیتورینگ و بهروزرسانی مداوم مجوزهای آنها ضروری است. همچنین پیادهسازی راهکارهای مبتنی بر هوش مصنوعی برای شناسایی حملات ناشناخته باید در دستور کار قرار گیرد. کنترل دسترسیها، بهویژه دسترسیهای مدیریتی باید بهشدت تقویت و اصل کمترین دسترسی باید بهصورت دقیق اجرا شود. تقویت راهکارهای امنیتی در تمامی پایانهها، از سرورها گرفته تا دستگاههای کاربران نهایی و همچنین پیادهسازی مکانیزمهای رمزنگاری دادهها در حالت سکون و در حال انتقال الزامی است.
۳.برنامهریزی جامع تداوم کسبوکار و بازیابی فاجعه:
سناریوسازیهای ما نباید صرفاً در حد یک سند باشد. باید شامل سناریوهای عملیاتی دقیق برای انواع اختلالات زیرساختی نیز باشد. از سوی دیگر برگزاری منظم آزمونهای دورِمیزی و واقعی برای سنجش اثربخشی برنامهها و شناسایی نقاط ضعف، حیاتی است. این آزمونها باید در شرایطی شبیه به واقعیت و با حضور تیمهای عملیاتی برگزار شوند. در سطح ملی حرکت به سمت سیستمهای آفلاین و مدیریت ریسک در شبکه بانکی و پرداخت و حرکت به سمت توسعه فرهنگ پول خرد و اسکناس در دست مردم از راهکارهای کاهش فشار به منظور ارائه حداقل سرویس در شرایط خاص است.
۴.ارتقای توانمندیهای فنی تیمها و ایجاد چابکی عملیاتی:
سرمایهگذاری بر آموزشهای تخصصی در حوزههای نوظهور امنیت سایبری، مهندسی شبکه، مدیریت سیستمهای توزیعشده و تحلیل دادههای امنیتی برای تیمهای فنی بانکها گریزناپذیر است.
تقویت و تجهیز تیمهای واکنش سریع با ابزارها و دانش لازم برای شناسایی، تحلیل، مهار و بازیابی در کمترین زمان ممکن از مهمترین اقدامات است.اطمینان به نیروی انسانی فرّار در زمان بحران و تجهیز سیستماتیک سخت و نرم برای سرویسدهی از هر نقطه برای کارشناسان سیستمهای حیاتی، بسیار تأثیرگذار خواهد بود. علاوه بر موارد فوق باید به اقداماتی نظیر تعریف مشوق برای جذب و حفظ نیروهای فنی، ایجاد زمینههای همکاری با نخبگان خارج از کشور و تسهیل فرایندهای کاری برای نیروی انسانی نیز اشاره کرد.
۵.راهکارهای مدیریتی:
سخن آخر اینکه رویکرد حاکمیتی در کشور ما باید فراتر از گزارشگیری پس از بحران باشد؛ نهادهای بالادستی حاکمیتی نباید پس از هر بحران، صرفاً بر جمعآوری گزارش از بانکها و شرکتهای ارائهدهنده خدمات متمرکز شوند؛ بلکه باید نقش تنظیمگر، تسهیلگر و توانمندساز را ایفا کنند. این امر شامل تدوین استانداردها و مقررات تشویقکننده، ایجاد چارچوبهای نظارتی برای ترغیب بانکها به سرمایهگذاری در ارتقای زیرساختها، امنیت سایبری و ایجاد افزونگی است.
ما نباید در هیچ سطحی از ایجاد بستر همکاری ملی غافل باشیم؛ فراهمکردن پلتفرمهای امن و پایدار برای اشتراکگذاری اطلاعات تهدیدات سایبری، بهترین تجربیات و حتی منابع محاسباتی یا ارتباطی در مواقع اضطراری بین تمامی بانکها و مؤسسات مالی از جمله الزامات یا مقدمات این همافزایی ملی است.