تازه‌ها

بانک

پرداخت

فین‌تک

کسب‌وکار‌ها

بورس

بیمه

دارایی دیجیتال

راه پرداخت
وقتی مشکل یک بانک نیست؛ نگاهی به ریسک‌های سیستماتیک در شبکه بانکی ایران

وقتی مشکل یک بانک نیست؛ نگاهی به ریسک‌های سیستماتیک در شبکه بانکی ایران

نویسنده همکار: پیمان قاسم‌زاده، محقق حوزه فراگیری مالی / از زمان آغاز درگیری‌های نظامی در منطقه و افزایش تنش‌های سایبری تا به امروز، شبکه بانکی کشور با مجموعه‌ای از اختلالات و رخدادهای امنیتی مواجه بوده است. بخشی از این رخدادها به‌صورت رسمی توسط مراجع ذی‌ربط یا بانک‌ها تأیید شدند و بخشی دیگر هرگز به‌طور شفاف توضیح داده نشدند، اما اثرات آن‌ها برای مشتریان کاملاً ملموس بود. در این مدت، بسیاری از شهروندان در مقاطع مختلف با مشکلاتی نظیر عدم دسترسی به اینترنت‌بانک و همراه‌بانک، اختلال در خدمات خودپرداز، تأخیر در انتقال وجه، مشکل در انجام تراکنش‌های کارت‌به‌کارت، اختلال در پرداخت‌های اینترنتی و حتی ناتوانی در دسترسی به موجودی یا گردش حساب خود مواجه شدند.

در بسیاری از موارد، این اختلالات صرفاً یک مشکل فنی ساده نبودند. برای یک کسب‌وکار، چند ساعت عدم دسترسی به خدمات بانکی می‌تواند به معنای توقف فروش، ناتوانی در پرداخت به تأمین‌کنندگان یا تأخیر در انجام تعهدات مالی باشد. برای یک فرد عادی نیز ممکن است چنین اختلالی به ناتوانی در پرداخت هزینه‌های روزمره، انجام تعهدات قراردادی یا انتقال وجوه ضروری منجر شود. به همین دلیل، هرچند بسیاری از این رخدادها از منظر فنی در دسته «اختلال سامانه» یا «حادثه سایبری» قرار می‌گیرند، اما آثار آن‌ها بسیار فراتر از یک مسئله فناوری اطلاعات بوده و به طور مستقیم بر زندگی روزمره مردم و فعالیت‌های اقتصادی اثر می‌گذارند.

نکته قابل توجه آن است که رخدادهای اخیر محدود به یک نوع بانک، یک مدل کسب‌وکار یا یک بخش خاص از صنعت بانکی نبوده‌اند. بررسی رخدادهای ماه‌های اخیر نشان می‌دهد که تحلیل این مسئله صرفاً از زاویه عملکرد یک بانک، یک شرکت فناوری یا حتی یک حادثه مشخص، تصویر کاملی از واقعیت ارائه نمی‌دهد. دامنه بانک‌های درگیر، تنوع نوع اختلالات، تفاوت در دلایل اعلام‌شده و تکرار رخدادها در بخش‌های مختلف شبکه بانکی، همگی نشان می‌دهند که با مسئله‌ای فراتر از یک خطای فنی یا ضعف موردی مواجه هستیم. در این میان، آنچه بیش از هر چیز جلب توجه می‌کند، نبود یک الگوی مشخص در میان قربانیان این رخدادهاست. نه می‌توان آن را صرفاً به بانک‌های دولتی نسبت داد، نه به بانک‌های خصوصی؛ نه یک پیمانکار مشخص فناوری اطلاعات در تمامی رخدادها حضور داشته و نه یک مدل عملیاتی واحد را می‌توان در همه موارد مشاهده کرد. این پراکندگی، خود نشانه‌ای از وجود عوامل عمیق‌تر و گسترده‌تر در سطح کل اکوسیستم بانکی است.

آنچه امروز مشاهده می‌شود، صرفاً مجموعه‌ای از اختلالات پراکنده نیست؛ بلکه نشانه‌های شکل‌گیری یک ریسک سیستماتیک در زیرساخت مالی کشور است.

اگر این گزاره را بپذیریم، در آن صورت نمی‌توان راه‌حل را نیز در سطح یک بانک، یک شرکت فناوری یا یک رخداد خاص جستجو کرد. ریسک‌های سیستماتیک معمولاً از نقاط مشترک میان بازیگران یک اکوسیستم نشأت می‌گیرند؛ نقاطی که مستقل از اندازه، مالکیت یا ساختار سازمانی هر بانک، بر عملکرد تمامی آن‌ها اثر می‌گذارند. از این رو، برای درک بهتر وضعیت موجود و یافتن مسیرهای بهبود، باید به سراغ عواملی رفت که تقریباً در میان تمامی بازیگران شبکه بانکی مشترک هستند؛ عواملی مانند چارچوب‌های مقرراتی و رگولاتوری، وضعیت زیرساخت‌های فناوری اطلاعات، مدل مدیریت سرمایه انسانی، ساختار زنجیره تأمین فناوری و شیوه اطلاع‌رسانی و پاسخگویی در زمان وقوع رخدادها.

چارچوب‌های مقرراتی و رگولاتوری

در تمامی صنایع، رگولاتورها با یک چالش دائمی مواجه هستند؛ ایجاد تعادل میان دو هدف که گاهی در تضاد با یکدیگر قرار می‌گیرند. از یک سو، حفظ امنیت، ثبات و کاهش ریسک قرار دارد و از سوی دیگر، نوآوری، رشد و پذیرش تغییرات. در صنعت بانکی، به دلیل ماهیت حساس فعالیت‌ها و تأثیر مستقیم آن بر اقتصاد و زندگی روزمره مردم، طبیعی است که این تعادل تا حدی به سمت امنیت و ثبات متمایل باشد. در واقع، هیچ‌کس انتظار ندارد که بانک‌ها به اندازه یک استارتاپ فناوری ریسک‌پذیر باشند و اصل احتیاط در این صنعت یک دغدغه پذیرفته‌شده و ضروری است.

با این حال، رخدادهای اخیر نشان می‌دهد که صرف سخت‌گیرانه بودن مقررات، الزاماً به معنای دستیابی به امنیت بیشتر نیست. وقوع اختلالات گسترده و حملات سایبری در چندین بانک کشور نشان می‌دهد که بخش قابل توجهی از چارچوب‌های کنترلی موجود نتوانسته‌اند سطح مطلوبی از تاب‌آوری و امنیت را ایجاد کنند. این موضوع لزوماً به معنای ناکارآمد بودن تمام مقررات نیست، اما این پرسش را مطرح می‌کند که آیا هزینه‌ای که نظام بانکی بابت محدودیت‌ها، فرآیندها و الزامات متعدد پرداخت کرده است، متناسب با دستاوردهای امنیتی حاصل از آن بوده است یا خیر.

در بسیاری از موارد، بانک‌ها و شرکت‌های فناوری با مجموعه‌ای از الزامات، فرآیندها و محدودیت‌های طولانی و پیچیده مواجه هستند که هدف اصلی آن‌ها افزایش امنیت عنوان می‌شود. با این حال، تجربه عملی نشان می‌دهد که بخشی از این الزامات یا تأثیر امنیتی قابل توجهی ایجاد نکرده‌اند یا در عمل مسیرهای غیررسمی برای دور زدن آن‌ها شکل گرفته است. زمانی که رعایت یک قاعده بسیار دشوار، زمان‌بر یا پرهزینه باشد، سازمان‌ها به تدریج به یافتن راه‌های جایگزین و دور زدن آن عادت می‌کنند؛ رفتاری که در بلندمدت نه‌تنها به بهبود امنیت کمک نمی‌کند، بلکه فرهنگ تبعیت از مقررات را نیز تضعیف می‌کند.

تعدد رگولاتوری در کشور، از جمله بانک مرکزی، افتا، پدافند غیرعامل و هر نهاد دیگری که خود را متولی این حوزه می‌دانست، نه تنها مسئله امنیت را برطرف نکرد، بلکه با پیچیده‌تر شدن قواعد، دستورالعمل‌های متناقض و خلاف یکدیگر، نامشخص بودن مسئول و مقصر مربوطه، فضا را آشوبناک‌تر نیز کرد.

در چنین شرایطی، به نظر می‌رسد بازنده اصلی این وضعیت خود بانک‌ها بوده‌اند؛ از یک سو، بخشی از ظرفیت نوآوری، چابکی و رشد آن‌ها به دلیل الزامات و محدودیت‌های متعدد کاهش یافته است و از سوی دیگر، رخدادهای اخیر نشان می‌دهد که سطح امنیت و تاب‌آوری مورد انتظار نیز به‌طور کامل محقق نشده است. به بیان دیگر، نظام بانکی در برخی موارد نه مزایای کامل امنیت را به دست آورده و نه فرصت‌های کامل رشد و نوآوری را تجربه کرده است.

از این رو، بازنگری در رویکردهای تنظیم‌گری می‌تواند یکی از مهم‌ترین اقدامات پیش‌رو باشد. تمرکز اصلی باید بر شناسایی و تقویت مقرراتی باشد که اثر واقعی و قابل اندازه‌گیری بر امنیت دارند و در مقابل، حذف یا بازطراحی الزاماتی که هزینه اجرایی بالایی ایجاد کرده‌اند اما دستاورد امنیتی مشخصی نداشته‌اند. همچنین هرچه قوانین و فرآیندها ساده‌تر، شفاف‌تر و قابل اجرا‌تر باشند، احتمال تبعیت واقعی از آن‌ها افزایش می‌یابد و انگیزه برای ایجاد مسیرهای غیررسمی و دور زدن مقررات کاهش پیدا می‌کند. هدف نهایی باید حرکت به سمت چارچوبی باشد که هم امنیت را افزایش دهد و هم امکان رشد، نوآوری و ارتقای توان رقابتی بانک‌ها را حفظ کند.

زیرساخت‌های فناوری اطلاعات

یکی از مهم‌ترین نقاط مشترک میان بخش قابل توجهی از بازیگران صنعت بانکی، وضعیت زیرساخت‌های فناوری اطلاعات است. حجم قابل توجهی از زیرساخت‌ها، تجهیزات و سامانه‌های مورد استفاده در شبکه بانکی کشور قدیمی و فرسوده هستند و در بسیاری از موارد سال‌ها از عمر مفید آن‌ها گذشته است. هرچند طی این سال‌ها تلاش‌هایی برای بهبود فرآیندها، تدوین دستورالعمل‌های امنیتی و ارتقای رویه‌های عملیاتی انجام شده، اما نباید فراموش کرد که امنیت سایبری در نهایت بر بستری از فناوری بنا می‌شود و کیفیت این بستر نقش تعیین‌کننده‌ای در میزان تاب‌آوری سازمان‌ها دارد.

واقعیت آن است که حتی بهترین استراتژی‌ها، فرآیندها و سیاست‌های امنیتی نیز زمانی که بر روی زیرساختی فاقد توان پردازشی، ظرفیت عملیاتی و قابلیت‌های فنی لازم اجرا شوند، نمی‌توانند اثربخشی کامل داشته باشند. بسیاری از راهکارهای مدرن امنیتی برای شناسایی، تحلیل و مقابله با تهدیدات پیشرفته نیازمند توان پردازشی بالا، تجهیزات به‌روز و معماری‌های جدید هستند؛ موضوعی که در بخشی از زیرساخت‌های بانکی کشور با محدودیت‌های جدی مواجه است.

در این میان، تحریم‌های بین‌المللی نیز نقش مهمی در فرسودگی زیرساخت‌ها ایفا کرده‌اند. طی سال‌های گذشته، امکان نوسازی بسیاری از تجهیزات و سامانه‌های حیاتی با محدودیت مواجه بوده و در نتیجه بخشی از شبکه بانکی همچنان از فناوری‌هایی استفاده می‌کند که در بسیاری از نقاط جهان کنار گذاشته شده‌اند. در برخی موارد، آسیب‌پذیری‌های امنیتی شناخته‌شده این محصولات در نسخه‌های جدیدتر برطرف شده است، اما محدودیت در دسترسی به تجهیزات، نرم‌افزارها و خدمات پشتیبانی باعث شده است که سازمان‌ها همچنان به استفاده از نسخه‌ها و زیرساخت‌های قدیمی، در حالی که مهاجمان از نقاط ضعف آن‌ها اطلاع دارند، ادامه دهند.

از سوی دیگر، ماهیت تهدیدات سایبری نیز طی سال‌های اخیر دستخوش تغییرات اساسی شده است. مهاجمان دیگر صرفاً به ابزارهای سنتی متکی نیستند و از فناوری‌هایی نظیر هوش مصنوعی برای خودکارسازی حملات، تحلیل آسیب‌پذیری‌ها و تولید بدافزارهای پیچیده‌تر استفاده می‌کنند. همچنین گسترش تجهیزات متصل به اینترنت، شکل‌گیری بات‌نت‌های مبتنی بر دستگاه‌های IoT و ظهور روش‌های نوین حمله باعث شده است که مقیاس، سرعت و پیچیدگی تهدیدات به شکل قابل توجهی افزایش یابد. در چنین شرایطی، مقابله با تهدیدات نسل جدید مستلزم برخورداری از زیرساخت‌هایی است که خود نیز متناسب با همین سطح از پیچیدگی طراحی و به‌روزرسانی شده باشند.

متأسفانه برخی تصمیمات داخلی نظیر عدم استفاده از برندهای معتبر نظیر CisCo به علت آمریکایی بودن تجهیزات، آخرین ضربه‌ای بود که زیرساخت‌های بانکی زده شد و سیستم را باز آسیب‌پذیرتر کرد.

به همین دلیل، به نظر می‌رسد بخش مهمی از راه‌حل را باید در نوسازی زیرساخت‌ها جستجو کرد. تا زمانی که تغییرات محسوس و بنیادین در کیفیت زیرساخت‌های فناوری اطلاعات، تجهیزات پردازشی، شبکه‌ها و سامانه‌های حیاتی صنعت بانکی ایجاد نشود، نمی‌توان انتظار داشت که صرفاً از طریق اصلاح فرآیندها یا افزایش کنترل‌های مدیریتی، سطح تاب‌آوری سایبری به شکل معناداری افزایش پیدا کند. امنیت سایبری در نهایت به اندازه ضعیف‌ترین بخش زیرساخت وابسته است و بدون سرمایه‌گذاری مستمر در این حوزه، کاهش پایدار ریسک‌های موجود دور از انتظار خواهد بود.

مدیریت سرمایه انسانی

یکی از موضوعاتی که در تحلیل تاب‌آوری سایبری نظام بانکی کمتر مورد توجه قرار می‌گیرد، نحوه مدیریت سرمایه انسانی در این صنعت است. فرآیندهای جذب و استخدام در بسیاری از بانک‌ها همچنان مبتنی بر الگوهای سنتی و آزمون‌محور است. اگرچه این رویکرد از منظر عدالت استخدامی و شفافیت قابل دفاع است، اما لزوماً تضمین‌کننده جذب نیروهای متخصص و متناسب با نیازهای روز حوزه فناوری اطلاعات و امنیت سایبری نیست. علاوه بر این، طولانی بودن فرآیندهای جذب باعث می‌شود بانک‌ها در تأمین سریع نیروهای مورد نیاز خود از چابکی کافی برخوردار نباشند.

از سوی دیگر، سطح بالای امنیت شغلی در نظام بانکی باعث شده است که جایگزینی نیروهای کم‌کارآمد یا فاقد مهارت‌های مورد نیاز با دشواری همراه باشد. در عمل، بسیاری از بانک‌ها امکان بازآرایی سریع تیم‌های تخصصی خود را ندارند و همین موضوع می‌تواند توان سازمان برای انطباق با تهدیدات جدید را کاهش دهد. در محیطی که فناوری و تهدیدات سایبری با سرعت بالایی تغییر می‌کنند، توانایی جذب، نگهداشت و در صورت لزوم جایگزینی نیروها به یکی از عوامل کلیدی موفقیت تبدیل شده است.

همچنین ساختار حقوق و مزایای صنعت بانکی در حوزه فناوری اطلاعات و امنیت سایبری الزاماً مزیت رقابتی قابل توجهی نسبت به بازار فناوری ایجاد نمی‌کند. بخش مهمی از جذابیت شغلی بانک‌ها به عواملی نظیر امنیت شغلی، تسهیلات و وام‌های کم‌بهره وابسته است؛ مزایایی که برای همه متخصصان حوزه فناوری جذابیت یکسانی ندارند و لزوماً نمی‌توانند جایگزین پرداخت‌های رقابتی یا مسیرهای رشد حرفه‌ای شوند. این موضوع به‌ویژه در رقابت با شرکت‌های فناوری، استارتاپ‌ها و شرکت‌های بین‌المللی اهمیت بیشتری پیدا می‌کند.

موضوع دیگر، طولانی و پرهزینه بودن فرآیندهای گزینش و تأیید صلاحیت است. در بسیاری از موارد، استخدام یک نیروی متخصص مستلزم عبور از مراحل متعدد شامل مصاحبه‌های تخصصی، بررسی‌های حراستی، استعلام‌های امنیتی و سایر فرآیندهای اداری است که ممکن است ماه‌ها به طول بینجامد. هرچند هدف این فرآیندها کاهش ریسک‌های انسانی است، اما در عمل هزینه جذب نیرو را افزایش داده و سرعت واکنش سازمان در برابر نیازهای جدید را کاهش می‌دهد.

نکته قابل تأمل آن است که در بسیاری از رخدادهای امنیتی جهان، نقش عوامل انسانی، چه به صورت خطای سهوی و چه به صورت اقدامات عمدی، همواره یکی از مهم‌ترین عوامل وقوع حادثه بوده است. از این منظر می‌توان استدلال کرد که با وجود فرآیندهای طولانی آزمون، گزینش و کنترل‌های استخدامی، شواهد موجود نشان نمی‌دهد که این سازوکارها توانسته باشند ریسک ناشی از عوامل انسانی را به‌طور کامل کنترل کنند. بنابراین شاید زمان آن رسیده باشد که به جای تمرکز صرف بر کنترل‌های پیش از استخدام، توجه بیشتری به آموزش مستمر، ارزیابی عملکرد، فرهنگ امنیت اطلاعات و پایش مداوم ریسک‌های انسانی در طول دوره اشتغال معطوف شود.

وابستگی زنجیره‌ای و تمرکز زیرساختی در شبکه بانکی

یکی دیگر از ویژگی‌های مهم صنعت بانکی، وابستگی گسترده آن به مجموعه‌ای از زیرساخت‌ها و ارائه‌دهندگان خدمات مشترک است. این وابستگی تنها به سامانه‌های ملی و حاکمیتی مانند شتاب، شاپرک، ساتنا و پایا محدود نمی‌شود، بلکه بخش قابل توجهی از خدمات بانکی نیز بر بستر شرکت‌های خصوصی ارائه‌دهنده راهکارهای فناوری اطلاعات، سامانه‌های Core Banking، سوئیچ‌های پرداخت و سایر زیرساخت‌های نرم‌افزاری استوار است. در نتیجه، شبکه بانکی بیش از آنکه مجموعه‌ای از بازیگران کاملاً مستقل باشد، به یک اکوسیستم به‌هم‌پیوسته شباهت دارد که بخش قابل توجهی از اجزای آن به نقاط مشترک متکی هستند.

ماهیت این وابستگی باعث می‌شود که زیرساخت‌های مشترک، به اهدافی با ارزش بالا برای مهاجمان تبدیل شوند. در چنین شرایطی، اختلال یا حمله موفق به یک سامانه ملی می‌تواند اثراتی فراتر از یک سازمان خاص داشته باشد و هم‌زمان تعداد زیادی از بانک‌ها و مشتریان را تحت تأثیر قرار دهد. به بیان دیگر، هرچه تعداد بیشتری از بازیگران به یک زیرساخت مشترک وابسته باشند، اهمیت آن زیرساخت به عنوان یک «نقطه شکست مشترک» افزایش پیدا می‌کند.

این موضوع در مورد شرکت‌های خصوصی فعال در حوزه فناوری بانکی نیز صادق است. بسیاری از این شرکت‌ها به‌طور هم‌زمان به چندین بانک خدمات ارائه می‌کنند و در عمل بخشی از زیرساخت حیاتی صنعت مالی محسوب می‌شوند. در نتیجه، هرگونه اختلال در این شرکت‌ها می‌تواند آثار زنجیره‌ای بر چندین بانک داشته باشد. هرچند اطلاعات عمومی موجود برای نسبت دادن مستقیم برخی اختلالات به این شرکت‌ها کافی نیست، اما رخدادهای هم‌زمان در چند بانک مختلف نشان می‌دهد که بررسی نقاط مشترک فناوری و تأمین‌کنندگان خدمات، می‌تواند یکی از مسیرهای مهم تحلیل ریشه‌ای حوادث باشد.

از سوی دیگر، ساختار بازار فناوری بانکی نیز با محدودیت‌هایی مواجه است. تحریم‌های بین‌المللی باعث شده‌اند که ارتباط صنعت بانکی ایران با بخش قابل توجهی از بازارهای جهانی فناوری محدود شود. در نتیجه، امکان ورود بسیاری از بازیگران خارجی به بازار ایران و همچنین حضور شرکت‌های ایرانی در بازارهای منطقه‌ای و بین‌المللی کاهش یافته است. این شرایط می‌تواند به کاهش فشار رقابتی منجر شود؛ فشاری که در بسیاری از بازارها یکی از مهم‌ترین محرک‌های نوآوری، بهبود کیفیت و ارتقای مستمر محصولات و خدمات محسوب می‌شود.

در سال‌های اخیر، برخی بانک‌ها نیز تلاش کرده‌اند با تأسیس شرکت‌های فناوری اطلاعات اختصاصی، وابستگی خود را به بازیگران بیرونی کاهش دهند. اگرچه این رویکرد در نگاه اول می‌تواند مزایایی مانند کنترل بیشتر بر فناوری و کاهش وابستگی ایجاد کند، اما این پرسش را نیز مطرح می‌کند که آیا بازار فناوری بانکی کشور ظرفیت شکل‌گیری و پایداری تعداد زیادی شرکت زیرساختی موازی را دارد یا خیر. ایجاد، نگهداری و توسعه یک شرکت فناوری توانمند نیازمند سرمایه‌گذاری مستمر، نیروی انسانی متخصص و جریان مداوم پروژه‌ها است و در صورت محدود بودن بازار، ممکن است بخشی از این شرکت‌ها با چالش‌های اقتصادی، عملیاتی و حتی فنی مواجه شوند.

در مجموع، رخدادهایی که در برخی مقاطع زمانی منجر به اختلال هم‌زمان چند بانک شده‌اند، نشان می‌دهند که تحلیل امنیت سایبری در صنعت بانکی نباید صرفاً در سطح بانک‌ها متوقف شود. بخشی از ریسک موجود در لایه‌هایی قرار دارد که میان بازیگران مختلف مشترک است؛ از سامانه‌های ملی و شبکه‌های پرداخت گرفته تا شرکت‌های فناوری و ارائه‌دهندگان زیرساخت. هرچه وابستگی به این نقاط مشترک بیشتر باشد، احتمال شکل‌گیری ریسک‌های سیستماتیک نیز افزایش خواهد یافت.

شفافیت و پاسخگویی در اطلاع‌رسانی رخدادها

یکی از موضوعاتی که در بسیاری از اختلالات و رخدادهای اخیر کمتر مورد توجه قرار گرفته، نحوه اطلاع‌رسانی و پاسخگویی بانک‌ها در قبال مشتریان است. در صنعت بانکداری، اعتماد مهم‌ترین دارایی محسوب می‌شود و این اعتماد تنها به امنیت یا کیفیت خدمات محدود نیست، بلکه به میزان شفافیت بانک در مواجهه با مشکلات نیز وابسته است. از این منظر، بانک‌ها موظف هستند هرگونه اختلال مؤثر بر خدمات خود، حتی در صورت موقتی یا محدود بودن، را به‌صورت شفاف به اطلاع مشتریان برسانند. مشتریان حق دارند از وضعیت خدماتی که برای آن هزینه پرداخت کرده‌اند یا سرمایه خود را در اختیار آن قرار داده‌اند آگاه باشند تا بتوانند برای فعالیت‌های مالی خود تصمیم‌گیری کنند.

با این حال، در بسیاری از موارد مشاهده می‌شود که نخستین نشانه‌های اختلال نه از طریق کانال‌های رسمی بانک، بلکه از طریق شبکه‌های اجتماعی، رسانه‌ها و گزارش‌های کاربران منتشر می‌شود. بارها پیش آمده است که مشتریان از عدم دسترسی به خدمات بانکی، خودپردازها، اینترنت‌بانک یا اپلیکیشن‌های موبایلی خبر داده‌اند، در حالی که تا ساعت‌ها یا حتی روزها هیچ اطلاعیه رسمی از سوی بانک منتشر نشده است. این وضعیت باعث می‌شود که فضای اطلاع‌رسانی به جای اتکا به منابع رسمی، به سمت شایعات، حدس و گمان و روایت‌های غیررسمی حرکت کند.

حتی در مواردی که بانک‌ها اصل وقوع اختلال را می‌پذیرند، معمولاً اطلاعات منتشرشده بسیار محدود است. در بسیاری از رخدادها هنوز مشخص نیست که آیا اساساً حمله سایبری رخ داده است یا خیر، نوع حمله چه بوده، دامنه تأثیر آن تا چه حد گسترش یافته، منشأ آن داخلی بوده یا خارجی و چه بخشی از زیرساخت تحت تأثیر قرار گرفته است. طبیعی است که در جریان یک رخداد امنیتی امکان انتشار همه جزئیات فنی وجود نداشته باشد، اما فاصله میان «انتشار همه اطلاعات» و «عدم ارائه هرگونه توضیح» بسیار زیاد است.

ابهام موجود تنها به زمان وقوع حادثه محدود نمی‌شود. در بسیاری از موارد، حتی پس از بازگشت خدمات نیز مشخص نیست بانک چه اقداماتی برای جلوگیری از تکرار حادثه انجام داده است. در نتیجه، مشتریان و حتی کارشناسان حوزه فناوری اطلاعات نمی‌توانند ارزیابی دقیقی از میزان رفع ریشه‌ای مشکل یا احتمال وقوع مجدد آن داشته باشند. این موضوع در بلندمدت یادگیری سازمانی و یادگیری صنعت را نیز با مشکل مواجه می‌کند، زیرا تجربه‌های حاصل از رخدادها به دانش عمومی قابل استفاده تبدیل نمی‌شوند.

نکته قابل تأمل دیگر آن است که در برخی اختلالات، مشتریان هنگام تماس با مراکز پشتیبانی با پیام‌های ضبط‌شده‌ای مواجه شده‌اند که از وجود مشکل و تلاش برای رفع آن خبر می‌داد. این موضوع نشان می‌دهد که بانک از وقوع اختلال آگاه بوده است، اما در همان زمان اطلاع‌رسانی عمومی گسترده‌ای از طریق پیامک، اپلیکیشن، وب‌سایت یا سایر کانال‌های ارتباطی انجام نشده است. در چنین شرایطی این پرسش مطرح می‌شود که چرا اطلاعاتی که در اختیار مرکز تماس قرار دارد، به‌صورت مستقیم و شفاف در اختیار تمامی مشتریان قرار نمی‌گیرد.

البته می‌توان درک کرد که بانک‌ها در برخی موارد نگران ایجاد نگرانی عمومی، برداشت‌های نادرست یا تشویش افکار عمومی باشند. با این حال، تجربه بسیاری از صنایع نشان داده است که پنهان ماندن یا دیرهنگام بودن اطلاع‌رسانی معمولاً هزینه بیشتری نسبت به شفافیت به همراه دارد. حتی یک اختلال کوتاه‌مدت می‌تواند پرداخت حقوق، تسویه معاملات، انجام تعهدات قراردادی یا سایر فرآیندهای مالی مشتریان را با مشکل مواجه کند. از این رو، آنچه بیش از خود اختلال می‌تواند به اعتماد عمومی آسیب بزند، احساس بی‌اطلاعی و عدم قطعیت است.

در نهایت، اعتماد عمومی زمانی تقویت می‌شود که مشتریان بدانند در صورت بروز مشکل، بانک نه‌تنها آن را پنهان نمی‌کند، بلکه به‌سرعت وقوع آن را اعلام کرده، وضعیت را به‌صورت مستمر گزارش می‌دهد و پس از رفع حادثه نیز توضیح می‌دهد که چه اقداماتی برای جلوگیری از تکرار آن انجام شده است. در غیر این صورت، به مرور زمان این نگرانی در ذهن مشتریان شکل می‌گیرد که شاید خدمات بانکی در ظاهر فعال باشند، اما هیچ تضمینی وجود ندارد که در لحظه نیاز، بدون هشدار قبلی در دسترس باقی بمانند. چنین احساسی، حتی در صورت محدود بودن تعداد اختلالات، می‌تواند به مراتب مخرب‌تر از خود رخدادهای فنی باشد.

رخدادهای ماه‌های اخیر نشان دادند که امنیت سایبری در نظام بانکی را دیگر نمی‌توان صرفاً در چارچوب یک بانک، یک سامانه یا حتی یک حمله مشخص تحلیل کرد. پراکندگی اختلالات در میان بانک‌های مختلف، تنوع علل اعلام‌شده، ابهام در اطلاع‌رسانی برخی رخدادها و وجود نقاط مشترک متعدد در زیرساخت‌ها و زنجیره تأمین فناوری، همگی از شکل‌گیری نوعی ریسک سیستماتیک در شبکه مالی کشور حکایت دارند. در چنین شرایطی، تمرکز صرف بر مقصر دانستن یک بانک یا یک شرکت فناوری نه‌تنها کمکی به حل مسئله نمی‌کند، بلکه توجه را از ریشه‌های اصلی دور می‌سازد. آنچه امروز بیش از هر زمان دیگری ضرورت دارد، بازنگری در چارچوب‌های رگولاتوری، نوسازی زیرساخت‌های فناوری، اصلاح رویکردهای مدیریت سرمایه انسانی، افزایش شفافیت در اطلاع‌رسانی رخدادها و بازطراحی وابستگی‌های ساختاری در شبکه بانکی است. تنها با نگاهی کلان‌سیستمی و پذیرش این واقعیت که امنیت یک بانک از امنیت کل اکوسیستم بانکی جدا نیست، می‌توان امید داشت که تاب‌آوری شبکه مالی کشور در برابر تهدیدات و اختلالات آینده به شکل معناداری افزایش یابد.

نمایش لینک کوتاه
لینک کوتاه: https://way2pay.ir/bzeb کپی شد
تصویر راه پرداخت

راه پرداخت

اتاق خبر راه پرداخت مرجع پوشش روزانه اخبار و روندهای بانکداری، پرداخت، فین‌تک، بورس، بیمه و اقتصاد دیجیتال ایران است. تحریریه راه پرداخت از سال ۱۳۹۰ به‌صورت مستمر تحولات این اکوسیستم را رصد و تحلیل کرده و محتوایی تخصصی، دقیق و به‌روز برای مخاطبان خود تولید می‌کند.
دیگر مطالب نویسنده

یک پاسخ

  1. با سلام
    نویسنده عزیز، بین حمله با موشک به سرورهای یک بانک و حمله سایبری به شرکت ارایه دهنده سرویس های کربنکینگ زمین تا آسمان تفاوت هست. در ثانی، برای شما که ماخصص این حوزه هستید، عملکرد سرور، مین فریم و کربنکینگ و نقش شرکت خدمات یا توسن مشخص نیست، چگونه بانک ها این مشکلات رو برای عامه مردم توضیح دهند و اطلاع رسانی کنند؟

    پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

تازه‌های راه پرداخت

ماهنامه عصر تراکنش

مطالب پیشنهادی

افزایش تنوع به خزانه‌های طلا برای خرید و فروش آنلاین طلا و نقره

بیشترین دلیل رد خوردروها در مراکز معاینه فنی چیست؟

وقتی مشکل یک بانک نیست؛ نگاهی به ریسک‌های سیستماتیک در شبکه بانکی ایران