اختلال در خدمات چهار بانک بزرگ کشور، از همان روزهای نخست فقط یک مسئله فنی نبود. ابتدا صحبت از حمله سایبری و ناپایداری بخشی از خدمات بانکهای ملی، صادرات، تجارت و توسعه صادرات بود. کمی بعد، بحث به زیرساختهای مشترک، شرکتهای فناوری و نحوه تصمیمگیری در شرایط بحران کشیده شد. حالا بانک مرکزی با انتشار اطلاعیهای تازه تلاش کرده به بخشی از این روایتها پاسخ دهد.
این اطلاعیه به یک پرسش مشخص جواب میدهد، اما همزمان پرسشهای دیگری را نیز زنده نگه میدارد؛ اینکه در شرایط اضطراری، چه کسی درباره استفاده از ظرفیت شرکتهای فناوری تصمیم میگیرد و مرز مسئولیت میان بانکها، بانک مرکزی و شرکتهای زیرساختی کجاست.
این اطلاعیه در خلأ منتشر نشده است
بانک مرکزی هشتم تیرماه در واکنش به آنچه «اخبار کذب و اتهامزنیهای بیپایه» خواند، اعلام کرد بانکها در چارچوب مصوبات نهادهای بالادستی مجاز بودهاند برای بازگرداندن پایداری خدمات از ظرفیت سایر شرکتهای فعال در حوزه فناوری اطلاعات استفاده کنند، اما انتخاب این شرکتها بر عهده خود بانکها بوده و بانک مرکزی در این تصمیم نقشی نداشته است.
این اطلاعیه را نمیتوان جدا از فضای چند روز گذشته خواند. همزمان با ادامه اختلال در برخی خدمات بانکی، روایتهایی در رسانهها و شبکههای اجتماعی منتشر شد که از نقش احتمالی بانک مرکزی در هدایت برخی بانکها به سمت یک شرکت مشخص سخن میگفت. برخی نیز این موضوع را با بحث تعارض منافع و انحصار در بازار فناوری بانکی پیوند زدند.
در چنین فضایی، اطلاعیه بانک مرکزی بیش از آنکه گزارشی از ابعاد فنی حادثه باشد، تلاشی برای مرزبندی با همین روایتهاست.
در بحرانها، روایت هم بخشی از بحران است
در رخدادهای سایبری معمولاً دو بحران همزمان شکل میگیرد؛ بحران فنی و بحران روایت. اولی با بازگرداندن سرویسها فروکش میکند، اما دومی تا زمانی ادامه دارد که تصویر روشنی از آنچه رخ داده منتشر نشود.
در روزهای اخیر نیز همین اتفاق رخ داد. مقامهای مسئول تأکید کردند شتاب و شاپرک بدون اختلال به فعالیت خود ادامه دادهاند و آسیبی به اطلاعات مشتریان وارد نشده است. اما درباره منشأ دقیق اختلال، دامنه اثر آن، میزان وابستگی بانکها به زیرساختهای مشترک و نحوه بازگرداندن خدمات، اطلاعات محدودی منتشر شد.
در همین فاصله، بحث استفاده از ظرفیت شرکتهای دیگر، تغییر ارائهدهنده خدمات و حتی «مهاجرت» برخی بانکها به سامانههای جدید مطرح شد. در غیاب اطلاعات دقیق، این روایتها بهتدریج خود به بخشی از بحران تبدیل شدند.
اختلالی که پرسشهای بزرگتری ایجاد کرد
اختلال در چهار بانک بزرگ کشور از همان ابتدا حساس بود، زیرا این بانکها بخش مهمی از تراکنشهای روزانه، حسابهای حقوقی و پرداختهای کسبوکارها را پوشش میدهند. به همین دلیل، این اتفاق خیلی زود از یک رخداد فناوری فراتر رفت و به موضوعی مرتبط با اعتماد عمومی و تابآوری زیرساختهای بانکی تبدیل شد.
راه پرداخت نیز در گزارشهای پیشین خود به این نکته اشاره کرده بود که هنوز بسیاری از جزئیات حادثه روشن نیست؛ از نوع حمله و نقطه آغاز آن گرفته تا نقش زیرساختهای مشترک و نحوه بازیابی خدمات.
همین ابهامها باعث شد بحث از «اختلال سرویس» فراتر برود و به پرسش درباره معماری فناوری بانکداری کشور برسد.
خدمات انفورماتیک و مسئله تمرکز زیرساخت
در روزهای گذشته، نام شرکت خدمات انفورماتیک بارها در این پرونده مطرح شد. این شرکت سالهاست در توسعه و پشتیبانی بخشی از زیرساختهای حیاتی بانکداری الکترونیکی ایران نقش دارد و حضور آن در سامانههایی مانند شتاب، پایا و ساتنا باعث شده هر اختلال گستردهای نگاهها را به سمت این شرکت جلب کند.
البته طرح نام خدمات انفورماتیک بهتنهایی به معنای اثبات مسئولیت یا قصور این شرکت نیست. در رخدادهای سایبری، محل وقوع اختلال الزاماً محل تعیین مسئولیت نیست. با این حال، همزمانی اختلال در چند بانک بزرگ، بار دیگر موضوع تمرکز زیرساختهای بانکی را به میان آورد.
اگر چند بانک به یک هسته یا زیرساخت مشترک وابسته باشند، طبیعی است که این پرسش مطرح شود که برای کاهش ریسک چنین تمرکزی چه راهکاری در نظر گرفته شده است.
چرا نام توسن مطرح شد؟
در کنار خدمات انفورماتیک، نام شرکت توسعه سامانههای نرمافزاری نگین، یا همان توسن، نیز در روزهای اخیر بارها مطرح شد.
توسن یکی از بازیگران باسابقه صنعت نرمافزار بانکی ایران است و همکاری آن با بانکها موضوع تازهای نیست. اما آنچه نام این شرکت را وارد روایت بحران کرد، گمانهزنیهایی بود که از هدایت برخی بانکها به سمت استفاده از ظرفیت این شرکت حکایت داشت.
بانک مرکزی اکنون این ادعاها را بهصراحت رد کرده و تأکید دارد در انتخاب شرکتهای فناوری دخالتی نداشته است.
با این حال، هنوز روشن نیست اگر بانکهایی از ظرفیت شرکتهای دیگر استفاده کردهاند، این تصمیم در چه سطحی، با چه هدفی و برای چه مدت اتخاذ شده است. تا زمانی که خود بانکها جزئیات این تصمیمها را منتشر نکنند، تفکیک میان استفاده موقت از ظرفیت یک شرکت و تغییر راهبردی سامانههای بانکی ممکن نخواهد بود.
«مهاجرت»؛ واژهای که باید با احتیاط به کار برد
یکی از واژههایی که در روزهای گذشته بارها تکرار شد، «مهاجرت» بود؛ واژهای که در صنعت بانکداری معنای مشخص و سنگینی دارد.
مهاجرت از یک سامانه بانکداری متمرکز به سامانهای دیگر، پروژهای چندماهه و پیچیده است که انتقال دادهها، آزمونهای امنیتی، تطبیق سامانههای جانبی و مدیریت ریسک عملیاتی را در بر میگیرد. به همین دلیل، استفاده اضطراری از ظرفیت یک شرکت برای بازگرداندن بخشی از خدمات را نمیتوان با تغییر کامل سامانه بانکداری متمرکز یکسان دانست.
بدون توضیح رسمی بانکهای درگیر، مشخص نیست آنچه در روزهای گذشته درباره آن صحبت شده، کدامیک از این دو سناریو بوده است.
پرسشهایی که همچنان بیپاسخ ماندهاند
اطلاعیه بانک مرکزی بخشی از حاشیههای روزهای گذشته را پاسخ داده است. این نهاد میگوید انتخاب شرکتهای فناوری بر عهده بانکها بوده و ادعای هدایت بانکها به سمت یک شرکت مشخص را رد میکند.
اما همچنان پرسشهای مهمی باقی مانده است؛ بانکهای درگیر از ظرفیت چه شرکتهایی استفاده کردهاند؟ این تصمیمها صرفاً برای عبور از شرایط اضطراری بوده یا آثار بلندمدتتری خواهد داشت؟ و مهمتر از همه، سازوکار مدیریت بحران در یکی از حساسترین زیرساختهای کشور دقیقاً چگونه عمل کرده است؟
پاسخ به این پرسشها فقط برای روشن شدن جزئیات یک رخداد سایبری اهمیت ندارد. این پاسخها میتواند تصویری دقیقتر از میزان تابآوری زیرساختهای بانکی و نحوه تصمیمگیری در زمان بحران ارائه کند؛ موضوعی که برای بانکها، کسبوکارها و میلیونها کاربری که هر روز از خدمات بانکی استفاده میکنند، اهمیت دارد.
