اختلالی که از ۲۳ خرداد در چهار بانک بزرگ کشور آغاز شد، حالا وارد مرحله تازهای شده است؛ مرحلهای که در آن دیگر فقط با گزارشهای پراکنده کاربران، اطلاعیههای کوتاه و خبر بازگشت تدریجی سرویسها روبهرو نیستیم. محمدسعید طباطبایی، مدیرعامل شرکت خدمات انفورماتیک، در گفتوگویی با ایبنا برای نخستینبار بخشی از روایت فنی شرکت خدمات انفورماتیک از این رخداد را بیان کرده است؛ روایتی که نشان میدهد ماجرا از نگاه این شرکت، نه یک اختلال ساده نرمافزاری، بلکه رخدادی چندمرحلهای، پیچیده و زمانبر در زیرساخت عملیاتی بانکها بوده است.
بانک مرکزی پیشتر اعلام کرده بود اختلال در بانکهای ملی، صادرات، تجارت و توسعه صادرات در اثر «حمله سایبری به زیرساخت ارتباطی» ایجاد شده و خدمات پایه مبتنی بر کارت با استفاده از روشهای جایگزین دوباره در اختیار مشتریان قرار گرفته است. شورای هماهنگی بانکها نیز از همان روزهای نخست تأکید کرده بود که این رخداد به افشای اطلاعات مشتریان منجر نشده است. اما پرسش اصلی همچنان باقی بود: اگر دادهها از بین نرفته و سامانههای بینبانکی مانند شتاب و شاپرک برقرار بودهاند، چرا بازگشت کامل خدمات بانکها اینقدر زمان برد؟
گفتوگوی طباطبایی بخشی از پاسخ را روشنتر میکند: دادهها، طبق روایت او، از بین نرفتهاند، اما بازیابی و تحویل آنها به بانکها زمانبر بوده است؛ بخشی از زیرساخت بانکداری این بانکها بر تجهیزات مینفریم IBM قرار داشته؛ به دلیل نبود امکان پشتیبانی مستقیم از IBM، شرکت خدمات انفورماتیک ناچار شده از متخصصان داخلی این حوزه کمک بگیرد؛ و پس از یک مرحله بازیابی، رخدادی مشابه دوباره در ساعت ۱۱ صبح شنبه تکرار شده است. به بیان دیگر، ما با قطعیای مواجه نبودهایم که با روشن و خاموش کردن چند سرور حل شود. مسئله، بازگرداندن چند بانک بزرگ به مدار خدمت، بدون ایجاد مغایرت در حسابها و تراکنشها بوده است.
آنچه از روایت طباطبایی میدانیم
مهمترین نکته در گفتوگوی مدیرعامل شرکت خدمات انفورماتیک این است که او صراحتاً از نگهداری اطلاعات بانکها در چند موقعیت جغرافیایی سخن میگوید. طباطبایی گفته شرکت خدمات انفورماتیک از همان ابتدا اطمینان داشته که اطلاعات مشتریان، تراکنشها و حسابها از بین نرفته و قابل بازیابی است؛ هرچند این فرآیند به زمان نیاز داشته است. این بخش از روایت، پاسخ مستقیم به نگرانی اصلی مردم است: آیا موجودی حسابها، گردش حساب، سوابق چک و تراکنشها از بین رفته یا دستکاری شدهاند؟
پاسخ مدیرعامل شرکت خدمات انفورماتیک روشن است. او میگوید اطلاعات مشتریان «کاملاً موجود» است، بخش عمده آن به بانکها تحویل شده و باقی اطلاعات نیز در حال انتقال است. به گفته او، پیچیدگی فرآیندهای پشتیبانگیری و حجم بالای اطلاعات باعث شده بازیابی و انتقال دادهها زمانبر شود. این گزاره، البته به معنای پایان کامل ماجرا نیست. در بانکداری، «وجود داشتن داده» با «آماده بودن سرویس برای استفاده پایدار» یکی نیست. داده ممکن است سالم باشد، اما تا زمانی که تطبیق، کنترل، انتقال امن، اتصال به سامانههای عملیاتی و رفع مغایرتها کامل نشود، بانک نمیتواند با اطمینان از بازگشت کامل همه خدمات سخن بگوید.

در بخش دیگری از گفتوگو، طباطبایی از تفاوت میان دو مرحله رخداد سخن گفته است. به گفته او، چند روز پس از رخداد نخست، حمله دومی رخ داده که این بار زیرساخت کارت بانکها را هدف گرفته است. نکته مهم اینجاست که او توضیح میدهد زیرساخت کارت دیگر روی مینفریمهای IBM قرار نداشته و به همین دلیل، سرویس کارت در مدت کوتاهتری دوباره به مدار خدمت برگشته است. این تمایز از نظر فنی مهم است، چون نشان میدهد همه لایههای آسیبدیده یا درگیر، ماهیت یکسانی نداشتهاند. بخشی از مسئله به سامانههای اصلی و معماری قدیمیتر مربوط بوده و بخشی دیگر به زیرساخت کارت؛ اما سرعت بازیابی این دو یکسان نبوده است.
طباطبایی همچنین روایت کرده که در روزهای منتهی به تاسوعا، عاشورا و جمعه، تیمهای فنی به راهکاری رسیدهاند که تصور میشده منشأ مشکل را شناسایی کرده است. پس از آزمونهای متعدد و با هماهنگی بانک مرکزی و شبکه بانکی، تصمیم گرفته میشود سرویسها در روز شنبه روی ماشینهای اصلی عملیاتی شوند. او گفته همکاران شرکت خدمات انفورماتیک ۷۲ ساعت بدون وقفه برای بازگرداندن بانکهای ملی و صادرات به مدار خدمت تلاش کردهاند. بر اساس این روایت، بانک صادرات از روز جمعه عملیاتی شده و بانک ملی نیز بامداد شنبه به مدار خدمت بازگشته است؛ اما ساعت ۱۱ صبح همان شنبه، رخدادی تقریباً مشابه حادثه قبلی دوباره اتفاق افتاده است.
همین بخش، یکی از مهمترین نقاط گفتوگوست. چون نشان میدهد بحران فقط یک رخداد منفرد نبوده است. شرکت خدمات انفورماتیک ابتدا تلاش کرده سرویسها را روی ماشینهای اصلی برگرداند، اما پس از رخداد مجدد، تصمیم گرفته فرآیند انتقال بین سامانه اصلی بانکداری ایران و سامانه «هور» را با دقت انجام دهد تا مغایرتی در حسابها ایجاد نشود. اکنون، طبق روایت مدیرعامل شرکت خدمات انفورماتیک، بانکها روی زیرساخت جایگزین در حال ارائه خدمت هستند.
هور؛ مسیر اضطراری یا نقطه پایان بحران؟
نام «هور» در این گفتوگو اهمیت ویژهای دارد. طباطبایی گفته پس از رخداد مجدد، انتقال بین سامانه اصلی بانکداری ایران و سامانه هور انجام شده و اکنون بانکها روی زیرساخت جایگزین خدمات ارائه میکنند. این گزاره باید با دقت خوانده شود. استفاده از زیرساخت جایگزین الزاماً به معنای بازگشت کامل بانکها به وضعیت عادی پیش از حادثه نیست. بیشتر شبیه یک مسیر اضطراری برای ادامه خدمترسانی است؛ مسیری که باید همزمان با آن، دادهها، حسابها، سرویسها و مغایرتها کنترل و تکمیل شوند.
با این حال، نکته مهم این است که «هور» را نباید جایگزین یک سامانه کربنکینگ کامل دانست. این سامانه برای تداوم خدمات پایه در وضعیت بحران طراحی شده، نه برای پوشش همه کارکردهای بانکداری متمرکز در شرایط عادی. به همین دلیل، بازگشت بانکها به مدار خدمت از مسیر هور الزاماً به معنای پایان بحران یا بازگشت کامل همه سرویسها نیست؛ بلکه بیشتر نشانه فعال شدن یک مسیر اضطراری برای جلوگیری از توقف کامل خدمات بانکی است.
خود طباطبایی نیز به محدودیتهایی در این وضعیت اشاره کرده است. او گفته در بانکهایی که از زیرساخت هور استفاده میکنند، بخشی از حسابها فعلاً صرفاً از طریق کارت قابل استفاده هستند و سایر حسابها از مسیر سامانههای دیگر در دسترس قرار میگیرند. همین مسئله برای برخی مشتریان ابهام ایجاد کرده و طبق گفته او، این محدودیت در حال رفع شدن است. بنابراین، تصویر دقیقتر این است: بانکها به مدار خدمت برگشتهاند، اما بخشی از بازگشت خدمات همچنان مرحلهای، محدود و وابسته به فرآیندهای تکمیلی است.
این همان نقطهای است که در گزارشهای قبلی راه پرداخت نیز بر آن تأکید شده بود: روشن شدن کارت یا فعال شدن بخشی از انتقال وجه، الزاماً پایان بحران نیست. مشتری از بیرون فقط کار کردن یا نکردن سرویس را میبیند، اما در پشت صحنه، مسئله اصلی تطبیق داده، سلامت بکاپ، امنیت محیط عملیاتی، رفع مغایرت و رسیدن به پایداری کامل است. گزارشهای قبلی راه پرداخت نیز بر همین تفکیک میان «بازگشت سرویس» و «پایان بحران» تأکید داشتند.
مینفریمها رایانههای بزرگ و پرظرفیتی هستند که برای پردازش تراکنشهای سنگین در بانکها و سازمانهای بزرگ استفاده میشوند. در ایران، بخشی از زیرساخت بانکداری همچنان بر مینفریمهای IBM، شرکت آمریکایی تولیدکننده این تجهیزات، متکی است.
مینفریم؛ مسئله امنیت نیست، مسئله بازیابی و وابستگی است
یکی از بخشهای مهم گفتوگوی طباطبایی به مینفریمهای IBM مربوط است. او توضیح داده که بسیاری از بانکهای کشور همچنان از تجهیزات مینفریم IBM استفاده میکنند؛ تجهیزاتی که به دلیل شرایط موجود، امکان دریافت پشتیبانی مستقیم از سازنده برای آنها وجود ندارد. به گفته او، شرکت خدمات انفورماتیک ناچار شده از متخصصان داخلی دارای تجربه در این حوزه دعوت کند تا در کنار تیم شرکت، فرآیند بررسی و بازیابی را پیش ببرند.
این بخش از گفتوگو باید با دقت تحلیل شود. سالها در صنعت بانکی ایران، مینفریمها به عنوان زیرساختهایی پایدار، قدرتمند و قابل اتکا شناخته شدهاند. این گزاره در اصل غلط نیست. مینفریمها در بسیاری از بانکهای بزرگ دنیا نیز همچنان نقش عملیاتی دارند. اما رخداد اخیر نشان داد مسئله فقط «پایداری در شرایط عادی» نیست؛ مسئله «بازیابی در شرایط بحران» است. سامانهای ممکن است سالها بدون اختلال کار کند، اما وقتی از مدار خارج شد، بازگرداندن آن به وضعیت پایدار، بهخصوص بدون پشتیبانی رسمی سازنده، به مسئلهای سخت، پرریسک و زمانبر تبدیل میشود.
طباطبایی گفته این تجهیزات اساساً به گونهای طراحی شدهاند که یکبار نصب و پیکربندی شوند و سالها بدون اختلال به فعالیت ادامه دهند. او همچنین توضیح داده که در شرایط عادی، راهاندازی مجدد چنین ماشینهایی ممکن است چند هفته و حتی چند ماه زمان ببرد؛ اما تیمهای شرکت خدمات انفورماتیک تلاش کردهاند این زمان را به حداقل برسانند.
از این منظر، رخداد اخیر دعوای سادهای میان «مینفریم خوب است یا بد» نیست. مسئله اصلی این است که بانکهای بزرگ کشور تا چه اندازه برای سناریوی خروج مینفریم از مدار، خرابی محیط عملیاتی، نیاز به بازیابی سریع، نبود پشتیبانی رسمی، کمبود نیروی متخصص و انتقال اضطراری به زیرساخت جایگزین آمادگی داشتهاند. اگر سامانهای حیاتی باشد اما بازیابی آن در روز بحران به چند ده متخصص محدود، نبود پشتیبانی خارجی و فرآیندهای طولانی وابسته شود، آن سامانه از نقطه قوت به ریسک عملیاتی تبدیل میشود.
پول مردم؛ اطمینان رسمی، اما مغایرتها باقی میمانند
طباطبایی در گفتوگو تلاش کرده مهمترین نگرانی عمومی را پاسخ دهد: امنیت دارایی مردم. او تأکید کرده که جای پول مردم امن است و مردم نباید بابت داراییهای خود در این بانکها نگران باشند. این اطمینان برای کنترل نگرانی عمومی ضروری است، اما از نظر عملیاتی، پرونده را نمیبندد. چون در چنین رخدادهایی، حتی اگر اصل دارایی و دادهها حفظ شده باشد، ممکن است تراکنشهای ناموفق، برداشت بدون واریز به مقصد، تأخیر در تسویه، مغایرت در رسیدها یا ابهام در وضعیت برخی حسابها ایجاد شود.
مدیرعامل شرکت خدمات انفورماتیک نیز این احتمال را رد نکرده است. او گفته هم در شرکت خدمات انفورماتیک و هم در بانکها، واحدهای تخصصی مسئول رسیدگی به تکتک مغایرتها هستند و این موارد قابل شناسایی و رفع است. اما یک نکته مهم در همین پاسخ وجود دارد: به گفته او، ابتدا باید فرآیند بازسازی کامل سامانهها به پایان برسد و پس از آن، بررسی و رفع مغایرتها بهصورت کامل انجام خواهد شد.
این یعنی مشتریانی که با تراکنش ناموفق یا ابهام در وضعیت حساب خود مواجه شدهاند، احتمالاً تا پایان کامل بازسازی و تطبیق، باید مسیر رسیدگی بانکی را دنبال کنند. بنابراین بانکها و بانک مرکزی باید علاوه بر اطلاعرسانی درباره بازگشت سرویسها، مسیر مشخص و قابل پیگیری برای ثبت، رهگیری و حل مغایرتها اعلام کنند. در بحران بانکی، اعتماد فقط با جمله «پول مردم امن است» بازسازی نمیشود؛ اعتماد زمانی برمیگردد که مشتری بداند اگر تراکنشش دچار مشکل شده، کجا باید مراجعه کند، چه زمانی پاسخ میگیرد و مسئولیت نهایی با کدام نهاد است.
علت اصلی هنوز مشخص نیست
با وجود توضیحات تازه، مهمترین بخش پرونده هنوز بسته نشده است: علت ریشهای اختلال. طباطبایی گفته احتمالات مختلفی مطرح است، اما مرجع رسمی بررسی این موضوع مرکز افتاست. به گفته او، همکاران مرکز افتا از همان ساعات اولیه وقوع حادثه در شرکت مستقر شدهاند و بررسیهای تخصصی را آغاز کردهاند. تیمهای فنی شرکت خدمات انفورماتیک نیز همزمان در حال بررسی موضوع هستند، اما هنوز به جمعبندی قطعی و قابل اتکا نرسیدهاند.
این اعتراف، از نظر خبری مهمتر از بسیاری از اطمینانبخشیهاست. زیرا نشان میدهد با وجود بازگشت بخشی از خدمات و انتقال بخشی از عملیات به زیرساخت جایگزین، هنوز روایت فنی نهایی درباره منشأ حادثه منتشر نشده است. تا وقتی علت ریشهای مشخص نشود، نمیتوان با قاطعیت گفت چه چیزی باید اصلاح شود: معماری شبکه، دسترسیهای ممتاز، زنجیره تأمین، مرکز پشتیبان، بکاپها، مانیتورینگ، تجهیزات، فرآیند تغییرات، یا همه اینها با هم.
طباطبایی همچنین گفته کشور در شرایط «جنگ سایبری» قرار دارد و مرکز پایش شرکت روزانه صدها رخداد امنیتی را شناسایی و دفع میکند. این توصیف، اهمیت مسئله را از سطح یک اختلال بانکی فراتر میبرد. اگر شبکه بانکی در معرض حملات مداوم است، دیگر نمیتوان تابآوری را پروژهای مقطعی دانست. تابآوری باید به بخشی از معماری، بودجه، حکمرانی فناوری و ارزیابی مستمر بانکها تبدیل شود.
از این گفتوگو چه میفهمیم؟
گفتوگوی مدیرعامل شرکت خدمات انفورماتیک چند نکته را روشنتر کرد. نخست اینکه دادههای بانکی، طبق روایت شرکت خدمات انفورماتیک، از بین نرفتهاند و بخش عمده آنها به بانکها تحویل شده است. دوم اینکه بازگشت خدمات، فرآیندی مرحلهای بوده و بخشهایی از عملیات روی زیرساخت جایگزین انجام میشود. سوم اینکه مینفریمهای IBM و نبود پشتیبانی مستقیم سازنده، فرآیند بازیابی را پیچیدهتر کرده است. چهارم اینکه رخداد فقط یک مرحله نداشته و پس از بازگشت بخشی از سرویسها، حادثهای مشابه دوباره تکرار شده است. پنجم اینکه علت ریشهای هنوز اعلام نشده و مرکز افتا مرجع رسمی بررسی آن معرفی شده است.
اینها دادههای مهمی هستند، اما برای بستن پرونده کافی نیستند. اکنون پرسش از «آیا سرویس برگشته؟» باید به «آیا بانکها پایدار شدهاند؟» تغییر کند. همچنین پرسش از «آیا اطلاعات نشت کرده؟» باید به «آیا دادهها کامل، تطبیقشده، قابل اتکا و در محیطی امن دوباره عملیاتی شدهاند؟» ارتقا پیدا کند. در بانکداری دیجیتال، اعتماد عمومی با پاسخهای کلی حفظ نمیشود. مردم، کسبوکارها و فعالان صنعت به روایت دقیقتری نیاز دارند؛ روایتی که هم حساسیتهای امنیتی را رعایت کند و هم از شفافیت فرار نکند.
هنوز چه نمیدانیم؟
با وجود گفتوگوی تازه، فهرست نادانستهها همچنان بلند است. هنوز نمیدانیم رخداد از کدام نقطه آغاز شده است. هنوز روشن نیست حمله دقیقاً از جنس نفوذ، تخریب، اختلال در دسترسپذیری، حمله به زنجیره تأمین، خطای عملیاتی همزمان با بازیابی یا ترکیبی از چند عامل بوده است. هنوز مشخص نیست کدام لایه آسیب دیده: سامانه اصلی بانکداری، شبکه ارتباطی، ذخیرهسازی، سوئیچ کارت، دسترسیهای مدیریتی، میانافزار، مرکز داده، بکاپها یا مسیرهای ارتباطی بانکها با شرکت خدمات انفورماتیک.
هنوز نمیدانیم آخرین نسخههای معتبر پشتیبان مربوط به چه زمانی بودهاند و چه میزان داده نیازمند تطبیق مجدد بوده است. هنوز عددی درباره تراکنشهای ناموفق، مغایرتهای احتمالی، زمان متوسط رفع مغایرتها و خسارت مستقیم یا غیرمستقیم مشتریان و کسبوکارها منتشر نشده است. هنوز نمیدانیم استاندارد رسمی بانک مرکزی برای RTO و RPO بانکهای بزرگ چیست و آیا در این رخداد این شاخصها رعایت شدهاند یا نقض شدهاند.
همچنین هنوز معلوم نیست پس از این حادثه چه تغییری در معماری بانکداری کشور رخ خواهد داد. آیا بانک مرکزی الزام تازهای برای چندتأمینکنندگی، سایت پشتیبان مستقل، مانور واقعی بازیابی، معماری فعال-فعال، تست دورهای بکاپها و انتشار گزارش پساحادثه وضع خواهد کرد؟ آیا شرکت خدمات انفورماتیک گزارش فنی غیرمحرمانهای منتشر میکند؟ آیا بانکها موظف میشوند وضعیت پایداری سرویسهای خود را به تفکیک کارت، پایا، ساتنا، چک، شعب، اینترنتبانک و موبایلبانک اعلام کنند؟ آیا مسئولیت حقوقی و عملیاتی هر بانک، شرکت خدمات انفورماتیک و بانک مرکزی در چنین رخدادهایی روشنتر خواهد شد؟
پاسخ این پرسشها هنوز منتشر نشده است؛ اما بدون پاسخ به آنها، اختلال اخیر فقط بهظاهر تمام میشود. سرویسها ممکن است برگردند، کارتها ممکن است کار کنند و انتقال وجه ممکن است دوباره برقرار شود، اما تا زمانی که علت ریشهای، مسئولیتها، ضعفهای معماری و برنامه اصلاحی اعلام نشود، بحران اصلی باقی میماند: بحران اعتماد.
پایان اختلال یا آغاز بازنگری؟
اختلال چهار بانک بزرگ کشور فقط یک حادثه فنی نبود. این رخداد نشان داد که در بانکداری دیجیتال، نقطه شکست مشترک میتواند همزمان میلیونها مشتری را در چند بانک تحت تأثیر قرار دهد. همچنین نشان داد که زیرساختهای قدیمی، حتی اگر در شرایط عادی پایدار باشند، در روز بحران میتوانند به مسئله بازیابی، نیروی انسانی، پشتیبانی و زمان تبدیل شوند.
روایت مدیرعامل شرکت خدمات انفورماتیک، تصویر مبهم روزهای نخست را کمی روشنتر کرده است. اکنون میدانیم دادهها طبق روایت رسمی از بین نرفتهاند، میدانیم فرآیند بازیابی زمانبر و چندمرحلهای بوده، میدانیم بخشی از عملیات به سامانه جایگزین منتقل شده، میدانیم مینفریمهای IBM در پیچیدگی بازیابی نقش داشتهاند و میدانیم علت قطعی هنوز اعلام نشده است.
اما مهمترین سؤال همچنان سر جای خود باقی است: بعد از این حادثه، دقیقاً چه چیزی در شبکه بانکی ایران تغییر میکند که چند ماه دیگر دوباره چند بانک بزرگ کشور همزمان از دسترس خارج نشوند؟ تا وقتی پاسخ این سؤال روشن نشود، ماجرا فقط «رفع اختلال» نیست؛ پروندهای باز درباره تابآوری بانکداری دیجیتال ایران است.
