در یک سال گذشته، فناوری اطلاعات شبکه بانکی ایران چند بار در سختترین شرایط ممکن آزموده شد؛ نخست با حمله به بانکهای سپه و پاسارگاد در جریان جنگ ۱۲روزه، سپس با از دسترس خارجشدن همزمان بخشی از خدمات بانکهای ملی، صادرات، تجارت و توسعه صادرات در خرداد ۱۴۰۵. روز ملی فناوری اطلاعات، فرصتی است تا بهجای مرور تعداد سامانهها، پروژههای تحول دیجیتال و قابلیتهای تازه بانکها، بپرسیم این فناوری در سختترین لحظه تا چه اندازه قابلاتکاست. در هرکدام از این رخدادها، آنچه مردم مستقیماً تجربه کردند نه جزئیات فنی حمله، بلکه کارنکردن کارت، قطع همراهبانک، توقف انتقال وجه، محدودشدن خدمات شعب و دشوارشدن دسترسی به پول بود. همین تجربه، تعریف امنیت بانکی را گستردهتر کرده است. امنیت دیگر فقط به این معنا نیست که مهاجم نتواند وارد شبکه شود یا اطلاعات مشتریان افشا نشود؛ بانک باید برای لحظهای که بخشی از زیرساخت از مدار خارج میشود نیز آماده باشد. توان حفظ حداقل خدمات حیاتی، دسترسی به نسخههای سالم و قابلبازیابی داده، انتقال عملیات به سامانههای جایگزین، بازگرداندن تدریجی سرویسها و جلوگیری از تبدیل یک زیرساخت مشترک به نقطه شکست چند بانک، اکنون در کنار حفاظت از دادهها و مقابله با نفوذ، بخشی از مسئله امنیت بانکداری دیجیتال است.
پشت سادگیِ خدمات بانکی، صحنهای پیچیده و کمتر دیدهشده قرار دارد. مشتری کارت را روی دستگاه میکشد، وارد همراهبانک میشود یا در چند ثانیه پولی را از یک حساب به حساب دیگر میفرستد؛ بیآنکه بداند برای انجام همین عملیات روزمره، مجموعهای از سامانههای بانکداری متمرکز، مراکز داده، سوئیچهای کارت، شبکههای ارتباطی، پایگاههای اطلاعاتی، نسخههای پشتیبان و شرکتهای فناوری باید همزمان و بدون وقفه کار کنند. تا وقتی همه اجزای این زنجیره درست عمل میکنند، حضورشان احساس نمیشود. این زیرساخت معمولاً زمانی از پشت صحنه بیرون میآید که یکی از حلقههایش از کار بیفتد؛ وقتی کارت پاسخ نمیدهد، همراهبانک باز نمیشود، انتقال وجه نیمهتمام میماند یا شعبه نیز راهی برای دسترسی به حساب مشتری ندارد. در چنین لحظهای، فناوری اطلاعات از یک واحد پشتیبان در ساختمان بانک به مسئلهای عمومی تبدیل میشود که میتواند خرید روزانه، پرداخت حقوق، وصول چک، تسویه کسبوکارها و دسترسی مردم به داراییهایشان را مختل کند.
یک سال گذشته برای بانکداری ایران، مجموعهای از همین لحظهها بود. حمله به بانکهای سپه و پاسارگاد در روزهای پایانی خرداد ۱۴۰۴ و ادامه عملیات بازیابی آنها در تیرماه و سپس حمله سایبری اعلامشده به زیرساخت مشترک بانکهای ملی، صادرات، تجارت و توسعه صادرات در خرداد ۱۴۰۵، نشان داد مسئله امروز فقط این نیست که آیا مهاجم میتواند وارد شبکه شود. پرسش مهمتر این است که وقتی رخداد اتفاق افتاد، بانک تا چه مدت میتواند خدمات حیاتی را حفظ کند و با چه سرعتی به وضعیت پایدار برگردد.
امنیت از دیوار دفاعی عبور کرده است
در تعریف سنتی امنیت سایبری، تمرکز عمدتاً بر جلوگیری از نفوذ، حفاظت از داده، کنترل دسترسی و شناسایی بدافزار قرار داشت. این مؤلفهها همچنان ضروریاند، اما برای زیرساختی مانند بانک کافی نیستند. حتی مجهزترین سامانهها نیز مصونیت صددرصدی ندارند و ممکن است با حمله سایبری، خرابی تجهیزات، خطای انسانی، قطع ارتباط، اختلال تأمینکننده یا ترکیبی از چند رخداد مواجه شوند.
به همین دلیل، در ادبیات جهانی بانکداری، تمرکز از «جلوگیری مطلق از حادثه» به سمت «تابآوری عملیاتی» حرکت کرده است. کمیته بال در اصول تابآوری عملیاتی، هدف را تقویت توان بانکها برای تحمل رخدادهایی تعریف میکند که ممکن است به شکست عملیاتی گسترده یا اختلال در بازارهای مالی منجر شوند؛ رخدادهایی مانند حملات سایبری، خرابی فناوری، بلایای طبیعی و بحرانهای فراگیر.
تفاوت این دو نگاه مهم است. امنیت سایبری میپرسد چگونه جلوی حمله را بگیریم؛ تابآوری عملیاتی میپرسد اگر نتوانستیم، چگونه اجازه ندهیم سازمان متوقف شود. در نگاه دوم، مرکز داده پشتیبان، نسخه سالم و قابلبازیابی اطلاعات، مسیر جایگزین ارائه خدمت، تفکیک سامانههای حیاتی، تمرین سناریوهای بحران و زمان بازگشت سرویسها بهاندازه فایروال و سامانه تشخیص نفوذ اهمیت پیدا میکنند.
گزارش «Navigating Cyber 2025» مؤسسه FS-ISAC نیز همین جابهجایی را در صنعت مالی جهان نشان میدهد. این گزارش، حملات به تأمینکنندگان، بهرهبرداری مهاجمان از تنشهای ژئوپلیتیکی و پیچیدهترشدن حملات DDoS و باجافزاری را از مخاطرات اصلی صنعت مالی معرفی میکند. FS-ISAC هشدار میدهد بسیاری از مؤسسات مالی به تأمینکنندگان مشابه متکیاند و در نتیجه، حمله به یک ارائهدهنده میتواند اثری فراتر از یک بانک و در سطح صنعت ایجاد کند.
گزارش بخشی آژانس امنیت سایبری اتحادیه اروپا نیز از میان ۴۸۸ رخداد عمومی بررسیشده در بخش مالی اروپا، بانکها را با ۳۰۱ رخداد و سهم ۴۶درصدی، پرتکرارترین هدف معرفی میکند. این گزارش همچنین میگوید ۵۸ درصد حملات DDoS مشاهدهشده، بانکها را هدف گرفتهاند و اوج این حملات با تحولات ژئوپلیتیکی ارتباط داشته است. حمله به تأمینکنندگان نیز در ۲۶ درصد موارد به اختلال عملیاتی منجر شده است.

مجمع جهانی اقتصاد در گزارش چشمانداز امنیت سایبری ۲۰۲۶ نیز اعلام کرده است ۶۴ درصد سازمانها حملات دارای انگیزه ژئوپلیتیکی، از جمله اخلال در زیرساختهای حیاتی، را وارد راهبرد مدیریت ریسک خود کردهاند. در همین گزارش، ۶۵ درصد شرکتهای بزرگ، آسیبپذیری زنجیره تأمین و طرفهای ثالث را مهمترین مانع تابآوری سایبری خود دانستهاند.
این روند جهانی، در یک سال گذشته برای بانکداری ایران نه در قالب یک گزارش آیندهپژوهانه، بلکه در عمل و مقابل چشم مشتریان بانکها ظاهر شد.
تیر ۱۴۰۴؛ آغاز بازه با عملیات بازیابی
اگرچه حملات بانکهای سپه و پاسارگاد در روزهای پایانی خرداد ۱۴۰۴ رخ دادند، بخش مهمی از بازیابی خدمات آنها وارد تیرماه شد. از این جهت، بازه یکساله روز فناوری اطلاعات با خود حمله آغاز نمیشود؛ با تلاش برای بازگرداندن بانکها به مدار خدمت آغاز میشود.
در بانک سپه، بخشی از خدمات بانکی برای چند روز با اختلال روبهرو شد و بازگشت سرویسها بهصورت مرحلهای انجام گرفت. در بانک پاسارگاد نیز طبق توضیحات منتشرشده از سوی مدیران بانک، خدمات کارتی حدود ۳۰ ساعت بعد به مدار برگشت، اما راهاندازی سایر سرویسها و رسیدن به پایداری کامل نزدیک به دو هفته زمان برد.
همین تفاوت زمانی، یکی از مهمترین نکات در ارزیابی رخدادهای بانکی است. فعالشدن کارت، خودپرداز یا خرید از پایانه فروش به معنای بازگشت کامل بانک نیست. ممکن است مشتری بتواند خرید کند، اما انتقال بینبانکی، چک، حسابهای سازمانی، اینترنتبانک، تسویه و برخی عملیات شعب همچنان با محدودیت همراه باشند. در پشت صحنه نیز ممکن است بررسی سلامت نسخههای پشتیبان، تطبیق تراکنشها، پاکسازی محیط عملیاتی و کنترلهای امنیتی ادامه داشته باشد.
۲۳ خرداد ۱۴۰۵؛ چهار بانک و یک اختلال مشترک
صبح شنبه ۲۳ خرداد، خدمات بانکهای ملی، صادرات، تجارت و توسعه صادرات با اختلال گسترده روبهرو شد. همراهبانک، اینترنتبانک، انتقال وجه، برخی خودپردازها و پایانههای فروش تحتتأثیر قرار گرفتند. در ساعات نخست، برخی توضیحات از یک مشکل یا اختلاف فنی حکایت داشت، اما شورای هماهنگی بانکها در ادامه اعلام کرد اختلال ناشی از «حمله سایبری محدود» بوده است. در همین اطلاعیه تأکید شد که دسترسی غیرمجاز به اطلاعات مشتریان و نشت داده رخ نداده است.

در کمتر از ۲۴ ساعت، خبر بازگشت خدمات کارتی بانکهای تجارت و صادرات منتشر شد. سقف انتقال وجه کارتی نیز بهصورت موقت افزایش یافت تا مشتریان بتوانند مبالغ بالاتر را در چند تراکنش انتقال دهند. سپس اعلام شد خدمات پایه مبتنی بر کارت در هر چهار بانک، شامل خرید، انتقال وجه و ماندهگیری، فعال شده است.
اما بازگشت خدمات پایه، پایان اختلال نبود.
بررسی میدانی خبرنگاران راه پرداخت در ۲۶ خرداد از ۱۰ شعبه بانکی نشان داد وضعیت سامانههای ساتنا و پایا همچنان یکدست نیست. در بانکهای ملی، صادرات، تجارت و توسعه صادرات، کارکنان شعب از ادامه قطعی یا محدودیت انتقال وجه خبر میدادند. برخی مشتریان برای جابهجایی مبالغ ناچار بودند از خودپرداز استفاده کنند و مبلغ را در حداکثر ۱۰ تراکنش ۱۵میلیونتومانی انتقال دهند.
در بانک شهر نیز با آنکه نام این بانک در فهرست بانکهای هدف حمله اعلام نشده بود، برخی شعب از قطع ساتنا و پایا خبر میدادند. در مقابل، خدمات این سامانهها در بانکهای پاسارگاد و سپه برقرار بود. در بانکهای رفاه، پارسیان و کشاورزی نیز امکان استفاده از ساتنا و پایا وجود داشت، اما کارکنان برخی شعب میگفتند انتقال به بانکهای درگیر با مشکل مواجه است.
این وضعیت نشان میداد که «بازگشت خدمت» چند سطح دارد. کارت میتواند فعال باشد، اما انتقال مبالغ بالا همچنان ممکن نباشد. خودپرداز میتواند کار کند، اما مشتری برای یک انتقال ساده مجبور باشد عملیات را به چند تراکنش خرد تقسیم کند. شعبه میتواند باز باشد، اما به دلیل در دسترس نبودن سامانههای متمرکز، قادر به ارائه بخشی از خدمات نباشد.
بانک مرکزی در ۲۹ خرداد اعلام کرد خدمات پایه مبتنی بر کارت با استفاده از روشهای جایگزین در اختیار مشتریان قرار گرفته و اطلاعات آنها آسیب ندیده است. بااینحال، دوم تیرماه شرکت خدمات انفورماتیک بار دیگر خدمات مبتنی بر کارت بانکهای ملی، صادرات و تجارت را با هدف جلوگیری از دسترسی غیرمجاز و حفاظت از دادهها و داراییهای مشتریان موقتاً از دسترس خارج کرد. سوم تیرماه نیز خبر بازگشت این خدمات منتشر شد.
پس رخداد ۲۳ خرداد یک قطعی کوتاه با یک مسیر خطیِ «حمله، رفع اختلال و پایان» نبود. سرویسها برگشتند، دوباره بخشی از آنها متوقف شدند و عملیات بازیابی در چند مرحله ادامه پیدا کرد.
بازگشت کارت با بازگشت بانک یکی نیست
هفده روز پس از آغاز اختلال، گفتوگوی محمدسعید طباطبایی، مدیرعامل شرکت خدمات انفورماتیک، بخشهایی از پیچیدگی پشت صحنه را روشن کرد. طبق روایت او، اطلاعات مشتریان از بین نرفته بود، اما بازیابی و تحویل دادهها به بانکها به دلیل حجم اطلاعات و پیچیدگی فرایندهای پشتیبانگیری زمان میبرد. این همان تفاوت میان «وجود داشتن داده» و «آماده بودن سرویس» است؛ داده ممکن است محفوظ باشد، اما تا زمانی که انتقال، تطبیق، کنترل مغایرتها و اتصال ایمن آن به سامانه عملیاتی کامل نشود، نمیتوان از پایداری کامل سخن گفت.

طباطبایی همچنین از دو مرحله رخداد سخن گفته است. به روایت او، چند روز پس از رخداد نخست، حمله دیگری این بار زیرساخت کارت را هدف قرار داد. از آنجا که زیرساخت کارت روی مینفریمهای اصلی قرار نداشت، سرویسهای کارتی سریعتر به مدار بازگشتند. تیمهای شرکت خدمات انفورماتیک نیز بنا بر همین روایت، ۷۲ ساعت بدون توقف برای بازگرداندن بانکهای ملی و صادرات کار کردند؛ اما پس از راهاندازی مجدد سامانههای اصلی، رخدادی مشابه تکرار شد.
پس از تکرار رخداد، بخشی از عملیات بانکها به سامانه «هور» منتقل شد. هور یک مسیر اضطراری برای تداوم خدمات پایه است، نه جایگزینی کامل برای همه قابلیتهای سامانه بانکداری متمرکز. به همین دلیل، فعالیت بانک بر بستر هور به معنای پایان بحران نبود. در این وضعیت، برخی حسابها فقط از طریق کارت قابل استفاده بودند و دسترسی به سایر حسابها یا خدمات از مسیرهای دیگری انجام میشد.
این تجربه، تعریف «بازیابی» را تغییر میدهد. بازیابی یک وضعیت صفر و یک نیست که بانک یا قطع باشد یا وصل. بانک ممکن است در مرحلهای خرید و ماندهگیری را ارائه دهد، در مرحله دیگر انتقال وجه را بازگرداند و هفتهها بعد به پایداری کامل سامانهها، دادهها و مغایرتها برسد.
بنابراین شاخص اصلی نباید فقط زمان فعالشدن اولین کارت باشد. باید مشخص شود چه زمانی خدمات حیاتی بهصورت پایدار برقرار شدهاند، چه میزان از عملیات روی زیرساخت جایگزین انجام میشود و چه زمانی بانک از وضعیت اضطراری به محیط عادی بازگشته است.
زیرساخت مشترک؛ مزیت مقیاس یا نقطه شکست مشترک؟
رخداد خرداد ۱۴۰۵ یک تفاوت مهم با بسیاری از حملات پیشین داشت: چند بانک بزرگ بهصورت همزمان تحتتأثیر قرار گرفتند. در ادامه نیز از حمله به یک هسته خدماتی یا زیرساخت ارتباطی مشترک سخن گفته شد.
استفاده چند بانک از یک شرکت یا زیرساخت مشترک بهخودیخود نشانه ضعف نیست. تمرکز میتواند هزینه توسعه و نگهداری را کاهش دهد، استانداردسازی را آسانتر کند و ظرفیت پردازش متمرکز و تخصصی در اختیار بانکها قرار دهد. اما همین مزیت در زمان بحران میتواند به ریسک تمرکز تبدیل شود. یک نقطه مشترک، اگر بهاندازه کافی تفکیک، پشتیبانگیری و مقاوم نشده باشد، میتواند به نقطه شکست مشترک تبدیل شود.
وقتی بانکهای ملی، صادرات و تجارت که هرکدام میلیونها مشتری و حجم بزرگی از حسابهای حقوق، مستمری، شرکتها و دستگاههای عمومی را در اختیار دارند، بهطور همزمان دچار اختلال میشوند، اثر حادثه از مجموع اختلال سه بانک بزرگتر است. مشکل به بانکهای دیگر، کسبوکارهایی که مقصد یا مبدأ انتقال آنها این بانکهاست و پذیرندگانی که منتظر تسویهاند نیز سرایت میکند.
این همان مسئلهای است که گزارشهای جهانی نیز بر آن تأکید دارند. وابستگی مشترک به یک تأمینکننده، سرویس ابری، نرمافزار یا زیرساخت ارتباطی میتواند حادثهای محدود را به اختلالی گسترده تبدیل کند. به همین دلیل، تابآوری فقط به وضعیت تکتک بانکها وابسته نیست؛ معماری ارتباط میان بانکها و تأمینکنندگان نیز بخشی از آن است.
پرسش بعدی برای بانکداری ایران این نیست که آیا باید همه زیرساختهای متمرکز کنار گذاشته شوند. پرسش این است که برای کاهش ریسک تمرکز چه سازوکاری وجود دارد: آیا محیطهای بانکها از یکدیگر بهاندازه کافی تفکیک شدهاند؟ آیا زیرساخت پشتیبان واقعاً مستقل است؟ آیا انتقال اضطراری عملیات تمرین شده است؟ آیا بانکها برای خروج یک تأمینکننده حیاتی از مدار سناریوی قابلاجرا دارند؟
مینفریم؛ مسئله قدیمیبودن نیست، مسئله بازیابی است
در صحبتهای مطرحشده از سوی طباطبایی، نقش مینفریمهای IBM نیز مطرح شد. بخشی از سامانههای اصلی بانکهای بزرگ کشور همچنان روی این تجهیزات اجرا میشوند. مینفریمها لزوماً فناوری ناکارآمد یا منسوخی نیستند؛ بسیاری از بانکهای بزرگ جهان همچنان برای پردازش تراکنشهای سنگین از آنها استفاده میکنند.
مسئله در ایران، خود مینفریم نیست. مسئله زمانی آشکار میشود که این تجهیزات از مدار خارج شوند و بانک به پشتیبانی سازنده، قطعه، دانش فنی کمیاب یا راهاندازی مجدد نیاز پیدا کند. مدیرعامل شرکت خدمات انفورماتیک گفته است به دلیل نبود امکان دریافت پشتیبانی مستقیم از IBM، از متخصصان داخلی این حوزه برای بررسی و بازیابی کمک گرفته شد. او همچنین توضیح داده است که راهاندازی مجدد چنین ماشینهایی در شرایط عادی میتواند چند هفته یا حتی چند ماه زمان ببرد.
در اینجا نیز معیار از پایداری روزهای عادی به بازیابی روز بحران تغییر میکند. سامانهای ممکن است سالها بدون اختلال فعالیت کند و همچنان یک ریسک عملیاتی جدی باشد، اگر خروج آن از مدار، سازمان را به تعداد محدودی متخصص، تجهیزات بدون پشتیبانی رسمی یا فرایندی طولانی و آزمایشنشده وابسته کند.
امنیت چنین سامانهای فقط با تعداد رخدادهای ثبتشده سنجیده نمیشود. باید دید بانک برای بدترین روز آن سامانه چه برنامهای دارد.
تابآوری را چگونه باید سنجید؟
در رخدادهای یک سال گذشته، بانکها و نهادهای مسئول معمولاً از «رفع اختلال»، «بازگشت خدمات پایه» یا «عادیشدن خدمات» خبر دادند. اما این عبارتها تعریف یکسانی نداشتند.
در یک اطلاعیه، بازگشت خدمات پایه به معنای فعالشدن خرید، ماندهگیری و انتقال وجه کارتی بود. در شعب، همان زمان ساتنا و پایا ممکن بود همچنان قطع باشد. در روایت فنی بعدی، بخشی از بانکها روی زیرساخت جایگزین خدمت ارائه میکردند و تطبیق داده و رفع مغایرتها ادامه داشت. بنابراین اعلام بازگشت سرویس، بدون مشخصکردن دامنه و سطح پایداری آن، تصویر کاملی از وضعیت بانک ارائه نمیکند.
برای سنجش تابآوری باید پرسشهای دقیقتری مطرح شود: کدام خدمات حیاتی باید بدون وقفه باقی بمانند؟ هر سرویس در چه مدت باید بازگردد؟ آخرین نسخه قابلاعتماد اطلاعات مربوط به چه زمانی است؟ انتقال به مرکز پشتیبان چقدر زمان میبرد؟ آیا مرکز پشتیبان همان وابستگیهای مرکز اصلی را دارد؟ بانک چند بار در سال فرایند بازیابی را بهصورت واقعی آزمایش میکند؟ چه میزان مغایرت پس از حادثه ایجاد شده و متوسط زمان رفع آن چقدر است؟
در رخداد چهار بانک، هنوز گزارش عمومی جامعی درباره زمان هدف بازیابی، نقطه هدف بازیابی، تعداد تراکنشهای ناموفق، میزان مغایرتها، خسارت عملیاتی و نتیجه نهایی بررسی علت ریشهای منتشر نشده است. طبق روایت مدیرعامل شرکت خدمات انفورماتیک، بررسی علت اصلی در اختیار مرکز افتا قرار داشته و در زمان گفتوگو هنوز جمعبندی قطعی اعلام نشده بود.
بدون این دادهها نمیتوان عملکرد فنی بانکها را دقیق ارزیابی کرد. میتوان گفت چه سرویسی در چه روزی برگشته است، اما نمیتوان گفت آیا زمان بازیابی با استاندارد تعیینشده بانک تطابق داشته، آیا مرکز پشتیبان درست عمل کرده یا چه اصلاحی برای جلوگیری از تکرار رخداد در دستور کار قرار گرفته است.
امنیت بانکی یعنی حفظ دسترسی مردم به پول
حفاظت از داده و دارایی مردم همچنان نخستین الزام امنیت بانکی است؛ اما محفوظماندن موجودی حساب زمانی برای مشتری معنا دارد که بتواند به آن دسترسی داشته باشد.
شهروندی که کارت بانکیاش کار نمیکند، تولیدکنندهای که نمیتواند حقوق کارکنانش را بپردازد، پذیرندهای که تسویهاش انجام نشده یا صاحب چکی که قادر به تأمین موجودی نیست، اختلال را نه در قالب یک رخداد فنی، بلکه در زندگی اقتصادی خود تجربه میکند. به همین دلیل، دسترسپذیری خدمات دیگر یک ویژگی جانبی سامانههای بانکی نیست؛ بخشی از امنیت دارایی مشتری است.
رخدادهای یک سال گذشته را نباید صرفاً به این سؤال تقلیل داد که مهاجم چه کسی بود یا از کدام آسیبپذیری استفاده کرد. این پرسشها مهماند، اما نتیجهای که برای فناوری اطلاعات بانکها باقی میماند روشنتر است: حمله ممکن است اتفاق بیفتد، تجهیزات ممکن است از مدار خارج شوند و تأمینکننده ممکن است دچار اختلال شود. آنچه باید از قبل طراحی شده باشد، نحوه ادامه خدمت پس از این اتفاقهاست.
روز فناوری اطلاعات، در چنین شرایطی فقط مناسبتی برای مرور تعداد سامانهها، پروژههای تحول دیجیتال یا قابلیتهای تازه بانکها نیست. فرصتی است برای پرسیدن اینکه این فناوری در سختترین لحظه چقدر قابلاتکاست. بانک موفق الزاماً بانکی نیست که هرگز هدف حمله قرار نگیرد؛ چنین تضمینی در جهان امروز وجود ندارد. بانک موفق، بانکی است که حمله نتواند برای مدت طولانی زندگی مالی مردم را متوقف کند.