هفت صبح، رضا رهسپار | بیش از یک هفته از حمله سایبری به زیرساخت‌های شرکت خدمات انفورماتیک ایران می‌گذرد. شرکتی که سال‌هاست بخشی از مهم‌ترین خدمات پرداخت، انتقال وجه و پردازش تراکنش‌های بانکی کشور را برای بانک‌های بزرگ ارائه می‌کند. در این مدت میلیون‌ها مشتری چهار بانک بزرگ کشور، به شکل مستقیم یا غیرمستقیم با اختلال‌هایی مواجه شدند که از کندی انتقال وجه گرفته تا مشکلات مربوط به برخی تراکنش‌ها، صدور دستور پرداخت و عملیات بانکی روزمره را دربر می‌گرفت. اگرچه در روزهای اخیر بخشی از خدمات به شرایط عادی بازگشته، اما آثار این اتفاق همچنان در شعب بانکی، دستگاه‌های خودپرداز، سامانه‌های انتقال وجه و حتی رفتار مشتریان قابل مشاهده است. مهم‌تر از همه اینکه یک بار دیگر پرسش قدیمی درباره ساختار فناوری بانکداری ایران مطرح شده است که آیا تمرکز بخش بزرگی از خدمات بانکی کشور در یک شرکت، ریسک بزرگی برای شبکه بانکی محسوب نمی‌شود؟

 

‌مسئولیت بانک‌های عامل و مرکزی؟


برای بسیاری از مردم، ماجرا بسیار ساده است. مشتری کارت یکی از بانک‌ها را در اختیار دارد و هنگام انتقال وجه یا استفاده از خدمات بانکی با مشکل مواجه می‌شود. طبیعی است که او بانک را مسئول بداند. اما واقعیت فنی ماجرا پیچیده‌تر از چیزی است که از پشت پیشخوان شعبه یا صفحه موبایل‌بانک دیده می‌شود. بخش قابل توجهی از خدمات انتقال وجه و پردازش تراکنش‌ها در برخی بانک‌های بزرگ کشور، بر بستری ارائه می‌شود که توسط شرکت خدمات انفورماتیک مدیریت می‌شود. به همین دلیل هرگونه اختلال در این لایه زیرساختی، همزمان چند بانک را درگیر می‌کند. در چنین شرایطی مشتریان عملا با نام بانک روبه‌رو هستند، در حالی که ریشه مشکل، در لایه‌ای قرار دارد که کمتر شناخته شده و خارج از دید عموم است. همین موضوع باعث شد طی روزهای اخیر بسیاری از شعب بانک‌های درگیر، به جای پاسخگویی به امور معمول، بخش مهمی از زمان خود را صرف توضیح به مشتریان و مدیریت تبعات اختلال‌ها کنند.

 

صف‌های طولانی و مراجعه نیمه‌شب


اکبر منتجبی روزنامه‌نگار برجسته، در گفت‌وگو با هفت صبح تجربه شخصی خود از روزهای اخیر را روایت می‌کند. تجربه‌ای که احتمالا برای هزاران مشتری دیگر نیز تکرار شده است. او می‌گوید برای انجام یک خرید متوجه شد کارت بانک تجارتش در دستگاه پوز عمل نمی‌کند. پس از مراجعه به شعبه، کارکنان بانک توصیه کردند فعلا از برخی روش‌های انتقال درون‌بانکی استفاده نکند، زیرا احتمال تاخیر در ثبت و تکمیل عملیات وجود دارد. به گفته منتجبی، او در ادامه تلاش کرد از ظرفیت جدید انتقال وجه روزانه استفاده کند. ظرفیتی که امکان جابه‌جایی مبالغ تا 150 میلیون تومان از طریق دستگاه خودپرداز را در 10 نوبت فراهم می‌کند. اما ازدحام مراجعه‌کنندگان به حدی بود که صف‌های طولانی شکل گرفته بود و بسیاری از افراد دقیقا برای دور زدن محدودیت‌های ناشی از اختلال‌ها به همین راهکار روی آورده بودند. برخی از مشتریان برای انتقال مبلغ مورد نیاز خود، ساعت یک بامداد به دستگاه خودپرداز مراجعه می‌کنند. اقدامی که در شرایط عادی شاید هیچ ضرورتی نداشته باشد. 

 

اثر دومینووار بر کسب‌وکارها


پیامدهای اختلال اخیر محدود به مشتریان خرد نبود. فعالان اقتصادی نیز طی روزهای گذشته از مشکلات متعددی سخن گفته‌اند. عارف رضایی‌زاده فعال اقتصادی، در گفت‌وگو با هفت صبح توضیح می‌دهد که اختلال‌ها، روی فرآیندهای مالی شرکت‌ها نیز اثر گذاشته است. به گفته او، بخشی از مشکلات مربوط به صدور چک‌های با مبالغ بالا، انتقال‌های سازمانی و دستور پرداخت‌های انبوه بوده است.
در اقتصادی که روزانه هزاران میلیارد تومان از طریق سامانه‌های بانکی جابه‌جا می‌شود، هر ساعت اختلال، زنجیره‌ای از تاخیرها را ایجاد می‌کند. پرداخت حقوق کارکنان شرکت‌ها، تسویه‌حساب میان شرکت‌ها و تامین‌کنندگان و... بخشی از این ماجرا است. در چنین فضایی حتی اگر پول از بین نرفته باشد و تراکنش‌ها در نهایت ثبت شوند، عدم قطعیت و تاخیر، خود به یک هزینه اقتصادی تبدیل می‌شود.

 

تمرکز بیش از حد


کارشناسان فناوری مالی سال‌هاست درباره خطر تمرکز بیش از اندازه هشدار می‌دهند. هرچه سهم یک بازیگر از بازار زیرساخت بیشتر شود، آسیب‌پذیری کل شبکه نیز افزایش پیدا می‌کند. حمله اخیر بار دیگر نشان داد هنگامی که بخش بزرگی از عملیات بانکی کشور روی یک بستر مشترک قرار می‌گیرد، اختلال در همان نقطه، میلیون‌ها نفر را تحت تاثیر قرار می‌دهد.در مقابل، برخی بانک‌ها که از تامین‌کنندگان متفاوتی برای سامانه‌های بانکداری و انتقال وجه استفاده می‌کنند، طی روزهای گذشته ثبات بیشتری را تجربه کردند. در میان شرکت‌های فعال این حوزه، نام یک شرکت خصوصی بارها از سوی کارشناسان مطرح شده است.  شرکتی که خدمات فناوری اطلاعات را برای تعداد زیادی از بانک‌ها و موسسات مالی ارائه می‌کند. البته موضوع رقابت میان شرکت‌ها نیست. مسئله اصلی ایجاد تنوع در زیرساخت‌ها و کاهش وابستگی شبکه بانکی به یک مسیر واحد است. تجربه بسیاری از کشورها نشان می‌دهد توزیع ریسک میان چند ارائه‌دهنده می‌تواند تاب‌آوری شبکه را افزایش دهد.

 

مرز نامشخص میان ناظر و مجری


شاید مهم‌ترین بحثی که پس از این حادثه دوباره زنده شده، موضوع جایگاه شرکت خدمات انفورماتیک در ساختار بانکداری کشور باشد. در بسیاری از کشورها، رگولاتور مالی نقش سیاست‌گذار و ناظر را بر عهده دارد و ارائه خدمات اجرایی توسط شرکت‌های مستقل انجام می‌شود. این تفکیک باعث می‌شود رقابت شکل بگیرد، کیفیت خدمات افزایش یابد و پاسخگویی نیز شفاف‌تر شود. اما در ایران سال‌هاست این پرسش مطرح می‌شود که آیا حضور شرکتی وابسته به بانک مرکزی در بازار ارائه خدمات زیرساختی، تعارض منافع ایجاد نمی‌کند؟


وقتی بخشی از بانک‌ها عملا به استفاده از یک زیرساخت مشخص وابسته می‌شوند، رقابت کاهش پیدا می‌کند و انگیزه برای نوآوری و ارتقای مستمر نیز تحت تاثیر قرار می‌گیرد. 
از سوی دیگر هنگام بروز بحران، تشخیص مسئولیت‌ها دشوار می‌شود. آیا باید بانک‌ها پاسخگو باشند؟ آیا شرکت خدمات انفورماتیک مسئول اصلی است؟ یا بانک مرکزی به عنوان نهاد ناظر باید توضیح دهد که چه تدابیری برای کاهش ریسک اندیشیده شده بود؟

 

بانک مرکزی؛ رگولاتور یا بازیگر بازار؟


در ادبیات اقتصادی یک اصل شناخته‌شده وجود دارد. بر این اساس، نهاد ناظر هرچه از فعالیت اجرایی فاصله بیشتری داشته باشد، امکان نظارت بی‌طرفانه افزایش پیدا می‌کند. بسیاری از کارشناسان معتقدند اکنون زمان آن رسیده که بانک مرکزی بیش از گذشته بر ماموریت اصلی خود یعنی تنظیم‌گری، نظارت، تدوین استانداردها و کنترل ریسک‌های سیستمی تمرکز کند.بانک مرکزی باید تعیین کند که سطح امنیت سایبری شبکه بانکی چه استانداردهایی داشته باشد، چگونه آزمون‌های پایداری انجام شود، چه سازوکارهایی برای پشتیبان‌گیری وجود داشته باشد و در زمان بحران چه پروتکل‌هایی اجرا شود. اما انتخاب پیمانکار، رقابت میان شرکت‌های فناوری و ارائه خدمات اجرایی می‌تواند در فضایی رقابتی‌تر انجام شود. فضایی که در آن چندین بازیگر قدرتمند حضور داشته باشند و بانک‌ها امکان انتخاب بیشتری داشته باشند. 

 

 مشتریان به نتیجه اهمیت می‌دهند


از نگاه مشتریان، اختلاف میان لایه‌های مختلف فناوری اهمیت چندانی ندارد. کسی که برای دریافت حقوق، پرداخت اقساط، انتقال پول یا صدور چک به سامانه بانکی مراجعه می‌کند، انتظار دارد خدمات بدون وقفه ارائه شود. به همین دلیل تجربه مشتری باید به مهم‌ترین شاخص ارزیابی تبدیل شود. هر ساختاری که بتواند پایداری بیشتری ایجاد کند، زمان اختلال‌ها را کاهش دهد و سرعت بازگشت خدمات را افزایش دهد، در نهایت به نفع مردم خواهد بود.
اتفاق اخیر نشان داد که بانک‌های درگیر نیز در بسیاری از موارد خود قربانی اختلال در زیرساخت مشترک بوده‌اند. شعب، کارکنان و مراکز پاسخگویی بانک‌ها در روزهای گذشته حجم سنگینی از مراجعات و اعتراض‌ها را مدیریت کردند. در حالی که منشأ اصلی مشکل در لایه‌ای فراتر از عملیات روزمره بانک‌ها قرار داشت.

 

زنگ هشداری برای آینده


حمله سایبری اخیر را می‌توان یک هشدار جدی برای صنعت بانکداری کشور دانست. هشداری که اهمیت امنیت سایبری، تنوع زیرساختی، رقابت در بازار فناوری مالی و تفکیک نقش ناظر از مجری را بار دیگر یادآوری کرد.
ده روز پس از این حادثه، هنوز پرسش‌های زیادی بی‌پاسخ مانده است؛ از ابعاد دقیق خسارت گرفته تا جزئیات نحوه مقابله با حمله و برنامه جلوگیری از تکرار آن. اما شاید مهم‌ترین درس ماجرا این باشد که تمرکز بیش از حد، هرچقدر هم در کوتاه‌مدت ساده و کم‌هزینه به نظر برسد، در بلندمدت، به نقطه ضعف کل شبکه تبدیل می‌شود.


وقتی میلیون‌ها مشتری بانکی برای انجام ساده‌ترین تراکنش‌های روزمره ناچار می‌شوند ساعت‌ها در صف بایستند یا نیمه‌شب به خودپردازها مراجعه کنند، زمان آن رسیده که درباره معماری زیرساخت‌های بانکی کشور بازنگری جدی صورت گیرد. بازنگری‌ای که محور آن، افزایش رقابت، ارتقای تاب‌آوری و تمرکز بانک مرکزی بر نقش حاکمیتی و نظارتی باشد.