امروز، 27 خرداد 1405 بیش از یک هفته از اختلال گسترده در خدمات الکترونیکی چند بانک بزرگ کشور در ایران می‌گذرد. این اختلال را باید یکی از مهم‌ترین آزمون‌های عملیاتی نظام بانکداری دیجیتال ایران در سال‌های اخیر دانست که تاکنون منجر به شکست شده است. اگرچه در ساعات اولیه پس از حادثه، تمرکز افکار عمومی بر ماهیت حمله یا منشأ فنی اختلال قرار داشت، اما تحلیل مبتنی بر استانداردهای بین‌المللی نشان می‌دهد که مسئله اصلی نه صرفاً «امنیت سایبری»، بلکه «تاب‌آوری عملیاتی» نظام بانکی است.

این مقاله با بهره‌گیری از چارچوب‌های بانک تسویه بین‌المللی (BIS)، مقررات DORA اتحادیه اروپا، چارچوب امنیت سایبری NIST و استانداردISO 22301، به تحلیل ابعاد فنی، اقتصادی، حقوقی و مدیریتی این رخداد پرداخته و نشان می‌دهد که وابستگی به زیرساخت‌های مشترک، تمرکز فناوری، فقدان معماری‌های Active-Active و ضعف در مدیریت ریسک تأمین‌کنندگان فناوری، می‌توانند حتی بدون نفوذ به داده‌ها، منجر به توقف خدمات حیاتی شوند. در ادامه، مدلی بومی برای ارزیابی تاب‌آوری زیرساخت‌های حیاتی کشور پیشنهاد می‌شود که می‌تواند مبنای سیاست‌گذاری بانک مرکزی، سازمان‌های حاکمیتی و اپراتورهای زیرساختی قرار گیرد.

مقدمه؛ هنگامی که بانک متوقف می‌شود

در اقتصاد دیجیتال، اعتماد عمومی به بانک‌ها بیش از آنکه بر دارایی‌های فیزیکی استوار باشد، بر قابلیت دسترس‌پذیری دائمی خدمات استوار است. در گذشته، مشتری برای دریافت خدمات بانکی به شعبه مراجعه می‌کرد؛ اما امروز بانک در تلفن همراه، درگاه پرداخت، دستگاه خودپرداز و سامانه‌های بین‌بانکی تجلی یافته است. در چنین شرایطی، توقف خدمات دیجیتال بانک‌ها معادل بسته شدن هزاران شعبه به‌صورت همزمان است. اختلال همزمان در بانک‌های ملی، تجارت، صادرات و توسعه صادرات، صرف‌نظر از منشأ فنی آن، این پرسش بنیادین را مطرح ساخت که آیا نظام بانکداری ایران در برابر اختلالات بزرگ، دارای تاب‌آوری کافی است؟

امنیت سایبری؛ شرط لازم اما ناکافی

یکی از مهم‌ترین تحولات مفهومی در جهان طی دهه اخیر، گذار از «امنیت سایبری» به «تاب‌آوری سایبری» بوده است. امنیت سایبری بر جلوگیری از نفوذ تمرکز دارد؛ اما تاب‌آوری سایبری بر ادامه ارائه خدمت حتی در صورت وقوع نفوذ یا اختلال تمرکز می‌کند. کمیته بازل تاب‌آوری عملیاتی را چنین تعریف می‌کند، «توانایی سازمان در ارائه خدمات حیاتی در خلال اختلالات، حملات سایبری، خرابی فناوری یا بحران‌های عملیاتی»[i]. بر این اساس، معیار موفقیت یک بانک صرفاً جلوگیری از حمله نیست؛ بلکه توانایی حفظ خدمات حیاتی در زمان بحران است.

ریسک تمرکز؛ پاشنه آشیل زیرساخت‌های مالی

یکی از مهم‌ترین یافته‌های مطالعات تاب‌آوری مالی در جهان آن است که بسیاری از بحران‌ها نه در اثر حمله مستقیم، بلکه در نتیجه وابستگی بیش از حد به یک مؤلفه مشترک رخ می‌دهند. این مؤلفه می‌تواند نرم‌افزار مشترک، مرکز داده مشترک، سامانه احراز هویت مشترک، شبکه ارتباطی مشترک یا تأمین‌کننده فناوری مشترک باشد. در ادبیات بانکداری بین‌المللی این پدیده با عنوان Concentration Risk  شناخته می‌شود[ii]. اختلال سراسری CrowdStrike در سال ۲۰۲۴ نمونه‌ای روشن از این واقعیت بود که وابستگی گسترده به یک فناوری مشترک می‌تواند هزاران سازمان را همزمان دچار اختلال کند.

مسئله اصلی؛ نرم‌افزار مشترک یا زیرساخت مشترک؟

در روزهای پس از حادثه، برخی تحلیل‌ها استفاده بانک‌های مذکور از محصولات و خدمات مشترک را عامل اصلی اختلال معرفی کردند، اما تجربه جهانی نشان می‌دهد اشتراک نرم‌افزار به‌خودی‌خود بحران‌آفرین نیست. صدها بانک در جهان از محصولات مشترکی مانند Temenos، FIS، Oracle و Fiserv استفاده می‌کنند، بدون آنکه اختلال یک بانک الزاماً به سایر بانک‌ها سرایت کند.

عامل تعیین‌کننده، نحوه طراحی معماری زیرساختی است. هرگاه چند سازمان حیاتی به یک نقطه مشترک وابسته شوند، آن نقطه به «نقطه شکست مشترک[1]» تبدیل می‌شود و کل اکوسیستم را در معرض خطر قرار می‌دهد.

هزینه واقعی اختلال؛ فراتر از چند روز قطعی

بزرگ‌ترین خطا در ارزیابی چنین رخدادهایی، محدود کردن خسارات به ساعات قطعی سامانه است. در واقع، آثار اقتصادی یک اختلال بانکی در چهار لایه ظاهر می‌شود:

الف) خسارات مستقیم

• عدم امکان برداشت وجه
• عدم امکان انتقال وجه
• عدم امکان انجام تعهدات مالی
• جرائم تأخیر

ب) خسارات عملیاتی کسب‌وکارها

• توقف فروش
• تأخیر در تسویه معاملات
• اختلال در زنجیره تأمین

ج) خسارات اجتماعی

• ازدحام در شعب
• افزایش بی‌اعتمادی عمومی
• کاهش احساس امنیت اقتصادی

د) خسارات راهبردی

• کاهش اعتماد به بانکداری دیجیتال
• افزایش هزینه سرمایه‌گذاری در فناوری
• آسیب به اعتبار نظام بانکی

برآورد اقتصادی خسارات

با توجه به عدم انتشار آمار رسمی، محاسبات زیر صرفاً یک مدل تحلیلی است. چهار بانک مذکور بیش از ۶۰ میلیون حساب فعال دارند. اگر تنها ۱۰ درصد از این مشتریان در زمان اختلال نیاز فوری به خدمات بانکی داشته باشند، حدود ۶ میلیون نفر مستقیماً تحت تأثیر قرار گرفته‌اند.

اگر هزینه فرصت هر مشتری فقط ۵۰۰ هزار تومان برآورد شود، خسارت بالقوه ۶ میلیون × ۵۰۰ هزار تومان معادل ۳ هزار میلیارد تومان خواهد بود. چنانچه خسارات وارده به شرکت‌ها، کسب‌وکارهای بزرگ و تأخیرهای زنجیره‌ای اقتصاد نیز محاسبه شود، دامنه خسارات بالقوه می‌تواند از ۵ تا ۱۰ هزار میلیارد تومان فراتر رود. این رقم معادل هزینه احداث چندین مرکز داده پیشرفته بانکی در کشور است؛ موضوعی که اهمیت سرمایه‌گذاری در تاب‌آوری را آشکار می‌سازد.

مسئولیت حقوقی و حرفه‌ای بانک‌ها

یکی از ابعاد مغفول در تحلیل رخدادهای سایبری، مسئولیت بانک‌ها در قبال مشتریان است. بانک ممکن است بخشی از خدمات خود را به پیمانکاران واگذار کند، اما مسئولیت نهایی خدمت‌رسانی قابل واگذاری نیست. مطابق اصول مدیریت ریسک عملیاتی کمیته بازل، برون‌سپاری خدمات، مسئولیت مؤسسه مالی در قبال مشتریان و ذی‌نفعان را از بین نمی‌برد[iii]. از این منظر، بانک‌ها در قبال موارد زیر مسئول هستند:

• طراحی معماری تاب‌آور
• انتخاب تأمین‌کنندگان قابل اعتماد
• ارزیابی مستمر ریسک طرف ثالث
• اطلاع‌رسانی شفاف در زمان بحران
• مستندسازی رخداد
• جبران خسارات اثبات‌شده

در بسیاری از کشورها، نهادهای ناظر مالی بانک‌ها را ملزم می‌کنند تا برای سناریوهای قطع سرویس نیز همان سطح آمادگی را داشته باشند که برای حملات سایبری دارند.

از مدیریت بحران تا حکمرانی تاب‌آوری

آنچه در این حادثه بیش از هر چیز نمایان شد، فاصله میان «مدیریت امنیت» و «حکمرانی تاب‌آوری» است. تاب‌آوری دیگر یک موضوع فنی نیست. امروزه هیئت‌مدیره بانک‌ها موظف‌اند به‌طور مستمر شاخص‌های Availability، MTTR، RTO، RPO و Service Recovery Time را پایش کنند. در بانک‌های پیشرو جهان، این شاخص‌ها به اندازه نسبت کفایت سرمایه اهمیت دارند.

مدل پیشنهادی سنجش تاب‌آوری زیرساخت‌های حیاتی ایران[2]

یکی از خلأهای موجود در کشور، نبود یک مدل بومی برای اندازه‌گیری تاب‌آوری زیرساخت‌های حیاتی است. براساس تجربیات جهانی و نیازهای زیرساختی ایران، می‌توان شاخص‌های زیر را پیشنهاد نمود.

شاخص اول: تنوع فناوری [3]

میزان وابستگی به یک فروشنده یا فناوری خاص.

شاخص دوم: استقلال زیرساختی [4]

درجه استقلال مراکز داده، شبکه و سامانه‌های حیاتی.

شاخص سوم: قابلیت ادامه خدمت [5]

توان ادامه سرویس در شرایط بحران.

شاخص چهارم: سرعت بازیابی[6]

زمان موردنیاز برای بازگشت به شرایط عادی.

شاخص پنجم: مقاومت در برابر حملات پیشرفته[7]

توان مقابله با تهدیدات پیچیده.

شاخص ششم: آمادگی سازمانی[8]

سطح آمادگی نیروی انسانی و فرآیندهای بحران.

برای هر شاخص می‌توان امتیاز ۰ تا ۵ تعیین کرد و در نهایت شاخص ملی تاب‌آوری را به‌صورت یک عدد بین ۰ تا ۱۰۰ محاسبه نمود. چنین مدلی می‌تواند در بانک‌ها، اپراتورهای مخابراتی، صنعت انرژی، حمل‌ونقل و حتی سامانه‌های امنیت الکترونیک همچون نظارت تصویری کشور مورد استفاده قرار گیرد. پیشنهاد می‌گردد مدل دارای ویژگی‌ها «احصای خودکار داده» و «محاسبات و تصمیم‌گیری ادواری» باشد.

مسئولیت نهادهای حاکمیتی و تنظیم‌گر در تاب‌آوری نظام بانکی

یکی از مهم‌ترین درس‌های حوادث سایبری بزرگ در جهان آن است که تاب‌آوری زیرساخت‌های مالی صرفاً مسئولیت بانک‌ها نیست. در تمامی نظام‌های پیشرفته مالی، مسئولیت حفظ پایداری خدمات بانکی میان بانک‌ها، نهادهای تنظیم‌گر، سازمان‌های امنیت سایبری و نهادهای سیاست‌گذار ملی توزیع شده است.

اختلال همزمان در چند بانک بزرگ کشور، فارغ از علت دقیق آن، این پرسش را مطرح می‌کند که آیا نظام حکمرانی سایبری و مالی کشور توانسته است ریسک‌های سیستمی را به‌درستی شناسایی، پایش و مدیریت کند؟ از اینرو، مسئولیت‌هایی برای نهادهای متولی به شرح زیر پیشنهاد می‌گردد.

مسئولیت پیشنهادی بانک مرکزی؛ متولی ثبات مالی و تاب‌آوری نظام بانکی

در تمامی کشورهای توسعه‌یافته، بانک مرکزی صرفاً مسئول سیاست‌های پولی نیست؛ بلکه مهم‌ترین نهاد مسئول حفظ پایداری زیرساخت‌های مالی نیز محسوب می‌شود.

بر اساس اصول کمیته بازل و بانک تسویه بین‌المللی (BIS)، نهاد ناظر بانکی موظف است ریسک‌های سیستمی فناوری را شناسایی کند؛ وابستگی‌های مشترک بانک‌ها را ارزیابی کند؛ شاخص‌های تاب‌آوری عملیاتی را اندازه‌گیری کند؛ تمرین‌های بحران در سطح صنعت بانکی برگزار کند و الزامات حداقلی تداوم کسب‌وکار را تعیین کند.

در این چارچوب، بانک مرکزی باید بتواند به سؤالاتی از این دست پاسخ دهد:

• چه تعداد بانک به زیرساخت‌های مشترک وابسته هستند؟
• در صورت از دست رفتن یک مرکز داده حیاتی، چه تعداد بانک تحت تأثیر قرار می‌گیرند؟
• آیا آزمون‌های منظم تاب‌آوری برای بانک‌های دارای اهمیت سیستمی انجام شده است؟
• آیا شاخص‌های RTO و RPO بانک‌ها به‌صورت دوره‌ای ارزیابی می‌شود؟

در ادبیات مالی، رخداد اخیر را می‌توان نوعی «ریسک فناوری سیستمی»[9] تلقی کرد؛ ریسکی که مدیریت آن در درجه نخست بر عهده بانک مرکزی است.

مسئولیت پیشنهادی مرکز مدیریت راهبردی افتا

مرکز مدیریت راهبردی افتا به‌عنوان نهاد سیاست‌گذار و هماهنگ‌کننده امنیت فضای تولید و تبادل اطلاعات کشور، مسئولیت مهمی در ارتقای سطح آمادگی سایبری زیرساخت‌های حیاتی بر عهده دارد.

در رخدادهای مشابه جهانی، نهادهای متناظر افتا معمولاً وظایف زیر را انجام می‌دهند:

• ارزیابی مستمر سطح بلوغ امنیت سایبری سازمان‌های حیاتی
• تدوین الزامات امنیتی برای زیرساخت‌های حساس
• پایش تهدیدات پیشرفته
• هماهنگی واکنش ملی به رخدادهای سایبری
• اجرای ارزیابی‌های مستقل امنیتی

اگر چند سازمان حیاتی به‌طور همزمان دچار اختلال شوند، این موضوع می‌تواند نشانه‌ای از وجود وابستگی‌های مشترکی باشد که باید در فرآیندهای ارزیابی امنیت ملی مورد توجه قرار گیرد.

مسئولیت پیشنهادی سازمان پدافند غیرعامل کشور

یکی از مهم‌ترین مأموریت‌های پدافند غیرعامل، کاهش آسیب‌پذیری زیرساخت‌های حیاتی در برابر تهدیدات طبیعی، انسانی و سایبری است. از منظر پدافند غیرعامل، تمرکز بیش از حد منابع و خدمات در یک نقطه، خود یک آسیب‌پذیری محسوب می‌شود.

در ادبیات پدافند زیرساختی، اصول زیر همواره مورد تأکید قرار می‌گیرد:

• توزیع جغرافیایی منابع حیاتی
• حذف نقاط شکست مشترک
• ایجاد مسیرهای جایگزین خدمت
• طراحی ساختارهای مقاوم در برابر اختلال

اگر یک رخداد بتواند چند بانک بزرگ را همزمان تحت تأثیر قرار دهد، این موضوع باید به‌عنوان یک هشدار راهبردی برای بازنگری در معماری زیرساخت‌های مالی کشور تلقی شود.

پدافند غیرعامل می‌تواند با تعریف الزامات ملی برای معماری‌های Active-Active، مراکز داده پشتیبان و استقلال زیرساختی بانک‌ها، نقش مهمی در ارتقای تاب‌آوری ملی ایفا کند.

مسئولیت شورای عالی فضای مجازی

شورای عالی فضای مجازی عالی‌ترین نهاد سیاست‌گذاری فضای مجازی کشور محسوب می‌شود و مسئولیت تعیین راهبردهای کلان امنیت و تاب‌آوری فضای سایبری را بر عهده دارد. حادثه اخیر نشان می‌دهد که کشور نیازمند گذار از رویکرد سنتی «امنیت سامانه‌ها» به رویکرد نوین «تاب‌آوری اکوسیستم‌ها» است. در بسیاری از کشورها، شوراها و نهادهای عالی مشابه، وظیفه دارند:

• راهبرد ملی تاب‌آوری سایبری را تدوین کنند.
• شاخص‌های ملی تاب‌آوری را تعریف کنند.
• الزامات حاکمیت داده و زیرساخت را تعیین کنند.
• هماهنگی میان نهادهای مختلف را ایجاد کنند.
• مسئولیت‌پذیری دستگاه‌ها را پایش کنند.

در غیاب چنین رویکردی، هر سازمان صرفاً امنیت خود را دنبال خواهد کرد؛ در حالی که تهدیدات مدرن، کل اکوسیستم را هدف قرار می‌دهند.

پیشنهاد ایجاد نظام ملی تاب‌آوری زیرساخت‌های حیاتی

شاید مهم‌ترین درس این رخداد آن باشد که امنیت سایبری به تنهایی برای حفاظت از زیرساخت‌های حیاتی کافی نیست. کشور نیازمند یک «نظام ملی تاب‌آوری» است که در آن بانک مرکزی مسئول تاب‌آوری مالی باشد؛ افتا مسئول تاب‌آوری سایبری باشد؛ پدافند غیرعامل مسئول تاب‌آوری زیرساختی باشد؛ و شورای عالی فضای مجازی مسئول سیاست‌گذاری کلان و هماهنگی ملی باشد.

تا زمانی که این مسئولیت‌ها به‌صورت یکپارچه و مبتنی بر شاخص‌های قابل اندازه‌گیری مدیریت نشوند، احتمال تکرار رخدادهای مشابه همچنان وجود خواهد داشت. تاب‌آوری ملی حاصل عملکرد یک سازمان نیست؛ بلکه نتیجه هماهنگی همه اجزای حکمرانی سایبری و زیرساختی کشور است.

نتیجه‌گیری

اختلال همزمان در چند بانک بزرگ کشور را نباید صرفاً یک حادثه سایبری تلقی کرد؛ این رخداد در واقع آزمونی برای سنجش بلوغ تاب‌آوری نظام بانکی ایران بود.

شواهد موجود نشان می‌دهد مسئله اصلی احتمالاً در لایه‌ای عمیق‌تر از یک حمله منفرد قرار دارد؛ لایه‌ای که به ریسک تمرکز، وابستگی‌های مشترک، معماری زیرساختی و حکمرانی فناوری مربوط می‌شود.

تجربه کشورهای پیشرو نشان داده است که اعتماد عمومی نه با وعده امنیت مطلق، بلکه با توانایی ادامه خدمت در شرایط بحران حفظ می‌شود. اگر بانکداری دیجیتال ستون فقرات اقتصاد مدرن است، تاب‌آوری نیز ستون فقرات بانکداری دیجیتال خواهد بود.

منابع

[i] Basel Committee on Banking Supervision. Principles for Operational Resilience, 2021.

[ii] European Banking Authority. Guidelines on ICT and Security Risk Management, 2019.

[iii] Basel Committee on Banking Supervision. Principles for the Sound Management of Operational Risk, 2021.

• Bank for International Settlements (BIS). Operational Resilience Framework, 2021.
• NIST Cybersecurity Framework 2.0, National Institute of Standards and Technology, 2024.
• Regulation (EU) 2022/2554 on Digital Operational Resilience for the Financial Sector (DORA).
• ISO 22301:2019. Security and Resilience – Business Continuity Management Systems.
• European Central Bank. Cyber Resilience Oversight Expectations, 2022.
• FCA Policy Statement PS21/3: Building Operational Resilience, United Kingdom, 2022.
• ENISA Threat Landscape for the Finance

پانویس‌ها

[1] Common Point of Failure

[2] IRRM

[3] Technology Diversity

[4] Infrastructure Independence

[5] Service Continuity

[6] Recovery Capability

[7] Cyber Resistance

[8] Organizational Preparedness

[9] Systemic Technology Risk

درباره نویسنده