چالش‌های تاب‌آوری سیستم‌های بانکی

دنیای اقتصاد : تاب‌آوری و امنیت کسب‌وکارها به‌ویژه در نظام بانکی همچنان با چالش‌های جدی مواجه است. بسیاری از بانک‌ها با وجود سال‌ها فعالیت همچنان از زیرساخت‌های ناکافی، فقدان دسترسی کامل به داده‌ها و عدم پشتیبانی مناسب رنج می‌برند.

در سطح برنامه‌های کاربردی معماری قدیمی، نبود قابلیت خوشه‌بندی و استفاده محدود از سرویس‌های مستقل باعث می‌شود سرویس‌های حیاتی آسیب‌پذیر باقی بمانند و وابستگی‌ها شناسایی نشوند. در عین حال نبود مستندسازی به‌روز و نبود نقشه خدمات، مدیریت بحران و بازیابی سرویس‌ها را دشوار می‌کند.

در این راستا در سومین روز نمایشگاه الکامپ و در غرفه «دنیای اقتصاد» پنلی با عنوان «تاب‌آوری سیستم‌های آی‌تی» با همکاری نظام صنفی رایانه‌ای کشور برگزار شد. نیما بحرینی، مدیر سرویس و استوریج شرکت داده ورز جویا، محسن فرغزاده، مدیر زیرساخت هلدینگ بانک شهر و آرمین رضایی‌مهر، معاون اداره امنیت اطلاعات بانک سرمایه، مهمانان این پنل بودند.

در ابتدا فرغزاده با تاکید بر ضرورت رسیدگی از پایه‌ای‌ترین لایه‌ها درباره اهمیت آغاز اقدامات امنیتی و تاب‌آوری کسب‌وکارها توضیح داد.: «اگر مقوله بررسی شما قابل کنترل باشد به منظور اینکه یک کسب‌وکار بتواند به فعالیت خودش ادامه بدهد باید از لایه‌های متفاوت و ابتدایی شروع کنیم. یکی از رایج‌ترین مشکلات بعد از اپلیکیشن متاسفانه در سیستم‌ها اتفاق می‌افتد و تفاوتی نمی‌کند. بانک‌های ما سال‌ها فعالیت داشته‌اند ولی قابلیت لازم را ندارند؛ هیچ‌گاه دسترسی کامل نداشتند، تعداد داده‌ها و پشتیبانی‌گیری‌ها مشخص نیست و ممکن است ماشین‌ها موجود نباشند یا در نهایت سرویس‌ها با مشکل مواجه شوند.»

او همچنین معتقد است که در سطح سازمان اقدامات استانداردی وجود ندارد و ممیزی‌ها سال‌ها است که به‌صورت دستی انجام و اطلاعات از مراجع دیگر دریافت می‌شود. حداقل وجود ماشین‌های مجازی برای کاهش ریسک‌ها فراهم نیست. حتی اگر بخواهیم پیگیری انجام شود همچنان ریسک خواهیم داشت و ممکن است مشکلات ادامه پیدا کند. استفاده از تکنولوژی بسیار مهم است. در چند ماه گذشته حجم قابل‌توجهی از تجهیزات مورد بررسی قرار گرفت و یکی از دلایلی که فشار زیاد شده، همین موضوع است.

شرکت همیشه صحبت از ممیزی تجهیزات می‌کند؛ لایه‌های سخت‌افزاری حتی به لحاظ ایمنی تجهیزات بررسی می‌شود، اما قبل از اینکه دوباره زیرساخت استفاده شود مجددا حرف تاب‌آوری در ایران می‌شود که چیز جدیدی نیست. قطعا بیزینس‌ها تحت خطر قرار می‌گیرند، اما باز هم نباید حرف تکراری بزنیم. اولین چیزی که می‌خواهم مطرح کنم، بحث سایت‌ها است.» رضایی مهر نیز با بیان تجربیات عملی خود گفت: «بعد از نگارش سند امنیتی می‌توان پروژه‌ها، دستورالعمل‌ها و فرایندها را استخراج کرد؛ این کمک می‌کند که لایه مدیریت و عملیات به درستی جدا شود.

چالش‌های بزرگی در تاب‌آوری سیستم‌های بانکی وجود دارد و یکی از موارد مهم، بحث ریداندنسی (تکرار اجزای حیاتی یک سیستم برای اطمینان از پایداری و تداوم عملکرد در صورت خرابی یک جزء) است. باید روی لینک‌ها و سرورهای حیاتی تمرکز کنیم و سامانه‌ها وابسته به یک مورد نباشند. مساله دیگر پاپ‌سایت یا سایت دوم و حوزه «دیزاستر ریکاوری» (بازیابی پس از حادثه در زیرساخت‌های فناوری اطلاعات و داده‌ها) است. برای مثال آمازون در پنج قاره خدمات دارد و بدون هیچ‌گونه تاخیر (Latency) سرویس می‌دهد. امیدوارم با هماهنگی نهادهای رگولاتوری و اجرایی شدن خطوط، تاب‌آوری و امنیت سیستم‌ها عملیاتی شود و راه‌حل‌های منطقی و کاربردی برای سازمان داشته باشیم.»

رضایی مهر بر لزوم شروع از فرایندهای امنیتی و استفاده از «مالتی‌لیر سکوریتی» (امنیت لایه‌ای در شبکه) تاکید کرد و گفت: «اگر در لایه‌های پایین امنیت نداشته باشیم، حتی اگر وب اپلیکیشن امن باشد خطر باقی می‌ماند. باید کمک خبرگان و اساتید را جلب کنیم تا چرخه امنیت اطلاعات در نظام بانکی به درستی پیاده شود. کمپانی‌های بزرگ مثل سیسکو روی آینده امنیت برنامه‌ریزی می‌کنند. چرخه‌ای که سیسکو می‌گوید شامل Prepare، Plan ،Implement ،Optimize و Organize است و باید همیشه در کارها لحاظ شود. برنامه‌ریزی و مستندسازی صحیح، کلید رسیدن به اهداف امنیتی است.»

او در مورد سناریوی بحران نیز تاکید کرد: «باید جنس و مفهوم بیزینس را بشناسیم، سرویس‌های حیاتی را شناسایی کنیم و بر اساس آن طراحی داشته باشیم. به‌طور مثال در حوزه «کوربانکینگ» (سیستم نرم‌افزاری مرکزی که تراکنش‌های بانکی را در شعب مختلف یک بانک پردازش می‌کند)، اگر سرویس قطع شود تراکنش‌ها تحت‌تاثیر قرار می‌گیرند؛ راهکارها باید طراحی شوند تا بتوانیم سرویس‌ها را بدون ایجاد اختلال برای مشتریان بازگردانیم».

بحرینی با اشاره به مغفول ماندن سطح اپلیکیشن در بیزینس کانتینیوتی (مدیریت تداوم کسب و کار) گفت: «با وجود داشتن برنامه‌نویس‌های عالی و نیروی فنی قوی، معماری اپلیکیشن‌ها قدیمی است. بسیاری از اپلیکیشن‌ها ماکرو هستند و قابلیت کلاسترینگ (خوشه‌بندی) ندارند، به میکروسرویس‌ها نرفته‌اند و نمی‌توانند «اکتیو-اکتیو» کار کنند. در حوزه دیتابیس، بسیاری از سرویس‌ها به جای اکتیو-اکتیو، «اکتیو-پاسیو» هستند و آرپی‌او مناسب ندارند. فقدان سرویس مپ و شناسنامه سرویس باعث می‌شود اپلیکیشن‌ها و وابستگی‌هایشان مشخص نباشد.

هزینه‌های زیادی در لایه زیرساخت صرف می‌شود، اما به دلیل غفلت از معماری اپلیکیشن آسیب‌پذیری باقی می‌ماند. داکیومنتیشن سرویس‌ها بسیار مهم است؛ بدون آن نمی‌توان طراحی زیرساخت بهینه و امنیت مناسب داشت. حتی اگر در گذشته داکیومنتی تهیه شده باشد، اغلب به‌روز نیست و در زمان بحران، آرپی‌آر و آرپی‌تی مناسب گرفته نمی‌شود».

فرغزاده بر اهمیت چرخه امنیت اطلاعات و مدیریت به‌روزرسانی‌ها تاکید کرد: «آپدیت‌ها و به‌روزرسانی‌ها باید مدیریت شود، زیرا گاهی سرویس‌ها بعد از آپدیت مختل می‌شوند. تحریم‌ها نیز می‌توانند چالش ایجاد کنند. امنیت مطلق ممکن نیست، اما امنیت نسبی با برنامه‌ریزی امکان‌پذیر است. نیروی انسانی نیز مهم است. بسیاری از نیروهای با تجربه مهاجرت کرده‌اند؛ باید برنامه‌ای برای نگه‌داشتن آنها تدوین شود. برای امنیت، استفاده همزمان از ابزارهای مختلف مثل DLP ،PAM ،MFA ضروری است. هکرها همیشه جلوتر هستند، اما با برنامه‌ریزی می‌توان از حملات جلوگیری کرد. تجهیزات بومی نیز باید کاربردپذیر باشند و نه صرفا فارسی‌سازی شده».

بحرینی در نهایت بیان کرد: «فرهنگ سازمانی برای تداوم کسب‌وکار نیازمند کار تیمی است. رقابت‌ها بین ادارات زیرساخت و امنیت نباید مانع همکاری شود. فرهنگ سازمانی شامل نحوه رسیدگی به پرسنل، آموزش و ارتقای آن‌هاست. سرمایه‌گذاری در فناوری اطلاعات صرفا هزینه نیست، بلکه سرمایه‌گذاری برای تاب‌آوری و امنیت سازمان است. برنامه‌ریزی صحیح و به‌روز، داکیومنت‌سازی و طراحی مناسب زیرساخت، منابع انسانی و تجهیزات همه بخشی از فرهنگ سازمانی و تاب‌آوری هستند».