هفته نامه عصر ارتباط شماره 1142

مشاهده تمام صفحات هفته نامه
مشاهده تمام صفحات هفته نامه

اختلال در خدمات بانکی؛ تاب‌آوری نظام مالی نیازمند بازنگری

p3-raast

مهدی امیدوار

سخنگو و خزانه‌دار اتاق اصناف ایران

اختلال همزمان در چند بانک بزرگ کشور (از جمله بانک ملی) بار دیگر نشان داد که زیرساخت‌های بانکی تا چه اندازه در اقتصاد ایران نقش حیاتی و در عین حال آسیب‌پذیر دارند. این رخداد، صرفاً یک «مشکل فنی مقطعی» نیست؛ بلکه نشانه‌ای از یک مساله ساختاری است که می‌تواند مستقیماً جریان گردش پول در کشور را مختل کند.

برای اصناف و کسب‌وکارهای خرد و متوسط، بانک تنها یک نهاد مالی نیست؛ ستون فقرات فروش روزانه است. وقتی درگاه‌های پرداخت، کارت‌خوان‌ها یا انتقال‌های آنلاین دچار اختلال می‌شود، نتیجه آن چیزی فراتر از نارضایتی لحظه‌ای مشتریان است. این اختلال‌ها به‌طور مستقیم به کاهش فروش، توقف تراکنش‌ها، از دست رفتن مشتریان و حتی آسیب به اعتبار کسب‌وکارها منجر می‌شود. لذا در اقتصادی که بخش قابل توجهی از معاملات به‌صورت الکترونیکی انجام می‌شود، چند ساعت اختلال می‌تواند معادل یک روز کامل کسادی بازار باشد.

از سوی دیگر، بسیاری از اصناف به سرمایه در گردش روزانه وابسته‌اند. توقف یا کندی در انتقال وجه، تسویه حساب با تأمین‌کنندگان و دسترسی به موجودی حساب، چرخه مالی آن‌ها را مختل می‌کند. این موضوع به‌خصوص برای کسب‌وکارهای کوچک که ذخایر مالی محدودی دارند، می‌تواند بحران‌زا باشد.

اما در کنار این آسیب‌ها، پرسش مهم‌تر به مسئولیت بانک‌ها برمی‌گردد. بانک‌ها نه تنها ارائه‌دهنده خدمات مالی هستند، بلکه متعهد به تضمین پایداری، امنیت و دسترسی مداوم به این خدمات‌اند. در دنیای امروز، «دسترسی پایدار به خدمات بانکی» یک حق اقتصادی برای مشتریان محسوب می‌شود، نه یک امتیاز اختیاری.

در چنین شرایطی، بانک‌ها وظایف مشخصی دارند:

  • نخست، سرمایه‌گذاری مستمر در زیرساخت‌های امن و مقاوم در برابر اختلالات فنی و سایبری.
  • دوم، ایجاد سامانه‌های پشتیبان (backup) و مسیرهای جایگزین برای جلوگیری از توقف کامل خدمات.
  • سوم، اطلاع‌رسانی شفاف، سریع و دقیق به مشتریان و اصناف در زمان بروز اختلال، به‌جای ابهام یا تأخیر.
  • چهارم، جبران خسارت‌های قابل اثبات ناشی از توقف خدمات در چارچوب مقررات.

در نهایت، تکرار چنین اختلال‌هایی نشان می‌دهد که مساله تنها «رفع یک خطا» نیست، بلکه نیازمند بازنگری جدی در مدیریت ریسک، امنیت سایبری و سیاست‌های تاب‌آوری نظام بانکی است. بدون این بازنگری، هر اختلال کوچک می‌تواند به یک بحران بزرگ در اقتصاد روزمره مردم و اصناف تبدیل شود.

 از این جهت بانک‌ها از جمله بانک مرکزی مسئولیت‌های سنگینی در این زمینه دارند زیرا همانطور که ذکر شد هر اختلالی با توجه به گستردگی خدمات الکترونیکی صدمات بسیاری بر مراوادت مالی مردم و مخصوصا کسب و کارها و فعالان اقتصادی موجب می‌شود.

با این تفاسیر پرسش اینجاست که در کشورهای توسعه‌یافته، بانک مرکزی در قبال اختلالات چه مسئولیت‌هایی دارد و آنجا در صورت بروز مشکل و برای کاستن از خسارت‌ها چه اقداماتی را عملیاتی می‌کنند؟

این بررسی از آن جهت مهم است تا راهکاری برای  مسئولان بانک مرکزی در این زمینه باشد و از طرفی مردم و کسب و کارها هم بدانند چگونه باید در این زمینه مطالبه‌گری کنند.

در این زمینه تفاوت مهم اروپا و آمریکا  با بسیاری از نظام‌های دیگر این است که آن‌ها «پیشگیری از اختلال» را به‌صورت یک الزام سخت‌گیرانه و قابل اندازه‌گیری طراحی کرده‌اند، نه صرفاً یک توصیه فنی. یعنی بانک‌ها موظف‌اند از قبل طوری طراحی شوند که اختلال گسترده یا اصلاً رخ ندهد یا بسیار محدود باشد.

در اروپا، ستون اصلی سیاست‌گذاری بر عهده‌ بانک مرکزی اروپا (European Central Bank) و نهادهای نظارتی ملی است، اما مهم‌تر از آن «چارچوب‌های قانونی الزام‌آور» است.

این چارچوب‌ها در راستای قانون تاب‌آوری دیجیتال است که بانک‌ها را مجبور می‌کند:

  • تمام سیستم‌های IT را در برابر حملات و خرابی‌ها مقاوم کنند
  • تست‌های منظم «شبیه‌سازی حمله سایبری» انجام دهند
  • وابستگی به شرکت‌های فناوری (cloud/outsourcing) را مدیریت کنند
  • گزارش فوری هر اختلال به نهاد ناظر را عملیاتی کنند (نکته مهم و قابل توجه این است که در اروپا گزارش ندادن اختلال، یک جرم نظارتی محسوب می‌شود نه فقط مشکل فنی!)

لذا در اتحادیه اروپا، اختلال در خدمات بانکی تنها یک چالش یا ضعف فنی تلقی نمی‌شود، بلکه نشانه احتمال «نقض وظایف قانونی بانک» است و اگر با استانداردها مطابقت نداشته باشد، به‌عنوان تخلف نظارتی با پیامدهای جدی برخورد می‌کنند.

 از سوی دیگر در اروپا بانک‌ها باید به‌طور دوره‌ای:

سناریوی قطع کامل دیتاسنتر را شبیه‌سازی کنند، حمله سایبری ساختگی اجرا کنند و قطع شبکه پرداخت را تمرین کنند برای اینکه سیستم در شرایط بحران تمرین شده باشد و غافلگیر نشود.

از طرفی در آنجا چند شبکه موازی بانکی وجود دارد : TARGET2 (پرداخت بین بانکی بزرگ) و SEPA (پرداخت خرد بین کشورها) تا اگر یکی دچار مشکل شد مسیر جایگزین فعال شود و تسویه‌ها متوقف نماند.

از طرفی بانک‌ها موظفند حداکثر زمان بازیابی خدمات را مشخص کنند. این زمان نیز باید قابل نظارت و جریمه‌پذیر باشد. به عبارتی قبل از وقوع بحران، سقف زمان توقف را مشخص کرده و بانک را مجبور به طراحی سیستم‌های جایگزین می‌کند. به این ترتیب در عمل، قطعی طولانی را از نظر قانونی و نظارتی غیرقابل قبول می‌سازد.

در آمریکا نیز تمرکز روی این است که:  یک بانک نباید بتواند کل سیستم را زمین‌گیر کند.

بنابراین، بانک‌های بزرگ (Systemically Important Banks) تحت نظارت شدیدتر بوده و الزامات سرمایه‌ای و فنی سنگین‌تری دارند.

در همین راستا بانک‌ها موظف‌اند:

  • مرکز داده دوم در ایالت یا منطقه جغرافیایی دیگر داشته باشند تا حتی در صورت بلای طبیعی، خدمات ادامه یابد و
  • سناریوهای قطع کامل اینترنت/برق را پوشش دهند.

به این ترتیب در آمریکا نظارت سخت بر شبکه‌های پرداخت وجود دارد طوری که هیچ‌وقت نباید سرویس خاموش شود و اگر هم مشکلی پیش آمد، آن‌قدر کوتاه باشد که تقریباً حس نشود.

متعاقبا نیز در آمریکا اگر بانک استانداردها را رعایت نکند با جریمه مالی سنگین، محدودیت در توسعه خدمات و حتی دخالت مستقیم نهادهای نظارتی اجرایی مواجه می‌شوند.

به طور خلاصه می‌توان گفت در  اروپا و آمریکا، «اختلال باید از قبل مهندسی‌شده و غیرممکن یا بسیار کوتاه باشد.»

در نهایت اینکه در اقتصادهای پیشرفته، بانک مرکزی فقط ناظر نیست بلکه «طراح تاب‌آوری سیستم مالی» است و بانک‌ها موظف‌اند سناریوی شکست را از قبل طراحی و تمرین کنند.

لذا بار دیگر تاکید می‌شود زیرساخت پرداخت یک سرویس عادی نیست، بلکه «زیرساخت حیاتی ملی» محسوب می‌شود، بنابراین هدف اصلی آن‌ها، «جلوگیری از اختلال» است نه صرفاً «مدیریت پس از وقوع.»

این موارد در واقع تفاوت‌های بنیادین در زیرساخت‌سازی بانک‌ها و نوع مواجه با بحران در کشور ما و کشورهای توسعه یافته است. لذا ناگفته پیداست که چه تفاوت‌های عمیقی در مقایسه با آن‌ها داریم.

از این منظر، لازم است چک‌لیست مطالبه‌گری از بانک مرکزی برای پیشگیری از اختلال‌های آینده به‌طور روشن تدوین و اجرا شود. این چک‌لیست باید به‌عنوان راهنمای عملیاتی در اختیار مسئولان قرار گیرد تا با اجرای سازوکارهای زیرساختی، امکان بروز بحران‌های مشابه کاهش یابد. در عین حال، چنین چارچوبی می‌تواند معیار مشخصی برای نهادهای نظارتی باشد تا عملکرد بانک‌ها را دقیق‌تر ارزیابی کنند.

به بیان ساده‌تر، توجه جدی به موارد زیر نه‌تنها مانع تکرار اختلال‌های بانکی خواهد شد، بلکه افق روشن‌تری برای سیاست‌های پیشگیرانه در آینده ایجاد می‌کند و به مردم و کسب‌وکارها اطمینان می‌دهد که نظام مالی کشور از تاب‌آوری کافی برخوردار است:

  • شفافیت اختلال‌ها: اعلام سریع علت و زمان رفع مشکل، نه اطلاع‌رسانی مبهم
  • استاندارد پایداری (SLA): تعیین حداقل دسترسی خدمات بانکی در طول سال
  • حداکثر زمان بازیابی (RTO): مشخص شود هر سرویس در چه زمانی باید برگردد
  • مکانیزم جبران خسارت: امکان پیگیری ضرر کسب‌وکارها در اختلال‌های بانکی
  • زیرساخت پشتیبان: الزام بانک‌ها به سیستم جایگزین برای جلوگیری از توقف کامل
  • گزارش‌دهی دوره‌ای: انتشار آمار قطعی‌ها و عملکرد هر بانک
  • نظارت و برخورد: جریمه یا محدودیت برای بانک‌های دارای اختلال تکرارشونده

در نهایت اینکه مطالبه‌گری در این زمینه یعنی مشکل قطعی خدمات باید مطابق با معیارهای دقیق، قابل اندازه‌گیری و قابل پیگیری باشد. به زبان ساده‌تر باید فرایندی ترسیم شود که به جای اعتراف به مشکل در مواقع اختلال، بتوان اختلال را اندازه‌گیری و مقایسه کرد و پاسخ روشن خواست و نهادهای نظارتی هم با این ارزیابی به موقع وارد شوند. یعنی مطابق استانداردها و چارچوب‌هایی که در رابطه با اروپا و آمریکا گفته شد.

منتخب هفته

هفته نامه عصر ارتباط شماره 1142

دستیابی هکرهای ایرانی به حساب‌های اینستاگرام با فریب چت‌بات

اتلاف کودکی در اسکرول‌های بی‌پایان

انقلاب خاموش کارگزاران هوشمند

اینترنت برگشت، اطمینان هنوز نه

بحران وابستگی دیجیتال جهانی شد

اتلاف کودکی در اسکرول‌های بی‌پایان

مراقب و امیدوار باشیم ایران میدان آزمایش نشود

انقلاب خاموش کارگزاران هوشمند

کاربران و کسب‌وکارها برای بازگشت مردد هستند

اینترنت برگشت، اطمینان هنوز نه

تهران، خیابان ولیعصر، خیابان توانیر،
میدان شهید عباسپور، پلاک ۳، طبقه دوم، واحد ۲۱

۰۲۱-۸۸۷۷۹۰۰۴

کلیه ی حقوق مطعلق به عصر ارتباط می باشد. طراحی و توسعه توسط  والویرا (Walvira)