مثلث پایداری، امنیت و یکپارچگی سامانههای حاکمیتی
به گزارش پایگاه خبری بانکداری الکترونیک، موفقیت در سایهی هدفگذاری صحیح و حرکت پرتلاش برای رسیدن به اهداف ترسیم شده حاصل میگردد. استمرار در موفقیت اما قصهی دیگری دارد. وقتی به سیستم بانکداری کشور و تغییرات دگردیسگونهی آن در دهههای اخیر و به طور خاص دههی اخیر مینگریم؛ بر ژرفترین دوره تغییرات ماهوی صنعت بانکداری […]
به گزارش پایگاه خبری بانکداری الکترونیک، موفقیت در سایهی هدفگذاری صحیح و حرکت پرتلاش برای رسیدن به اهداف ترسیم شده حاصل میگردد. استمرار در موفقیت اما قصهی دیگری دارد. وقتی به سیستم بانکداری کشور و تغییرات دگردیسگونهی آن در دهههای اخیر و به طور خاص دههی اخیر مینگریم؛ بر ژرفترین دوره تغییرات ماهوی صنعت بانکداری و پرداخت با ظهور بازیگران جدید، تکنولوژیها لبه و ترندهای نوین، ساختارهای مبتنی بر پلتفرم و معماری ماژولار، داشبوردهای مدیریتی بر بستر زیرساختهای الکترونیکی و مجازی، سوپراپهای کارآمد، خروج از منوپل بانک به واسطه ارائه سرویسهای اتمیک بانکی از طریق APIها، ارائه خدمات پایه بانکی در بیرون از شعب، eKYC، تحول دیجیتال، خدمات ابری و هوش مصنوعی معترف خواهیم بود.
در این اقیانوس خونین و فضای متلاطم که سرعت تغییرات تکنولوژیک در آن فراتر از انتظار و تابآوری بسیاری از کسبوکارهای سنتی بودهاست؛ استمرار در موفقیت جز با مهندسی دقیق اجزاء اکوسیستم بانکی و پاسخ به نیازهای موجود و آتی با ضربآهنگ بالا حاصل نمیگردد. شرکت خدمات انفورماتیک نمونهای بیبدلیل از تداوم در موفقیت طی 3 دهه اخیر بوده است. داستان این موفقیت از سنتیترین اشکال بانکداری در شعب تا مدرنترین فریمورکهای امروزی در صنعت بانکداری ادامه داشته است. بیشک اتکاء سیستم بانکی کشور به شرکت خدمات انفورماتیک را باید در ارائه زیرساختهای امن، پایدار و با سطح دسترسیپذیری بالا در اشلی کلان جستجو کرد.
مدیریت سبد محصولاتی چنین گسترده و متجاوز از 250 سامانه دربرگیرنده سامانههای حاکمیتی و رقابتی را میتوان مرهون مدیریتی جسورانه و عملگرا دانست. شرکت خدمات انفورماتیک طی دهه اخیر با ثبات مدیر عامل و چتر حمایتی هیأت عامل توانست بهترینِ خود را نسبت به عملکرد سایر دههها به نمایش گذارد و در فضای مدیریتی آرام، همراه با تصمیمات و تدابیری داهیانه اهداف استراتژیک و رهنگاشتهای مهمی را در سازمان طراحی، پیادهسازی و به بلوغ رساند. در واقع توسعهپایدار هدف کلان شرکت خدمات انفورماتیک است که باوجود تمامی مشکلات داخلی و خارجی، تحریمها، مهاجرت منابع انسانی کارآمد و … تا حد زیادی به آن نائل آمده است.
نهادینهسازی فرهنگ سازمانی حال حاضر شرکت خدمات انفورماتیک در کلیه کارکنان و سطوح مدیریتی که دارای شاخصههایی همچون تعهد، وفاداری سازمانی، ساختار ماتریسی، بروکراسیزدایی، بهبود مستمر و … میباشد، میراثی از مدیریت آقای مهندس نجفی در این شرکت طی دهه اخیر بوده است. در میزگرد ِ ادامه که با حضور علی سیفی، معاون نرم افزار2؛ سعید جلیلی، معاون عملیات؛ داود کریمزادگان، معاون بازاریابی و فروش؛ سید یاسر آیت، مدیر كنترل و ارزيابي امنیت و محمدرضا روشننژاد، مدیر یکپارچة پایش و آمار شرکت خدمات انفورماتیک برگزار گردیده؛ به بحث در مقولههایی همچون عملکرد شرکت خدمات انفورماتیک در سال1400، پایداری سیستمها با تمرکز بر مباحث امنیتی و همچنین جایگاه مشتری در شرکت خدمات انفورماتیک پرداختهایم.
سه محور این میزگرد هم به شرح زیر است:
1) مرور وضع موجود از منظر مثلث پایداری سیستم، امنیت تراکنشها و رضایت کاربر نهایی(مردم)
2) اثر پایداری سیستم و امنیت تراکنشها در میزان رضایت و مکانیزمهای رضایتسنجی
3) چگونگی ارتباط تعاملی در ساختارB2B در راستای رضایت کاربر نهایی
*در محور اول بحث پایداری سیستم را مورد بررسی قرار میدهیم و اینکه اساساً وقتی میگوییم پایداری سامانهها به صورت کلی منظورمان چیست؟ آقای سیفی لطفاً شما بحث را آغاز کنید.
سیفی: در مورد پایداری سامانهها در ابتدا باید تعریفی ارائه دهم. پایداری سامانه از نگاه کسانی که سامانه تولید میکنند؛ یعنی اینکه هر سامانه با توجه به مأموریت، کارکرد و کاربردی که دارد بتواند در تمامی زمانهایی که برای آن سامانه کارکردی متصور هستیم عملکرد پابرجا، پایدار و ثابتی داشته باشد و بتواند در مقابل هر نوع تنش، مشکل و نوسانی(تلورانسی) که برای آن اتفاق میافتد از خود محافظت کند. وقتی به این تعریف اولیه از پایداری میرسیم در حقیقت باید در طراحیهای سامانههایمان، موارد مورد نظر را در نظر بگیریم. در این صورت اگر شاخص های مورد نظر در تعریف را در نظر گرفتیم، برای شاخصها میبایست مقدار داشته باشیم؛ همچنین باید بازه زمانی این موضوع را ببینیم. ( در چه بازههای زمانی این مقادیر کمی ثبت میشوند ).
ما دائماً سامانهها را تحت کنترل رصد و پایش قرار دهیم و بر اساس نیاز، تغییرات موردنظر را به وجود آوریم. حاصل همه این تلاشها و برنامهریزیها حصول پایداری 99.99 است؛ البته در شرکت خدمات انفورماتیک هدف اصلی رسیدن به نرخ پایداری 99.999 است. ما باید بتوانیم به این عدد برسیم و البته رسیدن به این سطح از کیفیت بسیار انرژیبر و زمانبر است
در سامانههایی که در شرکت خدمات انفورماتیک تولید میکنیم، با توجه به ذات و اهداف کاری این سامانهها -که اکثراً تراکنشهایی آنلاین را از خود عبور و تبادل میکنند- پایداری آنها به صورت جدی مدنظر است. در این راه همواره سامانه ها مورد پایش دایمی قرار میگیرند. این پایش دایمی سامانه ها با مقایسه با نرخ ترافیکی آنها در ماهها و سنوات گذشته انجام میشود و در عین حال تخمینی از آینده نیز مدنظر است. (این تخمین همواره یک شیب صعودی دارد).
بنابراین پایدارسازی و افزایش ظرفیت سامانهها برنامة مشخصی میطلبد. ممکن است سامانهای را که در سال اول تولید میکنیم پایداریاش را در حد X میبینیم؛ اما به مرور که حجم ترافیکی و حجم تراکنش آن زیادتر و زیادتر میشود، سطح پایداری آن نیز دائماً رصد و در زمانها و مقاطع خاص به پایداری آن دائماً رسیدگی میشود. حالا اگر نیاز باشد ظرفیتسازی متناسب با آن نیز باید صورت بگیرد. این فرآیند مستمر در شرکت خدمات انفورماتیک، تحت عنوان «برنامهریزی ظرفیتسازی و پایداری سامانهها»، در انتهای هر سال برای سال بعد متناسب با آمارهای ترافیکی در مقاطع و ماههای مختلف سال، نیازسنجی شده و برنامة کلانی تدوین میشود؛ البته این فرآیند (ظرفیتسازی) توسط همکاران ما در گروههای مختلف فنی انجام میشود. همکاران از بخشهای مختلف و درکنار یکدیگر با بررسی و تحلیل دائمی، چندین محور کار را شناسایی میکنند و حول هر محور برنامة ظرفیتسازی تنظیم میشود. برنامه ظرفیتسازی از افزایش و ارتقاء سختافزار شروع تا به انواع و اقسام برنامهنویسیهای خاص، بهینهسازی کردن ماژولها، تنظیم مجدد پایگاه دادهها و بهینهسازی فرآیندها میرسد. این برنامهها باعث میشود که ما دائماً سامانهها را تحت کنترل رصد و پایش قرار دهیم و بر اساس نیاز، تغییرات موردنظر را به وجود آوریم. حاصل همة این تلاشها و برنامهریزیها حصول پایداری 99.99 است؛ البته در شرکت خدمات انفورماتیک هدف اصلی رسیدن به نرخ پایداری 99.999 است. ما باید بتوانیم به این عدد برسیم و البته رسیدن به این سطح از کیفیت بسیار انرژیبر و زمانبر است.
*اگر به صورت تاریخچهوار از گذشته تا به امروز بخواهید به بحث پایداری سیستمی بنگرید میتوانید برای آن دستهبندی زمانی ارائه دهید؛ مثلاً از این منظر که چند بار مجبور به ارتقاء سامانهها شدهاید یا از این دست تقسیمبندیها.
سیفی: سامانه به سامانه متفاوت است؛ نمیتوان به صورت جز به جز در این وقت کم صحبت کرد اما بلکه به صورت کلان میتوان بیان کرد.
*آیا میتوانیم بگوییم کلیدیترین سامانه شتاب است؟
سیفی: هر کدام از سامانهها جایگاه و اهمیت خاص خود را دارند و نمیتوان به راحتی گفت کدام سامانه کلیدیتر است. شتاب هم یکی از سامانههای اصلی و کلیدی پرداخت کشور است.
*چه مشکلات نگرانکنندهای طی این مدت رخ داه است؟ به مشکلات یا به تعبیر دیگر تجربههایی که بیشتر در خاطرات مانده اشاره کنید.
سیفی: در اوایل دهة 80 شمسی مشکلات و مواردی وجود داشت. در میانة دهة 80 به دلیل افزایش یکبارة تراکنشها و اتصال تمامی بانکها به شتاب و اقبال عمومی نسبت به حوزههای کارتی نرخ تراکنشها افزایش یافت. در آن زمان (تقریباً 15 سال پیش) مواقعی در شتاب دچار ترافیک خاصی میشدیم و برای تراکنشها مشکلاتی ایجاد میشد. همین موضوع باعث شد تا در معماری شتاب تغییرات بنیادین به وجود آید و ظرفیت به نوع دیگری آماده شود. این مسائل باعث یک سلسله کارهایی در سامانه شتاب شد. در دهة 80 به دلایل نیازهای فنی و اعمال تغییرات مجبور بودیم برای دقایقی سامانه را از مدار کاری خارج کنیم (در حدود 10 الی 20دقیقه در زمانهای بامداد) و اقدامات مورد نظرمان را انجام دهیم؛ ولی در دهة90 اصلاً با چنین مسائل و مشکلاتی مواجه نبودیم و همة آنها به بایگانی تاریخ پیوستند.
*این تحولات ریشه در تکنولوژی داشت؟
سیفی: هم ریشه در تکنولوژی داشت، هم ریشه در تغییر فرآیندها و از همه مهمتر ریشه در ارائة باکیفیت خدمت 7 در 24 به مردم.
*آقای جلیلی، شما از منظر شبکه و زیرساخت نظرتان را دربارة پایداری سیستم بیان کنید. نقش سختافزار و زیرساخت در تعامل با نرمافزار و دیگر بخشهای سازمان چگونه باید در هم تنیده باشد تا در نهایت پایداری تضمین شود؟
جلیلی: قبل از پاسخ به سؤال شما، در مورد ظرفیتسازی برای سامانههای عملیاتی شرکت خدمات در تکمیل فرمایشات جناب آقای سیفی باید اضافه کنم که همانگونه که مستحضر هستید شکلگیری یک سامانه مراحلی دارد که در ابتدا طراحی سامانه و نحوة عملکرد آن مشخص شده و سپس توسط همکاران توسعة نرمافزار و برنامهنویسان کار توسعه سامانه انجام میشود؛ سپس فرایندهای آزمون و کنترل کیفیت سامانه انجام شده و سرانجام پس از گذار از این مراحل وارد فاز عملیاتی میشود.
در فرایند تست سامانهها معمولاً موارد عملکردی و تا حد امکان تست بار و استثناهایی که ممکن در راهبری سامانه ایجاد اشکال کند و کلیه موارد دیگر قابل تصور بررسی میشود؛ ولی از آنجا که اصولاً سامانهها در فضای عملیاتی به تدریج شکل میگیرند و کاربرها و میزان تراکنشها به مرور زمان افزایش مییابند ممکن است برای راهبری سامانهها بعضاً به مواردی برخورد کنیم که از قبل پیشبینی نشده است؛ بنابراین تا بلوغ کامل سامانه نیاز به بازخوردهای متعدد و تعامل سازنده بین همکاران در حوزههای توسعه و عملیات برای بهینهسازی و تکمیل رویههای اجرایی سامانه برای راهبری آن و در نهایت سهولت استفاده و بهینه از منظر کارآیی برای کاربر نهایی بشود.
فرایند ظرفیتسازی ممکن است افزودن منابع پردازشی یا ذخیرهسازی یا تغییرات شبکهای باشد یا نیاز به تغییرات تکنولوژی با توجه به بکارگیری فناوریهای جدید برای سامانه باشد تا در نهایت به خروجی بهتر و با قابلیت اطمینان بیشتری برسیم
فرایندهای مختص راهبری سامانهها از قبیل تهیه گزارشات مورد نیاز بهرهبردار، موارد ذخیره و بازیابی دادهها، صیانت از دادههای کاربران، اجرای برنامههای بچ به فراخور نیاز سامانه و بهرهبردار و موارد اینچنینی نیز در دستور کار قرار دارد ضمن اینکه ظرفیتسازی و بهینهسازی سامانه فرآیندی است که همواره همراه آن است چون در مقاطعی از سال میبینیم که دفعتاً تعداد تراکنش بالا رفته و اگر تمهیداتی قبلاً اندیشیده نشده باشد احتمال اختلال در سامانه وجود دارد. بر همین اساس ضروری است که سامانهها به صورت مداوم پایش و مانیتور شوند و طبیعتاً ملاحظات خاصی برای آنها مدنظر قرار گیرد.
با توجه به تغییرات مداوم فناوری و نیاز به افزایش کارآیی نرمافزارهای موجود اقدامات متعددی برای توسعه و بهبود عملکرد سامانههای موجود در نظر گرفته شده است. ظرفیتسازی سامانهها یکی از مهمترین این اقدامات است. ماه آخر هر سال شاخص مناسبی برای ظرفیتسازی سامانه برای سال آتی است. در اسفندماه به ویژه هفتة آخر افزایش تراکنشهای بانکی به میزان حداقل 20 الی 30 درصد است و این معیار مناسبی است تا ظرفیتسازی سامانهها بر اساس آن صورت گیرد.
فرایند ظرفیتسازی ممکن است افزودن منابع پردازشی یا ذخیرهسازی یا تغییرات شبکهای باشد یا نیاز به تغییرات تکنولوژی با توجه به بکارگیری فناوریهای جدید برای سامانه باشد تا در نهایت به خروجی بهتر و با قابلیت اطمینان بیشتری برسیم.
در مورد اینکه نسبت به سابق چه مزیتی میتواند داشته باشد کافی است به مصداقی اشاره میکنم 10 الی 15 سال پیش همة سامانهها روی سرورهای فیزیکی قرار داشتند و بنابراین اعمال تغییرات در سامانهها عموماً نیازمند قطعی سیستم در بازه مشخصی بود؛ ولی هم اکنون این نوع تغییرات به صورت داینامیک قابل انجام است و هیچ وقفهای در سامانه ایجاد نمیشود.
در اینجا خالی از لطف نیست که اشارهای هم به سامانههایی که از پردازندههای مین فریم استفاده میکنند داشته باشیم. این سامانهها لزوماً در مقاطعی با توجه به روند تکنولوژی باید سراغ فناوریهای توسعهیافتهتر بروند. بهرغم اینکه در این حوزه ما از دنیای مدرن به دلیل مسائل و مشکلاتی مرتبط با تحریم تا حدی عقبتر هستیم و فاصلههای معناداری با کشورهای پیشرفته داریم؛ ولی به هر صورت اعمال تغییرات سختافزاری و نرمافزاری اجتنابناپذیر است. نکته قابل تأمل این است که ارتقاء و اعمال تغییرات در این سری سامانهها با توجه به محدودیتهای موجود ممکن است در محدوده بسیار وسیع سیستمهای نرمافزاری و با حجم بالایی لزوماً انجام پذیرد و قطعاً باید با برنامهریزی بسیار دقیق و تستهای متعدد و همهجانبه و در نظر داشتن کلیه جوانب برای جلوگیری از اختلال در سامانه انجام شود تا آحاد جامعه بتوانند خدمات بانکی و پرداخت را بدون وقفه و با سرعت مناسب دریافت کنند.
*آقای آیت درباره پایداری سیستم توضیحاتی ارائه شد، یکی دیگر از ابعاد مهم سامانهها و ارائة خدمات، مقولة امنیت سیستمهاست. در این مورد توضیحات لازم را ارائه کنید.
آیت: در ابتدا تعریفی از امنیت ارائه دهم. امنیت درباره یک سیستم زمانی برقرار است که کسی نتواند در آن سیستم جعل هویت انجام دهد، نتیجه تراکنشهای تحریف نشود. در واقع اگر شخصی 1000 تومان به شخص دیگری انتقال داد، هیچ یک از پارامترهای تراکنش از جمع مبلغ و گیرنده قابل تغییر نباشد، به تعبیر دیگر امنیت به گونهای طراحی شود که کسی از خارج از سیستم نتواند این تراکنش را تحریف کند؛ اگر کاربری فرآیندی را در سیستمی انجام داد، نتواند آن فرآیند را انکار کند، بر همین اساس باید فعالیتهای کاربر رویدادنگاری شود و از نتیجة فرآیندهای مهم امضای دیجیتال تهیه شود. فعالیتهای کاربر محرمانه باشد و تراکنشهای وی افشا نشود و افراد غیر مجاز نتوانند به این تراکنشهای کاربر دسترسی پیدا کند. در عین حال سرویس برای هر کسی که مجاز است در دسترس باشد. یعنی افراد غیر مجاز نتوانند به سرویس دسترسی پیدا کنند و از طرفی کسی که مجاز است متناسب با حقوق دسترسی که دارد، بتواند فرآیندهای مجاز در سیستم را انجام دهد؛ اگر این شش عامل در یک سیستم وجود داشته باشد آن سیستم از نظر امن است.
یک شاخص کلی در مورد نتیجة اقدامات امنیتی در شرکت خدمات انفورماتیک این موضوع است که تا به امروز رخداد امنیتی نداشتهایم؛ البته این جملهای است که نباید فریفتة آن شویم و از طرفی تصور نکنیم که نباید خود را برای شرایط بحرانی آماده کنیم. اخیراً به سایتهای دولتی روسیه نفود شد با اینکه آنها امنیت را بهتر از ما میدانند؛ بنابراین مسئله امنیت غیر قطعی و بسیار پیچیده است. در شرکت خدمات انفورماتیک این پیچیدگی بیشتر هم هست؛ چون ما نمیتوانیم مرزی دور شرکت خدمات انفورماتیک بکشیم و داخل آن را امن کنیم و به بیرون توجهی نداشته باشیم. ما به برخی سرویسها که در اپراتورها و برخی سازمانهای دیگر ارائه میدهیم وابسته هستیم. اگر اتفاقی از نظر امنیتی در آن بخشها و سرویسها بیفتد کسی نمیتواند در شبکة بانکی تراکنشهای اصطلاحاً بدون حضور کارت انجام دهد؛ بنابراین امنیت ما وابسته به عواملی است که بخشی از این عوامل در سازمانهایی است که روی آنها کنترلی نداریم.
*در واقع شما در کل فرایند تراکنش به صورت رفت و برگشت تمام مسیر قرار ندارید؛ بلکه بخشی در کنترل شماست.
آیت: درست است و این مسئله کار را پیچیده میکند. مثالهای متنوعی از این وابستگی میشود ارائه کرد، به عنوان یک نمونة دیگر ما از یک شبکة خصوصی استفاده میکنیم وابسته به زیرساخت ارتباطی متعلق به شبکه مخابرات کشور است؛ اگر در بخشهایی از این شبکة ارتباطی مشکلی ایجاد شود قطعاً ما نیز متأثر میشویم؛ بنابراین این وابستگی کار را پیچیده میکند.
*ضریب خطا را چگونه میتوانید کاهش دهید؟
آیت: بسیار پیچیده است. بخشی از آن به سازمانهای نظارتی مربوط میشود که باید الزامات تعیین و نظارت کنند از طرف دیگر ایجاد افزونگی و سرویسهای جایگزین راه دیگر مدیریت این موضوع است؛ برای مثال تنها از یک اپراتور سرویس نگیرید، فقط از خطوط زمینی استفاده نکنید بلکه از ماهواره و ویست هم استفاده کنید. با این افزونگیها تا حدودی کار را کنترل میکنیم؛ ولی همچنان در بعضی نقاط شکستی وجود دارد که همچنان کار را پیچیده میکند.
سرویسهای پیشگیرانه مجموعه فرآیندهایی است که در SOC متمرکز است و به صورت 7 در 24 ترافیک سامانهها، رویدادها و تراکنشها پایش میشود تا موارد مشکوک شناسایی و سریعاً پیگیری و مدیریت میشود
در حوزة امنیت مفهومی به نام آسیبپذیری روز-صفر (0-day) وجود دارد که آسیبپذیریهایی هستند که در سامانههای نرمافزاری و سختافزاری وجود دارند و برای عموم ناشناخته هستند؛ ولی به طور متوسط شش سال و نه ماه بعد شناسایی و کشف میشوند؛ یعنی امروز گروههای زیرزمینی از آنها آگاه هستند و برای نفوذ از آنها سوء استفاده میکنند؛ ولی به صورت عموم منتشر نشدهاند؛ البته زمان 6 سال و 9 ماه متوسط زمان است و این زمان گاه تا 17 سال نیز ذکر میشود. موضوع فوقالذکر یکی از موارد نشاندهندة غیر قطعی بودن ماهیت امنیت است.
در خدمات انفورماتیک سامانههای حاکمیتی و رقابتی متعددی وجود دارد که این سامانههای کاملاً به یکدیگر وابسته و در هم تنیده هستند؛ یعنی اگر برای یکی از آنها اتفاقی بیفتد، سامانههای دیگر نیز متأثر میشوند. از طرفی تنوع و تعدد تجهیزاتی و داراییهای اطلاعاتی که سامانهها بر روی آن مستقر شدهاند، بسیار زیاد است که این موضوع مدیریت امنیتی این داراییها را مشکل میکند، یعنی با روشهای سنتی و دستی بدون خودکارسازی فرآیندها مثلاً امکان اعمال وصلههای امنیتی برای زیرساختهای اطلاعاتی وجود ندارد. برای مدیریت امنیت، طیفی از سرویسهای پیشگیرانه تا واکنشی را در شرکت ایجاد کردهایم؛ پیشگیرانه به این مفهوم که ما هر آنچه امکانپذیر است را انجام میدهیم تا یک سامانه آسیبپذیر و دارای ضعف امنیتی وارد شبکة عملیاتی نشود و در زمان عملیاتی شدن نیز پشتیبانی امنیتی جهت مدیریت آسیبپذیریها امنیتی و رعایت بهروشهای امنیتی انجام میشود؛ بنابراین تمام سامانهها ارزیابی امنیتی میشوند و آنهایی که خیلی مهم هستند از فازهای اول تولیدشان (فاز تحلیل نیازمندیها، معماری و طراحی، پیادهسازی، تست، استقرار، راهبری و …) امنیت را دخیل میکنند تا نیازمندی امنیتی در چرخة حیات محصول رعایت شود.
نکتة دیگر اینکه در تمام فرآیندهای شرکت امنیت نیز حضور دارد، یعنی از زمان برنامهریزی و امکانسنجی در کلیه مراحل و تصمیمها نظر امنیت یکی از معیارهای اصلی تصمیمگیری است.مجموع همة این موارد پیشگیرانه هستند؛ ولی ممکن است در یک جایی موضوع امنیتی فراموش شود و مسئلهای پیش بیاید، حتی به شرکت گوگل نیز با تمام مکانیزمهای امنیتی نفوذ شد؛ ولی توانست ظرف چند ثانیه رخنه را شناسایی و مدیریت کند.
*هکرها همیشه یک گام جلوتر هستند.
آیت: بله جلوتر هستند و اصلاً یک اصل است که به هر سیستمی میتوان نفوذ کرد؛ ولی هزینة آن متفاوت است.
بنابراین ما نیاز به یک سری سرویسهای واکنشی داریم که فرض میکند که جایی یک چیزی را فراموش کردهایم تا اگر حملهای اتفاق افتاد بتواند آن را شناسایی و مدیریت کند. سرویسهای پیشگیرانه مجموعه فرآیندهایی است که در SOC متمرکز است و به صورت 7 در 24 ترافیک سامانهها، رویدادها و تراکنشها پایش میشود تا موارد مشکوک شناسایی و سریعاً پیگیری و مدیریت میشود.
*یک سری پروتکلها را شما اجرا میکنید و یک سری را هم دیگران باید اجرا کنند تا به یک معدل مناسب امنیت برسیم.
آیت: مدل ما «Zero-Trust» است، یعنی فرض نکنید سایر عوامل شبکة بانکی و شرکتهای فرآهم آورندة خدمات پرداخت باید کاری انجام دهند که امنیت شما تضمین شود با این فرض جلو بروید که هکر مقابل شماست و باید تمام کنترلهای امنیتی را در نظر بگیرید تا اتفاقی نیفتد.
نکتة دیگر اینکه تصور کنید با تمام اقداماتی که انجام میدهیم یک رخداد امنیتی و یک بحران اتفاق بیفتد که این مسائل مربوط به تدوام کسب و کار (BCM) است که برای آن برنامه وجود دارد هم بخشهای عملیاتی، نرمافزاری و شبکهای و سایت پشتیبانی دور و نزدیک و در تمام ملاحظات در نظر گرفته میشود که اگر بحرانی اتفاق افتاد برای آن آماده باشیم و برای آن مسیر مدیریت کردن بحران را در نظر بگیریم.
*آقای روشننژاد پایش و آمارها در مورد فرآیند پایداری و امنیت چه میگویند؟
روشننژاد: پایداری خدمات مبتنی بر سامانههای پردازشی، به معنای حفظ توازن بین میزان درخواست خدمات سامانه و منابع پردازشی در اختیاز سامانه است. به عنوان مثال اگر تجهیزات سختافزاری، ارتباطی و نرمافزاری دراختیار سامانه شتاب متناسب با حجم درخواستهای شتابی باشد این سرویس پایدار است در غیر این صورت شاهد اختلال در سرویس و عدم پاسخگویی به درخواستها خواهیم بود.
حفظ تناسب و توازن بین منابع و درخواستها کاری دائمی است که بدون اندازهگیری، بررسی و کنترل عملکرد سامانههای تأمینکنندة خدمات ممکن نیست. این کار تیم پایش و تحلیل آمار است.
*اما در واقع چه چیزی اندازهگیری، بررسی و کنترل میشود؟
روشننژاد: ببینید ما سه جریان عملکردی داریم. اولی الگوی افزایش و کاهش درخواستها را در طول روز، هفته، ماه و سال است. دومی رشد آرام درخواستها در دوره بلندمدت است و سومی افزایش یکباره و معمولاً غیر قابل پیشبینی درخواستهاست.
مثلاً در سامانه شتاب با شروع روز و تا حدود ساعت 11 درخواستهای شتابی به تدریج افزایش مییابد. بعد از آن تا حدود ساعت 15، به تدریج درخواستها کم میشود و بعد از ساعت 15 دوباره تعداد درخواستها زیاد شده تا حدود ساعت 20 که به حداکثر درخواست در دقیقه میرسیم. بعد دوباره و به تدریج از تعداد درخواستها کم میشود تا آنجا که در ساعت 2 بامداد به حداقل درخواست میرسیم.
هر چند تأثیر موضوعاتی مثل جشن و عزاداری یا تعطیلی قابل چشمپوشی نیست؛ اما این الگو تقریباً در تمام روزهای سال تکرار میشود؛ مثلاً وقتی ممنوعیت تردد بعد از ساعت 22 گذاشته شد. ساعت حداکثر شدن از 20 به 18 منتقل شد اما الگو همچنان وجود داشت.
مشابه الگوی روزانه الگوی هفتگی با کمترین میزان درخواست در روز جمعه و بیشترین تعداد در روز پنجشنبه، الگوی ماهانه با حداکثر درخواست در هفته پایانی و حداقل درخواست در هفته دوم ماه و الگوی سالانه که در فروردین حداقل درخواست و در اسفند حداکثر درخواست را شاهدیم.دومین جریان عملکردی رشد بطئی اما دائمی درخواستهاست؛ مثلاً انتظار داریم هر سال حدود 10 تا 20 درصد نقاط ماکزیمم الگوها، اضافه شود؛ یعنی درخواستهای شتابی در هفته پایانی امسال احتمالا بین 10 تا 20 درصد بیشتر هفته پایانی سال گذشته است. سومین جریان عملکردی بروز تکانه است. تکانه به معنای افزایش بیش از انتظار و یک باره درخواست به دلیل بروز برخی اتفاقات است؛ مثلاً اولین بار که یارانه واریز شد شاهد تعداد کثیر و غیر قابل پیشبینی درخواست برداشت وجه از خودپرداز بودیم. آن هم در ساعات غیر معمول ابتدای روز، در نتیجه اسکناس اکثر خودپردازها به سرعت تمام شد. بررسی رفتار تابع الگو، پایداری جاری سامانه را نشان میدهد. بررسی رفتار بطئی افزایش درخواست، ضرورت افزایش منابع و در نتیجه پایداری آتی سامانه را فراهم میکند و در نهایت شناسایی تکانهها، ضرورت بررسی اقدامات جبرانی و اصلاحی فوری و به تبع آن پایداری در شرایط ویژه را ممکن میکند .
*آقای کریمزادگان همکاران شما در بخشهای تولید و امنیت زحمات بسیاری میکشند تا خدمات به موقع و بدون اختلال به سرانجام برسند؛ اما اینکه بدانید حال مشتری چقدر خوب است بر عهده بخش بازاریابی است در این مورد توضیحاتی ارائه کنید؟
کریمزادگان: سه مؤلفة پایداری، امنیت تراکنشها و رضایت مشتری را مبنای بحث امروز قرار دادید. دوستان به صورت جامع روی ایجاد سیستمها و پایدار کردن آنها و مقولههای امنیت اطلاعات در آن و پایش اتفاقات و رخدادها و رفتارهایی که از مشتریها سر میزند توضیح دادند؛ اگر روی مؤلفة رضایت مشتری تمرکز بیشتری داشته باشیم؛ باید آگاه باشیم که ما در دورهای زندگی میکنیم که تجربیات کاربری مشتریان ما با سرعت بسیار زیادی با یکدیگر به اشتراک گذاشته میشود و تجربة خوب در یک سامانه خیلی زود به یک درخواست عمومی در سایر مشتریان تبدیل میشود و این نقطهای است که اگر ما قادر نباشیم نیازمندیهای سمت مشتری را پیشبینی کنیم شاید مواردی که دوستان در حوزة زیرساخت و توسعة بهنگام توضیح دادند؛ عیناً در سمت مشتری اتفاق بیفتد که ریسک آن نیز مهاجرت مشتری از یک پلتفرم به پلتفرم دیگری خواهد بود که تجربة کاربری مناسب یا تجربة کاربری با هزینة کمتر و دسترسی بهتر ارائه میدهد.
یکی از مهمترین شاخصهایی که در زمینه بهبود عملکرد مورد توجه شرکت خدمات میباشد؛ موضوع اندازهگیری میزان رضایت مشتری از محصولات و خدمات ارائه شده است. همانطور که دوستان اشاره داشتند؛ همکاران ما در تمامی معاونتها همواره تلاش دارند تا سرویسها و محصولات با بیشترین پایداری و بالاترین امنیت و با تجربه کاربری مطلوب به اکوسیستم بانکی ارائه شود. بنابراین ما نیز در بخش بازاریابی و فروش میتوانیم بر اساس نوع و کیفیت سرویسدهی، سنجشی جهت میزان رضایت مشتریان بر عملکرد شرکت داشته باشیم.توضیحاتی که همکارانم دربارة امنیت تراکنشها ارائه کردند مواردی است که بخش بازاریابی و فروش همواره با آن مواجه بوده و پاسخگویی به آنها برای شرکت خدمات انفورماتیک بسیار حائز اهمیت است.
یکی ازرویکردهای جدیدی که شرکت خدمات انفورماتیک اخیراً تمرکز ویژهای بر آن دارد توسعه کسب و کار در قالب مشارکتهای کسب و کاری هست تا بتوان از قابلیتهای بازار در ارائه خدمات نوین بانکداری به مشتریان سیستم بانکی استفاده کرد
شرکت خدمات انفورماتیک با اعتقاد به این نکته که مشتریان سرمایههای اصلی شرکت هستند رویکرد مشتریمحوری را در دستور کار خود قرارداده است. بدین معنا که نیازمندیها و مطالبات مشتریان از شبکه بانکی جمعآوری و مورد بررسی و تحلیل قرار میگیرد. در گام بعدی بر اساس ظرفیتهای موجود و با توجه به اولویت تغییرات، شرکت خدمات اقدام به تولید سرویسهای جدید بر اساس خواستههای مشتریان میکند. این اقدامات در لایههای مختلفی همچون توسعه نرمافزارها، ایجاد پلتفرمهای جدید، توسعه زیرساخت و شبکه، ایجاد خطوط کسب و کاری جدید، بهبود سطوح کیفی و دسترسیپذیری سرویسهای فعلی و … صورت میپذیرد. رضایت مشتری عموماً دستیابی حداکثری به انتظارات است؛ این جمله نکته بسیار مهمی دارد.
به عنوان مثال هر چند که طی سالهای اخیر دریافت خدمات بانکی بر روی پلتفرمهای الکترونیکی و غیر حضوری یکی از مطالبات اولیه کاربران شبکه بانکی تلقی میشود؛ اما کیفیت ارائه سامانههای برخط، پایدار و امن بر بسترهای موصوف نسبت به کانال ارائه خدمت حایز اولویت بالاتری است. بدین معنا که ارائه یک خدمت با کیفیت مطلوب حتی در بستری سنتی بر ارائه همان خدمت بر بستر دیجیتال و با کیفیت نامطلوب ارجح است. اما رضایت در جایی حاصل میشود که مشتری نهایی در سفری مطلوب، خدمت بانکی خود را بر بستری نوین، غیر حضوری، امن و با دسترسیپذیری مناسب دریافت کند. استراتژی و هدف ما در شرکت خدمات انفورماتیک اینست که انتظارات مشتریان تا حصول رضایتمندی کامل پایش و رصد شود؛ البته توجه به این مسئله که میزان رضایت مشتری پدیدهای نسبی است ضروری است. چرا که کاربر همواره رضایت خود را از طریق مقایسه با سبد محصولات موجود در بازار تنظیم میکند و بنابراین سنجش و جلب رضایتمندی مشتری فرایندی مستمر است. گاهی مطالبة مشتری از ما خدمتی است که آن سامانه را امروز در اختیار نداریم؛ شاید توانایی توسعة آن را داریم؛ ولی آن نیز زمان خود را نیاز دارد. بنابراین یکی ازرویکردهای جدیدی که شرکت خدمات انفورماتیک اخیراً تمرکز ویژهای بر آن دارد توسعة کسب و کار در قالب مشارکتهای کسب و کاری هست تا بتوان از قابلیتهای بازار در ارائه خدمات نوین بانکداری به مشتریان سیستم بانکی استفاده کرد.
گفتنی است در جایی که بتوانیم توانمندی را به یک محصول تبدیل و تجربة مناسب را به مشتری منعکس کنیم؛ با چالشهایی نیز مواجه هستیم. از طرفی پس از آن که سامانهای را انتخاب کرده و حس میکنیم جمع آن در سبد محصولات میتواند یک زنجیرة ارزش افزودة مناسب ایجاد و تجربة مشتری بهتری را به ارمغان آورد؛ اما برای اینکه بتوانیم آن خدمت را در سبد خود جای دهیم دغدغهها و استانداردهای امنیتیای که پیشتر عنوان شد از ما انرژی و زمان زیادی میطلبد و اینجاست که میبینیم موازنة بین Time to Market و ملاحظات امنیتی در سامانه کار حساس و تعیینکنندهای است. اگر بخواهیم همواره روی مقولههای امنیتی خود به صورت یکجانبه پافشاری کنیم شاید مشتری را در آن زمان از دست بدهیم و اگر بخواهیم عدول کنیم شاید امنیتی که مشتریهای قبلی داشتند خدشه بردارد. بنابراین آنچه در ارتباط با مشتریان و بازاریابی همواره با آن مواجه هستیم آن است که در عین پایبندی به اصول امنیتی، سامانههای نوین خود را که صرفاً داخلی نبوده و محصول شراکتهای تجاری با بازیگران اکوسیستم بانکی است؛ در زمانی منطقی به مشتری ارائه دهیم.
*آیا مدل خاصی برای کشف آنها دارید؛ چون قطعاً نمیتوانید همة مشتریان را رصد کنید؟
کریمزادگان: معاونت بازاریابی و فروش شرکت خدمات انفورماتیک مجهز به سیستم مدیریت ارتباط با مشتریان (CRM) است که این سامانه کمک شایانی در رصد مشتریان و دریافت بازخوردها دارد. اخیراً نیز رویکرد مشتریمداری از طریق توسعه این سامانه با استراتژی Omnichannel در حال محقق شدن است. مضافاً در جلسات مدیریتی که همة عزیزان حضور دارند بر روی زنجیرة ارزش بحث میشود. مثلاً سازمان بزرگی به یک سرویس امنیتی نیاز دارد؛ دوستان تصمیم میگیرند که در حوزة نیاز مطرح شده از سوی سازمان مزبور ورود سنگین داشته باشند. این یک زنجیرة ارزش است و برای اینکه این زنجیره شکل بگیرد باید حلقههایی با یکدیگر چفت شوند. طبیعتاً حلقههای زیرساختی و حلقههای سامانهای و حلقههای دانشی که بتوانند آن نیازمندی را پاسخ دهند مد نظر خواهند بود؛ از طرفی برای اینکه این زنجیره بتواند به مالک پروژه ارائه شود؛ زمانبندی مقولة پر اهمیتی است. تلاش ما این است که از یک طرف به یک سطح تراضی قابل دفاع بین خودمان برسیم؛ شاید بتوانیم بعضی از مقولههای امنیتی را تا حد امکان مدیریت کنیم؛ به قیمت اینکه مشتری خود را از دست ندهیم و این یک مؤلفة بسیار مهم است.
*یک سری سامانهها حاکمیتی هستند و یک سری رقابتی آیا بین اینها تفاوتی قائل هستید؟
کریمزادگان: تمامی سامانهها از جایگاه و اهمیت بالایی برخوردار هستند و هر بخش حساسیتهای مختص به خود را دارد. بخش بازاریابی و فروش به عنوان ویترین شرکت خدمات انفورماتیک تمام تلاش خود را میکند تا زحمات و تلاش همکاران را در حوزههای مختلف نرمافزاری و امنیت بهگونهای منعکس شود تا میزان اهمیت سرویسدهی در سامانهها اعم از سامانههای رقابتی و حاکمیتی دیده شود.
به عنوان کسی که در معاونت بازاریابی و فروش حضور دارم معتقدم برای ارائة سرویس جدید نباید سطح امنیت یک سرویس حاکمیتی را مخدوش کرد و به تجربه آموختهام که اگر بعضی تسامحها را در بخش امنیت سامانهها و به ویژه سامانههای حاکمیتی که بعضاً با چندین سامانه دیگر در تعامل هستند داشته باشیم؛ ریسک حملات سایبری و ایجاد حفرههای امنیتی در سایر سامانههای مرتبط افزایش خواهد یافت که خط قرمزی در چارچوبهای کاری شرکت خدمات انفورماتیک محسوب میشود. ما همواره بین سرویسدهی و برقراری امنیت دقت وسواسگونهای کردهایم تا هم ملاحظات امنیتی برقرار باشد و هم خدمات با زمان و کیفیت مناسب ارائه شود.
ادامه دارد…