مثلث پایداری، امنیت و یکپارچگی سامانه‌های حاکمیتی

در میزسخنی با معاونین و مدیران شرکت خدمات انفورماتیک بررسی شد(بخش اول)

کد خبر: ۲۹۰۵۴۸

در فروردین 31, 1401 0

تفاوتی ندارد در کجای ایران باشی وقتی کارت در جیب داری و خودپرداز یا کارتخوانی در مغازه‌ای یا شعبه‌ای که نزدیک است یا اگر به آنتن یا اینترنت دسترسی داری و یک گوشی لمسی یا غیر اسمارت در جیبت؛ انتظارت بی‌چون و چرا آن است که نیازهای بانکی، پولی و پرداختی‌ات را در کمترین زمان و بعضاً کسری از دقیقه برآورده کنی. مطلوبیت، حالا در نقطه‌ای قرار دارد که انتظار اختلال را حتی برای چند ثانیه نداری. اینها را تماماً مدیون گروهی عاشق در شرکت خدمات انفورماتیک هستید.

مثلث پایداری، امنیت و یکپارچگی سامانه‌های حاکمیتی

به گزارش پایگاه خبری بانکداری الکترونیک، موفقیت در سایه‌ی هدف‌گذاری صحیح و حرکت پرتلاش برای رسیدن به اهداف ترسیم شده حاصل می‌گردد. استمرار در موفقیت اما قصه‌ی دیگری دارد. وقتی به سیستم بانکداری کشور و تغییرات دگردیس‌گونه‌ی آن در دهه‌های اخیر و به طور خاص دهه‌ی اخیر می‌نگریم؛ بر ژرف‌ترین دوره تغییرات ماهوی صنعت بانکداری و پرداخت با ظهور بازیگران جدید، تکنولوژی‌ها لبه و ترندهای نوین، ساختارهای مبتنی بر پلتفرم و معماری ماژولار، داشبوردهای مدیریتی بر بستر زیرساخت‌های الکترونیکی و مجازی، سوپراپ‌های کارآمد، خروج از منوپل بانک به واسطه ارائه سرویس‌های اتمیک بانکی از طریق APIها، ارائه خدمات پایه بانکی در بیرون از شعب، eKYC، تحول دیجیتال، خدمات ابری و هوش مصنوعی معترف خواهیم بود.

در این اقیانوس خونین و فضای متلاطم که سرعت تغییرات تکنولوژیک در آن فراتر از انتظار و تاب‌آوری بسیاری از کسب‌وکارهای سنتی بوده‌است؛ استمرار در موفقیت جز با مهندسی دقیق اجزاء اکوسیستم بانکی و پاسخ به نیازهای موجود و آتی با ضرب‌آهنگ بالا حاصل نمی‌گردد. شرکت خدمات انفورماتیک نمونه‌ای بی‌بدلیل از تداوم در موفقیت طی 3 دهه اخیر بوده است. داستان این موفقیت از سنتی‌ترین اشکال بانکداری در شعب تا مدرن‌ترین فریم‌ورک‌های امروزی در صنعت بانکداری ادامه داشته است. بی‌شک اتکاء سیستم بانکی کشور به شرکت خدمات انفورماتیک را باید در ارائه زیرساخت‌های امن، پایدار و با سطح دسترسی‌پذیری بالا در اشلی کلان جستجو کرد.

مدیریت سبد محصولاتی چنین گسترده و متجاوز از 250 سامانه دربرگیرنده سامانه‌های حاکمیتی و رقابتی را می‌توان مرهون مدیریتی جسورانه و عملگرا دانست. شرکت خدمات انفورماتیک طی دهه اخیر با ثبات مدیر عامل و چتر حمایتی هیأت عامل توانست بهترینِ خود را نسبت به عملکرد سایر دهه‌ها به نمایش گذارد و در فضای مدیریتی آرام، همراه با تصمیمات و تدابیری داهیانه اهداف استراتژیک و رهنگاشت‌های مهمی را در سازمان طراحی، پیاده‌سازی و به بلوغ رساند. در واقع توسعه‌پایدار هدف کلان شرکت خدمات انفورماتیک است که باوجود تمامی مشکلات داخلی و خارجی، تحریم‌ها، مهاجرت منابع انسانی کارآمد و … تا حد زیادی به آن نائل آمده است.

نهادینه‌سازی فرهنگ سازمانی حال حاضر شرکت خدمات انفورماتیک در کلیه کارکنان و سطوح مدیریتی که دارای شاخصه‌هایی همچون تعهد، وفاداری سازمانی، ساختار ماتریسی، بروکراسی‌زدایی، بهبود مستمر و … می‌باشد، میراثی از مدیریت آقای مهندس نجفی در این شرکت طی دهه اخیر بوده است. در میزگرد ِ ادامه که با حضور علی سیفی، معاون نرم افزار2؛ محمدعلی جلیلی، معاون عملیات؛ داود کریم‌زادگان، معاون بازاریابی و فروش؛ سید یاسر آیت، مدیر كنترل و ارزيابي امنیت و محمدرضا روشن‌نژاد، مدیر یکپارچة پایش و آمار شرکت خدمات انفورماتیک برگزار گردیده؛ به بحث در مقوله‌هایی همچون عملکرد شرکت خدمات انفورماتیک در سال1400، پایداری سیستم‌ها با تمرکز بر مباحث امنیتی و همچنین جایگاه مشتری در شرکت خدمات انفورماتیک پرداخته‌ایم.

سه محور این میزگرد هم به شرح زیر است:

1) مرور وضع موجود از منظر مثلث پایداری سیستم، امنیت تراکنش‌ها و رضایت کاربر نهایی(مردم)

2) اثر پایداری سیستم و امنیت تراکنش‌ها در میزان رضایت و مکانیزم‌های رضایت‌سنجی

3) چگونگی ارتباط تعاملی در ساختارB2B در راستای رضایت کاربر نهایی

*در محور اول بحث پایداری سیستم را مورد بررسی قرار می‌دهیم و اینکه اساساً وقتی می‌گوییم پایداری سامانه‌ها به صورت کلی منظورمان چیست؟ آقای سیفی لطفاً شما بحث را آغاز کنید.

سیفی: در مورد پایداری سامانه‌ها در ابتدا باید تعریفی ارائه دهم. پایداری سامانه از نگاه کسانی که سامانه تولید می‌کنند؛ یعنی اینکه هر سامانه با توجه به مأموریت، کارکرد و کاربردی که دارد بتواند در تمامی زمان‌هایی که برای آن سامانه کارکردی متصور هستیم عملکرد پابرجا، پایدار و ثابتی داشته باشد و بتواند در مقابل هر نوع تنش، مشکل و نوسانی(تلورانسی) که برای آن اتفاق می‌افتد از خود محافظت کند. وقتی به این تعریف اولیه از پایداری می‌رسیم در حقیقت باید در طراحی‌های سامانه‌های‌مان، موارد مورد نظر را در نظر بگیریم. در این صورت اگر شاخص های مورد نظر در تعریف را در نظر گرفتیم، برای شاخص‌ها می‌بایست مقدار داشته باشیم؛ همچنین باید بازه زمانی این موضوع را ببینیم. ( در چه بازه‌های زمانی این مقادیر کمی ثبت می‌شوند ).

ما دائماً سامانه‌ها را تحت کنترل رصد و پایش قرار دهیم و بر اساس نیاز، تغییرات موردنظر را به وجود آوریم. حاصل همه این تلاش‌ها و برنامه‌ریزی‌ها حصول پایداری 99.99 است؛ البته در شرکت خدمات انفورماتیک هدف اصلی رسیدن به نرخ پایداری 99.999 است. ما باید بتوانیم به این عدد برسیم و البته رسیدن به این سطح از کیفیت بسیار انرژی‌بر و زمان‌بر است

در سامانه‌هایی که در شرکت خدمات انفورماتیک تولید می‌کنیم، با توجه به ذات و اهداف کاری این سامانه‌ها -که اکثراً تراکنش‌هایی آنلاین را از خود عبور و تبادل می‌کنند- پایداری آنها به صورت جدی مدنظر است. در این راه همواره سامانه ها مورد پایش دایمی قرار می‌گیرند. این پایش دایمی سامانه ها با مقایسه با نرخ ترافیکی‌ آنها در ماه‌ها و سنوات گذشته انجام می‌شود و در عین حال تخمینی از آینده نیز مدنظر است. (این تخمین همواره یک شیب صعودی دارد).

بنابراین پایدارسازی و افزایش ظرفیت سامانه‌ها برنامة مشخصی می‌طلبد. ممکن است سامانه‌ای را که در سال اول تولید می‌کنیم پایداری‌اش را در حد X می‌بینیم؛ اما به مرور که حجم ترافیکی و حجم تراکنش آن زیادتر و زیادتر می‌شود، سطح پایداری آن نیز دائماً رصد و در زمان‌ها و مقاطع خاص به پایداری آن دائماً رسیدگی می‌شود. حالا اگر نیاز باشد ظرفیت‌سازی متناسب با آن نیز باید صورت بگیرد. این فرآیند مستمر در شرکت خدمات انفورماتیک، تحت عنوان «برنامه‌ریزی ظرفیت‌سازی و پایداری سامانه‌ها»، در انتهای هر سال برای سال بعد متناسب با آمارهای ترافیکی در مقاطع و ماه‌های مختلف سال، نیازسنجی شده و برنامة کلانی تدوین می‌شود؛ البته این فرآیند (ظرفیت‌سازی) توسط همکاران ما در گروه‌های مختلف فنی انجام می‌شود. همکاران از بخش‌های مختلف و درکنار یکدیگر با بررسی و تحلیل دائمی، چندین محور کار را شناسایی می‌کنند و حول هر محور برنامة ظرفیت‌سازی تنظیم می‌شود. برنامه ظرفیت‌سازی از افزایش و ارتقاء سخت‌افزار شروع تا به انواع و اقسام برنامه‌نویسی‌های خاص، بهینه‌سازی کردن ماژول‌ها، تنظیم مجدد پایگاه داده‌ها و بهینه‌سازی فرآیندها می‌رسد. این برنامه‌ها باعث می‌شود که ما دائماً سامانه‌ها را تحت کنترل رصد و پایش قرار دهیم و بر اساس نیاز، تغییرات موردنظر را به وجود آوریم. حاصل همة این تلاش‌ها و برنامه‌ریزی‌ها حصول پایداری 99.99 است؛ البته در شرکت خدمات انفورماتیک هدف اصلی رسیدن به نرخ پایداری 99.999 است. ما باید بتوانیم به این عدد برسیم و البته رسیدن به این سطح از کیفیت بسیار انرژی‌بر و زمان‌بر است.

*اگر به صورت تاریخچه‌وار از گذشته تا به امروز بخواهید به بحث پایداری سیستمی بنگرید می‌توانید برای آن دسته‌بندی زمانی ارائه دهید؛ مثلاً از این منظر که چند بار مجبور به ارتقاء سامانه‌ها شده‌اید یا از این دست تقسیم‌بندی‌ها.

سیفی: سامانه به سامانه متفاوت است؛ نمی‌توان به صورت جز به جز در این وقت کم صحبت کرد اما بلکه به صورت کلان می‌توان بیان کرد.

*آیا می‌توانیم بگوییم کلیدی‌ترین سامانه شتاب است؟

سیفی: هر کدام از سامانه‌ها جایگاه و اهمیت خاص خود را دارند و نمی‌توان به راحتی گفت کدام سامانه کلیدی‌تر است. شتاب هم یکی از سامانه‌های اصلی و کلیدی پرداخت کشور است.

*چه مشکلات نگران‌کننده‌ای طی این مدت رخ داه است؟ به مشکلات یا به تعبیر دیگر تجربه‌هایی که بیشتر در خاطرات مانده اشاره کنید.

سیفی: در اوایل دهة 80 شمسی مشکلات و مواردی وجود داشت. در میانة دهة 80 به دلیل افزایش یکبارة تراکنش‌ها و اتصال تمامی بانک‌ها به شتاب و اقبال عمومی نسبت به حوزه‌های کارتی نرخ تراکنش‌ها افزایش یافت. در آن زمان (تقریباً 15 سال پیش) مواقعی در شتاب دچار ترافیک خاصی می‌شدیم و برای تراکنش‌ها مشکلاتی ایجاد می‌شد. همین موضوع باعث شد تا در معماری شتاب تغییرات بنیادین به وجود آید و ظرفیت به نوع دیگری آماده شود. این مسائل باعث یک سلسله کارهایی در سامانه شتاب شد. در دهة 80 به دلایل نیازهای فنی و اعمال تغییرات مجبور بودیم برای دقایقی سامانه را از مدار کاری خارج کنیم (در حدود 10 الی 20دقیقه در زمان‌های بامداد) و اقدامات مورد نظرمان را انجام دهیم؛ ولی در دهة90 اصلاً با چنین مسائل و مشکلاتی مواجه نبودیم و همة آنها به بایگانی تاریخ پیوستند.

*این تحولات ریشه در تکنولوژی داشت؟

سیفی: هم ریشه در تکنولوژی داشت، هم ریشه در تغییر فرآیندها و از همه مهم‌تر ریشه در ارائة باکیفیت خدمت 7 در 24 به مردم.

*آقای جلیلی، شما از منظر شبکه و زیرساخت نظرتان را دربارة پایداری سیستم بیان کنید. نقش سخت‌افزار و زیرساخت در تعامل با نرم‌افزار و دیگر بخش‌های سازمان چگونه باید در هم تنیده باشد تا در نهایت پایداری تضمین شود؟

جلیلی: قبل از پاسخ به سؤال شما، در مورد ظرفیت‌سازی برای سامانه‌های عملیاتی شرکت خدمات در تکمیل فرمایشات جناب آقای سیفی باید اضافه کنم که همان‌گونه که مستحضر هستید شکل‌گیری یک سامانه مراحلی دارد که در ابتدا طراحی سامانه و نحوة عملکرد آن مشخص شده و سپس توسط همکاران توسعة نرم‌افزار و برنامه‌نویسان کار توسعه سامانه انجام می‌شود؛ سپس فرایندهای آزمون و کنترل کیفیت سامانه انجام شده و سرانجام پس از گذار از این مراحل وارد فاز عملیاتی می‌شود.

در فرایند تست سامانه‌ها معمولاً موارد عملکردی و تا حد امکان تست بار و استثنا‌هایی که ممکن در راهبری سامانه ایجاد اشکال کند و کلیه موارد دیگر قابل تصور بررسی می‌شود؛ ولی از آنجا که اصولاً سامانه‌ها در فضای عملیاتی به تدریج شکل می‌گیرند و کاربرها و میزان تراکنش‌ها به مرور زمان افزایش می‌یابند ممکن است برای راهبری سامانه‌ها بعضاً به مواردی برخورد ‌کنیم که از قبل پیش‌بینی نشده است؛ بنابراین تا بلوغ کامل سامانه نیاز به بازخوردهای متعدد و تعامل سازنده بین همکاران در حوزه‌های توسعه و عملیات برای بهینه‌سازی و تکمیل رویه‌های اجرایی سامانه برای راهبری آن و در نهایت سهولت استفاده و بهینه از منظر کارآیی برای کاربر نهایی بشود.

فرایند ظرفیت‌سازی ممکن است افزودن منابع پردازشی یا ذخیره‌سازی یا تغییرات شبکه‌ای باشد یا نیاز به تغییرات تکنولوژی با توجه به بکارگیری فناوری‌های جدید برای سامانه باشد تا در نهایت به خروجی بهتر و با قابلیت اطمینان بیشتری برسیم

فرایندهای مختص راهبری سامانه‌ها از قبیل تهیه گزارشات مورد نیاز بهره‌بردار، موارد ذخیره و بازیابی داده‌ها، صیانت از داده‌های کاربران، اجرای برنامه‌های بچ به فراخور نیاز سامانه و بهره‌بردار و موارد این‌چنینی نیز در دستور کار قرار دارد ضمن اینکه ظرفیت‌سازی و بهینه‌سازی سامانه فرآیندی است که همواره همراه آن است چون در مقاطعی از سال می‌بینیم که دفعتاً تعداد تراکنش بالا رفته و اگر تمهیداتی قبلاً اندیشیده نشده باشد احتمال اختلال در سامانه وجود دارد. بر همین اساس ضروری است که سامانه‌ها به صورت مداوم پایش و مانیتور شوند و طبیعتاً ملاحظات خاصی برای آنها مدنظر قرار گیرد.

با توجه به تغییرات مداوم فناوری و نیاز به افزایش کارآیی نرم‌افزارهای موجود اقدامات متعددی برای توسعه و بهبود عملکرد سامانه‌های موجود در نظر گرفته شده است. ظرفیت‌سازی سامانه‌ها یکی از مهم‌ترین این اقدامات است. ماه آخر هر سال شاخص مناسبی برای ظرفیت‌سازی سامانه برای سال آتی است. در اسفندماه به ویژه هفتة آخر افزایش تراکنش‌های بانکی به میزان حداقل 20 الی 30 درصد است و این معیار مناسبی است تا ظرفیت‌سازی سامانه‌ها بر اساس آن صورت گیرد.

فرایند ظرفیت‌سازی ممکن است افزودن منابع پردازشی یا ذخیره‌سازی یا تغییرات شبکه‌ای باشد یا نیاز به تغییرات تکنولوژی با توجه به بکارگیری فناوری‌های جدید برای سامانه باشد تا در نهایت به خروجی بهتر و با قابلیت اطمینان بیشتری برسیم.

در مورد اینکه نسبت به سابق چه مزیتی می‌تواند داشته باشد کافی است به مصداقی اشاره می‌کنم 10 الی 15 سال پیش همة سامانه‌ها روی سرور‌های فیزیکی قرار داشتند و بنابراین اعمال تغییرات در سامانه‌ها عموماً نیازمند قطعی سیستم در بازه مشخصی بود؛ ولی هم اکنون این نوع تغییرات به صورت داینامیک قابل انجام است و هیچ وقفه‌ای در سامانه ایجاد نمی‌شود.

در اینجا خالی از لطف نیست که اشاره‌ای هم به سامانه‌هایی که از پردازنده‌های مین فریم استفاده می‌کنند داشته باشیم. این سامانه‌ها لزوماً در مقاطعی با توجه به روند تکنولوژی باید سراغ فناوری‌های توسعه‌یافته‌تر بروند. به‌رغم اینکه در این حوزه ما از دنیای مدرن به دلیل مسائل و مشکلاتی مرتبط با تحریم تا حدی عقب‌تر هستیم و فاصله‌های معناداری با کشورهای پیشرفته داریم؛ ولی به هر صورت اعمال تغییرات سخت‌افزاری و نرم‌افزاری اجتناب‌ناپذیر است. نکته قابل تأمل این است که ارتقاء و اعمال تغییرات در این سری سامانه‌ها با توجه به محدودیت‌های موجود ممکن است در محدوده بسیار وسیع سیستم‌های نرم‌افزاری و با حجم بالایی لزوماً انجام پذیرد و قطعاً باید با برنامه‌ریزی بسیار دقیق و تست‌های متعدد و همه‌جانبه و در نظر داشتن کلیه جوانب برای جلوگیری از اختلال در سامانه انجام شود تا آحاد جامعه بتوانند خدمات بانکی و پرداخت را بدون وقفه و با سرعت مناسب دریافت کنند.

*آقای آیت درباره پایداری سیستم توضیحاتی ارائه شد، یکی دیگر از ابعاد مهم سامانه‌‌ها و ارائة خدمات، مقولة امنیت سیستم‌هاست. در این مورد توضیحات لازم را ارائه کنید.

آیت: در ابتدا تعریفی از امنیت ارائه دهم. امنیت درباره یک سیستم زمانی برقرار است که کسی نتواند در آن سیستم جعل هویت انجام دهد، نتیجه تراکنش‌های تحریف نشود. در واقع اگر شخصی 1000 تومان به شخص دیگری انتقال داد، هیچ یک از پارامترهای تراکنش از جمع مبلغ و گیرنده قابل تغییر نباشد، به تعبیر دیگر امنیت به گونه‌ای طراحی شود که کسی از خارج از سیستم نتواند این تراکنش را تحریف کند؛ اگر کاربری فرآیندی را در سیستمی انجام داد، نتواند آن فرآیند را انکار کند، بر همین اساس باید فعالیت‌های کاربر رویدادنگاری شود و از نتیجة فرآیندهای مهم امضای دیجیتال تهیه شود. فعالیت‌های کاربر محرمانه باشد و تراکنش‌های وی افشا نشود و افراد غیر مجاز نتوانند به این تراکنش‌های کاربر دسترسی پیدا کند. در عین حال سرویس برای هر کسی که مجاز است در دسترس باشد. یعنی افراد غیر مجاز نتوانند به سرویس دسترسی پیدا کنند و از طرفی کسی که مجاز است متناسب با حقوق دسترسی‌ که دارد، بتواند فرآیندهای مجاز در سیستم را انجام دهد؛ اگر این شش عامل در یک سیستم وجود داشته باشد آن سیستم از نظر امن است.

یک شاخص کلی در مورد نتیجة اقدامات امنیتی در شرکت خدمات انفورماتیک این موضوع است که تا به امروز رخداد امنیتی نداشته‌ایم؛ البته این جمله‌ای است که نباید فریفتة آن شویم و از طرفی تصور نکنیم که نباید خود را برای شرایط بحرانی آماده کنیم. اخیراً به سایت‌های دولتی روسیه نفود شد با این‌که آنها امنیت را بهتر از ما می‌دانند؛ بنابراین مسئله امنیت غیر قطعی و بسیار پیچیده است. در شرکت خدمات انفورماتیک این پیچیدگی بیشتر هم هست؛ چون ما نمی‌توانیم مرزی دور شرکت خدمات انفورماتیک بکشیم و داخل آن را امن کنیم و به بیرون توجهی نداشته باشیم. ما به برخی سرویس‌ها که در اپراتورها و برخی سازمان‌های دیگر ارائه می‌دهیم وابسته هستیم. اگر اتفاقی از نظر امنیتی در آن بخش‌ها و سرویس‌ها بیفتد کسی نمی‌تواند در شبکة بانکی تراکنش‌های اصطلاحاً بدون حضور کارت انجام دهد؛ بنابراین امنیت ما وابسته به عواملی است که بخشی از این عوامل در سازمان‌هایی است که روی آنها کنترلی نداریم.

*در واقع شما در کل فرایند تراکنش به صورت رفت و برگشت تمام مسیر قرار ندارید؛ بلکه بخشی در کنترل شماست.

آیت: درست است و این مسئله کار را پیچیده می‌کند. مثال‌های متنوعی از این وابستگی می‌شود ارائه کرد، به عنوان یک نمونة دیگر ما از یک شبکة خصوصی استفاده می‌کنیم وابسته به زیرساخت ارتباطی متعلق به شبکه مخابرات کشور است؛ اگر در بخش‌هایی از این شبکة ارتباطی مشکلی ایجاد شود قطعاً ما نیز متأثر می‌شویم؛ بنابراین این وابستگی کار را پیچیده می‌کند.

*ضریب خطا را چگونه می‌توانید کاهش ‌دهید؟

آیت: بسیار پیچیده است. بخشی از آن به سازمان‌های نظارتی مربوط می‌شود که باید الزامات تعیین و نظارت کنند از طرف دیگر ایجاد افزونگی و سرویس‌های جایگزین راه دیگر مدیریت این موضوع است؛ برای مثال تنها از یک اپراتور سرویس نگیرید، فقط از خطوط زمینی استفاده نکنید بلکه از ماهواره و وی‌ست هم استفاده کنید. با این افزونگی‌ها تا حدودی کار را کنترل می‌کنیم؛ ولی همچنان در بعضی نقاط شکستی وجود دارد که همچنان کار را پیچیده می‌کند.

سرویس‌های پیشگیرانه مجموعه فرآیندهایی است که در SOC متمرکز است و به صورت 7 در 24 ترافیک‌ سامانه‌ها، رویدادها و تراکنش‌ها پایش می‌شود تا موارد مشکوک شناسایی و سریعاً پیگیری و مدیریت می‌شود

در حوزة امنیت مفهومی به نام آسیب‌پذیری روز-صفر (0-day) وجود دارد که آسیب‌پذیری‌هایی هستند که در سامانه‌های نرم‌افزاری و سخت‌افزاری وجود دارند و برای عموم ناشناخته هستند؛ ولی به طور متوسط شش سال و نه ماه بعد شناسایی و کشف می‌شوند؛ یعنی امروز گروه‌های زیرزمینی از آنها آگاه هستند و برای نفوذ از آنها سوء استفاده می‌کنند؛ ولی به صورت عموم منتشر نشده‌اند؛ البته زمان 6 سال و 9 ماه متوسط زمان است و این زمان گاه تا 17 سال نیز ذکر می‌شود. موضوع فوق‌الذکر یکی از موارد نشان‌‌دهندة غیر قطعی بودن ماهیت امنیت است.

در خدمات انفورماتیک سامانه‌های حاکمیتی و رقابتی متعددی وجود دارد که این سامانه‌های کاملاً به یکدیگر وابسته و در هم تنیده‌ هستند؛ یعنی اگر برای یکی از آنها اتفاقی بیفتد، سامانه‌های دیگر نیز متأثر می‌شوند. از طرفی تنوع و تعدد تجهیزاتی و دارایی‌های اطلاعاتی که سامانه‌ها بر روی آن مستقر شده‌اند، بسیار زیاد است که این موضوع مدیریت امنیتی این دارایی‌ها را مشکل می‌کند، یعنی با روش‌های سنتی و دستی بدون خودکارسازی فرآیندها مثلاً امکان اعمال وصله‌های امنیتی برای زیرساخت‌های اطلاعاتی وجود ندارد. برای مدیریت امنیت، طیفی از سرویس‌های پیشگیرانه تا واکنشی را در شرکت ایجاد کرده‌ایم؛ پیشگیرانه به این مفهوم که ما هر آنچه امکان‌‌پذیر است را انجام می‌دهیم تا یک سامانه آسیب‌پذیر و دارای ضعف امنیتی وارد شبکة عملیاتی نشود و در زمان عملیاتی شدن نیز پشتیبانی امنیتی جهت مدیریت آسیب‌پذیری‌ها امنیتی و رعایت به‌روش‌های امنیتی انجام می‌شود؛ بنابراین تمام سامانه‌ها ارزیابی امنیتی می‌شوند و آنهایی که خیلی مهم هستند از فازهای اول تولیدشان (فاز تحلیل نیازمندی‌ها، معماری و طراحی، پیاده‌سازی، تست، استقرار، راهبری و …) امنیت را دخیل می‌کنند تا نیازمندی امنیتی در چرخة حیات محصول رعایت شود.

نکتة دیگر اینکه در تمام فرآیندهای شرکت امنیت نیز حضور دارد، یعنی از زمان برنامه‌ریزی و امکان‌سنجی در کلیه مراحل و تصمیم‌ها نظر امنیت یکی از معیارهای اصلی تصمیم‌گیری است.مجموع همة این موارد پیشگیرانه هستند؛ ولی ممکن است در یک جایی موضوع امنیتی فراموش شود و مسئله‌ای پیش بیاید، حتی به شرکت گوگل نیز با تمام مکانیزم‌های امنیتی نفوذ شد؛ ولی توانست ظرف چند ثانیه رخنه را شناسایی و مدیریت کند.

*هکرها همیشه یک گام جلوتر هستند.

آیت: بله جلوتر هستند و اصلاً یک اصل است که به هر سیستمی می‌توان نفوذ کرد؛ ولی هزینة آن متفاوت است.

بنابراین ما نیاز به یک سری سرویس‌های واکنشی داریم که فرض می‌کند که جایی یک چیزی را فراموش کرده‌ایم تا اگر حمله‌ای اتفاق افتاد بتواند آن را شناسایی و مدیریت کند. سرویس‌های پیشگیرانه مجموعه فرآیندهایی است که در SOC متمرکز است و به صورت 7 در 24 ترافیک‌ سامانه‌ها، رویدادها و تراکنش‌ها پایش می‌شود تا موارد مشکوک شناسایی و سریعاً پیگیری و مدیریت می‌شود.

*یک سری پروتکل‌ها را شما اجرا می‌کنید و یک سری را هم دیگران باید اجرا کنند تا به یک معدل مناسب امنیت برسیم.

آیت: مدل ما «Zero-Trust» است، یعنی فرض نکنید سایر عوامل شبکة بانکی و شرکت‌های فرآهم آورندة خدمات پرداخت باید کاری انجام دهند که امنیت شما تضمین شود با این فرض جلو بروید که هکر مقابل شماست و باید تمام کنترل‌های امنیتی را در نظر بگیرید تا اتفاقی نیفتد.

نکتة دیگر اینکه تصور کنید با تمام اقداماتی که انجام می‌دهیم یک رخداد امنیتی و یک بحران اتفاق بیفتد که این مسائل مربوط به تدوام کسب و کار (BCM) است که برای آن برنامه وجود دارد هم بخش‌های عملیاتی، نرم‌افزاری و شبکه‌ای و سایت پشتیبانی دور و نزدیک و در تمام ملاحظات در نظر گرفته می‌شود که اگر بحرانی اتفاق افتاد برای آن آماده باشیم و برای آن مسیر مدیریت کردن بحران را در نظر بگیریم.

*آقای روشن‌نژاد پایش و آمار‌ها در مورد فرآیند پایداری و امنیت چه می‌گویند؟

روشن‌نژاد: پایداری خدمات مبتنی بر سامانه‌های پردازشی، به معنای حفظ توازن بین میزان درخواست خدمات سامانه و منابع پردازشی در اختیاز سامانه است. به عنوان مثال اگر تجهیزات سخت‌افزاری، ارتباطی و نرم‌افزاری دراختیار سامانه شتاب متناسب با حجم درخواست‌های شتابی باشد این سرویس پایدار است در غیر این صورت شاهد اختلال در سرویس و عدم پاسخگویی به درخواست‌ها خواهیم بود.

حفظ تناسب و توازن بین منابع و درخواست‌ها کاری دائمی است که بدون اندازه‌گیری، بررسی و کنترل عملکرد سامانه‌های تأمین‌کنندة خدمات ممکن نیست. این کار تیم پایش و تحلیل آمار است.

*اما در واقع چه چیزی اندازه‌گیری، بررسی و کنترل می‌شود؟

روشن‌نژاد: ببینید ما سه جریان عملکردی داریم. اولی الگوی افزایش و کاهش درخواست‌ها را در طول روز، هفته، ماه و سال است. دومی رشد آرام درخواست‌ها در دوره بلندمدت است و سومی افزایش یکباره و معمولاً غیر قابل پیش‌بینی درخواست‌هاست.

مثلاً در سامانه شتاب با شروع روز و تا حدود ساعت 11 درخواست‌های شتابی به تدریج افزایش می‌یابد. بعد از آن تا حدود ساعت 15، به تدریج درخواست‌ها کم می‌شود و بعد از ساعت 15 دوباره تعداد درخواست‌ها زیاد شده تا حدود ساعت 20 که به حداکثر درخواست در دقیقه می‌رسیم. بعد دوباره و به تدریج از تعداد درخواست‌ها کم می‌شود تا آنجا که در ساعت 2 بامداد به حداقل درخواست می‌رسیم.

هر چند تأثیر موضوعاتی مثل جشن و عزاداری یا تعطیلی قابل چشم‌پوشی نیست؛ اما این الگو تقریباً در تمام روزهای سال تکرار می‌شود؛ مثلاً وقتی ممنوعیت تردد بعد از ساعت 22 گذاشته شد. ساعت حداکثر شدن از 20 به 18 منتقل شد اما الگو همچنان وجود داشت.

مشابه الگوی روزانه الگوی هفتگی با کمترین میزان درخواست در روز جمعه و بیشترین تعداد در روز پنج‌شنبه، الگوی ماهانه با حداکثر درخواست در هفته پایانی و حداقل درخواست در هفته دوم ماه و الگوی سالانه که در فروردین حداقل درخواست و در اسفند حداکثر درخواست را شاهدیم.دومین جریان عملکردی رشد بطئی اما دائمی درخواست‌هاست؛ مثلاً انتظار داریم هر سال حدود 10 تا 20 درصد نقاط ماکزیمم الگوها، اضافه شود؛ یعنی درخواست‌های شتابی در هفته پایانی امسال احتمالا بین 10 تا 20 درصد بیشتر هفته پایانی سال گذشته است. سومین جریان عملکردی بروز تکانه است. تکانه به معنای افزایش بیش از انتظار و یک باره درخواست به دلیل بروز برخی اتفاقات است؛ مثلاً اولین بار که یارانه واریز شد شاهد تعداد کثیر و غیر قابل پیش‌بینی درخواست برداشت وجه از خودپرداز بودیم. آن هم در ساعات غیر معمول ابتدای روز، در نتیجه اسکناس اکثر خودپردازها به سرعت تمام شد. بررسی رفتار تابع الگو، پایداری جاری سامانه را نشان می‌دهد. بررسی رفتار بطئی افزایش درخواست، ضرورت افزایش منابع و در نتیجه پایداری آتی سامانه را فراهم می‌کند و در نهایت شناسایی تکانه‌ها، ضرورت بررسی اقدامات جبرانی و اصلاحی فوری و به تبع آن پایداری در شرایط ویژه را ممکن می‌کند .

*آقای کریم‌زادگان همکاران شما در بخش‌های تولید و امنیت زحمات بسیاری می‌کشند تا خدمات به موقع و بدون اختلال به سرانجام برسند؛ اما اینکه بدانید حال مشتری چقدر خوب است بر عهده بخش بازاریابی است در این مورد توضیحاتی ارائه کنید؟

کریم‌زادگان: سه مؤلفة پایداری، امنیت تراکنش‌ها و رضایت مشتری را مبنای بحث امروز قرار دادید. دوستان به صورت جامع روی ایجاد سیستم‌ها و پایدار کردن آنها و مقوله‌های امنیت اطلاعات در آن و پایش اتفاقات و رخدادها و رفتارهایی که از مشتری‌ها سر می‌زند توضیح دادند؛ اگر روی مؤلفة رضایت مشتری تمرکز بیشتری داشته باشیم؛ باید آگاه باشیم که ما در دوره‌ای زندگی می‌کنیم که تجربیات کاربری مشتریان ما با سرعت بسیار زیادی با یکدیگر به اشتراک گذاشته می‌شود و تجربة خوب در یک سامانه خیلی زود به یک درخواست عمومی در سایر مشتریان تبدیل می‌شود و این نقطه‌ای است که اگر ما قادر نباشیم نیازمندی‌های سمت مشتری را پیش‌بینی کنیم شاید مواردی که دوستان در حوزة زیرساخت و توسعة بهنگام توضیح دادند؛ عیناً در سمت مشتری اتفاق بیفتد که ریسک آن نیز مهاجرت مشتری از یک پلتفرم به پلتفرم دیگری خواهد بود که تجربة کاربری مناسب یا تجربة کاربری با هزینة کمتر و دسترسی بهتر ارائه می‌دهد.

یکی از مهم‌ترین شاخص‌هایی که در زمینه بهبود عملکرد مورد توجه شرکت خدمات می‌باشد؛ موضوع اندازه‌گیری میزان رضایت مشتری از محصولات و خدمات ارائه شده است. همان‌طور که دوستان اشاره داشتند؛ همکاران ما در تمامی معاونت‌ها همواره تلاش دارند تا سرویس‌ها و محصولات با بیشترین پایداری و بالاترین امنیت و با تجربه کاربری مطلوب به اکوسیستم بانکی ارائه شود. بنابراین ما نیز در بخش بازاریابی و فروش می‌توانیم بر اساس نوع و کیفیت سرویس‌دهی، سنجشی جهت میزان رضایت مشتریان بر عملکرد شرکت داشته باشیم.توضیحاتی که همکارانم دربارة امنیت تراکنش‌ها ارائه کردند مواردی است که بخش بازاریابی و فروش همواره با آن مواجه بوده و پاسخگویی به آنها برای شرکت خدمات انفورماتیک بسیار حائز اهمیت است.

یکی ازرویکردهای جدیدی که شرکت خدمات انفورماتیک اخیراً تمرکز ویژه‌ای بر آن دارد توسعه کسب‌ و کار در قالب مشارکت‌های کسب‌ و کاری هست تا بتوان از قابلیت‌های بازار در ارائه خدمات نوین بانکداری به مشتریان سیستم بانکی استفاده کرد

شرکت خدمات انفورماتیک با اعتقاد به این نکته که مشتریان سرمایه‌های اصلی شرکت هستند رویکرد مشتری‌محوری را در دستور کار خود قرارداده است. بدین معنا که نیازمندی‌ها و مطالبات مشتریان از شبکه بانکی جمع‌آوری و مورد بررسی و تحلیل قرار می‌گیرد. در گام بعدی بر اساس ظرفیت‌های موجود و با توجه به اولویت تغییرات، شرکت خدمات اقدام به تولید سرویس‌های جدید بر اساس خواسته‌های مشتریان می‌کند. این اقدامات در لایه‌های مختلفی همچون توسعه نرم‌افزارها، ایجاد پلتفرم‌های جدید، توسعه زیرساخت و شبکه، ایجاد خطوط کسب ‌و کاری جدید، بهبود سطوح کیفی و دسترسی‌پذیری سرویس‌های فعلی و … صورت می‌پذیرد. رضایت مشتری عموماً دستیابی حداکثری به انتظارات است؛ این جمله نکته بسیار مهمی دارد.

به عنوان مثال هر چند که طی سال‌های اخیر دریافت خدمات بانکی بر روی پلتفرم‌های الکترونیکی و غیر حضوری یکی از مطالبات اولیه کاربران شبکه بانکی تلقی می‌شود؛ اما کیفیت ارائه سامانه‌های برخط، پایدار و امن بر بسترهای موصوف نسبت به کانال ارائه خدمت حایز اولویت بالاتری است. بدین معنا که ارائه یک خدمت با کیفیت مطلوب حتی در بستری سنتی بر ارائه همان خدمت بر بستر دیجیتال و با کیفیت نامطلوب ارجح است. اما رضایت در جایی حاصل می‌شود که مشتری نهایی در سفری مطلوب، خدمت بانکی خود را بر بستری نوین، غیر حضوری، امن و با دسترسی‌پذیری مناسب دریافت کند. استراتژی و هدف ما در شرکت خدمات انفورماتیک اینست که انتظارات مشتریان تا حصول رضایت‌مندی کامل پایش و رصد شود؛ البته توجه به این مسئله که میزان رضایت مشتری پدیده‌ای نسبی است ضروری است. چرا که کاربر همواره رضایت خود را از طریق مقایسه با سبد محصولات موجود در بازار تنظیم می‌کند و بنابراین سنجش و جلب رضایت‌مندی مشتری فرایندی مستمر است. گاهی مطالبة مشتری از ما خدمتی است که آن سامانه را امروز در اختیار نداریم؛ شاید توانایی توسعة آن را داریم؛ ولی آن نیز زمان خود را نیاز دارد. بنابراین یکی ازرویکردهای جدیدی که شرکت خدمات انفورماتیک اخیراً تمرکز ویژه‌ای بر آن دارد توسعة کسب‌ و کار در قالب مشارکت‌های کسب‌ و کاری هست تا بتوان از قابلیت‌های بازار در ارائه خدمات نوین بانکداری به مشتریان سیستم بانکی استفاده کرد.

گفتنی است در جایی که بتوانیم توانمندی را به یک محصول تبدیل و تجربة مناسب را به مشتری منعکس کنیم؛ با چالش‌هایی نیز مواجه هستیم. از طرفی پس از آن که سامانه‌ای را انتخاب کرده و حس می‌کنیم جمع آن در سبد محصولات می‌تواند یک زنجیرة ارزش افزودة مناسب ایجاد و تجربة مشتری بهتری را به ارمغان آورد؛ اما برای اینکه بتوانیم آن خدمت را در سبد خود جای دهیم دغدغه‌ها و استانداردهای امنیتی‌ای که پیش‌تر عنوان شد از ما انرژی و زمان زیادی می‌طلبد و اینجاست که می‌بینیم موازنة بین Time to Market و ملاحظات امنیتی در سامانه کار حساس و تعیین‌کننده‌ای است. اگر بخواهیم همواره روی مقوله‌های امنیتی خود به صورت یک‌جانبه پافشاری کنیم شاید مشتری را در آن زمان از دست بدهیم و اگر بخواهیم عدول کنیم شاید امنیتی که مشتری‌های قبلی داشتند خدشه بردارد. بنابراین آنچه در ارتباط با مشتریان و بازاریابی همواره با آن مواجه هستیم آن است که در عین پایبندی به اصول امنیتی، سامانه‌های نوین خود را که صرفاً داخلی نبوده و محصول شراکت‌های تجاری با بازیگران اکوسیستم بانکی است؛ در زمانی منطقی به مشتری ارائه دهیم.

*آیا مدل خاصی برای کشف آنها دارید؛ چون قطعاً نمی‌توانید همة مشتریان را رصد کنید؟

کریم‌زادگان: معاونت بازاریابی و فروش شرکت خدمات انفورماتیک مجهز به سیستم مدیریت ارتباط با مشتریان (CRM) است که این سامانه کمک شایانی در رصد مشتریان و دریافت بازخوردها دارد. اخیراً نیز رویکرد مشتری‌مداری از طریق توسعه این سامانه با استراتژی Omnichannel در حال محقق شدن است. مضافاً در جلسات مدیریتی که همة عزیزان حضور دارند بر روی زنجیرة ارزش بحث می‌شود. مثلاً سازمان بزرگی به یک سرویس امنیتی نیاز دارد؛ دوستان تصمیم می‌گیرند که در حوزة نیاز مطرح شده از سوی سازمان مزبور ورود سنگین داشته باشند. این یک زنجیرة ارزش است و برای اینکه این زنجیره شکل بگیرد باید حلقه‌‌هایی با یکدیگر چفت شوند. طبیعتاً حلقه‌های زیرساختی و حلقه‌های سامانه‌ای و حلقه‌های دانشی که بتوانند آن نیازمندی را پاسخ دهند مد نظر خواهند بود؛ از طرفی برای اینکه این زنجیره بتواند به مالک پروژه ارائه شود؛ زمان‌بندی مقولة پر اهمیتی است. تلاش ما این است که از یک طرف به یک سطح تراضی قابل دفاع بین خودمان برسیم؛ شاید بتوانیم بعضی از مقوله‌های امنیتی را تا حد امکان مدیریت کنیم؛ به قیمت اینکه مشتری خود را از دست ندهیم و این یک مؤلفة بسیار مهم است.

*یک سری سامانه‌ها حاکمیتی هستند و یک سری رقابتی آیا بین اینها تفاوتی قائل هستید؟

کریم‌زادگان: تمامی سامانه‌ها از جایگاه و اهمیت بالایی برخوردار هستند و هر بخش حساسیت‌های مختص به خود را دارد. بخش بازاریابی و فروش به عنوان ویترین شرکت خدمات انفورماتیک تمام تلاش خود را می‌کند تا زحمات و تلاش همکاران را در حوزه‌های مختلف نرم‌افزاری و امنیت به‌گونه‌ای منعکس شود تا میزان اهمیت سرویس‌دهی در سامانه‌ها اعم از سامانه‌های رقابتی و حاکمیتی دیده شود.

به عنوان کسی که در معاونت بازاریابی و فروش حضور دارم معتقدم برای ارائة سرویس جدید نباید سطح امنیت یک سرویس حاکمیتی را مخدوش کرد و به تجربه آموخته‌ام که اگر بعضی تسامح‌ها را در بخش امنیت سامانه‌ها و به ویژه سامانه‌های حاکمیتی که بعضاً با چندین سامانه دیگر در تعامل هستند داشته باشیم؛ ریسک حملات سایبری و ایجاد حفره‌های امنیتی در سایر سامانه‌های مرتبط افزایش خواهد یافت که خط قرمزی در چارچوب‌های کاری شرکت خدمات انفورماتیک محسوب می‌شود. ما همواره بین سرویس‌دهی و برقراری امنیت دقت وسواس‌گونه‌ای کرده‌ایم تا هم ملاحظات امنیتی برقرار باشد و هم خدمات با زمان و کیفیت مناسب ارائه شود.

ادامه دارد…

لینک کوتاهلینک کپی شد!