در روزهای گذشته بالاخره آن چیزی که همه کارشناسان فناوری اطلاعات و امنیت اطلاعات از مدتها قبل پیشبینی میکردند، اتفاق افتاد؛ چیزی که از لحاظ فنی برای هیچ مهندس کامپیوتر، کارشناس IT یا مدیری در این حوزه غیرعادی و غیرقابل انتظار نبود و نیست: لو رفتن اطلاعات میلیونها کاربر سیستم بانکی کشور.
سیستم بانکی کشور از نظر طراحی و مهندسی بر بستر ضعیف و ناشیانهای پیادهسازی شده است که البته دلیلش نه عدم وجود دانش مرتبط، نه عدم وجود کارشناسان خبره و باانگیزه برای انجام وظیفه، نه تحریم و نه نداشتن زمان کافی است. دلیل این ضعف فاحش تنها در یک چیز خلاصه میشه: بیمسئولیتی و بیلیاقتی مدیران بانک مرکزی. کدام کارشناس علوم کامپیوتر (بانکهای اطلاعاتی، نرمافزار، شبکه، امنیت اطلاعات) هست که نداند برای ذخیره اطلاعات مشتری آن هم در فعالیتهای مالی و با چنین درجه اهمیتی باید بانک اطلاعاتی رو دسته بندی کرد، هر یک را در محل فیزیکی جداگانه و با حفاظت فیزیکی مجزا نگهداری کرد، به افراد و گروههای فنی مشخص و مجزایی برای دسترسی به هر بخش مجوز داد، کلیه فعالیتهای تیمهای فنی و راهبری را ثبت و به اصطلاح log کرد، و در ذخیره اطلاعات از رمزگذاری و درهمریزی چندلایه استفاده کرد. موارد ذکر شده، شاید نوشتههای یک کارشناس شبکه و امنیت اطلاعات باشد، اما باور کنید یا نه، به راحتی و در هر کتابی که حاوی مطالبی در مورد مدیریت اطلاعات و مدیریت امنیت اطلاعات باشد، قابل جستجو و تفحص است. و متاسفانه از آن نوع مطالبیست که طبق فرهنگ رایج در دانشگاهها و البته بازار کار، فقط به درد کتابها و قصهپردازیهای استادان دانشگاه میخورد که سرشان همیشه در همین کتابهاست و نه فضای عملی و بازار کار(؟)
هرگز فراموش نخواهم کرد دفعاتی را که به خاطر تنظیم یک رمز پیچیده، عدم کپی اطلاعات روی رسانههای غیرمطمئن، عدم صدور مجوز دسترسی به بعضی اطلاعات برای برخی افراد و … حتی از سوی همکارانم هم مسخره شدم. هرگز فراموش نخواهم کرد که برای تهیه دسترسی به منابع شبکه فرم درست کردم و از متقاضی دسترسی امضا گرفتم و به نظر دیگران چه کار لوکس و البته بیارزشی انجام داده بودم. انگار با اتفاقی که افتاد (و شاید موجب ضرر و زیان اینجانب هم بشود) در اعماق وجودم به نوعی احساس خوشحالی کردم. انگار که خسرو زارع فرید حرف دل من و احیانا خیلیهای دیگر را -که در محیط کار و در برابر تعهدی که به خاطر دانش فنی و البته به خاطر اخلاق حرفهای دارند بر سر دو راهی تناقضات احمقانه ماندهاند- زد.
در واقع، این مشکل بزرگتر از اینهاست. اصلا باید در حوزه فناوری اطلاعات آسیب شناسی صورت بگیرد و ببینیم چرا اصول ابتدایی امنیت اطلاعات که اجرای آن بسیار ساده و با صرف هزینه نسبتا کم قابل اجراست تا این حد مورد بیتوجهی قرار میگیرد؛ اصول سادهای که عدم رعایت آنها فجایعی از جنس لو رفتن حساب بانکی شهروندان یک کشور 70 میلیونی تمام میشود. سال 1386 بود که من مقالهای در مورد اهمیت مدیریت امنیت اطلاعات نوشتم و در اون اشاره کردم که حتی در کشورهایی مانند مصر و مراکش هم دستکم یک شرکت به سراغ پیاده سازی استانداردهایی در این زمینه رفتهاست، اما در کشور ما دریغ از یک شرکت …. در صورتیکه ادعای شرکتهایی مانند شرکت نفت، شرکت گاز، فولاد مبارکه، شرکتهای خودروسازی، بانک مرکزی و برخی دیگر در زمینه داشتن گواهینامههای رنگارنگ (که البته از حد پز دادن و قاب کردن آن و نصب در اتاق مدیر عامل فراتر نمیرود) به طور عام و فناوری اطلاعات به طول خاص گوش عالم را کر کرده است.
در زمینه گواهینامههای دیگر صاحبنظران باید نظر بدهند. اما در زمینه فناوری اطلاعات همین بس که درک مدیران در کشور ما در غایت خود از حد تجهیز بستر شبکه به تجهیزات اکتیو و پسیو گرانقیمت فراتر نمیرود. البته در این باب، روی سخن با مدیران بخش خصوصی و صاحبان کسب و کار غیردولتی نیست، زیرا در آن بخش مقتضیات اقتصادی و مالی هر جا که لازم باشد سازمان را به سمت استفاده از بهترین فناوری سوق میدهد و هر جا که لازم باشد از صرف هزینه بدون دلیل منطقی خودداری میشود.
به نظر من در پس پرده عدم علاقه به تفکر سیستماتیک در مدیران میانی و ارشد سازمانها در ایران و عمل به آنچه در کتابها خوانده و آموختهاند معضل بیمبالاتی، بیمسئولیتی و عدم اعتقاد به ارتباط علم و عمل نهفته است. شاید بتوان گفت عدم اعتقاد به ارتباط علم و عمل منشاء فرهنگی دارد که کمابیش در همه اقشار جامعه ایران مستتر اما موجود است. کمی به دور و بر خود نگاه کنیم و بیندیشیم که افرادی که با بروز مشکل به سراغ کتاب و دستورالعمل و اینترنت میروند مقبولترند یا کسانی که تا وقتی مشکلی آشکار نشده و عواقبش دامنگیر نشده، انگار که وجود ندارد و هنگامی که بروز میکند به صورت هیئتی و گترهای و با سعی و خطا تنها به رفع و رجوع آن میپردازند؟ جواب: گروه دوم. این گروه معمولا از در توجیه مشکلات برمیآیند و نابسامانیهای ناشی از کوتهبینی و کمکاری را نیز به گردن دیگران میاندازند. همانگونه که در این مورد نیز رسانهها (احتمالا به منظور صیانت از حیثیت بانک مرکزی) به هیچوجه موضوع را به شکلی تحلیل نکردهاند که خدای نکرده افکار عمومی به کوتاهی و قصور بانک مرکزی پی ببرد. به جای بررسی علت این فاجعه، یافتن نواقص و ایرادهای حقیقی و رفع آنها و به جای اینکه مسئول واقعی این فاجعه، رئیس بانک مرکزی، آقای بهمنی، توضیحات قانعکننده ارائه کند و از مردم عذرخواهی نماید، بلافاصله شرکت خصوصی فناوران انیاک که مجری خدمات پرداخت الکترونیک و درواقع پیمانکار سیستم بانکی کشور بوده است، مقصر شناخته شده و مجوز فعالیتش لغو میشود. چه مضحک! مسلما شرکت فناوران انیاک از لحاظ فنی در این رابطه مقصر است. اما کجاست خط مشی امنیتی، خط مشی حفاظت از اطلاعات، خط مشی امحای اطلاعات سوخته، خط مشی حفاظت فیزیکی، خط مشی پشتیبانگیری، خط مشی انتخاب و آموزش نیروی انسانی و … ابلاغ شده از سوی بانک مرکزی جمهوری اسلامی ایران؟ پیمانکار مجری دستورات و تامین کننده انتظارات کارفرماست. چرا باید دایه عزیزتر از مادر باشد؟ وقتی یکی از بالاترین نهادهای کشور به حدی برای اطلاعاتی با چنین درجه از اهمیت ارزش قائل نیست، پیمانکار بخش خصوصی چه گناهی دارد؟ گناه فناوران انیاک به جز این است که برای قربان شدن در مسلخ این رسوایی و شستن دامان مقصران واقعی انتخاب شده است؟