فاجعه در سیستم بانکی کشور

در روزهای گذشته بالاخره آن چیزی که همه کارشناسان فناوری اطلاعات و امنیت اطلاعات از مدتها قبل پیش‌بینی می‌کردند، اتفاق افتاد؛ چیزی که از لحاظ فنی برای هیچ مهندس کامپیوتر، کارشناس IT یا مدیری در این حوزه غیرعادی و غیرقابل انتظار نبود و نیست: لو رفتن اطلاعات میلیونها کاربر سیستم بانکی کشور.

سیستم بانکی کشور از نظر طراحی و مهندسی بر بستر ضعیف و ناشیانه‌ای پیاده‌سازی شده است که البته دلیلش نه عدم وجود دانش مرتبط، نه عدم وجود کارشناسان خبره و باانگیزه برای انجام وظیفه، نه تحریم و نه نداشتن زمان کافی است. دلیل این ضعف فاحش تنها در یک چیز خلاصه میشه: بی‌مسئولیتی و بی‌لیاقتی مدیران بانک مرکزی. کدام کارشناس علوم کامپیوتر (بانکهای اطلاعاتی، نرم‌افزار، شبکه، امنیت اطلاعات) هست که نداند برای ذخیره اطلاعات مشتری آن هم در فعالیتهای مالی و با چنین درجه اهمیتی باید بانک اطلاعاتی رو دسته بندی کرد، هر یک را در محل فیزیکی جداگانه و با حفاظت فیزیکی مجزا نگهداری کرد، به افراد و گروههای فنی مشخص و مجزایی برای دسترسی به هر بخش مجوز داد، کلیه فعالیتهای تیمهای فنی و راهبری را ثبت و به اصطلاح log کرد، و در ذخیره اطلاعات از رمزگذاری و درهمریزی چندلایه استفاده کرد. موارد ذکر شده، شاید نوشته‌های یک کارشناس شبکه و امنیت اطلاعات باشد، اما باور کنید یا نه، به راحتی و در هر کتابی که حاوی مطالبی در مورد مدیریت اطلاعات و مدیریت امنیت اطلاعات باشد، قابل جستجو و تفحص است. و متاسفانه از آن نوع مطالبیست که طبق فرهنگ رایج در دانشگاهها و البته بازار کار، فقط به درد کتابها و قصه‌پردازیهای استادان دانشگاه می‌خورد که سرشان همیشه در همین کتابهاست و نه فضای عملی و بازار کار(؟)

هرگز فراموش نخواهم کرد دفعاتی را که به خاطر تنظیم یک رمز پیچیده، عدم کپی اطلاعات روی رسانه‌های غیرمطمئن، عدم صدور مجوز دسترسی به بعضی اطلاعات برای برخی افراد و … حتی از سوی همکارانم هم مسخره شدم. هرگز فراموش نخواهم کرد که برای تهیه دسترسی به منابع شبکه فرم درست کردم و از متقاضی دسترسی امضا گرفتم و به نظر دیگران چه کار لوکس و البته بی‌ارزشی انجام داده بودم. انگار با اتفاقی که افتاد (و شاید موجب ضرر و زیان اینجانب هم بشود) در اعماق وجودم به نوعی احساس خوشحالی کردم. انگار که خسرو زارع فرید حرف دل من و احیانا خیلی‌های دیگر را -که در محیط کار و در برابر تعهدی که به خاطر دانش فنی و البته به خاطر اخلاق حرفه‌ای دارند بر سر دو راهی تناقضات احمقانه مانده‌اند- زد.

در واقع، این مشکل بزرگتر از اینهاست. اصلا باید در حوزه فناوری اطلاعات آسیب شناسی صورت بگیرد و ببینیم چرا اصول ابتدایی امنیت اطلاعات که اجرای آن بسیار ساده و با صرف هزینه نسبتا کم قابل اجراست تا این حد مورد بی‌توجهی قرار می‌گیرد؛ اصول ساده‌ای که عدم رعایت آنها فجایعی از جنس لو رفتن حساب بانکی شهروندان یک کشور 70 میلیونی تمام می‌شود. سال 1386 بود که من مقاله‌ای در مورد اهمیت مدیریت امنیت اطلاعات نوشتم و در اون اشاره کردم که حتی در کشورهایی مانند مصر و مراکش هم دستکم یک شرکت به سراغ پیاده سازی استانداردهایی در این زمینه رفته‌است، اما در کشور ما دریغ از یک شرکت …. در صورتیکه ادعای شرکتهایی مانند شرکت نفت، شرکت گاز، فولاد مبارکه، شرکتهای خودروسازی، بانک مرکزی و برخی دیگر در زمینه داشتن گواهینامه‌های رنگارنگ (که البته از حد پز دادن و قاب کردن آن و نصب در اتاق مدیر عامل فراتر نمی‌رود) به طور عام و فناوری اطلاعات به طول خاص گوش عالم را کر کرده است.

در زمینه گواهینامه‌های دیگر صاحبنظران باید نظر بدهند. اما در زمینه فناوری اطلاعات همین بس که درک مدیران در کشور ما در غایت خود از حد تجهیز بستر شبکه به تجهیزات اکتیو و پسیو گرانقیمت فراتر نمی‌رود. البته در این باب، روی سخن با مدیران بخش خصوصی و صاحبان کسب و کار غیردولتی نیست، زیرا در آن بخش مقتضیات اقتصادی و مالی هر جا که لازم باشد سازمان را به سمت استفاده از بهترین فناوری سوق می‌دهد و هر جا که لازم باشد از صرف هزینه بدون دلیل منطقی خودداری می‌شود.

به نظر من در پس پرده عدم علاقه به تفکر سیستماتیک در مدیران میانی و ارشد سازمانها در ایران و عمل به آنچه در کتابها خوانده و آموخته‌اند معضل بی‌مبالاتی، بی‌مسئولیتی و عدم اعتقاد به ارتباط علم و عمل نهفته است. شاید بتوان گفت عدم اعتقاد به ارتباط علم و عمل منشاء فرهنگی دارد که کمابیش در همه اقشار جامعه ایران مستتر اما موجود است. کمی به دور و بر خود نگاه کنیم و بیندیشیم که افرادی که با بروز مشکل به سراغ کتاب و دستورالعمل و اینترنت می‌روند مقبولترند یا کسانی که تا وقتی مشکلی آشکار نشده و عواقبش دامنگیر نشده، انگار که وجود ندارد و هنگامی که بروز می‌کند به صورت هیئتی و گتره‌ای و با سعی و خطا تنها به رفع و رجوع آن می‌پردازند؟ جواب: گروه دوم. این گروه معمولا از در توجیه مشکلات برمی‌آیند و نابسامانی‌های ناشی از کوته‌بینی و کم‌کاری را نیز به گردن دیگران می‌اندازند. همانگونه که در این مورد نیز رسانه‌ها (احتمالا به منظور صیانت از حیثیت بانک مرکزی) به هیچوجه موضوع را به شکلی تحلیل نکرده‌اند که خدای نکرده افکار عمومی به کوتاهی و قصور بانک مرکزی پی ببرد. به جای بررسی علت این فاجعه، یافتن نواقص و ایرادهای حقیقی و رفع آنها و به جای اینکه مسئول واقعی این فاجعه، رئیس بانک مرکزی، آقای بهمنی، توضیحات قانع‌کننده ارائه کند و از مردم عذرخواهی نماید، بلافاصله شرکت خصوصی فناوران انیاک که مجری خدمات پرداخت الکترونیک و درواقع پیمانکار سیستم بانکی کشور بوده است، مقصر شناخته شده و مجوز فعالیتش لغو می‌شود. چه مضحک! مسلما شرکت فناوران انیاک  از لحاظ فنی در این رابطه مقصر است. اما کجاست خط مشی امنیتی، خط مشی حفاظت از اطلاعات، خط مشی امحای اطلاعات سوخته، خط مشی حفاظت فیزیکی، خط مشی پشتیبانگیری، خط مشی انتخاب و آموزش نیروی انسانی و … ابلاغ شده از سوی بانک مرکزی جمهوری اسلامی ایران؟ پیمانکار مجری دستورات و تامین کننده انتظارات کارفرماست. چرا باید دایه عزیزتر از مادر باشد؟ وقتی یکی از بالاترین نهادهای کشور به حدی برای اطلاعاتی با چنین درجه از اهمیت ارزش قائل نیست، پیمانکار بخش خصوصی چه گناهی دارد؟ گناه فناوران انیاک به جز این است که برای قربان شدن در مسلخ این رسوایی و شستن دامان مقصران واقعی انتخاب شده است؟