۱۱ خرداد ۱۴۰۵

آزمون صنعت پرداخت ایران در جنگ؛ چرا این صنعت سربلند بیرون آمد؟

PSPها در خط مقدم

تحریریه

عصر تراکنش ۱۰۴ / جنگ رمضان در اسفند ۱۴۰۴ و فروردین ۱۴۰۵ یکی از جدی‌ترین آزمون‌های زیرساخت‌های اقتصادی ایران در سال‌های اخیر بود. در چنین شرایطی، آنچه بیش از هر چیز برای زندگی روزمره مردم اهمیت داشت، امکان انجام مبادلات مالی و پرداخت‌های روزانه بود. اگر شبکه پرداخت کشور دچار اختلال می‌شد، حتی ساده‌ترین فعالیت‌های اقتصادی از خرید کالاهای ضروری تا پرداخت قبوض و جابه‌جایی پول میان افراد مختل می‌شد. با این حال بررسی عملکرد صنعت پرداخت نشان می‌دهد که این صنعت توانست با پایداری قابل توجه، از این آزمون عبور کند و در مجموع نمره‌ای «عالی» کسب کند.

در روزهایی که نااطمینانی اقتصادی افزایش یافته بود و برخی بازارهای مالی با اختلال مواجه شدند، شبکه پرداخت کشور تقریباً بدون وقفه به فعالیت خود ادامه داد. کارت‌خوان‌های فروشگاهی، درگاه‌های پرداخت اینترنتی و سامانه‌های انتقال وجه به شکل عادی در دسترس مردم قرار داشتند و کاربران توانستند خریدهای روزمره و تراکنش‌های مالی خود را انجام دهند. این پایداری عملیاتی باعث شد جریان مبادلات خرد در اقتصاد کشور متوقف نشود و فشار روانی ناشی از بحران کاهش یابد.

نقش‌آفرینی PSPها: ستون فقرات پرداخت که خم نشد

نقش شرکت‌های ارائه‌دهنده خدمات پرداخت (PSP) در این میان بسیار تعیین‌کننده و حیاتی بود. این شرکت‌ها که مسئول مدیریت شبکه گسترده‌ای از کارت‌خوان‌ها و درگاه‌های پرداخت در سراسر کشور هستند، توانستند پایداری شبکه خود را حفظ کنند. حتی در شرایطی که نگرانی‌هایی درباره اختلال در زیرساخت‌های ارتباطی یا حملات سایبری وجود داشت، شبکه پرداخت با حداقل مشکل به کار خود ادامه داد. این موضوع نشان می‌دهد که سرمایه‌گذاری چند سال گذشته در زیرساخت‌های فنی، مراکز داده پشتیبان و سامانه‌های امنیتی، نقش مهمی در افزایش تاب‌آوری این صنعت داشته است.

جلوگیری از هراس و حفظ جریان اقتصاد

از منظر اقتصادی، استمرار فعالیت شبکه پرداخت اهمیت ویژه‌ای داشت. بخش بزرگی از مبادلات اقتصادی ایران در سال‌های اخیر به سمت پرداخت‌های دیجیتال حرکت کرده و وابستگی جامعه به کارت‌خوان‌ها، اپلیکیشن‌های پرداخت و پرداخت‌های اینترنتی بسیار بالا رفته است. در چنین شرایطی، هرگونه اختلال در این شبکه می‌توانست به سرعت به اختلال در زنجیره تأمین، فروشگاه‌ها و خدمات عمومی منجر شود. عملکرد پایدار صنعت پرداخت باعث شد این سناریوی پرریسک تحقق پیدا نکند و مبادلات خرد اقتصادی بدون توقف ادامه یابد.

در سطح اجتماعی نیز پایداری شبکه پرداخت نقش مهمی در حفظ آرامش عمومی داشت. در بسیاری از بحران‌ها، نگرانی از دسترسی به پول یا امکان خرید کالاهای ضروری می‌تواند به شکل‌گیری رفتارهای هیجانی در جامعه منجر شود. اما در جنگ رمضان، دسترسی آسان به ابزارهای پرداخت باعث شد مردم بدون نیاز به نگهداری حجم بالای پول نقد بتوانند نیازهای خود را تأمین کنند. همین مسئله به جلوگیری از شکل‌گیری صف‌های طولانی برای دریافت پول نقد کمک کرد. این آزمون به‌خوبی نشان داد که صنعت پرداخت در کشور به یک زیرساخت پایدار و قابل‌اتکا تبدیل و PSPها به یک دارایی ملی تبدیل شده‌اند.

تاب‌آوری زیرساخت، آرامش جامعه

جمع‌بندی این تجربه نشان می‌دهد که صنعت پرداخت ایران در جنگ رمضان توانست سه وظیفه حیاتی را به‌خوبی انجام دهد: حفظ پایداری زیرساخت‌های پرداخت، تداوم مبادلات خرد اقتصادی و کاهش فشار روانی بر جامعه. استمرار فعالیت کارت‌خوان‌ها، درگاه‌های پرداخت و سایر ابزارهای پرداخت نشان داد که این صنعت از تاب‌آوری قابل توجهی برخوردار است. بر همین اساس، در ارزیابی عملکرد بخش‌های مختلف اقتصاد در این بحران، صنعت پرداخت بدون تردید نمره «عالی» و دست‌کم یک نمره قبولی قاطع در این آزمون ملی دریافت می‌کند.

پایداری به‌عنوان هویت برند در پرداخت نوین

امین مطیعی، مدیرعامل شرکت پرداخت نوین، درباره وضعیت شبکه کارت‌خوان‌های این شرکت در روزهای بحرانی اسفند ۱۴۰۴، تأکید می‌کند که پایداری سرویس در این شرکت نتیجه یک رویکرد برنامه‌ریزی‌شده و طراحی‌شده است، نه واکنشی مقطعی به شرایط بحرانی. او با اشاره به گزارش‌های رسمی شاپرک می‌گوید: «عطف به گزارش اقتصادی ماهانه شاپرک، شرکت پرداخت نوین ماه‌های متمادی است که در شاخص کم‌ترین میزان خطای پذیرندگی در رتبه نخست صنعت پرداخت قرار دارد.» به گفته مطیعی، در آخرین گزارش منتشرشده که مربوط به اسفندماه است، «پرداخت نوین با ۰.۰۱ درصد خطای پذیرندگی موفق به تثبیت این جایگاه در بحبوحه جنگ شد.»

مدیرعامل پرداخت نوین معتقد است این آمارها نشان می‌دهد که پایداری سرویس در این شرکت حاصل یک طراحی سیستماتیک است. او در این‌باره توضیح می‌دهد: «ما پایداری سرویس در بحران را یک ویژگی تصادفی نمی‌دانیم، بلکه آن را حاصل طراحی آگاهانه کل اکوسیستم شرکت می‌دانیم. اساساً پایداری نتیجه طراحی از پیش است، نه واکنش لحظه‌ای به بحران.»

مطیعی همچنین تأکید می‌کند که پایداری سرویس برای این شرکت صرفاً یک شاخص فنی یا قابلیت عملیاتی نیست. او می‌گوید: «پایداری سرویس برای پرداخت نوین بخشی از هویت برند ما و تعهد ما به اعتماد مشتریان است. بدیهی است در همچین شرکتی پایداری سرویس، در هسته‌ی طراحی کسب‌وکار جانمایی شده و نه در حاشیه‌ی آن. چرا که معتقدیم پایداری واقعی زمانی معنا پیدا می‌کند که پذیرندگان و مشتریان اصلاً متوجه بحران نشوند؛ و این همان استانداردی است که ما خودمان را با آن می‌سنجیم.»

از پیشگیری تا بازیابی سریع؛ راهبرد پرداخت نوین برای پایداری شبکه

مطیعی سپس درباره درس‌های آموخته‌شده از بحران و اولویت‌های آینده برای افزایش تاب‌آوری شبکه کارت‌خوان‌ها نیز توضیح می‌دهد. او می‌گوید رویکرد کلی پرداخت نوین برای حفظ پایداری سرویس بر سه لایه «پیشگیری، تاب‌آوری و بازیابی سریع» استوار است. او در این خصوص اینطور توضیح می‌دهد: «در لایه‌ی تاب آوری، سیستم‌های ما به گونه‌ای طراحی شده‌اند که حتی در صورت بروز اختلال، سرویس به طور کامل متوقف نشود. استفاده از معماری ماژولار، مدیریت هوشمند بار و مکانیزم‌های Failover باعث می‌شود که اختلالات به جای آن که به قطعی‌های گسترده منجر شوند، به صورت کنترل شده‌ای مدیریت شوند. واقعیت این است که همیشه همه چیز پایدار نخواهد بود. لذا باید سیستم‌ها را به گونه‌ای طراحی کنیم که حتی در شرایط بحران هم، پذیرندگان با بن‌بست مواجه نشوند.»

مدیرعامل پرداخت نوین در پایان تأکید می‌کند که نگاه این شرکت به تاب‌آوری، فراتر از صرفاً جلوگیری از قطعی سرویس است. به گفته او، «تاب‌آوری فقط به معنای قطع نشدن نیست، بلکه به معنای تداوم هوشمندانه سرویس در هر شرایطی است» و همین رویکرد مسیر آینده پرداخت نوین در توسعه شبکه پرداخت را شکل می‌دهد.

ایران‌کیش چگونه دوام آورد؟

در روزهای جنگ رمضان، زیرساخت‌های ارتباطی کشور با اختلال‌هایی مواجه شد؛ شرایطی که می‌توانست شبکه پرداخت را نیز تحت تأثیر قرار دهد. حمزه آقابابایی، مدیرعامل شرکت ایران‌کیش، در این گفت‌وگو درباره نحوه حفظ پایداری شبکه کارت‌خوان‌ها، تجربه‌های عملیاتی این شرکت در شرایط بحران و درس‌هایی که از این دوره گرفته شده، توضیح می‌دهد.

او در ابتدا برای درک بهتر وضعیت زیرساخت‌های ارتباطی، ساختار این زیرساخت‌ها را تشریح می‌کند و می‌گوید ارتباطات شبکه‌های کامپیوتری به‌طور کلی از طریق چهار لایه خدماتی برقرار می‌شود. به گفته او، لایه زیرین یا سیگنالینگ بر عهده شرکت‌های مخابراتی است و لایه بعدی توسط شرکت‌های ارائه‌دهنده خدمات نقاط دسترسی مدیریت می‌شود. لایه‌های بالاتر نیز خدمات کسب‌وکاری را ممکن می‌کنند که در صنعت پرداخت الکترونیکی بر عهده شرکت‌های پرداخت قرار دارد. آقابابایی توضیح می‌دهد که شرکت‌های پرداخت ابزاری در اختیار ندارند که بتوانند به همه رخدادها، اختلالات و خطاهای لایه سیگنالینگ دسترسی داشته باشند. او همچنین اشاره می‌کند که در این ایام، در لایه دوم یعنی خدمات نقطه دسترسی که از سوی شرکت‌های مخابراتی و تأمین‌کنندگان اینترنت ارائه می‌شود نیز اختلالاتی وجود داشت.

با این حال، آقابابایی تأکید می‌کند آن دسته از پیام‌های درخواست تراکنشی که درگیر اختلالات این دو لایه نشده بودند و به سامانه تجمیع‌گر تراکنش‌ها در شرکت ایران‌کیش وارد می‌شدند، با کیفیتی تقریباً مشابه زمان‌های عادی پردازش شدند. او می‌گوید: «در سطح عملیاتی نیز تلاش شد با پایش لحظه‌ای شبکه و افزایش ظرفیت سامانه‌های پردازشی، از ایجاد گلوگاه در سامانه‌های داخلی جلوگیری شود. آماده‌باش تیم‌های فنی و استمرار خدمات دیتاسنتری نیز کمک کرد تا حتی در شرایط ناپایدار ارتباطی، خدمت‌رسانی بدون وقفه ادامه پیدا کند.»

او همچنین از اقداماتی برای افزایش تاب‌آوری زیرساخت ارتباطی یاد می‌کند و می‌گوید: «ایران‌کیش با پیاده‌سازی مسیرهای ارتباطی چندگانه و استفاده از چندین لینک اینترنت از ISPهای مختلف تلاش کرد زیرساخت ارتباطی را در برابر اختلال مقاوم‌تر کند. استفاده از سوییچ‌های مبتنی بر BGP این امکان را فراهم کرد که مسیرهای جایگزین به‌صورت فعال در دسترس باشند و در صورت بروز قطعی در مسیر اصلی، ترافیک به سرعت و بدون وقفه به مسیرهای پشتیبان هدایت شود. تصور می‌کنم این طراحی چندمسیره نقش کلیدی در حفظ پایداری خدمات در آن شرایط بحرانی داشته است.»

مدیرعامل ایران‌کیش در ادامه به اقدامات عملیاتی این شرکت نیز اشاره می‌کند و می‌گوید همکاران او مجموعه‌ای از اقدامات برای مدیریت شرایط انجام دادند؛ از جمله پاسخ‌گویی سریع به مالکین سرویس، اطلاع‌رسانی شفاف همراه با ارائه توضیحات کامل درباره وضعیت و اعلام زمان‌بندی دقیق بازگشت سرویس‌ها. به گفته او، مجموعه این اقدامات فنی و ارتباطی باعث شد خدمات پرداخت شرکت ایران‌کیش در روزهای بحران چندان با اختلال روبه‌رو نشود.

نمره قبولی صنعت پرداخت در آزمون جنگ؛ چرا؟

آقابابایی درباره عملکرد صنعت پرداخت در این دوره نیز توضیح می‌دهد که داده‌های تاریخی نشان می‌دهد از زمان جنگ جهانی دوم به بعد، در بسیاری از جنگ‌ها حمله به نظام پرداخت و گردش پول کشور مقابل به‌عنوان یک تاکتیک جنگی به کار گرفته شده است. به گفته او، در جنگ رمضان این تاکتیک در سطحی بسیار گسترده و بی‌سابقه از سوی دشمن استفاده شد. او با اشاره به ساختار دوسویه بازار پرداخت می‌گوید: «در سویه پذیرندگی که مدیریت آن بر عهده شرکت‌های پرداخت است، این صنعت نمره قبولی گرفت؛ هرچند در سویه صادرکنندگی که مدیریت آن با بانک‌هاست، شرکت ایران‌کیش صلاحیت اظهار نظر ندارد.»

به گفته آقابابایی، ایران‌کیش برای این شرایط ترکیبی از تمهیدات فنی و اقدامات کنترلی مستمر را در نظر گرفته بود. او به استفاده از لینک‌های ارتباطی از حداقل دو ISP مختلف برای افزایش پایداری شبکه و مانیتورینگ لحظه‌ای شاخص‌هایی مانند TPS، Latency و Error Rate اشاره می‌کند که امکان واکنش سریع به هرگونه اختلال را فراهم می‌کرد. او توضیح می‌دهد: «در کنار این موارد، لاگ‌برداری کامل مبتنی بر سامانه‌های SIEM، استفاده از احراز هویت چندمرحله‌ای (MFA) برای دسترسی‌های مدیریتی و بهره‌گیری از یک WAF فعال و دقیقاً تنظیم‌شده نیز برای تقویت لایه‌های امنیتی شبکه را در نظر گرفته بودیم.»

او ادامه می‌دهد که محدودسازی سرویس‌های غیرضروری و قطع سریع IPهای مخرب، بررسی دوره‌ای Lockهای دیتابیس و پایش صف تراکنش‌های Pending نیز در دستور کار ایران‌کیش قرار داشت و این پایش‌ها در بازه‌های زمانی پنج تا ده دقیقه‌ای انجام می‌شد.

معماری امنیتی برای بحران واقعی

مدیرعامل ایران‌کیش درباره آمادگی امنیتی این شرکت نیز توضیح می‌دهد که طی دو دهه اخیر، همزمان با جنگ‌های فیزیکی، جنگ سایبری نیز میان کشورها شکل گرفته و حتی ممکن است زودتر آغاز و دیرتر پایان یابد. از همین رو، او معتقد است برخی موضوعات امنیتی بهتر است تا زمانی که از پایان جنگ سایبری اطمینان حاصل نشده، در سطح عمومی منتشر نشود. با این حال، آقابابایی بر اهمیت انطباق صنعت پرداخت با استاندارد جهانی PCI-DSS تأکید می‌کند و می‌گوید تطبیق با این استاندارد و ارزیابی مستمر و ادواری شرکت‌های PSP نقش مهمی در توانمندی صنعت پرداخت برای مواجهه با چنین چالش‌هایی داشته است: «تطبیق با این استاندارد و ارزیابی مستمر و ادواری تطبیق شرکت‌های PSP باعث قدرتمندی این صنعت در پاسخ به این چالش عظیم بود. علاوه بر این، وجود فرایندهای چندلایه نظارت امنیتی، مانیتورینگ مستمر رخدادها و تمرین سناریوهای مدیریت بحران با توجه به جنگ 12 روزه پیشین، به تیم فنی ایران‌کیش کمک کرد تا در شرایط جنگی نیز واکنش سریع و هماهنگ داشته باشند.»

به گفته او، در سطح عملیاتی یک SOC کاملاً فعال با مانیتورینگ ۷×۲۴، تیم واکنش به رخداد (IRT) و پایش مداوم لاگ‌ها و ترافیک شبکه فعال بود تا انحراف‌ها و نشانه‌های حمله در لحظه شناسایی و تحلیل شوند. آقابابایی همچنین به استفاده از تجهیزات امنیتی پیشرفته مانند فایروال‌های نسل جدید، سیستم‌های تشخیص و پیشگیری از نفوذ، جداسازی شبکه‌ها و کنترل‌های سخت‌گیرانه دسترسی اشاره می‌کند که لایه‌های دفاعی شرکت ایران‌کیش را تکمیل می‌کرد. او می‌گوید:

«نتیجه این ترکیب از لایه‌های دفاعی، پایش مستمر و آمادگی عملیاتی این بود که زیرساخت ایران‌کیش در برابر نوسانات شدید و حملات احتمالی، مقاوم و پایدار باقی ماند و بدون اینکه وارد جزئیات فنی حساس شویم، می‌توان گفت معماری امنیتی شرکت برای شرایط «بحران واقعی» طراحی شده بود و در عمل نیز کارایی خود را نشان داد.»

چالش‌های عملیاتی در اوج بحران؛ از قطع اینترنت تا فشار بر پشتیبانی

آقابابایی در پاسخ به پرسشی درباره چالش‌های عملیاتی این دوره برای شرکت‌های پرداخت می‌گوید یکی از مهم‌ترین چالش‌ها قطع اینترنت، قطع شبکه و اختلال‌های ناشی از آن بود. به گفته او، مشکلات ارتباطی میان افراد نیز به این وضعیت دامن زد. او همچنین به افزایش فشار بر بخش پشتیبانی برای پاسخ‌گویی و حل مشکلات اشاره می‌کند و در همین زمینه از تمامی پرسنل شرکت ایران‌کیش به‌طور ویژه قدردانی می‌کند.

او درباره عملکرد تیم‌های عملیاتی ایران‌کیش در روزهای جنگ می‌گوید: «این روزها برای حضور در محل کار و انجام وظایف، با توجه به شرایط سخت ارتباطی و محدودیت امکانات، بسیار دشوار بود. با این حال مسئولیت‌پذیری و تعهد کارکنان ایران‌کیش در تمامی بخش‌ها و واحدها قابل تقدیر بود. بسیاری از کارکنان با وجود نگرانی‌ها و فشارهای کاری، چه در ساعات اداری و چه خارج از آن، چه به‌صورت حضوری و چه دورکار، اجازه ندادند خلل جدی در فعالیت‌های شرکت یا بخش‌های پشتیبانی، عملیاتی، امنیتی و زیرساختی ایجاد شود.»

مدیرعامل ایران‌کیش در ادامه به اقداماتی مانند تشکیل تیم‌های اقدام سریع و مدیریت بحران در عملیات، ارسال دستگاه‌ها، تجهیزات و رول کاغذ به میزان کافی پیش از اسفندماه برای جلوگیری از بروز بحران در توزیع توسط پیمانکاران این شرکت و همچنین افزایش تعامل با پذیرندگان از طریق رصد مداوم عملکرد توسط تیم نگهداشت اشاره می‌کند. آقابابایی همچنین پاسخ‌گویی ۲۴ ساعته و هفت‌روزه تیم‌های صف ایران‌کیش را از جمله اقدامات مؤثر در این دوره می‌داند که به گفته او، بخشی از آن حاصل درس‌آموخته‌های جنگ ۱۲ روزه پیشین بوده است.

درس‌های جنگ برای مدیریت و فرهنگ سازمانی ایران‌کیش

مدیرعامل ایران‌کیش در پاسخ به این پرسش که چه درسی از تجربه جنگ گرفته‌اند، به مباحث مطرح در سال‌های اخیر در اروپا و آمریکا درباره مسئولیت‌پذیری (Responsibility) و حساب‌پذیری (Accountability) شرکت‌های خصوصی اشاره می‌کند و توضیح می‌دهد: «هدف این مباحث آن است که شرکت‌های خصوصی تنها به دنبال حداکثرسازی سود برای سهامداران نباشند و منافع سایر ذی‌نفعان به‌ویژه مشتریان را نیز در نظر بگیرند. نمی‌دانم چنین الگوهایی تا چه اندازه در شرکت‌های ایرانی قابل پیاده‌سازی است، اما تجربه جنگ نشان داد که در ایران‌کیش و بسیاری از شرکت‌ها، «خدمت‌رسانی به مردم» در صدر اولویت‌ها قرار دارد. این موضوع پیش از این نیز در ایران‌کیش اهمیت داشت، اما تجربه جنگ نشان داد باید آن را در صدر اولویت‌ها قرار داد و از آن به‌عنوان پیشرانی برای دستیابی به سایر اهداف استفاده کرد. معتقدم این رویکرد می‌تواند جهت‌دهنده‌ای مناسب برای همکاری‌ها و تشریک مساعی در شرکت باشد و تلاش کارکنان را نیز معنا ببخشد.»

او همچنین تأکید می‌کند شواهد نشان داده است تاب‌آوری سازمان تنها به فناوری وابسته نیست و علاوه بر زیرساخت‌های فنی و امکانات ارتباطی، فرهنگ سازمانی و حس مسئولیت مشترک میان کارکنان نیز نقش مهمی دارد. به گفته آقابابایی، جنگ نشان داد خدمت‌رسانی به مردم و حمایت از تداوم اقتصاد خرد و کلان کشور باید به‌عنوان اولویت شماره یک در همه سیاست‌ها و تصمیم‌گیری‌ها نهادینه شود. او اضافه می‌کند: «تاب‌آوری سازمان صرفاً محصول فناوری یا زیرساخت فنی نیست. آنچه ایران‌کیش را در شرایط سخت پایدار نگه داشت، هم‌افزایی فناوری، فرایندهای منسجم و فرهنگ سازمانی مسئولیت‌پذیر بود. به بیان ساده، این جنگ به ما ثابت کرد که رویکرد «مشتری و جامعه در مرکز» فقط یک شعار نیست، بلکه یک الزام راهبردی برای بقا و موفقیت بلندمدت است.»

انتظارات از دولت؛ اینترنت پایدار، پیش‌نیاز تاب‌آوری اقتصاد دیجیتال

آقابابایی سپس درباره انتظارات این شرکت از دولت و حاکمیت برای تقویت زیرساخت‌های صنعت پرداخت سخن می‌گوید. او معتقد است دفاع مؤثرتر از کشور نیازمند همکاری و یاری‌رسانی مردم به یکدیگر است و سال‌هاست که اینترنت و شبکه‌های اجتماعی بستر اصلی ارتباط میان مردم به شمار می‌روند. از نظر او، قطع دسترسی به اینترنت بین‌الملل و شبکه‌های اجتماعی که مورد استفاده گسترده مردم است، می‌تواند توانمندی مردم در همکاری و یاری‌رسانی را کاهش دهد.

او همچنین به نقش اقتصاد دیجیتال در صنعت پرداخت اشاره می‌کند و می‌گوید: «بخش قابل‌توجهی از کسب‌وکار و درآمد شرکت‌های پرداخت از تجارت دیجیتال حاصل می‌شود. آمارها و تجربه جنگ ۱۲ روزه نشان داده است که تاب‌آوری کسب‌وکارهای کوچک و متوسط فعال در بخش دیجیتال اقتصاد ایران در برابر قطع دسترسی مرسوم به اینترنت تنها حدود ۲۰ روز است و تعطیلی بیش از نود درصد صرافی‌های رمزارز از آغاز جنگ تاکنون شاهدی بر این مدعا است. قطع دسترسی مرسوم به اینترنت خطری بسیار جدی با عواقب منفی بسیار بزرگ برای صنعت پرداخت است و انتظار ما از حاکمیت بازگشت به شرایط عادی است. وضعیتی که برای برخی بانک‌ها و مؤسسات دولتی در طول جنگ پدید آمد، نشان داد که حتی قطع صددرصدی دسترسی به اینترنت جهانی باز هم تغییر معناداری در دفاع سایبری و نفوذ اطلاعاتی دشمن ایجاد نمی‌کند و چاره را در جای دیگر باید جست.»

عبور از نگاه امنیت مقطعی به تاب‌آوری دائمی

داود رضایی، معاون فناوری اطلاعات تجارت الکترونیک پارسیان، درباره عملکرد صنعت پرداخت در روزهای جنگ رمضان توضیح می‌دهد که پایداری شبکه کارت‌خوان‌ها و درگاه‌های پرداخت این شرکت حاصل ترکیبی از پیش‌بینی‌های استراتژیک و واکنش‌های سریع عملیاتی بوده است. به گفته او، تیم فنی این شرکت از تجربه جنگ ۱۲ روزه به‌عنوان «یک مانور واقعی» استفاده کرده بود و همین تجربه کمک کرد تا در شرایط بحران آمادگی بیشتری داشته باشند.

او درباره مهم‌ترین اقداماتی که شرکت تجارت الکترونیک پارسیان پیش از بحران و در حین آن انجام داد، می‌گوید: «یکی از اقدامات مهم ما سخت‌گیرانه کردن امنیت فیزیکی و منطقی بود؛ به‌طور مشخص پورت‌های ILO به‌صورت فیزیکی حذف شدند تا امکان نفوذ در لایه‌های زیرین سخت‌افزار از بین برود.»

رضایی همچنین به ایزولاسیون شبکه اشاره می‌کند و توضیح می‌دهد که تمامی IPهای اینترنتی به ایران اکسس محدود شدند تا حملات خارج از مرز خنثی شود. از نظر او مدیریت سریع وصله‌های امنیتی نیز نقش مهمی در پایداری خدمات این شرکت داشت: «تمامی امضاها و فرم‌ورهای تجهیزات شبکه و امنیت شبکه به محض انتشار به‌روز شدند تا هیچ رخنه شناخته‌شده‌ای باقی نماند.»

پایداری کامل صنعت پرداخت در آزمون جنگ رمضان

رضایی معتقد است صنعت پرداخت کشور در آزمون جنگ رمضان نمره قبولی گرفته است. او مهم‌ترین دلیل این موفقیت را استمرار خدمت حتی در بدترین شرایط می‌داند و توضیح می‌دهد که شاخص اصلی این موفقیت، پایداری کامل شبکه بوده است. به گفته او، با وجود فشارهای روانی و اختلالات زیرساختی، هیچ تراکنشی به دلیل نقص فنی داخلی ناموفق نشد و همین موضوع باعث شد اعتماد عمومی به شبکه بانکی حفظ شود. او تأکید می‌کند: «این موضوع یعنی سیستم نه تنها زنده ماند، بلکه با ظرفیت کامل پاسخگوی نیاز مردم بود.»

او درباره نحوه طراحی زیرساخت‌های امنیتی شرکت تجارت الکترونیک پارسیان نیز توضیح می‌دهد که استراتژی اصلی آنها بر پایه کاهش سطح حمله بنا شده بود. رضایی می‌گوید:

«در نخستین گام تمامی دسترسی‌های غیرضروری را حذف کردیم. با حذف تمامی VPNها و محدود کردن ارتباطات به پروتکل‌های امن و شناسایی‌شده، مسیرهای نفوذ احتمالی را بستیم. این رویکرد که نوعی دفاع در عمق محسوب می‌شود، باعث شد نوسانات شدید ترافیکی یا حملات سایبری احتمالی تأثیری بر هسته اصلی پردازش تراکنش‌ها نداشته باشد.»

در پاسخ به این پرسش که اصلی‌ترین چالش عملیاتی این شرکت در روزهای جنگ چه بوده، رضایی می‌گوید بزرگ‌ترین چالش حفظ تعادل میان امنیت حداکثری و دسترسی عملیاتی بوده است. او توضیح می‌دهد که محدود کردن دسترسی‌ها می‌توانست ریسک‌هایی برای انجام به‌روزرسانی‌ها ایجاد کند. با این حال به گفته او، تیم فنی این شرکت با ایجاد کانال‌های کنترل‌شده و پایش لحظه‌ای ترافیک توانست این تعادل را حفظ کند تا «پایداری شبکه فدای امنیت نشود و بالعکس.»

فداکاری نیروی انسانی و درس‌های راهبردی از بحران

او در بخش دیگری از این گفت‌وگو از عملکرد تیم‌های عملیاتی شرکت تجارت الکترونیک پارسیان نیز یاد می‌کند و می‌گوید آنچه بیش از هر چیز باعث افتخار او شده، فداکاری نیروی انسانی این شرکت بوده است. رضایی توضیح می‌دهد که با وجود اعلام شرایط دورکاری همراه با حضور محدود، بسیاری از همکاران به صورت داوطلبانه و حضوری در محل دیتاسنتر و شرکت حاضر شدند. به گفته او، پاسخگویی ۲۴ ساعته در هفت روز هفته، دلسوزی نسبت به پایداری سازمان و پیش‌بینی دقیق نیازهای زیرساختی از جمله اقداماتی بود که تیم‌ها انجام دادند. او مثال می‌زند که همکاران به‌طور مداوم سیستم‌های سرمایشی دیتاسنتر، UPSها، دسترسی‌ها و حتی تأمین سوخت دیزل‌ژنراتورها را بررسی و آزمایش می‌کردند؛ رفتاری که نشان می‌داد تیم در شرایط بحران فراتر از استانداردهای معمول کاری عمل می‌کند.

رضایی همچنین به درس‌های این تجربه اشاره می‌کند و می‌گوید: «بزرگ‌ترین درس ما از این جنگ، عبور از نگاه امنیت مقطعی به تاب‌آوری دائمی است. ما یاد گرفتیم که اقداماتی مانند ایجاد امنیت حداکثری و مدیریت دسترسی‌ها دیگر صرفاً برای شرایط جنگی در نظر گرفته نمی‌شوند، بلکه به پروتکل‌های دائمی شرکت تبدیل شده‌اند.»

به گفته او این تجربه نشان داد که سازمان باید در همه لایه‌ها، از سخت‌افزار و نرم‌افزار گرفته تا تأمین انرژی، به حداکثر خودکفایی و امکان جایگزینی سریع دست پیدا کند. رضایی می‌گوید: «مواردی که در گذشته ممکن بود هزینه اضافی تلقی شوند، اکنون به‌عنوان سرمایه‌گذاری حیاتی در سیاست‌های این شرکت نهادینه شده‌اند.»

او در ادامه به انتظاراتشان از دولت و حاکمیت نیز اشاره می‌کند و می‌گوید برای حفظ پایداری شبکه پرداخت در شرایط بحران لازم است مسیرهای ایزوله و امنی برای دسترسی به منابع جهانی فراهم شود. او می‌گوید: «محدودیت‌های گسترده اینترنت نباید مانع دریافت امضاهای امنیتی جدید، فرم‌ورهای تجهیزات و به‌روزرسانی‌های سیستم‌عامل شود، زیرا همین به‌روزرسانی‌ها خط مقدم دفاع در برابر حملات پیشرفته محسوب می‌شوند.»

نیروی انسانی؛ آخرین سنگر پایداری زیرساخت‌های حیاتی

در پایان رضایی بر نقش تعیین‌کننده نیروی انسانی تأکید می‌کند و می‌گوید ارزشمندترین دارایی سازمان‌ها همین نیروهای متخصص و متعهد هستند. او معتقد است موتور نوآوری و بهره‌وری در سخت‌ترین شرایط، انگیزه و تخصص همین افراد است. به گفته او، «تکنولوژی بدون نیروی انسانی متخصص و متعهد، در زمان بحران کار نخواهد کرد؛ یعنی حتی اگر بهترین تجهیزات، فایروال‌ها و قدرتمندترین ژنراتورها در اختیار یک سازمان باشد، در نهایت آخرین سنگر دفاعی ما، شرف و تخصص تیم انسانی است.»

به باور او، وقتی سیستم‌ها در لبه پرتگاه قرار می‌گیرند، این تعهد انسانی است که غیرممکن‌ها را ممکن می‌کند. او در پایان تأکید می‌کند که تکنولوژی ابزار است، اما روح حاکم بر این پایداری، همان متخصصانی هستند که در کنار ماشین‌ها می‌ایستند تا آرامش مردم حفظ شود و آسیب نبیند.

نمایش لینک کوتاه

کپی لینک کوتاه: https://asretarakonesh.ir/1n1s کپی شد

گزارش‌ها

امین مطیعی, بحران, پرداخت دیجیتال, تاب‌آوری, حمزه آقابابایی, داود رضایی, دستگاه کارت‌خوان, شرکت پرداخت نوین آرین, شرکت تجارت الکترونیک پارسیان (تاپ), شرکت کارت اعتباری ایران کیش, شرکت‌های PSP (شرکت‌های ارائه‌دهنده راهکارهای پرداخت الکترونیکی), صنعت پرداخت, عصر تراکنش ۱۰۴

بخش‌ها

ماهنامه عصر تراکنش

برچسب‌های پرکابرد