در میزگرد آنلاین با حضور مدیران بانکی، فناوری و پدافند غیرعامل عنوان شد: وجود سامانه‌‌های متمرکز در یک سامانه حاکمیتی، مخالف اصول پدافند غیرعامل است

نگاه و زبان پدافند غیرعامل در حوزه بانکی باید مبتنی بر ریسک باشد

بانک‌‌ها به عنوان یکی از بزرگ‌‌ترین سیستم‌‌های مالی و اقتصادی کشور، همواره از اهمیت ویژه‌‌ای برخوردار هستند. صیانت از دارایی، نگهداری ثروت و حفظ اعتماد مشتریان از وظایف مهم بانک‌‌ها تلقی می‌‌شود و ضرورت برطرف کردن این مساله، ما را مجاب خواهد کرد آنچه را که نیاز است در مسیر پیشبرد و نیل به این هدف، به‌‌کار بندیم.

تهدیداتی که بانک‌‌ها را تحت‌‌الشعاع قرار می‌‌دهند، به دو دسته طبیعی (زلزله، آتش‌‌سوزی، سیل وغیره) و انسان‌‌ساز (جنگ‌‌های سایبری، سرقت از بانک‌‌ها، اقدامات خرابکارانه وغیره) تقسیم می‌‌شوند. در این خصوص، پدافند غیرعامل به عنوان یکی از ارکان اصلی تقویت بنیه دفاعی و تجهیز زیرساخت‌های حیاتی، سعی دارد با پیاده‌‌سازی اقدامات پیشگیرانه و نوین، میزان آسیب‌‌پذیری سیستم بانکی و سطح خسارات متحمل بر بانک‌‌ها را در مواقع بروز بحران، تا حد قابل‌‌توجهی کاهش دهد.

از این‌‌رو، در هفتاد و ششمین میزگرد آنلاین از سلسله نشست‌‌های تخصصی بانکداری و اقتصاد دیجیتال، با موضوع «بررسی آمادگی نظام بانکی در حوزه پدافند غیرعامل» که با حضور حسن پارسا کارشناس ارشد پدافند غیرعامل در حوزه بانکی، محمد صادقی معاون فناوری اطلاعات بانک اقتصاد نوین و محمدرضا جمالی مدیرعامل شرکت نبض‌‌افزار برگزار شد، آسیب‌‌های حوزه بانکی کشور با توجه به ضوابط پدافند غیرعامل و راهکارهای مناسب و ضروری برای تامین امنیت بانک‌‌ها، موردبحث و تبادل‌‌نظر قرار گرفت. آنچه پیش‌‌روی شماست، مشروح این گفت‌‌وگوست.

فایل صوتی این گفت‌وگو را از اینجا بشنوید.

نشریه دیجیتال این گفت‌وگو را از اینجا دانلود کنید.

اسپانسر : شرکت توسعه خدمات الکترونیکی آدونیس

• ‌آقای دکتر جمالی به عنوان اولین سوال، یکی از اتفاقاتی که همیشه برای خودم سوال بوده، این است که آیا در نظام بانکی باید به اصول پدافند غیرعامل اهمیت دهیم؟ با توجه به اینکه در هفته پدافند غیرعامل هستیم، ضرورت اهمیت این موضوع چیست؟ معمولا در پدافند غیرعامل، دستورالعمل‌‌هایی را به سازمان‌‌ها و شرکت‌‌های دولتی ابلاغ می‌‌کنند تا مراقبت‌‌هایی انجام شود. ظاهرا آنقدر سختگیرانه در این دستورالعمل‌‌ها عمل می‌‌شود که اگر آن را جلوی سازنده‌‌های اصلی مانند شرکت‌‌های آمریکایی و اروپایی هم بگذاریم، آنها هم کم می‌‌آورند و نمی‌‌توانند اجرا کنند! آقایان فقط هشدار می‌‌دهند و دست بالا می‌‌گیرند، در حالی که شاید در ایران، هیچ‌‌کس قادر نباشد این دستورالعمل‌‌ها را اجرایی کند. این امر، شاید نقطه ضعف باشد و آنچه از طرف نهاد بالادستی ابلاغ می‌‌شود، بر اساس واقعیت نباشد. نظر شما را در این زمینه می‌‌شنویم.

جمالی: بنده با آشنایی قبلی نسبت به این مسایل، معتقدم پدافند غیرعامل، واژه درستی نیست و در دنیا به نام دفاع غیرعامل شناخته می‌‌شود. تعریف آن هم به‌‌گونه‌‌ای است که اگر قرار باشد در چارچوب ریسک صحبت کنیم، بیشتر به مباحث ریسک عملیاتی برمی‌‌گردد. تعریف پدافند غیرعامل بر اساس آنچه از نظامیان شنیده‌‌ایم، این است که بر اثر حملات به زیرساخت‌‌ها یا حوادث طبیعی با پراکندگی، مقاوم‌‌سازی و یا روش‌‌های دیگر، کمترین آسیب به زیرساخت‌‌ها و منابع انسانی کشور وارد شود. درباره مسایلی که اشاره کردید، متاسفانه از سمت حاکمیت، این موارد را می‌‌بینیم. وقتی به زیرساخت‌‌های اساسی کشور، مانند زیرساخت‌‌های عمرانی نگاه می‌‌کنیم، اتفاقا حضور نهادهای نظامی در حوزه ساخت‌‌وساز، مشکلات زیادی ایجاد کرد. تجربه آن را در سیل قبلی داشتیم مانند پل‌‌هایی که توسط نهادهای نظامی، قرارگاه خاتم و نهادهای دیگر ساخته شده بود یا ریل آهن خرم‌‌آباد که مشکلاتی را ایجاد کرد. اگر به سیستم بانکی اشاره کنیم ما نسبت به دهه ۱۳۶۰ و ۱۳۷۰، در حوزه پدافند غیرعامل، در عرصه بانکی، وضعیت بسیار بدتری داریم. یک بحث آن به زیرساخت معماری و سطح عملیاتی برمی‌‌گردد و بحث دیگر به مسایلی که ریشه امنیتی و نظامی ندارد و به خاطر مشکلات سرویس‌‌دهی حتی در سطح کسب‌‌وکار، به مسایل امنیتی تبدیل می‌‌شود. این مسایل، آسیب‌‌پذیری کشور را در این حوزه نشان می‌‌دهد. بنده معتقدم وقتی حوادث آبان‌‌ماه اتفاق می‌‌افتد و در سطح کسب‌‌وکار سیستم بانکی مشکل داریم، این‌ها به بحران‌‌هایی تشکیل می‌‌شود که ارزش پول ملی کاهش می‌یابد و مشکل‌‌ساز می‌‌شود. بنابراین این مشکلات را در سطح عملیات و کسب‌‌وکار داریم و اوضاع ما نسبت به دهه‌‌های قبلی، بسیار شکننده‌‌تر و بدتر شده است.

• ‌جنابعالی به نکات مختلفی اشاره کردید. سوال اصلی این است که ضرورت جدی گرفتن پدافند غیرعامل در حوزه بانکی چیست؟ اگر اتفاقی رخ دهد، چه آسیبی به ما وارد می‌‌کند؟

جمالی: هر سیستمی که طراحی می‌‌شود، باید درست طراحی شده باشد. در سیستم بانکی نیز پراکندگی در خود بانک‌‌ها وجود دارد و دیتا و عملیات به صورت متمرکز مطرح است و خود رگولاتور نیز با گذاشتن دو سوییچ شتاب وشاپرک به صورت سریال، اوضاع را بدتر کرد و اکنون با چسباندن همین سیستم بانکی مثلا از طریق رمز پویا و بقیه موارد، به سایر زیرساخت‌‌هایی که آنها هم امن نیستند و حتی از نظر عملیات هم دسترسی مناسبی ندارند، اوضاع را بدتر می‌‌کند در حالی که سیستم اقتصادی و کسب‌‌وکارها، حتی زمانی که کشور درگیر جنگ، تهدیدات و حکومت نظامی است باید گردش خود را داشته باشند. پرداخت باید مستقل‌‌تر باشد و بانک‌‌ها نیز باید به صورت روتین عملیات خود را انجام دهند اما با وضعیت موجود، متاسفانه ریسک عملیاتی بالایی وجود دارد که ممکن است هر لحظه اتفاق بیفتد.

• ‌جناب پارسا! جنابعالی مدیرکل شبکه بانکی در پدافند غیرعامل، قائم‌‌مقام معاون فاوای سازمان پدافند غیرعامل و معاون قرارگاه پدافند سایبری کشور بوده‌‌اید. با توجه به این سوابق و تجربیات عملی، لطفا تا آنجا که امکان‌‌پذیر است و محرمانه نیست، فکت‌‌های مشخصی ارایه‌ کنید. ضرورت به‌‌کارگیری پدافند غیرعامل در نظام بانکی چیست و چرا باید آن را جدی بگیریم؟

پارسا: از آنجا که دوستان در گروه اشاره کردند تعریفی از پدافند غیرعامل ارایه‌ شود، بنده، تعریف آقای دکتر جمالی را اصلاح و ابتدا تعریف مصوب مجمع تشخیص مصلحت نظام که در اساس‌نامه پدافند غیرعامل نیز به آن اشاره شده، عرض می‌‌کنم. بر این اساس، پدافند غیرعامل به اقداماتی گفته می‌‌شود که کاهش آسیب‌‌پذیری و در نهایت مصون‌‌سازی را به دنبال دارد. همچنین بازدارندگی، افزایش پایداری، استمرار خدمات ضروری و تسهیل در مدیریت بحران ایجاد می‌‌کند. تعریف دیگری هم مقام معظم رهبری ارایه‌ کرده‌‌اند. به گفته ایشان، پدافند غیرعامل مانند مصون‌‌سازی بدن انسان است و از درون، ما را مصون می‌‌کند؛ یعنی اگر دشمن تهاجم کند، زحمت بکشد و ضرب و زور هم بزند، اثری نخواهد داشت و این امر با پدافند غیرعامل محقق خواهد شد. پدافند غیرعامل در حوزه بانکی، به‌طور خاص سه کلیدواژه را دنبال می‌‌کند؛ اول بحث امنیت اطلاعات از حیث صحت، محرمانگی و در دسترس‌‌پذیری، دوم ایمنی سرمایه‌‌ها و دارایی‌‌ها و سوم تاب‌‌آوری یا پایداری. اگر تهدیدات را دو سطح ببینیم، یک سطح آن، طبیعی است مانند سیل و زلزله، و سطح دیگر، تهدیدات انسان‌‌ساخت است؛ یعنی با برنامه‌‌ریزی قبلی، هدف‌‌گذاری و در یک حوزه خاص، عملیاتی می‌‌شود. به‌طور اساسی پدافند غیرعامل، تهدیدات انسان‌‌ساخت است که با سناریوهای قبلی ساخته و پرداخته می‌‌شود مانند سیستم‌‌های کنترل صنعتی مثل استاکس‌‌نت که در سال ۹۰ تولید شد و مقصد و هدف آن مشخص بود. بنابراین تهدیدی از قبل، رقم زده می‌‌شود. درخصوص ضرورت پدافند غیرعامل باید عرض کنم این موضوع، با ظهور فین‌‌تک‌‌ها، ورود به بانکداری دیجیتال و وابستگی مردم و دولت به شبکه بانکی اهمیت پیدا کرد چون شبکه پولی و بانکی، ابزارهای نظام حاکمیتی در حوزه پول، بانک و ابزار اقتصاد کشور است. بنابراین پرداختن به پدافند غیرعامل اجتناب‌‌ناپذیر است و از نظر عقلی و منطقی این موضوع را تایید می‌‌کند. ضرورت دیگر، موارد حاکمیتی است مانند ماده ۵۸ قانون احکام دائمی که به‌طور صریح دولت را به اصول و ضوابط پدافند غیرعامل مکلف کرده و نیز ماده ۱۰۶ و ۱۰۷ برنامه پنج‌ساله ششم توسعه که بحث کاهش آسیب‌‌پذیری در همه حوزه‌‌ها از جمله بانکی را دنبال می‌کند. ضرورت بیشتر تا جایی است که پدافند غیرعامل برای نظام بانکی و استمرار خدمات بانکی به مردم بسیار اهمیت دارد که در ادامه درخصوص آن صحبت خواهیم کرد.

• جناب صادقی! لطفا جنابعالی هم نکات خود را درخصوص ضرورت به‌‌کارگیری پدافند غیرعامل و اینکه در این حوزه چه باید کرد، بفرمایید.

صادقی: درباره ضرورت پدافند غیرعامل حتی در زندگی روزمره، هیچ شکی وجود ندارد. همان‌‌طور که آقای پارسا اشاره کردند مجموعه اقداماتی است که باید انجام دهیم تا اگر اتفاقات طبیعی یا مصنوعی (انسان‌‌ساخت) رخ داد، برای مقابله با آن آمادگی داشته باشیم و بانک هم یک نهاد مالی است که حساسیت روی آن زیاد است. بنابراین درباره پدافند غیرعامل و اقداماتی که باید انجام داد، شکی وجود ندارد اما اینکه چه باید کرد، مهم است. ما در بانک‌‌ها، مجموعه اقداماتی را انجام می‌‌دهیم و باید ببینیم آیا این اقدامات، ما را در مقابل مشکلاتی که پیش می‌‌آید، به سرمنزل مقصود می‌‌رساند و اگر اتفاقی بیفتد، آیا می‌‌توانیم مدیریت بحران کنیم، به موقع، اقدامات لازم را انجام دهیم و از داده‌‌ها، زیرساخت‌‌ها و نهاد مالی‌‌مان که مردم به آن اعتماد کرده‌‌اند، مراقبت کنیم یا خیر؟ چون اولین وظیفه بانک، اعتمادسازی برای مشتریان است تا اگر اتفاق طبیعی رخ داد بتوانیم از دارایی آنها محافظت کنیم و سرویس‌‌مان را تداوم دهیم یا اگر حمله سایبری و اغتشاش رخ داد، آیا قدرت مقابله و تداوم سرویس داریم و می‌‌توانیم از دارایی مردم حفاظت کنیم یا خیر؟ شاید ما بیشتر حوزه فناوری را انجام می‌‌دهیم اما پدافند غیرعامل، فراتر از موضوعات فناورانه است و همه‌‌چیز را حتی در حوزه بانکی پوشش می‌‌دهد. ما درگیر مسایل شعبه، زیرساخت‌‌های ساختمان ستادی، زیرساخت‌‌های مخابراتی و داده‌‌ها هستیم و باید ببینیم به عنوان بانک، موفق بوده‌ایم یا اگر موفق نبوده‌‌ایم، نقش قانون‌‌گذار چقدر بوده و آیا نگاه عملیاتی به این موضوع داشته یا اینکه فقط در مرحله ابلاغ مجموعه‌‌ای از دستورالعمل‌‌هایی که چندان اجراپذیر نیست، مانده است. به نظرم اگر روی این مساله، متمرکز شویم، بسیار کمک‌‌کننده است. آقای جمالی به نقاط ضعف اشاره کردند. البته اقدامات خوبی هم انجام داده‌‌ایم و اقدامات دیگری را هم انجام نداده‌‌ایم و قسمت‌‌هایی هم خارج از اختیارات بانک‌‌هاست که باید تلاش کنیم اتفاق بیفتد. با توجه به اتفاقاتی که طی دو سه هفته اخیر افتاده، سیل نامه‌‌‌‌ها برای ما ارسال می‌‌شود اما اینکه اقدامات عملیاتی انجام دهیم، باید ببینیم به صورت برنامه‌‌ریزی‌‌شده، قابلیت اجرا وجود دارد و اگر مشکلاتی رخ دهد، می‌‌توانیم آن را پوشش دهیم یا خیر.

• ‌اتفاقا سوال بعدی در همین زمینه است. با برخی از مدیران که به صورت غیررسمی صحبت کردم، بسیاری از آنها نگران هستند و معتقدند شاید بانک‌‌های ما به صورت نمایشی، چیزهایی داشته باشند که در مواقع بحران، تداوم سرویس‌‌دهی داشته باشند اما به صورت عملیاتی، نگرانی‌‌های جدی در این حوزه وجود دارد. آیا تا به حال مانوری توسط نظام بانکی انجام شده که اینترنت قطع شود یا حمله سایبری صورت گیرد و ببینیم تا چه میزان امکان ارایه‌ سرویس وجود دارد؟ البته فکر کنم یک‌‌ سال و نیم پیش، در این زمینه حرکتی انجام شد اما خروجی، مشخص نشد. آیا در بانک اقتصاد نوین، مانور مشخصی انجام شده است؟ اگر انجام شده، تاریخ آخرین مانور را بفرمایید. آمادگی وضعیت، چگونه است و آیا این نکات را تایید می‌‌کنید؟

صادقی: اگر ابتدا درباره کلیت موضوع و بعدا درخصوص بانک خودمان صحبت کنیم، بهتر است. ما باید مجموعه‌‌ای از اقدامات را انجام دهیم که فراتر از قطع شدن اینترنت است. بیش از یک سال پیش، دو سه مانور انجام دادیم و موفق شدیم بدون اینترنت در شبکه اینترنت ملی، سرویس‌‌ها را ادامه دهیم و مشکلی نداشتیم اما این موضوع، یکی از کوچک‌‌ترین مسایل ماست. مساله اصلی این است که دیتاسنترهای لازم را ساخته‌‌ایم یا خیر؟ آیا دیتاسنتر اصلی، بکاپ و ریکاوری را ایجاد و از نظر سخت‌‌افزاری و نرم‌‌افزاری تجهیز کرده‌‌ایم؟ آیا نرم‌‌افزارهایی که در بانک‌‌ها استفاده می‌‌کنیم، در پشتیبان به صورت صددرصد و میزان سرویس‌‌هایی که لازم است، در سایت اضطرار، وجود دارد یا خیر؟ خطوط ارتباطی موردنیاز وجود دارد؟ آیا نرم‌‌افزارهای متعدد بانکی، برای سوییچ به جای دیگر، تاب‌‌آوری دارند؟ ما موضوع RPRT را داریم که قسمتی باید قطع شود و اگر قطع شد، دوباره باید وصل شود. آیا این تاب‌‌آوری سنجیده شده است؟ چون ما از یک نرم‌‌افزار کربنکینگ استفاده می‌‌کنیم که RPRT خاص خود را دارد یا نرم‌‌افزار برای اتوماسیون خاص خود داریم و هرکدام این‌ها باید تعریف‌‌شده باشد و بسته به نیاز، تجهیز شود.

• ‌یکی از دوستان اشاره کرد در سال ۹۸ که در چنین روزهایی با قطع شدن اینترنت در کشور مواجه بودیم همین موضوع، به‌‌گونه‌‌ای مانور بوده است. البته به نظرم از آنجا که در این زمینه، آمادگی قبلی برای این قطعی اینترنت وجود داشت و توسط حاکمیت اتفاق افتاد، می‌‌توانست به همه آلارم بدهد تا قبل از قطع شدن آمادگی لازم داشته باشند تا سوییچ اتفاق بیفتد. بنابراین نمی‌توان به عنوان یک اتفاق جدی از آن نام برد؛ هرچند سرویس‌‌ها ارایه‌ شد و در برخی موارد، اختلالاتی وجود داشت و صدای مردم در برخی زمینه‌‌ها درآمد. شما آمادگی نظام بانکی را در حوزه پدافند غیرعامل چقدر جدی می‌‌بینید و با شرایط موجود، فکر می‌کنید آیا در مواقع بحران، نباید نگران باشیم؟

جمالی: ما همین الان در بحران هستیم و همین سرویس با همین شرایط، عادی نیست و با وضعیتی که بانک‌‌ها در آن کار می‌‌کنند، لبه آتشفشان هستند. اتفاقا درخصوص حوادث سال ۹۸، ما باید از اینترنت به عنوان یک بستر و ساختار موازی در زیرساخت‌‌ها استفاده کنیم و اینکه به سمت زیرساخت ملی مانند شبکه سوخت می‌‌رویم و آن را جدا می‌‌کنیم، به معنای امن شدن سیستم نیست بلکه مشکلات و ماداگاسکارهایی ایجاد می‌کنیم که از تعامل با دنیا دور می‌‌شویم و در برخی موارد، ریسک‌‌ها بالاتر می‌‌رود. تجربه آن همان سیستم سوخت است که سیستم داخلی است و از کارت هوشمند استفاده کرده است. قاعدتا اگر قرار است برای دیتاسنتر مشکل ایجاد شود، با شناخت و دانش بنده درباره کارت هوشمند، دیتا باید داخل خود کارت هم باشد و به صورت آفلاین نیز کار کند. اینکه چرا این اتفاق نمی‌‌افتد، نیازمند توجه ویژه است. وقتی گفته می‌‌شود امنیت مانند سیستم ایمنی بدن است، وقتی سطح امنیت در بدن از یک سطح بالاتر می‌‌رود، (بنده زمانی حسابگری زیستی تدریس می‌کردم و علاوه بر شبکه‌‌های عصبی، ژنتیک و الگوریتم، این سیستم را نیز مدنظر داشتم)، همان‌‌جا ممکن است نقص ایمنی داشته باشیم. بالا بردن امنیت می‌‌تواند تبدیل به مساله امنیتی در سطح بالاتر شود. ما دقیقا این مساله را می‌‌بینیم که همان مسایل امنیتی باعث می‌‌شود در سرویس، اختلال ایجاد شود و همین امر موجب تبدیل آن به مساله امنیت اجتماعی می‌‌شود. زیرساخت متمرکز و وضعیت ایجادشده، دست همه را بسته است و طرز فکر و فلسفه‌‌ای که با آن کار می‌‌کند، مشکل دارد. هر سیستم فوق‌‌متمرکز، لزوما مقاوم، ثابت و قابل اعتماد نیست و قادر نیست در مقیاس بالا کار کند. این مسایل که شما اشاره می‌‌کنید، آینده نیست، بلکه گذشته است. سیل دو سال قبل در فروردین‌‌ماه را داشتیم که شهر پل‌‌دختر و چند استان، درگیر آن شدند. در این شرایط، یک ارتش هم نمی‌‌تواند شهر را جمع کند. آن‌‌وقت ما بانک‌‌‌‌ها را تبدیل به پروسسور کردیم؛ به‌‌گونه‌‌ای که ۹۰درصد بار سیستم بانکی به خاطر نبود کیف پول و حتی ابزارهای سنتی سکه و اسکناس است. وقتی حاکمیت، رگولیشن و تنظیم‌گری غلط ایجاد کرده، ریسک، بالا می‌‌رود. تمام بانک‌‌های کشور، دیتاسنتر و چند مگاوات نیروگاه دیزل گذاشته‌‌اند اما وقتی نوسان برق ایجاد می‌‌شود و دسترسی برق باید ۹۹٫۹۹ باشد، ۹۰درصد می‌‌شود و هزار برابر از حدی که باید باشد، پایین‌‌تر می‌‌آید. همچنین ولتاژ ۲۰کیلوولت از UPS عبور می‌‌کند و کاری نمی‌‌توان کرد. این اتفاق، ماشین عظیم بانک را داون می‌‌کند و ساختار آ‌نقدر متمرکز است که نمی‌‌توان parallel کرد. اگر دو سال دیگر با همین روند پیش برویم، از نظر ریاضی، تراکنش ما باید در ۵۰میلی‌‌ثانیه انجام شود در حالی که تاخیر شبکه، ۷۰میلی‌‌ثانیه است. بنابراین ما هم در گذشته وضعیت نامناسبی داشتیم و هم در آینده این وضعیت را داریم و این امر، یک روند غلط و ادامه‌‌دار است.

صادقی: ما موضوع را به ساخت دیتاسنتر محدود کرده‌‌ایم و بسیاری از مسایل دیگر را به‌طور جدی بررسی نکرده‌‌ایم. مساله مهم‌‌تر این است که وقتی یک بحران مانند یک اتفاق در مرکز در تهران رخ می‌‌دهد و قرار است از طریق پشتیبان خدمات بدهیم، مشکل حاد، نیروی انسانی است. ما در دیتاسنترهای مختلف، به اندازه کافی در بخش پشتیبان، نیروی انسانی متخصص نداریم. در بانک‌‌های ما سه شرکت اصلی وجود دارند که خدمات بانکی ارایه‌ می‌‌دهند و البته یک‌‌سری بانک‌‌ها، شرکت‌‌های خاص خودشان را دارند. در همان سه شرکت، نیروی انسانی کافی برای اینکه یک بانک به سایت پشتیبان مراجعه کرده و خدمات را ارایه‌ کند، وجود ندارد. فارغ از مسایل فنی، مسایل انسانی نیز وجود دارد که به آن جدی نگاه نکردیم و در حد همین نامه‌‌نگاری که این سه سایت را ساختیم، کار را پیش بردیم. واقعا نسبت به اینکه مثلا سه ماه در سایت پشتیبان بمانیم و کار کنیم، فکر نشده است و هیچ‌‌یک از بانک‌‌ها به صورت جدی به این موضوع نپرداخته‌‌اند. مانورهای بانکی هم در حد کوچک و شبکه‌‌ای بوده و قسمتی از سرویس را طی کرده و به چند شعبه هم سرویس داده و مدت کوتاهی رفت و برگشت داشته‌‌اند. موضوع تاب‌‌آوری که مطرح شد، بسیار مهم است و چندان به آن توجه نکرده‌‌ایم. می‌‌توان گفت تمام بانک‌‌ها این تاب‌‌آوری را لمس نکرده‌‌اند و این موضوع، باید بیشتر حلاجی شود.

• ‌فارغ از بانک، لزوم تاب‌‌آوری برای ارایه‌ سرویس به کسب‌وکارهایی است که از بانک‌‌ها سرویس می‌‌گیرند و فقط به خود بانک‌ها مربوط نمی‌‌شود چون بسیاری از کسب‌‌وکارهای بزرگ از بانک‌‌ها، سرویس می‌‌گیرند.

صادقی: بنده وقتی از نظام بانکی صحبت می‌‌کنم، فقط منظورم بانک نیست بلکه کل اکوسیستم بانکی که قسمتی از آن پرداخت است، نیز مدنظر است. وقتی نظام بانکی دچار مشکل باشد، کل نظام پرداخت هم مشکل خواهد داشت و غیر از استارت‌آپ‌‌ها، خود شبکه پرداخت هم با مشکل مواجه می‌‌شود اما ما این مساله را جدی نگرفته‌‌ایم.

• ‌یعنی شما نمی‌‌توانید اطمینان صددرصدی بدهید که اگر اتفاقی رخ دهد، بانک‌‌ها بتوانند سرویس‌‌های پایه خودشان را به‌طور کامل ارایه‌ دهند. درست است؟

صادقی: نظر بنده این است. البته دوستان بانکی دیگر نیز در گروه هستند و می‌‌توانند نظرشان را بدهند. شاید روش برخورد ما با پدافند غیرعامل هم نادرست است. وقتی خدمات را متمرکز کرده‌‌ایم و شرکت‌‌های موازی ایجاد نشده، اگر هزاران پدافند غیرعامل نیز ایجاد کنیم اما شبکه ما با آن دو مرکز قطع شود، همه برنامه‌‌های ما هم قطع می‌‌شود. همه دوستان باید شفاف و صادقانه این مسایل را مطرح کنند.

• ‌دقیقا همین‌‌طور است. ما یک شبکه داخل بانک‌‌ها را داریم که کربنکینگ و سرویس‌‌دهی بانک به شعب است و نیز یک بخش بین‌‌بانکی داریم که روی سرویس‌‌های حاکمیتی سوار است. دادن سرویس به سرویس‌‌هایی مانند نهاب و سحاب به‌‌گونه‌‌ای است که اگر یکی قطع شود، سرویس بانک دچار مساله می‌‌شود. جناب پارسا! با توجه به مانورهایی که قبلا در نظام بانکی انجام دادید، شما وضعیت را در این حوزه اعم از نظام بانکی و سایر حوزه‌‌ها چطور می‌‌بینید؟ ما فقط نظام بانکی را نداریم بلکه همه این‌ها یک زنجیره به هم متصل است. اگر شبکه اینترانت داخلی دچار مساله شود، بانک‌‌ها هم گرفتار می‌‌شوند.

پارسا: بنده نه بدبینانه و نه خوش‌‌بینانه نگاه می‌‌کنم. هم باید الان را ببینیم و هم ۱۵ سال پیش. در حال حاضر، امنیت شبکه بانکی، با رشد فناوری و روند توسعه فناوری اطلاعات، ظهور فین‌‌تک‌‌ها و دیجیتال شدن بانکداری، یک موضوع نسبی است و همیشه همراه با رشد فناوری باید توسعه پیدا کند. جان اوبر می‌‌گوید: تاریخ جنگ، همان تاریخ فناوری است؛ یعنی هرچقدر فناوری توسعه می‌‌یابد، جنگ‌‌ها را تحت‌‌تاثیر خود قرار می‌‌دهد. اگر بخواهیم سرمایه‌‌های یک سیستم مانند بانک را از حیث ماهیت دسته‌‌بندی کنیم، شامل چهار دسته است: اول سرمایه‌‌های فیزیکی، دوم سرمایه‌‌های انسانی که با رشد فناوری اطلاعات، بسیار شاخص شده و کشور نیازمند نیروی انسانی کارآمد، متخصص، مجرب و متعهد است. سوم سرمایه‌‌های مبتنی بر سایبر و چهارم سرمایه‌‌های ملی و معنوی که به عنوان یک پرستیژ ملی از آن یاد می‌‌شود. اواخر سال ۹۸ بود که در سازمان پدافند غیرعامل، مانوری داشتیم مبنی اینکه اگر اینترنت قطع شود، بنگاه‌‌های کسب‌‌وکار و نهادهایی مانند بانک‌‌ها، که ارتباط بیشتری با مردم دارند، باید چه رفتاری داشته باشند که نتایج بسیار خوبی گرفتیم. ریشه این کار در وزارت ارتباطات و فناوری اطلاعات رقم خورد و با عملیاتی که متناسب با فعالیت‌‌های وزارت ارتباطات در شبکه بانکی رخ داد، نتیجه آن را در بانک‌‌ها مشاهده کردیم. این اقدام، خوب بود و به نوعی مصونیت بانک‌‌ها در برابر قطع اینترنت رقم خورد اما نمی‌‌توانیم بگوییم امروز کاملا خوب یا بد هستیم. هرچقدر فناوری توسعه پیدا کند، با توجه به اینکه ما مانند کشورهای اروپایی و آمریکایی، کشور صاحب فناوری نیستیم و عملا در زمین آنها بازی می‌‌کنیم، این امر، کار را برای ما سخت می‌‌کند. از یک طرف در شرایط تحریم قرار داریم و نمی‌‌توانیم دیوایس‌‌های حیاتی را که برای بانک‌‌ها مهم است، وارد کنیم و اگر هم وارد کنیم، ممکن است تجهیزشده باشد و بعضا تجهیز شدن آن باعث خرابکاری می‌‌شود، بنابراین کشور به سمت تجهیزات بومی می‌‌رود. تجهیزات بومی نیز تا زمانی که نهادهای حاکمیتی حمایت مالی وغیره می‌‌کنند، جان می‌‌گیرند و متاسفانه در مقطع دیگر، رها می‌‌شوند و نتیجه مطلوب نمی‌‌گیریم. بحث اینکه سامانه‌‌های اساسی در یک سازمان حاکمیتی متمرکز شده، کاملا قبول دارم و مخالف با اصول و ضوابط پدافند غیرعامل است، چون اولین اصل در پدافند غیرعامل، اجرای طرح‌‌های تمرکززدایی و ممانعت از تجمیع ساختار فنی است که…

• ‌عذرخواهی می‌‌کنم بابت اینکه وسط کلام شما وارد می‌‌شوم. موضوع ساختارهای حاکمیتی در بخش دیگر میزگرد بررسی خواهد شد. در این زمینه، خود دستورالعمل‌‌های پدافند غیرعامل به بانک‌‌ها یا نهادهای مختلف، چقدر ضمانت اجرا دارد؟ درباره ترک فعل هم توضیح بفرمایید؛ یعنی وقتی دستورالعملی از جایی ابلاغ می‌‌شود، ضمانت اجرای آن تا چه میزان است؟ اینکه یک بانک، این موارد را پیش‌‌بینی نکرده باشد، فارغ از دستورالعمل‌‌های صادرشده، مردم باید به چه کسی مراجعه کنند و چه کسی پاسخگوست؟

پارسا: ابتدای برنامه عرض کردم ماده ۵۸ قانون احکام دائمی کشور، ماده ۱۰۶ و ۱۰۷ برنامه ششم توسعه و دادسرای ویژه پدافند غیرعامل در قوه قضاییه برای برخورد با متخلفانی که اصول و ضوابط پدافند غیرعامل را رعایت نکنند، وجود دارد. به‌طور خاص، در حوزه پدافند غیرعامل در یکی دو سال گذشته، دستورالعملی با عنوان CRP ابلاغ و پلن مشخصی ارایه‌ شده که همه وجوه مختلف پدافند غیرعامل را فارغ از اینکه صرفا به بحث سایبر بپردازد، حتی به مباحث دیتاسنتر، فیزیکی، سایبری وغیره اشاره کرده و در انتها مطرح شده که این موضوع به صورت کلی است و بانک‌‌ها، متناسب با تعداد شعب و گستردگی خودشان، باید طرح مدیریت بحران ناشی از جنگ یا CRP بانک خودشان را تدوین کرده و به تصویب سازمان پدافند غیرعامل برسانند و از آن بهره‌‌برداری کنند. اینکه ضمانت اجرایی آن چیست، مواد قانونی آن را عرض کردم و دادسرای ویژه نیز وجود دارد. اگر به مصاحبه اخیر با سردار جلالی، رییس سازمان پدافند غیرعامل توجه کرده باشید، از ایشان سوال کردند در این زمینه، چه اقدامی داشتید؟ و پاسخ دادند بخشی از تهدیدات را با توجه به رصد قبلی، پیش‌‌بینی و ابلاغ کردیم اما انجام نشده و طبیعتا برخی افراد را به حوزه قضایی معرفی می‌‌کنیم. اینکه چقدر به این موضوع پرداخته شده یا بشود، باید دید تسامحی وجود داشته یا خیر. پدافند غیرعامل نسبت به سازما‌‌ن‌‌های دیگر عمر طولانی ندارد و اوایل تاسیس آن، در تعریف و درک این مفهوم، جای شبهه بود و شاید الان هم بسیاری افراد، اطلاع نداشته باشند اما اتفاقات خوبی رخ داده و نسبت به گذشته، رشد خیلی خوبی داشته و اصول و مبانی آن برای بسیاری از مسوولان و کارشناسان، جا افتاده است.

• ‌همان‌‌طور که اشاره کردید، پدافند غیرعامل حوزه‌‌هایی را که به آنها دستورالعمل داده، چک می‌‌کند و از آنها سر می‌‌زند اما نوشدارو بعد از مرگ سهراب که به درد کسی نمی‌‌خورد. اصلا فرض کنید در حوزه کارت سوخت، چند نفر را اعدام یا اخراج کنند، اینکه دردی را دوا نمی‌‌کند. قبل از وقوع حادثه، باید پیش‌‌بینی لازم را داشته باشیم و جلوی آن را بگیریم. اینکه سردار جلالی گفته‌‌اند موضوع، پیش‌‌بینی شده باید سوال کرد پس چرا این اتفاق افتاده است؟ ضمن اینکه شنیده‌‌ام به واسطه اتفاقات آبان‌‌ماهِ چند سال قبل، یک آماده‌‌باش در سامانه‌‌های سوخت از قبل وجود داشته اما با وجود این آماده‌‌باش بودن، این اتفاق، رخ داد که امیدوارم شفاف‌‌سازی شود. حالا در نظام بانکی، چه کسی باید بررسی کند که فلان بانک و خود سامانه‌‌های حاکمیتی، این دستورالعمل را اجرایی کرده‌‌اند یا خیر؟ این کار، وظیفه کیست؟ البته بانک، چند مدیر دارد و می‌‌تواند تصمیم‌‌گیری کند اما به قول آقای صادقی، مشکل منابع انسانی وجود دارد. اصلا آیا بانک‌‌ها آمادگی دارند یا خیر؟ چه کسی باید چک و تیک کند؟ امتیاز بانک‌‌ها باید در این زمینه مشخص شود. اگر بانکی رعایت نمی‌‌کند باید فشار وارد کرد تا انجام دهد چون ماجرای نظام بانکی و پولی، با تمام سامانه‌‌های کشور متفاوت است. اگر مشابه اتفاقی که در سامانه سوخت رخ داد، در نظام بانکی اتفاق بیفتد، نمی‌توانیم بگوییم حالا ماشین ما سوخت ندارد، یک کاری می‌‌کنیم! آیا الان به اندازه کافی اسکناس در کشور داریم که اگر نتوانیم در شبکه الکترونیک کار کنیم، با پول، مشکل حل شود؟ چنین چیزی هم وجود ندارد و این موضوع، مشکلات امنیتی بسیاری را به دنبال خواهد داشت. نظر شما در این زمینه چیست؟ آیا خود رگولاتور بانکی باید این موضوع را مورد بررسی قرار دهد یا افتای ریاست‌جمهوری یا شورای عالی فضای مجازی یا پدافند غیرعامل؟ خود این سازمان‌‌های موازی‌‌ هم ماجرای دیگری است. شنیده‌‌ام وقتی در نظام بانکی، اتفاقی می‌‌افتد از چندین‌‌جا با مدیر بالادستی تماس می‌گیرند که چه اتفاقی افتاده و او باید به همه پاسخگو باشد و نمی‌‌داند الان باید مشکل را حل کند یا به نهادهای مختلف پاسخگو باشد؟ ما از دوستان در افتای ریاست‌جمهوری نیز در این برنامه دعوت کردیم اما گفتند به دلیل موضوعات امنیتی و دستورالعمل‌ها، اجازه حضور ندارند. از دوستان پدافند غیرعامل هم درخواست حضور در برنامه را داشتیم اما آن هم مقدور نشد. عدم حضور دوستان در برنامه تخصصی، مقداری شبهه‌‌برانگیز است. اینکه سردار جلالی و سایر دوستان در برنامه غیرتخصصی به سوالات غیرتخصصی پاسخ می‌‌دهند، دردی را دوا نمی‌‌کند. بهتر است اگر قرار است آقایان جدی‌‌تر کار کنند، خودشان را در این فضاهای تخصصی هم قرار دهند تا ایرادات آنها هم دیده شود و درخصوص آن صحبت کنیم و راهکار داشته باشیم.

پارسا: ببینید در نهادی مانند دبیرخانه مرکز ملی فضای مجازی که بالای سر آن شورای عالی فضای مجازی با ریاست رییس‌جمهوری است، سیاست‌‌گذاری کلان انجام می‌‌شود و نمی‌‌توان به آن موازی‌‌کاری گفت. سه سطح مختلف وجود دارد. لایه حوزه جرم، لایه حوزه امنیت و لایه حوزه جنگی. برای لایه جرم، پلیس فتا وجود دارد؛ یعنی جایی که در فضای مجازی، جرم اتفاق می‌‌افتد که رقم روزانه آن هم بالاست و برای بانک‌‌ها هم بسیار زیاد است. اینجا وظیفه پلیس فتاست و کار خودش را می‌‌کند و پدافند غیرعامل در حوزه جرم، ورود و حتی سوال هم نمی‌‌کند، چون در حوزه ماموریتش نیست اما وقتی مساله به نوعی تروریستی می‌‌شود و حوزه امنیت پیش می‌‌آید، مرکز راهبردی افتا مسوولیت دارد و ورود می‌کند. آنجا که با یک یا چند کشور متخاصم مواجه هستیم و می‌‌خواهند ضربه بزنند و هدف‌‌گذاری آنها، امنیت ملی کشور است، جایی است که سازمان پدافند غیرعامل ورود می‌‌کند. یکی از دلایلی که آقای جلالی به عنوان رییس سازمان پدافند غیرعامل ورود کرد، به این دلیل بود که به‌طور رسمی اعلام کرد این موضوع، کار آمریکا و رژیم صهیونیستی است و اشاره کرد قبلا گفته بودیم و طرح این موضوع که چرا به آن توجه نشده و اینکه با عوامل مربوطه، برخورد خواهد شد. پس با توجه به اینکه با سه سطح لایه جرم، امنیت، جنگ و دفاع مواجه هستیم، هر سازمان، ماموریت خودش را انجام می‌‌دهد. درباره سوال دیگر مبنی بر اینکه مسوولیت ‌‌چک‌‌لیست با کیست، باید عرض کنم طبیعتا هرکسی دستورالعمل می‌‌دهد، مسوولیت با خودش است؛ یعنی درخصوص همین CRP که عرض کردم، طرح مدیریت بحران ناشی از جنگ در حوزه بانکی که توسط سازمان پدافند غیرعامل ابلاغ شد، مسوولیت چک و تیک آن و این موضوع که در بانک‌‌ها، چقدر به آن پرداخته شده و در چه مرحله‌‌ای است، با خود این سازمان است. البته بنده در حال حاضر، مسوولیتی در سازمان پدافند غیرعامل ندارم که پاسخ شفاف‌‌تری به شما بدهم. افتا و پلیس فتا هم دستورالعمل‌‌های خاصی دارند و مسوولیت‌‌شان با خودشان است. اینکه چقدر ورود می‌‌کنند و پاسخ می‌‌دهند، با خود این سازمان‌‌هاست. نکته دیگر اینکه در اساس‌نامه سازمان پدافند غیرعامل آمده است: بالاترین مقام مسوول هر تشکیلاتی، مسوولیت پدافند غیرعامل را برعهده دارد. مثلا در یک بانک، مدیرعامل، به عنوان بالاترین مقام مسوول باید پاسخگوی حوزه پدافند غیرعامل باشد و اگر در این حوزه برای او، ابلاغی ارسال شد، باید این کار را انجام دهد. در برخی بانک‌‌ها، ساختار پدافند غیرعامل وجود دارد و به‌طور خاص، فرد یا اداره‌‌ای برای اعمال ضوابط و قوانین پدافند غیرعامل قرار داده‌‌اند و در برخی بانک‌‌ها و حتی شبکه بانکی ممکن است ایجاد، مانورها، آموزش‌‌ها و آگاهی‌‌های آنها کمتر باشد. اساسا نمی‌‌توان گفت کار، کار کیست و هرکس باید در حوزه ماموریت خودش پاسخگو باشد.

• ‌همین موضوع، خوب نیست. همان‌‌طور که اشاره کردید سردار جلالی گفته بودند ما هشدارهای لازم را داده بودیم. این، خوب است اما هرکس دستورالعمل می‌‌دهد، خودش باید چک کند. اگر توسط دوستان در پدافند غیرعامل هشدارها داده شده، چرا سامانه سوخت دوباره از همان ناحیه، ضربه می‌‌خورد؟

پارسا: در اصل، دستگاه اجرایی باید پاسخگو باشد. یک سازمان حاکمیتی مانند پدافند غیرعامل در کل کشور، در همه حوزه‌‌ها، سازمان‌ها، وزارتخانه‌‌ها و استان‌‌ها، ساختار دارد و گسترده است. این‌‌طور نیست که یک سازمان حاکمیتی بالای سر یک سازمان دیگر بیاید و بگوید چرا انجام ندادید، میسر نیست بلکه آن تشکیلات، وزارتخانه یا سازمان است که باید ساختار پدافند غیرعامل ایجاد کند و ابلاغیه‌‌ها، شیوه‌‌نامه‌‌ها و دستورالعمل‌‌هایی که از سازمان حاکمیتی برای آنجا ارسال می‌‌شود، اجرا کند و اگر اجرا نکند، خودش باید پاسخگو باشد نه سازمان حاکمیتی که آن را ابلاغ کرده است. یک سازمان حاکمیتی، کار اجرایی نمی‌‌کند. سازمان حاکمیتی مانند پدافند غیرعامل، افتا یا پلیس فتا، در یک حوزه، ابلاغ را انجام می‌‌دهد اما اگر انجام نشد و چالش یا تنش در سطح کشور ایجاد شد، طبیعتا آن سازمانی که شیوه‌‌نامه و دستورالعمل را انجام نداده، باید پاسخگو باشد.

صادقی: در مملکت ما دستورالعمل‌‌های زیادی داده می‌‌شود. درست است می‌گوییم بانک مرکزی، حاکمیتی است اما تا وقتی پای کار نیامده‌‌اند و پروژه‌‌های ریز را تعریف نکردند، به آن سمت‌‌وسویی که باید می‌‌رفتیم، نرفتیم. پدافند غیرعامل ایجاد کردن و زیرساخت‌‌های آن را اجرا کردن، هزینه‌‌‌‌های زیادی را به هر مجموعه‌‌ای تحمیل می‌‌کند و هرکس بخواهد تصمیم‌‌گیری کند، سخت است که مثلا سایت بسازد و سایت دیگر مانند آن ایجاد کند و نیروی انسانی هم مانند آن داشته باشد و همه این‌ها را هم همین امروز انجام دهد. اینکه بعد از رخ دادن موضوع، مثلا دچار اختلال شدن بانک، فلانی را اعدام کنیم، فایده‌‌ای ندارد. به نظرم باید برنامه اجرایی داشته باشیم و فاز به فاز و گام‌‌ به گام بگوییم چه اتفاقی باید بیفتد. مانند همان کاری که آقای پارسا اشاره کردند و برای اینترنت انجام شد، کار بسیار خوبی بود. اگر در پدافند غیرعامل، پروژه و فاز تعریف می‌‌کردیم و اینکه در هر فاز، چه مشکلاتی داریم و چه مشکلاتی را قرار است حل کنیم، شاید به سمت بهبود می‌‌رفتیم. به هرحال موجود زنده‌‌ای داریم و سیستم‌‌ها و تکنولوژی به سمت جلو حرکت می‌‌کند. پدافند غیرعامل هم باید همگام با آن جلو برود. اگر مثلا ۱۰ رک نیاز داریم، ۵۰ رک می‌‌سازیم چون سخت‌‌افزار خریدن و زیرساخت ایجاد کردن، راحت‌‌ترین کار است و چون ملموس است، به راحتی، پول می‌‌دهند اما سخت‌‌افزار مساله ما را حل نخواهد کرد. هر بانک، هزینه‌‌های بسیاری انجام داده و کلی تجهیز کرده مثلا سایت و سایت پشتیبان را هم می‌‌سازد. چند سال قبل، به‌طور مثال ۲۰میلیارد سخت‌‌افزار خریداری کرده اما الان ۱۰۰میلیارد لازم دارد تا آن را نوسازی کند! اگر فکر درست می‌‌کردیم و مانند همه دنیا، دیتاسنترها، خطوط، پشتیبانی و نیروی انسانی مشترک می‌‌شد و وحدت فرماندهی داشتیم، وضعیت بهتر بود. همان‌‌طور که می‌‌گوییم پدافند غیرعامل باید وحدت فرماندهی داشته باشد، در اینجا هم باید وحدت فرماندهی در تصمیم‌‌سازی، تعریف پروژه و فازبندی اتفاق می‌‌افتاد تا نتایج بهتری می‌‌گرفتیم. ما ناگزیر از انجام آن هستیم و غیر از آن نمی‌‌توانیم کاری کنیم. ما روی سخت‌‌افزار و سیستم متمرکز شده‌‌ایم. نباید پدافند غیرعامل را به فناوری محدود کنیم. ما در سایر موارد هم مشکل داریم که راه‌‌حل آن همین است و نمی‌‌توانیم با دستورالعمل دادن کار را پیش ببریم. اینکه یک مدیر که قرار است مثلا سه سال مدیریت کند، تصمیم به انجام هزینه‌‌های سنگین بگیرد، میسر نیست. این هزینه‌‌ها دائمی است. اگر یک مدیر مثلا ۴۰نفر نیروی انسانی جذب کند و سایت پشتیبان هم بگیرد، با رفتن او، این‌ها از بین نمی‌‌رود و قرار است همیشه باشد و این امر، تاثیر جانبی همیشگی خواهد داشت. هیچ مدیری، به این سادگی تصمیم نمی‌‌گیرد. دوستان باید به این سمت حرکت کنند تا مساله را حل کنند. اینکه ما گفتیم و حل نشده، درست نیست. اگر قرار بود حل شود، تا الان حل شده بود. باید طرح داشته باشیم و آن طرح نیز وحدت فرماندهی داشته باشد و با فازبندی، مساله حل شود. راه‌‌حل مساله، همین است.

• ‌حرف درستی است. بر اثر قطعی برق در ایام تابستان، ژنراتور مرکز اصلی یکی از بانک‌‌ها دچار مشکل شد و تلاش کردند از طریق پشتیبان اقدام کنند اما آن هم پاسخگو نبود و در نهایت با سه چهار ساعت قطعی شبکه در زمان کاری روزانه، سرویس مجددا راه‌اندازی شد. ما قطع برق در کشور داریم و قبل از آن هم به خوبی اطلاع‌‌رسانی نمی‌‌شود و همین امر، شوک در شبکه ایجاد می‌‌کند و باعث می‌‌شود ژنراتور از کار بیفتد یا اینکه اصلا ژنراتور از قبل، دارای مساله بوده و زمان اضطرار برای استفاده، دچار مشکل می‌‌شود. آقای دکتر جمالی! اگر جنابعالی هم در این زمینه، نکته‌‌ای دارید، بفرمایید.

جمالی: بنده معتقدم دیدگاه ما اشتباه است. امروز زندگی، سرویس است: سرویس آب، برق، امنیت بانکی، مخابرات و نظایر آن. دوستان می‌گویند زمانی که اینترنت را قطع کنیم، کاری کنیم تا مشکل پیدا نکنیم. ما خودمان کاری کرده‌‌ایم که به خاطر نظارت، سوراخی به نام زیرساخت ایجاد کرده‌‌ایم و همه پهنای باند کشور از این نقطه عبور می‌کند. ما خودمان مشکل ایجاد کردیم و بعد به مشکل دیگر برخوردیم. آن طرف هم شاپرک و شتاب ایجاد کردیم. خودمان نیروگاه‌‌های هزار مگاواتی در کشور راه‌‌اندازی کرده‌‌ایم و همه آن را نیروگاه‌‌های گازی، سیکل ترکیبی و فسیلی گذاشته‌‌ایم و نگذاشتیم برق به صورت توزیع‌‌شده با مدل کسب‌‌وکار پیش برود و مشکل برق، ایجاد کردیم. ما در جمهوری اسلامی به عنوان جمهوری اسلامی، قرار نیست سرویس بدهیم بلکه قرار است نظارت کنیم. این برق، برق امام و مخابرات امام است. وقتی این سرویس‌‌ها داده نمی‌‌شود، فرد، خفه شده و این امر، تبدیل به مشکل امنیتی می‌‌شود. دوستان، تعریف امنیت را به درستی نمی‌‌دانند. چرا باید اینترنت قطع باشد؟ اینترنت، کلود و بلاک‌‌چین یک فرصت است و ما دوباره از تمام اتفاقات، نتیجه غلط می‌‌گیریم و دوباره می‌‌خواهیم به سمت داخل برویم. این‌ها نشان می‌‌دهد راهی که ۲۰سال طی کردیم، غلط بوده است.

• ‌البته در کنار اینترنت، بد نیست شبکه داخلی کشور را هم داشته باشیم.

جمالی: بله، آن هم باشد، ولی چرا اینترنت را قطع می‌‌کنیم؟ ما می‌خواهیم هم بد سرویس بدهیم و هم بد حاکمیت کنیم و کسی هم اعتراض نکند و بعد دوباره سرویس بدهیم اما نمی‌‌توانیم. تکلیف این‌ها مشخص نشده که قرار است چه‌‌کاری انجام دهیم. سکه و اسکناس را از بین برده‌‌ایم اما ساختار موازی نداریم. کیف پول هم نداریم. همان نهاد حاکمیتی که جزء اجرا نیست و زمان اجرا می‌‌گوید چه‌‌کاره هستم، باید بداند ۸۰ درصد شرکت خدمات انفورماتیک، با تراکنش‌‌های خرد مواجه است. کارمزد هم به‌‌گونه‌‌ای نیست که به بانک خودمان مراجعه کنیم تا در موقع بحران، مشکل ایجاد نشود. سامانه سوخت را قرار داده‌‌ایم اما در کشور در حال توسعه دسترسی ۹۹٫۹۹ نداریم. برای بنزین زدن، سه سیستم متمرکز وجود دارد. یکی ۹۹درصد است و دیگری هم ۹۹درصد. این‌ها در هم ضرب می‌‌شود که ۹۰ درصد یا ۸۰ درصد خواهد شد. از یک‌‌طرف زمان سوخت‌‌گیری افزایش پیدا کرده و دو برابر ظرفیت استفاده می‌‌شود. به قول آقای صادقی، دیتاسنترها درست طراحی نشده و مدام هزینه سخت‌افزار انجام می‌‌دهیم. این‌ها همگی جمع شده و تبدیل به سربار بر روی بانک‌‌ها می‌‌شود، هزینه‌‌های عملیاتی افزایش می‌‌یابد، هزینه تمام‌‌شده پول بالا می‌‌رود، مشکل دلار ایجاد می‌‌شود و بر اساس آن، مشکل ریال به وجود می‌‌آید. خودِ حاکمیت این کارها را انجام داده است.

پارسا: اشتباه است فکر کنیم امنیت، به معنای قطع اینترنت است. واقعیت این است که اینترنت و فضای مجازی، یک موهبت الهی است و هیچ‌وقت به دنبال امنیتی کردن این موضوع و اینکه اینترنت باید قطع شود، نبوده‌‌ایم، چون باید امنیت ایجاد کرد. کشور صاحب فناوری که این اینترنت را به ما می‌‌دهد، دشمنی خودش را بارها و بارها رسما اعلام کرده است. طبیعتا در حوزه پدافند غیرعامل، یک منطق سالم و درست می‌‌گوید که ما باید به حال خودمان فکری بکنیم. فلسفه شبکه ملی اطلاعات این است که بتوانیم در شرایط بحران، بدون وابستگی به یک کشور صاحب فناوری، خدمات را در داخل کشور به مردم ارایه‌ دهیم. در مانور قطع اینترنت، در اصل اینترنت، قطع نشده بلکه در لبه gateway از خارج کشور به زیرساخت‌‌های ما دسترسی نداشتند و ما برای هر بانکی که این سناریو را برگزار کردیم، عملا شعب خارجی هر بانک در خارج از کشور از کار می‌‌افتاد اما در داخل کشور، مردم هیچ‌‌گونه قطعی را حس نمی‌‌کردند. بنابراین این‌‌طور نیست که یک سازمان حاکمیتی معتقد باشد اینترنت و فضای مجازی بد است اما باید در کنار فرصت، تهدید را هم ببینیم. اگر تهدید را نبینیم، مانند کشور عراق می‌‌شویم که در کسری از ثانیه، کل حاکمیت خود را از دست داد. اینکه ما به‌طور خوش‌‌بینانه فقط بهره‌‌بردار و درگیر زرق و برق آن شویم، این وابستگی می‌‌تواند برای ما کاملا مشکل‌‌ساز شود. پس هم باید فرصت را ببینیم و هم تهدید را. واقعیت این نیست که بگوییم آن را امنیتی کرده‌‌ایم. مانورهایی که انجام شده، همگی به دنبال تاب‌‌آوری است چون استمرار خدمات ضروری در حوزه بانکی، بسیار اهمیت دارد و مردم ممکن است هر روز و هر ساعت به بانک مراجعه کنند و آن، جایی است که اگر مردم با ورود به هر شعبه بانکی احساس کنند، دارایی‌‌شان دچار مشکل شده، همین مردم و حتی بسیاری از افراد ارزشی کشور، ممکن است کف خیابان بیایند و برای حاکمیت، مشکل ایجاد کنند.

• ‌آقای دکتر اینالویی، معاون فناوری اطلاعات بانک ایران زمین روی خط هستند. خواهش من این است که به‌طور شفاف موضوعات را بیان کنیم. جناب اینالویی! اتفاقاتی در کشور رخ داده و آقای پارسا هم به درستی اشاره کردند که ما صاحب فناوری نیستیم و مصرف‌‌کننده آن هستیم و در حوزه سخت‌‌‌‌افزاری عمدتا از همین کشورهای متخاصم، واردات را انجام می‌‌دهیم. بنده از یکی از دوستان حوزه امنیتی، یک سوال ساده پرسیدم مبنی بر اینکه در حوزه پدافند غبرعامل، همیشه خرابکاری در سیستم نداریم. ممکن است کشورهای متخاصم، چیزی را در سخت‌‌افزار خودشان مثلا در مین‌فریم‌‌ قرار دهند مانند حکایت ویروس استاکس‌‌نت که تاسیسات هسته‌ای کشور را دچار مساله کرد و ما هم نمی‌‌دانستیم این ویروس از چه زمانی در شبکه وجود داشته و وقتی شروع به تخریب کرد، متوجه آن شدیم. البته آن دوست عزیز گفت ما مطمئن نیستیم. شاید همین الان آقایان در شبکه ما نشسته‌‌اند و بدون اینکه دست به چیزی بزنند، دیتا را برمی‌‌دارند و می‌‌برند و روی آن، اقدامات خاص خود را انجام می‌‌دهند. دلیل نمی‌‌شود چون تا الان در نظام بانکی، اتفاقی نیفتاده، همه‌‌چیز ما، صددرصد اکی باشد. ایشان گفتند هیچ اطمینان صددرصدی وجود ندارد. نظر شما چیست؟

اینالویی: بنده، ۹ سال قبل، مقاله‌‌ای با عنوان پدافند غیرعامل و چالش‌‌های نظام بانکی نوشته بودم. بعد از مرور مقاله، متوجه شدم تمام تهدیداتی که آن زمان لیست کرده بودم و اتفاقا در سایت پدافند غیرعامل نیز قرار گرفته بود، همچنان، همگی برقرار است و می‌‌توان به آن مواردی را هم اضافه کرد. این امر نشان می‌‌دهد هرچند ما در برخی موارد بهبودهایی داشتیم اما متاسفانه تهدیدات اصلی همچنان برقرار است. صحبت‌‌های آقای پارسا درباره ورود پدافند به حوزه‌‌های جنگی برای بنده جذاب بود چون الان نامه‌‌هایی که از سمت پدافند برای ما ارسال می‌‌شود، در حد IP، معرفی نرم‌‌افزار و بدافزار نیز ورود می‌‌کند. چند وقت پیش دستورالعملی ارسال شده بود که استفاده از تجهیزات آمریکایی، ممنوع است. دوست دارم بدانم در پدافند غیرعامل برای تجهیزات سرور و شبکه از چه ابزاری استفاده می‌‌کنند؟! این، واقعا جای سوال است. اگر بخواهم به اصل سوال شما بپردازم باید عرض کنم شبکه بانکی، شبکه‌‌ای بوده که در خدمات بانکی، دیتاسنترها و پروایدرها بانک‌‌ها با هم ارتباط دارند. به تازگی شبکه بانکی از این حالت بیرون آمده است زیرا بعضی از خدمات بانکی به خدمات بیرونی متصل شده که با سیستم بانکی، SLA ندارند مانند مباحثی که شما درباره نهاب و سحاب اشاره کردید و اینکه به ثبت احوال وصل شده و این امر در ارایه‌ برخی خدمات، مشکل‌‌ساز شده است. بنده موضوع پدافند غیرعامل را از سازمان پدافند غیرعامل جدا می‌‌کنم. فرض کنید یک بانک بدون اینکه سازمان پدافند غیرعامل وجود داشته باشد، این مفاهیم امنیتی را در خودش پیاده‌‌سازی کند. با این شرایط، نگاه کردن به اینکه دیتاسنتر اول، دوم یا سوم داشته باشیم، کفایت نمی‌‌کند و ما باید از سمت سرویس نگاه کنیم. سرویس هم نگاه داخلی ندارد و نگاه بیرونی دارد. باید ببینیم سرویس‌‌هایی که به مشتریان می‌‌دهیم چقدر دسترسی به آن وجود دارد نه اینکه چند دیتاسنتر، این شرایط را دارد. چه‌‌بسا اگر اتوماسیون اداری یک سازمان در یک بانک، چهار پنج ساعت قطع شود، در آن سازمان، بحران به وجود بیاید. هنوز بنا به دستورالعمل پدافند غیرعامل باید سه دیتاسنتر داشته باشیم. اگر سخت‌‌افزارهای سنگین هم خریداری کنیم اما چنانچه آن SLA سرویس با مشتریان را رعایت نکنیم خصوصا در جاهایی که موضوع، حساس می‌‌شود، عملا این هزینه‌‌ها به نتیجه نمی‌‌رسد. نگاه ما باید نگاه درستی باشد. الان ثبت احوال دچار مشکل شده یا اینکه شبکه بانکی را در اختیار یک سیستم بیرونی که هیچ ارتباطی به بانک ندارد، قرار دادیم تا اقدامات لازم را در شبکه انجام دهد. با توجه به اینکه سوخت هم یک شبکه بسته بوده، اینکه چرا آفلاین جواب نداده، بماند اما به نظر می‌‌رسد در یک شبکه بسته مانند استاکس‌‌نت، تهدید از داخل بوده است و برخی جاها هم اعلام شد به خاطر دسترسی‌‌هایی که به بیرون داده شده، این‌‌ اتفاقات رخ داده است. الان شبکه بانکی خود را در اختیار بیرون قرار داده است. مثال آن سیاق (سامانه یکپارچه احکام قضائی) است؛ یعنی شبکه بانکی را در اختیار قاضی قرار داده‌‌اند تا وی بتواند از این شبکه برای اجرای حکم استفاده کند؛ یعنی بدون اینکه بانک خبردار شود به جای اینکه قاضی حکم را به بانک بدهد و بانک آن‌‌ را اجرا کند و نتیجه را برگرداند، خودش به‌طور مستقیم آن کار را انجام دهد. این‌ها همان اقداماتی است که باعث اشکال می‌‌شود و به این ترتیب سوراخ‌‌هایی در نظام بانکی ایجاد می‌‌کنیم. مشکل دیگر که دوستان نیز اشاره کردند این است که ما در حال اضافه کردن سیستم‌های متمرکز هستیم. این در حالی است که دنیا به سمت عدم تمرکز حرکت می‌‌کند و این امر، مشکل‌‌ساز می‌‌شود. بنده چند بار در جلسات بانک مرکزی عرض کردم بعدها کسانی خواهند آمد که افتخارشان سیستم‌‌زدایی است و خواهند گفت چه اشتباهی به خاطر این سیستم‌‌های متمرکز صورت گرفته است. اینکه رگولاتور را درگیر اجرا کنیم، بسیار غلط است. نظارت بر رگولاتور اعم از بانکی، مخابراتی و…، وظیفه سازمان پدافند غیرعامل است. هرچقدر سخت‌‌افزار و نرم‌‌افزار داتشه باشیم و لبه‌‌ها را ببندیم و فایروال‌‌ها و سخت‌‌افزار بومی هم داشته باشیم، وقتی شبکه را در اختیار دیگران قرار می‌‌دهیم و سیستم‌‌ها را متمرکز می‌‌ کنیم، این مشکلات مطرح می‌‌شود. آقای پارسا به بانکداری دیجیتال اشاره کردند. بانکداری دیجیتال در ذات خود توزیع‌‌شدگی و عدم تمرکز دارد و اکنون قرار است با یک سیستم متمرکز که از لحاظ معماری، اشکال دارد به یک سیستم غیرمتمرکز نظارت کنیم. این معماری، یا در سرویس، مشکل‌‌ساز می‌‌شود یا سوراخ‌‌هایی در آن پیدا می‌‌شود و یا تمرکز در آن ایجاد می‌‌شود که همگی این‌ها مشکل‌‌ساز است. سوییچ شتاب و شاپرک، به خاطر اینکه تک هستند، مشکل‌‌سازند. سال‌‌های سال همه متخصصان بانکی می‌‌گویند سوییچ دوم و سوم شتاب موردنیاز است اما کسی توجهی نکرده است. به نظرم دستورالعمل‌‌های بالادستی مانند دستورالعمل‌‌هایی که پدافند ارسال می‌‌کند، چندان تاثیرگذار نیست. پدافند غیرعامل می‌‌گوید همیشه آماده‌‌باش باشید و فلان اقدامات را انجام دهید. خب یک‌‌بار این موضوع را اعلام کرده، کافی است و حالا بقیه باید آن را اجرا کنند. آیا سوییچ بانکی و شاپرک در این ۲۰ سال تغییر کرد؟ آیا ما از سیستم متمرکز فاصله گرفتیم؟ خیر! این‌ها بارها گفته شده و تکرار آن به جایی نمی‌‌رسد. ما برخلاف مسایل و سیاست‌‌های کلان مصوب حرکت می‌‌کنیم و نظارت بر آن نداریم و در عمل، نقاط آسیب‌‌پذیر را افزایش می‌‌دهیم. مواردی که آقای صادقی درباره نیروی انسانی اشاره کردند، خصوصا طی دو سه سال اخیر، تهدید بسیار مهمی است و به آن توجه نکرده‌‌ایم. باید آن را جدی بگیریم اما نهادی در کشور، متولی آن نیست. پدافند غیرعامل نمی‌‌گوید چرا نیروی انسانی ما در حال مهاجرت است. پدافند غیرعامل، یک مشکل ساده ما را حل کند، خوب است. ۲۰ سال است بین بانک مرکزی و صمت بر سر زیرساخت امضای دیجیتال دعواست. ما نمی‌‌توانیم عدم انکارپذیری را در نظام بانکی عملیاتی کنیم، بنابراین همچنان در حال شعار دادن هستیم و معلوم نیست بین بانک مرکزی و صمت، بتوانیم یک ریشه بانکی جداگانه داشته باشیم یا باید از صمت بگیریم. این‌ها مسایل پیچیده‌‌ای نیست و به راحتی می‌‌تواند بین ارگان‌‌ها حل‌‌وفصل شود. بنابراین طبق فرمایشات آقای صادقی، ما باید به این مسایل، مصداقی نگاه کنیم و ببینیم چه کارهایی بناست انجام شود و می‌‌تواند در لیست قرار گیرد و آنها را تعیین تکلیف کنیم. همچنین مواردی که نمی‌‌توانیم، به آن فشار وارد نکنیم. ما نمی‌‌توانیم تجهیزات آمریکایی را ممنوع کنیم. جایگزین سرور HP و سیسکو چیست؟ اگر کسی می‌‌داند اعلام کند تا ما هم از فردا با سرویس‌‌های جدید جایگزین کنیم!

• ‌البته به سوال اول بنده پاسخ ندادید. آیا ما در حال حاضر، شنود مخفیانه در نظام بانکی می‌‌توانیم داشته باشیم یا خیر؟

اینالویی: اگر بپرسید داریم یا خیر، پاسخ منفی است اما اگر بگویید آیا می‌‌توانیم داشته باشیم، جواب این است که هم از داخل می‌‌توانیم داشته باشیم و هم از بیرون. مثال می‌‌زنم. برخی بانک‌‌ها از خدمات ماهواره استفاده می‌‌کنند. دیتا بعد از رفتن به ماهواره، به زمین می‌‌آید، چنانچه آن اطلاعات، در فرستنده، ثبت و ذخیره شود، شنود می‌‌شود. از این مثال‌‌ها، بسیار می‌‌توان گفت. باید ببینیم راهکار آن چیست.

• ‌به بخش جذاب گفت‌‌وگو می‌‌رسیم. سازمان پدافند غیرعامل، این موضوع را که تمرکز سیستم‌‌ها در یک نقطه باشند، منع می‌‌کند. ما دو شبکه اصلی در نظام بانکی به نام‌‌های شتاب و شاپرک داریم و جایگزینی هم برای آن وجود ندارد. اگر اتفاقی برای آنها بیفتد، تکلیف چیست؟ آیا سازمان پدافند غیرعامل به این سمت حرکت نکرده که جلوی این موضوع گرفته شود؟ تصور بنده با توجه به صحبت‌‌های کارشناسی این است که دلیل عدم راه‌‌اندازی شتاب ۲ و شاپرک ۲، مباحث کسب‌‌و‌‌کاری و درآمدی است که چون رگولاتور بانکی خودش ذینفع است، اجازه نمی‌‌دهد مسیر دوم باز شود. نظر شما در این زمینه چیست؟

پارسا: اینکه دلیل آن مباحث بیزینس یا… است، باید خود مدیران بانک مرکزی پاسخ دهند که ممکن است استدلال‌‌های خاص خود را داشته باشند اما بنده به عنوان یک کارشناس در حوزه پدافند غیرعامل تایید می‌‌کنم، این تمرکز، درست نیست و تمرکززدایی یکی از اصول پدافند غیرعامل است. تجمیع ساختار فنی، خلاف ضوابط پدافند غیرعامل است. طبیعتا هرچقدر این تمرکززدایی و ایجاد زیرساخت‌‌های موازی انجام شود، آستانه تحمل را در برابر بحران‌‌های مختلف افزایش می‌‌دهد، لذا ایجاد ظرفیت‌‌های احتیاط و پشتیبان برای آن حوزه نیز تعریف می‌‌شود. در حال حاضر، ایجاد دیتاسنترهای اصلی، بکاپ، پشتیبان و بحران، هزینه بالایی دارد. چند راهکار وجود دارد. مثلا به صورت منطقه‌‌ای انجام شود و تعدادی از بانک‌‌ها، به صورت مشترک با هم دیتاسنترهای اصلی، بکاپ و بحران داشته باشند و همگی از آن بهره‌‌مند شوند. راهکار دیگر این است که بانک مرکزی در مقطعی ورود کرد اما رها شد. بانک مرکزی به عنوان یک سازمان حاکمیتی و رگولاتور، می‌‌تواند دیتاسنترهایی را ایجاد کند و برای آنها بکاپ، پشتیبان و DISASTER راه‌‌اندازی کند و سپس به بانک‌‌ها خدمات بدهد. این امر، باعث می‌‌شود تعداد و هزینه‌‌ها خیلی کمتر شود. متاسفانه چون بانک مرکزی نیز در برخی حوزه‌‌ها، رقیب بانک‌‌ها شده و نقش حاکمیتی خود را به تدریج از دست داده، بانک‌‌ها و نظام آسیب می‌‌بیند؛ یعنی هر بانک کوچک، با تعداد کمی شعبه، به این سمت می‌‌رود که کلی هزینه کند تا حداقل دو دیتاسنتر در دو استان ایجاد کند. متاسفانه بانک‌‌ها چون با همدیگر رقیب هستند، با یکدیگر طرح مشترک راه‌‌اندازی نمی‌‌کنند. بانک مرکزی و حوزه نظام اقتصادی می‌‌تواند بین این‌ها ورود کرده، حَکَم باشد و برای بانک‌‌ها، طرح مشترکی تعریف کند و تعدد این دو دیتاسنتر و هزینه‌‌های زیادی را تا مقداری، تقلیل دهد. اگر بانک مرکزی، یک دیتاسنتر اصلی به همراه بک‌‌آپ در چند استان، داشته باشد، در عین حال که تمرکززدایی اتفاق افتاده، همه بانک‌‌ها و حتی غیربانک‌‌ها نیز می‌‌توانند از آن بهره‌‌مند شوند.

• ‌آقای دکتر مرتضی ترک‌‌تبریزی عضو هیات‌‌‌‌مدیره بانک تجارت نیز شنونده برنامه ما هستند. لطفا نظرات‌‌تان را درباره اینکه آیا ما در حوزه پدافند غیرعامل در بانک‌‌های کشور موفق بوده‌‌ایم یا خیر، بفرمایید.

ترک‌‌تبریزی: ما در همین موضوع پدافند غیرعامل نیز هماهنگی بین دستگاه‌‌ها را نداریم و از همین‌‌جا در حال ضربه خوردن هستیم. باید ببینیم پروسه پدافند غیرعامل ما در این سال‌‌ها چقدر پیشرفت کرده و دستورها و سیاست‌‌های بالادستی، مدام به‌‌روز می‌‌شود یا خیر؟ سال ۸۴ و ۸۵ بحث پدافند غیرعامل این بود که اگر اتفاقی می‌‌افتد، شعب بانک‌‌ها کار کند اما الان دستورالعمل این است که علاوه بر شعب، همراه‌‌بانک‌‌ها نیز کار کند. از آن طرف مشکلات بسیاری در بانک‌‌ها داریم که اگر قرار باشد این همراه‌‌بانک کار کند، چقدر نرم‌‌افزار و سخت‌‌افزار آمریکایی نیاز دارد و ما درگیر این موضوع هستیم که جنس آمریکایی نخریم. نکته دیگر اینکه ما چقدر به نیروی انسانی نیاز داریم اما این نیروها به دلایل مختلف از کشور مهاجرت می‌‌کنند یا اینکه چقدر به دنبال تمرکززدایی هستیم اما سیاست‌‌ها و برنامه‌‌های بانک مرکزی بر مبنای تمرکز پیش می‌‌رود. پدافند غیرعامل باید در حوزه سیاست‌‌گذاری باشد و در زمینه اجرا ورود نکند. قصد پدافند این نیست که در اجرا ورود کند. در حوزه سیاست‌‌گذار، خوب کار کرده و مسایلی را به بانک‌ها اعلام کرده، خصوصا در کشور ما که دائما به هر دلیل در حال تهدید و دچار مشکلات متعدد هستیم و بنده عینا چندین موضوع را مشاهده کرده‌‌ام. در این حالت، باید disaster site شود، سایت mirror داشته باشیم، تجهیزات را تا جای ممکن، امن کنیم و اگر اینترنت، قطع شد، از شبکه‌های داخلی، سرویس‌‌ بدهیم. بنده چندان به عبارت اینترنت ملی و شبکه ملی اعتقاد ندارم بلکه معتقدم بتوانیم از شبکه داخلی مخابرات، سرویس بدهیم؛ یعنی کسی که در این کشور است، اگر کارتش را به دستگاه خودپرداز بزند، لازم نباشد از اینترنت استفاده کند یا اگر خواست همراه‌‌بانک خود را از اینترنت داخلی تامین کند، به DNS کانادا مراجعه نکند و همین‌‌جا، کار خود را انجام دهد. با این همه، هماهنگی لازم وجود ندارد و نیروهای انسانی خود را نیز از دست می‌‌دهیم. با این شرایط چگونه می‌‌توانیم تهدیدات را حذف کنیم؟ ما باید با نیروی انسانی این دستگاه‌‌ها را راه‌‌اندازی کنیم. آیا ما می‌‌توانیم مین‌‌فریم یا سروری بسازیم که نیازهای ما را پاسخ دهد؛ سروری که دائما بتوانیم پچ‌‌ها و لایسنس خود را تامین و امن‌‌سازی کنیم؟ حتما نمی‌توانیم. باید نگاه واقع‌‌بینانه وجود داشته باشد. همچنین اگر در بین مراجع بالادستی، بحث تمرکززدایی وجود دارد، چرا بانک مرکزی این‌‌گونه کار می‌‌کند؟ اگر بحث نیروی انسانی وجود دارد، باید نیازمندی‌‌های آنها را بدهیم اما با بسیاری از مراجع بیرونی دیگر مواجه می‌‌شویم. چرا با سازمان بازرسی کل کشور مواجه می‌‌شویم و در هر مناقصه و استخدامی، با مباحث گزینشی، دچار مشکل هستیم؟ سازمان‌‌های زیادی وجود دارند که بر بانک‌‌ها حکومت می‌‌کنند و اگر اتفاقی برای بانک می‌‌افتد، به جای اینکه آن مشکل را حل کنیم، دائما باید به نهادهای مختلف گزارش بدهیم که چه اتفاقی افتاد؛ یعنی آن‌‌قدر وقت ما بابت این موضوع گرفته می‌‌شود که از همه کارها عقب می‌‌افتیم. زمانی این موضوع، مطرح بود که پدافند غیرعامل قرار است وزارتخانه شود. بنده عرض کردم همین الان که این سازمان، بالادستی است، خیلی از سازمان‌‌های دیگر حرف آن را نمی‌‌خوانند چه برسد به اینکه در سطح وزارتخانه قرار گیرد. حلقه گمشده ما، اخلاق تحولی است و اینکه در سازمان‌‌های ما، کارها به شدت، پیچیده و بزرگ شده و نمی‌‌توانیم با همدیگر کار کنیم و هرکس کار خودش را انجام می‌‌دهد. این امر باعث می‌‌شود نتوانیم به اهداف‌‌مان برسیم، تهدیدات را خنثی کنیم و یا اینکه به خوبی با تهدیدات مواجه شویم. این موارد، ما را دچار مشکلات بزرگی می‌‌کند. همین الان که دچار مشکلات نمی‌‌شویم، شانس آورده‌‌ایم! برخی مواقع، پای ما روی مین است چون سیستم‌‌ها و تمرکزها به شدت گسترش پیدا کرده و از سوی دیگر نیروی انسانی در حال مهاجرت است، تجهیزات، فرسوده شده و توسعه نداریم. این‌ها همگی مستلزم هماهنگی بین نهادهای بالادستی است؛ یعنی فتا، افتا، سازمان پدافند غیرعامل و قوه قضائیه، همگی باید کمک کنند تا مشکلات را با همدیگر ببینیم و یک راه، جلوی بانک‌‌ها باشد. بنده چند روز پیش در یک گروه عرض کردم بانک‌‌ها، لای گیره بانک مرکزی، وزارت اقتصاد، قوه قضائیه و خود مردم هستند و هر موقع تلویزیون را روشن می‌‌کنیم، یک نفر در حال فحش دادن به بانک‌هاست! تا چه زمانی می‌‌توانیم این‌‌طور ادامه دهیم؟ واقعا از بین سایر نهادها، تنها نهادی که می‌‌تواند به کمک اقتصاد بیاید و زیرساخت درست ‌‌کند، بانک‌‌ها هستند. همین ارزی که داخل کشور می‌‌آید، از همین نهاد است؛ یعنی با مشتریان بزرگ کار می‌‌کند که آنها تولید می‌‌کنند تا ارز به داخل کشور بیاید. در مجموع، امیدوارم این مباحث، به نهادهای بالادستی برسد، راهکارهای آن استخراج شده و به صورت پکیج در بیاید. عدم توجه به این موارد، ضربه زیادی به ما وارد می‌‌کند.

• ‌آقای صادقی! در حوزه پدافند غیرعامل، آقای ترک‌‌تبریزی هم اشاره کردند که مرکز عملیات نداریم. ما در نظام بانکی، تمرکز داریم و شرکت خدمات انفورماتیک و شاپرک، دو سرویس حیاتی را در کشور ارایه‌ می‌‌دهند، اگر دچار مساله شوند، چه باید کنیم؟ به قول آقای پوراعظم در گروه، ما در مواقع اضطرار از شبکه ملی اطلاعات صحبت می‌‌کنیم، اگر همین شبکه ملی اطلاعات که بسیاری از سرورها و موجودیت‌‌های آن از کشورهای متخاصم خریداری شده و الان کار می‌‌کند، دچار مساله شود، تکلیف چیست؟

صادقی: فکر می‌‌کنم پاسخ این سوال را در قسمت‌‌های قبل دادیم. علاوه بر اینکه دو سامانه ما در آنجا متمرکز است، سرویس‌‌گیری ما هم از دو سه شرکت خاص است. شاید سامانه مشکل نداشته باشد اما مشکل نیروی انسانی داریم. این مساله باید به‌طور جدی بررسی شود و باید برنامه‌‌ریزی کنیم تا حل شود و طرحی نو در اندازیم. باید به عقب برگردیم و ببینیم چگونه می‌‌توان این مساله را حل کنیم. آیا از نظر معماری، مشکل داریم؟ به هرحال ما ساختمانی را ساخته‌‌ایم و باید از ابتدا آن را به عنوان یک برج ۲۰ طبقه می‌‌دیدیم اما به عنوان یک ساختمان چهار طبقه دیدیم و سپس بزرگ شده و آن را ساختیم و بالا بردیم. قاعدتا این ساختمان، کشش لازم را ندارد و باید نگاه کنیم چگونه این مساله را حل کنیم. ما هر بار این مساله را مطرح می‌‌کنیم که در شتاب و شاپرک، تمرکز داریم. به نظر می‌‌رسد غیر از این موضوع، الان چاره‌‌ای نداریم. کارت را در این مملکت، به گونه خاصی استفاده کردیم و همه خوشحال بودیم که بالای ۹۰ درصد، خدمات ما غیرشعبه‌‌ای و آنلاین شده و همین موضوع، الان برای ما گرفتاری ایجاد کرده است! همه کارها را به سمت خدمات کارتی برده‌‌ایم و کارت را به یک غول تبدیل کردیم که الان دارد ما را می‌‌خورد! آن غول هم در همین شتاب و شاپرک، سرویس می‌‌گیرد. بعد رمز دوم پویا را آوردیم و سپس گفتیم شاهکار می‌‌خواهیم و متمرکز کردیم و بعد سیاق را راه‌‌اندازی کردیم. معماری استفاده و نوع استفاده از ابزارها، ما را به باتلاقی انداخته که بیشتر در آن فرو‌‌می‌‌رویم. تا این مساله را اساسی حل نکنیم، دو سال دیگر هم بنشینیم و گفت‌‌وگو کنیم، همین مساله را خواهیم داشت. باید ببینیم موضوع از کجا شکل گرفته و منشا آن کجاست و آن را حل کنیم. باید نوع خدمات و سرویس‌‌ها را بازنگری و معماری‌‌ها را عوض کنیم تا این موضوع، حل شود. به جز آن، چاره‌‌ای نداریم و باید معماری و نوع نگاه را تغییر دهیم.

• ‌اینکه ما سال‌‌هاست در شتاب و شاپرک، تمرکز داریم و تا الان هم خبری نشده که تغییری در این‌ها رخ دهد، به دلیل بحث بیزینسی و کسب‌‌وکاری است که توسط رگولاتور اجازه داده نمی‌‌شود تا…

صادقی: ببینید آقای افتاده! ممکن است به صورت غیررسمی، همه این حرف را زده باشند اما هرچند این نهاد، خدمات بانک مرکزی است اما به هرحال نهاد حاکمیتی و دولت است. فرض کنید درآمدی که بانک مرکزی و شرکت خدمات از این محل، کسب می‌‌کند، ۲۰۰۰ میلیارد تومان در سال باشد. این رقم در مملکت ما عددی نیست. شاید این عدد به عنوان کارشناس برای بنده بزرگ باشد اما از دیدگاه حاکمیت، خیر. اگر بنده به عنوان کارشناس به این موضوع، در قالب درآمد نگاه می‌‌کنم، حاکمیت می‌‌تواند بگوید این عدد، پولی نیست و آن را حل کند. به نظرم تغییر رویکرد، مساله اصلی است و معماری باید زیر و رو شود و چارت را از مرکزیت در بیاوریم. قبلا همه‌‌چیز را به چک وابسته کردیم و الان همه‌‌چیز را به کارت. اکنون همه این‌ها تبدیل به ماجرا و قصه شده است. همان‌‌طور که در صدد حل کردن مساله چک هستیم، موضوع کارت را هم باید حل کنیم. به نظر من، دولت یا بانک مرکزی به ۲۰۰۰ میلیارد تومان پول نیاز ندارد و اگر آن را به دلار تبدیل کنیم، ۷۰ میلیون دلار می‌‌شود. این موضوع، مساله اصلی نیست.

• ‌آقای جمالی! دیدگاه شما در این زمینه چیست؟ آیا تمرکز سامانه‌های حاکمیتی در کشور ما فرصت است یا تهدید؟ اگر تهدید است، چرا هیچ اتفاقی در جهت رفع این مساله نیفتاده است؟

جمالی: اجازه بدهید ابتدا درباره اینکه آقای صادقی گفتند ۲۰۰۰ میلیارد تومان، عددی نیست، پاسخ دهم. این‌‌طور نیست! اینکه ما عدد را از کجا می‌‌گیریم، خیلی مهم است. وقتی کارمزد از بانک‌‌ها گرفته می‌‌شود و سود همان بانکی که ایشان در آنجا مشغول به فعالیت است، سال قبل، ۳۶ میلیارد تومان بوده و فقط ۲۰۰ میلیارد تومان، به بانک مرکزی، کارمزد می‌‌دهد، اثر این مساله آنجا مشخص می‌‌شود که بانک، درآمد مشاع ندارد، نرخ بهره افزایش پیدا می‌‌کند، بار بر روی درآمد مشاع بانک می‌‌افتد و در کل شبکه بانکی، ۲۰۰ هزار میلیارد که معادل وام ازدواج سه میلیون نفر است، باید گردانده شود تا آن پول، به شتاب و شاپرک برسد! نکته دیگر اینکه ما باید نگاه را مبتنی بر ریسک بگذاریم و با یک زبان مشخص صحبت کنیم. مثلا همان‌‌طور که آقای دکتر اینالویی اشاره کردند با زبان SLA صحبت کنیم و حاکمیت لازم است با ملت، پیمانکار و سرویس‌‌گیرنده صحبت کند تا زنجیره سرویس به این سمت برود که به نقطه مناسب برسد. درباره ریسک هم زبان صحبت ما باید ریسک باشد؛ یعنی حتی زبان صحبت پدافند غیرعامل با سایر نهادها، مبتنی بر ریسک باشد و مبتنی بر این ریسک، دستورالعمل و مقررات ایجاد شود. مثلا ما در سیستم بانکی، هشت نوع ریسک پایه داریم مانند ریسک نقدینگی، ریسک عملیاتی، ریسک شهرت، ریسک کشوری، ریسک اعتباری و نظایر آن. در این شرایط مثلا وقتی درباره زیرساخت امضای دیجیتال صحبت می‌‌کنیم، احراز هویت، می‌‌تواند ریسک اعتباری ایجاد کند یا مسایلی که در پدافند غیرعامل مطرح می‌‌کنیم، بخشی از ریسک عملیاتی است؛ یعنی اگر سیستم، درست باشد، فکر می‌‌کنم بانک، طبق سری استانداردها، ریسک عملیاتی را دارد که هم استانداردها و هم روش محاسبه ریسک ذکر شده یا وقتی درباره شتاب و شاپرک صحبت می‌کنیم، این‌ها لازم هستند اما لازم نیست ۹۰ یا ۹۵ درصد تراکنش‌‌های ما از آن بگذرد یا به ابزار خرد تبدیل شود یا ریسک نقدینگی و سایر ریسک‌‌ها را برای سیستم بانکی ایجاد کند. به نظرم خود پدافند هم باید با زبان ریسک با بقیه صحبت کند اما این امر، لحاظ نشده است. برخی مواقع، اقدامات موجود، سیستم را بدتر می‌‌کند مثلا آنالیز ریسک انجام نمی‌‌دهیم و سپس رمز دوم ایجاد می‌‌کنیم. بعد در جایی که ۱۰۰ تومان هزینه ریسک می‌‌دادیم و پول ملت در آن هزینه می‌‌شده، الان هزینه پیامک و… می‌‌دهیم که بخشی به مردم و بخشی به بانک‌‌ها، تحمیل می‌‌شود. این زبان ریسک است که مشخص می‌‌کند ما چگونه عمل کنیم. در کشوری مانند ژاپن ممکن است زیرساخت‌‌ها به‌‌گونه‌‌ای طراحی شود که تا ۱۰ ریشتر زلزله را تحمل کند اما در ایران، ۷ یا ۸ ریشتر، خوب است و عالی محسوب می‌‌شود. بنابراین بافت و شرایط موجود، بسیار مهم است که ما در کجا، چه چیزی را پیاده‌‌سازی می‌‌کنیم. درباره بخش دیگر سوال شما باید عرض کنم تمرکز در سامانه‌‌های حاکمیتی، فرصت نیست. اگر بحث نظارت مطرح باشد، می‌‌توانیم آن را به صورت آفلاین یا batch نیز انجام دهیم؛ همان‌‌طور که در حوزه مالیات انجام می‌‌شود. وقتی مباحث نظارت به این صورت مطرح می‌‌شود، به نظر می‌‌رسد حاکمیت، خود را درگیر مسایلی کرده که برایش هزینه دارد و هرچه اتفاق می‌‌افتد نیز پای حاکمیت گذاشته می‌‌شود. خیلی چیزها باید برگشت داده شود و چیز جدید روی آن نیاید. ما باید تا حدودی به سمت لوکال بودن برگردیم مثلا ۸۰ درصد لوکال انجام شود و ۱۰ درصد بین‌‌شبکه‌‌ای. وقتی دنیا تا سال ۲۰۵۰، سکه و اسکناس را همچنان دارد و آمریکا، سالانه ۷ میلیارد سکه یک سنت با هزینه دو سنت ضرب می‌‌کند، ما هم باید برگردیم. وقتی ما سکه ۱۰۰ تومانی، ۲۰۰ تومان و ۵۰۰ تومان ضرب نمی‌‌کنیم و مردم دو میلیارد دلار در سال، بیشتر هزینه می‌‌دهند و این امر، تورم، ایجاد می‌‌‌‌کند، باید برگردیم. چه ایرادی دارد راهی که اشتباه رفته‌‌ایم، برگردیم. اگر درباره ریسک صحبت می‌‌کنیم، تجربیات بسیار خوبی وجود دارد. در آمریکا، هر ایالت برای خودش تصمیم می‌‌گیرد. مثلا در تگزاس لوله‌‌ها عایق‌‌بندی نمی‌‌شود و بعد از ۱۰۰ سال، سرما اتفاق می‌‌افتد اما تگزاس زیربار این مساله نمی‌‌رود که عایق کند و معتقد است اگر بخواهیم لوله‌‌ها را عایق کنیم، هزینه آن چندین برابر است و این کار را نمی‌کنیم و اگر چند لوله هم ترکید، مشکلی ندارد یا اینکه شبکه برق، از شبکه برق کل ایالات متحده جدا بوده، چون نفت داشته‌‌اند اما الان به این نتیجه رسیده‌‌اند که باید به شبکه اصلی وصل شوند. این‌ها درس‌‌ها و best practiceهایی است که می‌‌توانیم یاد بگیریم و درست، عمل کنیم؛ یعنی قدم‌‌های کوچک برداریم ولی جهانی فکر کنیم. نمی‌‌گویم از فناوری‌‌های جهانی استفاده کنیم بلکه از دانش جهانی بهره‌‌مند شویم.

• ‌نکته درستی است. ضرب‌‌المثل زیبای فارسی هم داریم که می‌‌گوید: «ماهی را هروقت از آب بگیرید، تازه است.» بازگشت از یک تصمیم اشتباه، همیشه می‌‌تواند کمک‌‌کننده باشد. آقای دکتر اینالویی! فکر می‌‌کنم اظهارات آقای دکتر جمالی در حوزه ریسک درست است. رمز دوم پویا، ریسکی بر گردن بانک‌‌ها انداخت و پای یک عامل بیرونی را در نظام سرویس‌‌های بانکی باز کرد. یک بانک، حدود یک ماه پیش، سرویس‌‌گیرنده پیامکش دچار مساله شد و نتوانست پیامک‌‌های مربوط به رمز پویا را بگیردو مشتریان بانک تا زمانی که مشکل حل شد، دچار مساله بودند. به نظرم این مساله، یک ریسک بزرگ و موضوع پدافندی، برای آن بانک ایجاد می‌‌کند. نظر شما را در این زمینه می‌‌شنویم. همچنین اگر نکته پایانی مدنظر دارید، بفرمایید.

اینالویی: نکته آقای دکتر جمالی کاملا درست است. ما وقتی اطلاعات را متمرکز می‌‌کنیم، ریسک عملیاتی افزایش می‌‌یابد. همه دوستان موافقند که تمرکز این همه حجم اطلاعات در یک نقطه برای بانک، ریسک عملیاتی ایجاد می‌‌کند. بنده عرض کردم این حوزه غیر از اینکه برای بانک، ریسک ایجاد می‌‌کند، برای سایر سازمان‌‌ها، طمع ایجاد می‌‌کند که از این اطلاعات متمرکز استفاده کنند و بار را بر روی دوش شبکه بانکی بگذارند. از جمله قوه قضائیه با سامانه سیاق، سازمان امور مالیاتی برای مالیات‌‌گیری، پلیس فتا برای سیستم خودش و فردا هم ممکن است بگویند هرکس واکسن نزده، خدمات بانکی‌‌اش را قطع کنید! و به جای اینکه وزارت بهداشت، راهکار بدهد از شبکه بانکی استفاده کنند. البته این‌ها مثال است. این طمع‌‌ها، باعث می‌‌شود سوراخ‌‌‌‌هایی در نظام بانکی ایجاد شود. آقای جمالی به نکته درستی اشاره می‌‌کنند مبنی بر اینکه هیچ شبکه‌‌ای برای ماکزیمم و پیک آن طراحی نمی‌‌شود بلکه برای اپتیمم طراحی می‌‌شود اما تمام دستورالعمل‌‌های ما این است که باید سایت اصلی، سایت فرعی و…. داشته باشیم و مدام باید هزینه کنیم و چیزی هم کسب نکنیم. چرا ما به دنبال راهکارهای استاندارد نمی‌‌‌رویم؟ کجای دنیا، بانک مرکزی، دیتاسنتر ایجاد می‌‌کند؟ کار بانک مرکزی، رگولیشن است و اگر ایجاد دیتاسنتر هم برعهده‌‌اش بگذاریم، بدتر می‌‌شود. الان هم ما با این موضوع، مشکل داریم. همه‌‌جای دنیا مشخص است که بانک، دیتاسنتر لوکال برای خودش دارد و از خدمات کلود هم استفاده می‌‌کند. بانک‌‌ها، دیتاسنتر راه‌‌اندازی نمی‌‌کنند. این همه خدمات کلود در دنیا وجود دارد. زیرساخت‌‌‌‌های شبکه ملی ما، بسیار مشکل دارد اما ما یک کلود بانکی نداریم که بانک بتواند جایی اپلیکیشن‌‌ها و سرویس‌‌های خود را هاست کند و از آنجا سرویس بگیرد. این‌ها مشکلات کشور ما از نظر سرویس است. ما باید خیلی مراقب باشیم. اطلاعات متمرکز باعث شده در سیستم بانکی، رخنه ایجاد شود. از بانک مرکزی خواهش می‌‌کنم به این موضوعات توجه کنند تا ایجاد این سوراخ‌‌ها، برای بانک‌‌ها، به لطمه‌‌ای به مراتب بدتر از مشکلی که برای سوخت پیش آمد، منجر نشود.

• ‌جناب پارسا! الان دستگاه‌‌های ATM هنوز روی سیستم عامل XP کار می‌‌کنند. خود این موضوع، یک مساله جدی است. عامل خرابکار می‌تواند از این نقطه هم وارد شود. در این زمینه هم فکر خاصی نشده است. اینکه ما جاهایی سایت پشتیبان هم داشته باشیم، پذیرفته است ولی اینکه بتوانیم جلوی راه‌‌های نفوذ را هم بگیریم، مساله جدی‌‌تری است. نظر شما در این زمینه چیست؟ همچنین نکات پایانی و جمع‌‌بندی‌‌تان از مباحث میزگرد را هم بفرمایید.

پارسا: آقای دکتر جمالی به درستی اشاره کردند اگر حرکت ما مبتنی بر مسیر ریسک باشد و بتوانیم ریسک را در مسیر خود آنالیز کنیم و متناسب با آن امن‌‌سازی، ایمن‌‌سازی و مصون‌‌سازی داشته باشیم، اتفاقات خوبی برای مرتفع کردن آسیب‌‌پذیری‌‌ها در دستگاه‌‌های ATM، سوییچ‌‌ها و هر لایه‌‌ زیرساختی خواهد افتاد. به عنوان نکته پایانی باید عرض کنم رویکرد سوم بانکداری نوین، معتقد است با افزایش حملات سایبری، بانک‌ها بر روی سامانه‌‌های امنیتی سرمایه‌‌گذاری می‌‌کنند. حملات سایبری به بخش بانکی، سه برابر بیشتر از سایر بخش‌‌هاست و هزینه‌‌های مربوط به نشت و سرقت دیتا در حوزه بانکی، رو به افزایش است. بر اساس آن، بانک‌‌ها، بر روی سامانه‌‌های امنیتی، اعتبارات بیشتری اختصاص می‌‌دهند. در انتهای این رویکرد آمده، برآوردها نشان می‌‌دهد تا سال ۲۰۲۵، هزینه‌های مدیریت زیرساخت امنیت سایبری در بانک‌‌ها، تا ۴۰ درصد رشد خواهد داشت. با ورود به بانکداری دیجیتال که روز به روز توسعه پیدا می‌کند و قبلا اینترنت بانک و همراه بانک بود و اکنون ارایه‌ خدمات در فضای سایبری توسعه پیدا می‌‌کند، امنیت سایبری حتما پررنگ‌‌تر خواهد شد و بانک‌‌ها باید تا ۴۰ درصد اعتبارات خود را به آن اختصاص دهند. اگر این کار انجام نشود، از نظر رقابتی با مشکل مواجه می‌‌شوند و پاسخگوی حاکمیت و مردم نخواهند بود. ایجاد سیستم‌‌های انرژی موازی و لاینقطع و نیز بحث سامانه‌‌ها و زیرساخت‌‌های جایگزین و موازی، جزء اصول پدافند غیرعامل در حوزه بانکی تعریف می‌‌شود اما اگر مبتنی بر ریسک و آنالیز آن و طرح‌‌های متناسب با آن حرکت کنیم، وضعیت خوبی پیدا می‌‌کنیم. لازمه همه اینها، هماهنگی بالادستی و سیاست‌‌گذاری در این عرصه است تا در لایه‌‌های پایین‌‌‌‌تر به آن سمت، حرکت کنند. بانک‌‌ها همیشه تابع هستند و به محض اینکه دستورالعملی به آنها ابلاغ شود، به سمت اجرای آن حرکت می‌‌کنند اما سیاست‌‌گذاری جامع باید اتفاق بیفتد و ابلاغ شود و رگولاتوری و سازمان حاکمیتی بانکی هم به آن بپردازند.

• ‌جناب صادقی! نظرات پایانی شما را هم می‌‌شنویم.

صادقی: موضوع این است که وقتی اتفاقی می‌‌افتد و موضوع، داغ می‌‌شود، سریعا به سراغ آن می‌‌رویم و متاسفانه بعدا به فراموشی سپرده می‌شود. امیدوارم همان‌‌طور که آقای پارسا مطرح کردند جایی وجود داشته باشد که سیاست‌‌گذاری کلی و دقیق انجام دهد تا این مسایل پیگیری شود و مدام، جلو برویم. اینها، پروژه نیست و دائمی است. زمانی یک مساله به درون یک سازمان مربوط می‌‌شود اما زمانی، مساله به کل نظام بانکی، نظام پرداخت، نظام مالی و تمام جامعه برمی‌‌گردد و از آن، متاثر می‌‌شود. باید سیاست‌‌گذاری کلی اتفاق بیفتد و این موضوعات، با جدیت پیگیری شود. پدافند غیرعامل، صرفا موضوع مالی و بانکی نیست و قسمت‌‌های مختلفی را پوشش می‌‌دهد اما مباحث مالی، قسمت مهمی از آن است که امیدوارم توجه بیشتری به آن شود. خود بانک‌‌ها هم باید با دقت بیشتر، این مسایل را پیگیری و حل کنند. امیدوارم بانک‌‌ها، بانک مرکزی و متولیان پدافند غیرعامل به این نکات، توجه داشته باشند و بتوانیم مسایل را حل کنیم تا دچار بحران نشویم.

• ‌جناب جمالی! جنابعالی هم جمع‌‌بندی پایانی خود را بفرمایید.

جمالی: نگاه‌‌ و زبان صحبت پدافند با همه‌‌جا، باید‌‌ مبتنی بر ریسک باشد. امیدوارم به کمک شما بتوانیم زبان مشترک را جا بیندازیم و بر مبنای آن به SLAهای پایدار برسیم. آنچه می‌‌تواند مملکت را درست کند، نگاه مبتنی بر ریسک و نگاه از نقطه دید سرویس و زبان گفت‌‌وگو بین سرویس‌‌دهنده‌‌های این زنجیره‌‌های مبتنی بر SLA و مبتنی بر ریسک است.

• ‌در این میزگرد، به نکات مهمی اشاره شد. نگاه پدافند غیرعامل مبتنی بر ریسک و اینکه هر نهادی خودش ریسک موضوع را بپذیرد و در این چارچوب حرکت کند، اتفاق جذابی است. آقای پوراعظم نیز در گروه اشاره کرده‌‌اند اگر در حوزه‌‌های مختلف که سرویس ارایه‌ می‌‌شود، نگاه‌‌مان را از حالت انحصار خارج کنیم، در رقابت، اتفاقات مثبتی رخ می‌‌دهد و البته اشاره کرده‌‌اند در ایران، SLA، یک شوخی بزرگ است و اتفاقی در این حوزه نمی‌‌افتد!