در روزهای جنگ رمضان، زیرساخت‌های ارتباطی کشور با اختلال‌هایی مواجه شد؛ شرایطی که می‌توانست شبکه پرداخت را نیز تحت تأثیر قرار دهد. حمزه آقابابایی، مدیرعامل شرکت ایران‌کیش، در این گفت‌وگو درباره نحوه حفظ پایداری شبکه کارت‌خوان‌ها، تجربه‌های عملیاتی این شرکت در شرایط بحران و درس‌هایی که از این دوره گرفته شده، توضیح می‌دهد.

او در ابتدا برای درک بهتر وضعیت زیرساخت‌های ارتباطی، ساختار این زیرساخت‌ها را تشریح می‌کند و می‌گوید ارتباطات شبکه‌های کامپیوتری به‌طور کلی از طریق چهار لایه خدماتی برقرار می‌شود. به گفته او، لایه زیرین یا سیگنالینگ بر عهده شرکت‌های مخابراتی است و لایه بعدی توسط شرکت‌های ارائه‌دهنده خدمات نقاط دسترسی مدیریت می‌شود. لایه‌های بالاتر نیز خدمات کسب‌وکاری را ممکن می‌کنند که در صنعت پرداخت الکترونیکی بر عهده شرکت‌های پرداخت قرار دارد. آقابابایی توضیح می‌دهد که شرکت‌های پرداخت ابزاری در اختیار ندارند که بتوانند به همه رخدادها، اختلالات و خطاهای لایه سیگنالینگ دسترسی داشته باشند. او همچنین اشاره می‌کند که در این ایام، در لایه دوم یعنی خدمات نقطه دسترسی که از سوی شرکت‌های مخابراتی و تأمین‌کنندگان اینترنت ارائه می‌شود نیز اختلالاتی وجود داشت.

با این حال، آقابابایی تأکید می‌کند آن دسته از پیام‌های درخواست تراکنشی که درگیر اختلالات این دو لایه نشده بودند و به سامانه تجمیع‌گر تراکنش‌ها در شرکت ایران‌کیش وارد می‌شدند، با کیفیتی تقریباً مشابه زمان‌های عادی پردازش شدند. او می‌گوید: «در سطح عملیاتی نیز تلاش شد با پایش لحظه‌ای شبکه و افزایش ظرفیت سامانه‌های پردازشی، از ایجاد گلوگاه در سامانه‌های داخلی جلوگیری شود. آماده‌باش تیم‌های فنی و استمرار خدمات دیتاسنتری نیز کمک کرد تا حتی در شرایط ناپایدار ارتباطی، خدمت‌رسانی بدون وقفه ادامه پیدا کند.»

او همچنین از اقداماتی برای افزایش تاب‌آوری زیرساخت ارتباطی یاد می‌کند و می‌گوید: «ایران‌کیش با پیاده‌سازی مسیرهای ارتباطی چندگانه و استفاده از چندین لینک اینترنت از ISPهای مختلف تلاش کرد زیرساخت ارتباطی را در برابر اختلال مقاوم‌تر کند. استفاده از سوییچ‌های مبتنی بر BGP این امکان را فراهم کرد که مسیرهای جایگزین به‌صورت فعال در دسترس باشند و در صورت بروز قطعی در مسیر اصلی، ترافیک به سرعت و بدون وقفه به مسیرهای پشتیبان هدایت شود. تصور می‌کنم این طراحی چندمسیره نقش کلیدی در حفظ پایداری خدمات در آن شرایط بحرانی داشته است.»

مدیرعامل ایران‌کیش در ادامه به اقدامات عملیاتی این شرکت نیز اشاره می‌کند و می‌گوید همکاران او مجموعه‌ای از اقدامات برای مدیریت شرایط انجام دادند؛ از جمله پاسخ‌گویی سریع به مالکین سرویس، اطلاع‌رسانی شفاف همراه با ارائه توضیحات کامل درباره وضعیت و اعلام زمان‌بندی دقیق بازگشت سرویس‌ها. به گفته او، مجموعه این اقدامات فنی و ارتباطی باعث شد خدمات پرداخت شرکت ایران‌کیش در روزهای بحران چندان با اختلال روبه‌رو نشود.

نمره قبولی صنعت پرداخت در آزمون جنگ؛ چرا؟

آقابابایی درباره عملکرد صنعت پرداخت در این دوره نیز توضیح می‌دهد که داده‌های تاریخی نشان می‌دهد از زمان جنگ جهانی دوم به بعد، در بسیاری از جنگ‌ها حمله به نظام پرداخت و گردش پول کشور مقابل به‌عنوان یک تاکتیک جنگی به کار گرفته شده است. به گفته او، در جنگ رمضان این تاکتیک در سطحی بسیار گسترده و بی‌سابقه از سوی دشمن استفاده شد. او با اشاره به ساختار دوسویه بازار پرداخت می‌گوید: «در سویه پذیرندگی که مدیریت آن بر عهده شرکت‌های پرداخت است، این صنعت نمره قبولی گرفت؛ هرچند در سویه صادرکنندگی که مدیریت آن با بانک‌هاست، شرکت ایران‌کیش صلاحیت اظهار نظر ندارد.»

به گفته آقابابایی، ایران‌کیش برای این شرایط ترکیبی از تمهیدات فنی و اقدامات کنترلی مستمر را در نظر گرفته بود. او به استفاده از لینک‌های ارتباطی از حداقل دو ISP مختلف برای افزایش پایداری شبکه و مانیتورینگ لحظه‌ای شاخص‌هایی مانند TPS، Latency و Error Rate اشاره می‌کند که امکان واکنش سریع به هرگونه اختلال را فراهم می‌کرد. او توضیح می‌دهد: «در کنار این موارد، لاگ‌برداری کامل مبتنی بر سامانه‌های SIEM، استفاده از احراز هویت چندمرحله‌ای (MFA) برای دسترسی‌های مدیریتی و بهره‌گیری از یک WAF فعال و دقیقاً تنظیم‌شده نیز برای تقویت لایه‌های امنیتی شبکه را در نظر گرفته بودیم.»

او ادامه می‌دهد که محدودسازی سرویس‌های غیرضروری و قطع سریع IPهای مخرب، بررسی دوره‌ای Lockهای دیتابیس و پایش صف تراکنش‌های Pending نیز در دستور کار ایران‌کیش قرار داشت و این پایش‌ها در بازه‌های زمانی پنج تا ده دقیقه‌ای انجام می‌شد.

معماری امنیتی برای بحران واقعی

مدیرعامل ایران‌کیش درباره آمادگی امنیتی این شرکت نیز توضیح می‌دهد که طی دو دهه اخیر، همزمان با جنگ‌های فیزیکی، جنگ سایبری نیز میان کشورها شکل گرفته و حتی ممکن است زودتر آغاز و دیرتر پایان یابد. از همین رو، او معتقد است برخی موضوعات امنیتی بهتر است تا زمانی که از پایان جنگ سایبری اطمینان حاصل نشده، در سطح عمومی منتشر نشود. با این حال، آقابابایی بر اهمیت انطباق صنعت پرداخت با استاندارد جهانی PCI-DSS تأکید می‌کند و می‌گوید تطبیق با این استاندارد و ارزیابی مستمر و ادواری شرکت‌های PSP نقش مهمی در توانمندی صنعت پرداخت برای مواجهه با چنین چالش‌هایی داشته است: «تطبیق با این استاندارد و ارزیابی مستمر و ادواری تطبیق شرکت‌های PSP باعث قدرتمندی این صنعت در پاسخ به این چالش عظیم بود. علاوه بر این، وجود فرایندهای چندلایه نظارت امنیتی، مانیتورینگ مستمر رخدادها و تمرین سناریوهای مدیریت بحران با توجه به جنگ 12 روزه پیشین، به تیم فنی ایران‌کیش کمک کرد تا در شرایط جنگی نیز واکنش سریع و هماهنگ داشته باشند.»

به گفته او، در سطح عملیاتی یک SOC کاملاً فعال با مانیتورینگ ۷×۲۴، تیم واکنش به رخداد (IRT) و پایش مداوم لاگ‌ها و ترافیک شبکه فعال بود تا انحراف‌ها و نشانه‌های حمله در لحظه شناسایی و تحلیل شوند. آقابابایی همچنین به استفاده از تجهیزات امنیتی پیشرفته مانند فایروال‌های نسل جدید، سیستم‌های تشخیص و پیشگیری از نفوذ، جداسازی شبکه‌ها و کنترل‌های سخت‌گیرانه دسترسی اشاره می‌کند که لایه‌های دفاعی شرکت ایران‌کیش را تکمیل می‌کرد.

او می‌گوید: «نتیجه این ترکیب از لایه‌های دفاعی، پایش مستمر و آمادگی عملیاتی این بود که زیرساخت ایران‌کیش در برابر نوسانات شدید و حملات احتمالی، مقاوم و پایدار باقی ماند و بدون اینکه وارد جزئیات فنی حساس شویم، می‌توان گفت معماری امنیتی شرکت برای شرایط «بحران واقعی» طراحی شده بود و در عمل نیز کارایی خود را نشان داد.»

چالش‌های عملیاتی در اوج بحران؛ از قطع اینترنت تا فشار بر پشتیبانی

آقابابایی در پاسخ به پرسشی درباره چالش‌های عملیاتی این دوره برای شرکت‌های پرداخت می‌گوید یکی از مهم‌ترین چالش‌ها قطع اینترنت، قطع شبکه و اختلال‌های ناشی از آن بود. به گفته او، مشکلات ارتباطی میان افراد نیز به این وضعیت دامن زد. او همچنین به افزایش فشار بر بخش پشتیبانی برای پاسخ‌گویی و حل مشکلات اشاره می‌کند و در همین زمینه از تمامی پرسنل شرکت ایران‌کیش به‌طور ویژه قدردانی می‌کند.

او درباره عملکرد تیم‌های عملیاتی ایران‌کیش در روزهای جنگ می‌گوید: «این روزها برای حضور در محل کار و انجام وظایف، با توجه به شرایط سخت ارتباطی و محدودیت امکانات، بسیار دشوار بود. با این حال مسئولیت‌پذیری و تعهد کارکنان ایران‌کیش در تمامی بخش‌ها و واحدها قابل تقدیر بود. بسیاری از کارکنان با وجود نگرانی‌ها و فشارهای کاری، چه در ساعات اداری و چه خارج از آن، چه به‌صورت حضوری و چه دورکار، اجازه ندادند خلل جدی در فعالیت‌های شرکت یا بخش‌های پشتیبانی، عملیاتی، امنیتی و زیرساختی ایجاد شود.»

مدیرعامل ایران‌کیش در ادامه به اقداماتی مانند تشکیل تیم‌های اقدام سریع و مدیریت بحران در عملیات، ارسال دستگاه‌ها، تجهیزات و رول کاغذ به میزان کافی پیش از اسفندماه برای جلوگیری از بروز بحران در توزیع توسط پیمانکاران این شرکت و همچنین افزایش تعامل با پذیرندگان از طریق رصد مداوم عملکرد توسط تیم نگهداشت اشاره می‌کند. آقابابایی همچنین پاسخ‌گویی ۲۴ ساعته و هفت‌روزه تیم‌های صف ایران‌کیش را از جمله اقدامات مؤثر در این دوره می‌داند که به گفته او، بخشی از آن حاصل درس‌آموخته‌های جنگ ۱۲ روزه پیشین بوده است.

درس‌های جنگ برای مدیریت و فرهنگ سازمانی ایران‌کیش

مدیرعامل ایران‌کیش در پاسخ به این پرسش که چه درسی از تجربه جنگ گرفته‌اند، به مباحث مطرح در سال‌های اخیر در اروپا و آمریکا درباره مسئولیت‌پذیری (Responsibility) و حساب‌پذیری (Accountability) شرکت‌های خصوصی اشاره می‌کند و توضیح می‌دهد: «هدف این مباحث آن است که شرکت‌های خصوصی تنها به دنبال حداکثرسازی سود برای سهامداران نباشند و منافع سایر ذی‌نفعان به‌ویژه مشتریان را نیز در نظر بگیرند. نمی‌دانم چنین الگوهایی تا چه اندازه در شرکت‌های ایرانی قابل پیاده‌سازی است، اما تجربه جنگ نشان داد که در ایران‌کیش و بسیاری از شرکت‌ها، «خدمت‌رسانی به مردم» در صدر اولویت‌ها قرار دارد. این موضوع پیش از این نیز در ایران‌کیش اهمیت داشت، اما تجربه جنگ نشان داد باید آن را در صدر اولویت‌ها قرار داد و از آن به‌عنوان پیشرانی برای دستیابی به سایر اهداف استفاده کرد. معتقدم این رویکرد می‌تواند جهت‌دهنده‌ای مناسب برای همکاری‌ها و تشریک مساعی در شرکت باشد و تلاش کارکنان را نیز معنا ببخشد.»

او همچنین تأکید می‌کند شواهد نشان داده است تاب‌آوری سازمان تنها به فناوری وابسته نیست و علاوه بر زیرساخت‌های فنی و امکانات ارتباطی، فرهنگ سازمانی و حس مسئولیت مشترک میان کارکنان نیز نقش مهمی دارد. به گفته آقابابایی، جنگ نشان داد خدمت‌رسانی به مردم و حمایت از تداوم اقتصاد خرد و کلان کشور باید به‌عنوان اولویت شماره یک در همه سیاست‌ها و تصمیم‌گیری‌ها نهادینه شود. او اضافه می‌کند: «تاب‌آوری سازمان صرفاً محصول فناوری یا زیرساخت فنی نیست. آنچه ایران‌کیش را در شرایط سخت پایدار نگه داشت، هم‌افزایی فناوری، فرایندهای منسجم و فرهنگ سازمانی مسئولیت‌پذیر بود. به بیان ساده، این جنگ به ما ثابت کرد که رویکرد «مشتری و جامعه در مرکز» فقط یک شعار نیست، بلکه یک الزام راهبردی برای بقا و موفقیت بلندمدت است.»

انتظارات از دولت؛ اینترنت پایدار، پیش‌نیاز تاب‌آوری اقتصاد دیجیتال

آقابابایی سپس درباره انتظارات این شرکت از دولت و حاکمیت برای تقویت زیرساخت‌های صنعت پرداخت سخن می‌گوید. او معتقد است دفاع مؤثرتر از کشور نیازمند همکاری و یاری‌رسانی مردم به یکدیگر است و سال‌هاست که اینترنت و شبکه‌های اجتماعی بستر اصلی ارتباط میان مردم به شمار می‌روند. از نظر او، قطع دسترسی به اینترنت بین‌الملل و شبکه‌های اجتماعی که مورد استفاده گسترده مردم است، می‌تواند توانمندی مردم در همکاری و یاری‌رسانی را کاهش دهد.

او همچنین به نقش اقتصاد دیجیتال در صنعت پرداخت اشاره می‌کند و می‌گوید: «بخش قابل‌توجهی از کسب‌وکار و درآمد شرکت‌های پرداخت از تجارت دیجیتال حاصل می‌شود. آمارها و تجربه جنگ ۱۲ روزه نشان داده است که تاب‌آوری کسب‌وکارهای کوچک و متوسط فعال در بخش دیجیتال اقتصاد ایران در برابر قطع دسترسی مرسوم به اینترنت تنها حدود ۲۰ روز است و تعطیلی بیش از نود درصد صرافی‌های رمزارز از آغاز جنگ تاکنون شاهدی بر این مدعا است. قطع دسترسی مرسوم به اینترنت خطری بسیار جدی با عواقب منفی بسیار بزرگ برای صنعت پرداخت است و انتظار ما از حاکمیت بازگشت به شرایط عادی است. وضعیتی که برای برخی بانک‌ها و مؤسسات دولتی در طول جنگ پدید آمد، نشان داد که حتی قطع صددرصدی دسترسی به اینترنت جهانی باز هم تغییر معناداری در دفاع سایبری و نفوذ اطلاعاتی دشمن ایجاد نمی‌کند و چاره را در جای دیگر باید جست.»

منبع : عصر تراکنش