گلزار آقایی-کارشناس خط‌مشی‌گذاری اقتصادی: در شرایط وقوع بحران، امنیت و ثبات اقتصادی - مالی کشور تا حد زیادی به نحوه عملکرد بانک مرکزی و بانک‌ها وابسته است. پدافند غیرعامل به عنوان مجموعه‌ای از اقدامات پیشگیرانه و غیرمسلحانه، نقش اساسی در کاهش آسیب‌پذیری شبکه بانکی کشور در برابر حوادث طبیعی، سایبری، امنیتی و حتی جنگ ایفا می‌کند. بهره‌گیری از راهبردهای پدافند غیرعامل همچون استقرار مراکز پشتیبان، تقویت امنیت سایبری و طراحی سازه‌های مقاوم، تداوم خدمات مالی بانک‌ها، حتی در شرایط بحرانی را تضمین می‌نماید. با این اوصاف، بانک‌ها به عنوان حلقه‌های ارتباطی اقتصاد ملی کشور، موظفند با اجرای برنامه‌های پدافند غیرعامل، از جمله آموزش کارکنان، ایجاد سیستم‌های بازیابی اطلاعات و مدیریت ریسک، تاب‌آوری خود را در برابر بحران‌ها افزایش دهند. این اقدامات نه تنها می‌تواند از دارایی‌های مشتریان محافظت ‌کند، بلکه می‌تواند اعتمادعمومی به شبکه بانکی را نیز در شرایط خاص و بحرانی حفظ کند. بدین ترتیب، سرمایه‌گذاری در پدافند غیرعامل، یک ضرورت استراتژیک برای شبکه بانکی کشور محسوب می‌شود.

بررسی مفاد قانونی پدافند غیرعامل مربتط با بانک‌ها

بر اساس ماده (۱) قانون پدافند غیرعامل مصوب ۱۳۹۲ مجلس، پدافند غیرعامل به مجموعه‌ای از اقدامات غیرمسلحانه اطلاق می‌شود که موجب کاهش آسیب‌پذیری، تداوم فعالیت‌های ضروری، ارتقای تاب‌آوری، افزایش قدرت بازدارندگی و حفظ سرمایه‌های ملی در برابر تهدیدات طبیعی و انسان‌ساز (مانند حملات نظامی، سایبری، تروریستی و حوادث غیرمترقبه) می‌شود. همچنین، وفق ماده (۲) همین قانون، تمام دستگاه‌های اجرایی، نهادهای عمومی و موسسات خصوصی که خدمات عمومی ارائه می‌کنند (از جمله بانک مرکزی و بانک‌ها)، موظفند تمهیدات پدافند غیرعامل را در حوزه‌های ساختمان‌ها، تاسیسات، اطلاعات، ارتباطات و نیروی انسانی اجرا کنند تا در شرایط بحران، عملکرد پایدار و ایمن داشته باشند. نظر به ماده (۲) فوق‌الذکر و آیین‌نامه اجرایی آن، بانک‌ها موظف به اجرای تمهیدات لازم در حوزه‌های مربوط به قرار زیر هستند:

1. امنیت سایبری و حفاظت از داده‌ها: پیاده‌سازی سامانه‌های پیشرفته تشخیص و پیشگیری از نفوذ
2. مقاوم‌سازی فیزیکی: طراحی مراکز داده و شعب بانکی متناسب با استانداردهای ایمنی
3. برنامه تداوم کسب‌وکار (BCP): ایجاد مراکز پشتیبان و راه‌اندازی پروتکل‌های عملیاتی جایگزین
4. مدیریت بحران: آموزش کارکنان و شبیه‌سازی سناریوهای بحرانی.

همانگونه که گفته شد، این قانون و آئین‌نامه اجرایی آن بر پیشگیری، کاهش مخاطرات و حفظ آمادگی، بدون استفاده از اقدامات نظامی تاکید دارد.

در ادامه به بررسی بیشتر این موضوع می‌پردازیم. در خصوص مورد اول، اقدامات و راهکارهای پدافند غیرعامل مربوط به امنیت سایبری و حفاظت از داده‌های بانک‌ها و موسسات اعتباری، میتوان با استفاده از سیستم‌های پیشرفته رمزنگاری، ایجاد مراکز پشتیبان خارج از سایت اصلی و آموزش کارکنان در برابر فیشینگ و حملات سایبری اقدام کرد. در خصوص حفاظت از منابع مالی و اسناد نیز می‌توان از طریق نگهداری اسناد حیاتی در گاوصندوق‌های ضدآتش و ضد سیل و استفاده از سیستم‌های پشتیبان برای تراکنش‌های مالی استفاده کرد. در خصوص مورد دوم، اقدامات و راهکارهای پدافند غیرعامل پیرامون استحکام‌بخشی فیزیکی ساختمان‌ها از طریق مقاوم‌سازی ساختمان‌ها در برابر زلزله، انفجار و طراحی پناهگاه‌های امن برای اسناد و کارکنان و نصب سیستم‌های اطفاء حریق خودکار، در خصوص مورد سوم، اقدامات و راهکارهای پدافند غیرعامل در رابطه با تدوین طرح تداوم کسب‌وکار برای شرایط اضطراری، ایجاد سیستم بانکی جایگزین در صورت تخریب شعب و راه‌اندازی سامانه‌های پرداخت غیرحضوری و موبایل بانک.

نکته قابل توجه آنکه با مرور آمارهای بین‌المللی در خصوص تهدیدات بالقوه و عدم وجود سیستم مدیریت تداوم کسب‌وکار بر اساس پژوهش‌های انجام شده در سال ۲۰۱۸ مشخص شده که مهم‌ترین تهدیدات متوجه سازمان‌ها عبارت‌اند از: وقفه در سرویس‌های فناوری اطلاعات و ارتباطات (۷۴ درصد) افشای اطلاعات محرمانه (۶۸ درصد) حملات سایبری (۶۵ درصد) وقایع طبیعی مانند سیل و زلزله (۵۹ درصد). همچنین بیش از ۸۰ درصد سازمان‌هایی که طرح تداوم کسب‌وکار ندارند با یک بحران عظیم روبرو و به ‌طور کامل آن را از دست ‌داده اند. ۹۰ درصد این سازمان‌ها داده‌های خود را در بحران‌ها ازدست‌دادهاند و دو سال بعد از بازار رقابتی حذف ‌شدند. همچنین ۸۲ درصد سازمان‌هایی که سیستم مدیریت تداوم کسب‌وکار داشتند، توانستند اثرات بحران‌ها را به‌ صورت جدی کاهش و بر درآمد ۵۵ درصد این سازمان‌ها تاثیری نداشته است. (World Economic Forum, ۲۰۱۸)

چهارمین مورد، اقدامات و راهکارهای پدافند غیرعامل در بانک‌ها در خصوص مدیریت بحران از طریق برگزاری دوره‌های آموزشی برای کارکنان در مواجهه با بحران و شبیه‌سازی شرایط و سناریوهای اضطراری (مانند حمله سایبری یا بلایای طبیعی) است. چنانچه بخواهیم وضعیت بانک‌ها در خصوص اجرای مصوبات پدافند غیرعامل در بانک‌ها را مورد بررسی قرار دهیم، لازم است بدواً این موضوع را در سناریوهای مختلف مورد بررسی قرار دهیم.

سناریوسازی وضعیت اجرای قانون و مقررات مربوط

با توجه به موارد پیش گفته، لازم است که اقدامات و راهکارهای ارایه شده را مورد اجرا قرار داد و به طور نمونه در خصوص تاثیر پدافند غیرعامل بر حمله سایبری به بانک‌ها را می‌توان با استفاده از سناریوسازی مورد آزمون قرار داد. در این صورت، می‌توان سناریوهای مختلف در اجرای قانون پدافند غیرعامل مصوب سال ۱۳۹۲ را در سه فاز (کامل، متوسط، ضعیف) مورد بررسی قرار داد.تاثیر پدافند غیرعامل در حمله سایبری با استفاده از بررسی سناریوهای بحران را در ادامه مورد واکاوی قرار خواهیم داد.

سناریوی فرضی اول= با فرض اجرای کامل مفاد قانونی و آئین‌نامه‌های پدافند غیرعامل

بر اساس استانداردهای بین‌المللی همچون استانداردهای کمیته بال و نیز بر اساس قانون پدافند غیرعامل ایران مصوب سال ۱۳۹۲، در صورت وجود سیستم کامل پدافند غیرعامل، پیامدهای حمله می‌تواند به صورت زیر قابل برآورد باشد:

1. در سطح فنی مطابق با ماده ۶ آئین‌نامه اجرایی پدافند غیرعامل با وجود سیستم‌های جداسازی شده از شبکه اصلی مانع از گسترش حمله می‌شدند (مرکز پژوهش‌های مجلس، ۱۴۰۲) و در خصوص مراکز پشتیبان بلافاصله فعال شده و حداکثر پس از ۴ ساعت خدمات قابل بازیابی بود.
2. در سطح مالی بر اساس گزارش صندوق بین‌المللی پول در سال ۲۰۲۳، زیان‌های عملیاتی ۷۵ درصد کمتر می‌شود (از ۲۰۰ میلیارد به ۵۰ میلیارد) و زمان تعلیق خدمات به حداکثر ۱۲ ساعت کاهش می‌یابد.

لذا با این وجود با وجود اجرای کامل پدافند غیرعامل در بانک:

• خدمات حیاتی حداکثر با ۱۲ ساعت وقفه ادامه می‌یابد
• زیان‌های مالی به یک‌چهارم کاهش می‌یابد
• اعتماد عمومی دچار آسیب جدی نمی‌شود

سناریوی فرضی دوم= با فرض اجرای متوسط مفاد قانونی و آئین‌نامه‌های پدافند غیرعامل

1. سطح فنی: طبق گزارش مرکز پژوهش‌های مجلس (۱۴۰۲، گزارش ۱۹۲۰۰) ، سیستم‌های جداسازی شده به ‌درستی پیاده‌سازی نشده‌اند، بنابراین حمله به بخش‌های حساس شبکه گسترش می‌یابد. مراکز پشتیبان با تاخیر فعال می‌شوند (طبق ماده ۶ آیین‌نامه پدافند غیرعامل)، بازیابی خدمات بین ۲۴ تا ۴۸ ساعت طول می‌کشد.
2. سطح مالی: بر اساس داده‌های صندوق بین‌المللی پول زیان‌های عملیاتی ۵۰ درصد کاهش می‌یابد (از ۲۰۰ به ۱۰۰ میلیارد)، اما هزینه‌های جبران خسارت افزایش می‌یابد و زمان تعلیق خدمات به یک تا ۳ روز می‌رسد.
3. سطح اعتماد عمومی: در نظرسنجی‌های مرکز ملی فضای مجازی ۱۴۰۱ نشان می‌دهد ۴۰ درصد مشتریان نسبت به امنیت بانک تردید پیدا می‌کنند.

لذا در این فرضیه، با وجود اجرای نیمه فعال پدافند غیرعامل در بانک:

1. خدمات حیاتی با یک تا ۳ روز وقفه بازیابی می‌شوند.
2. زیان‌های مالی به نصف کاهش می‌یابد، اما هزینه‌های جانبی (حقوقی، اعتباری) افزایش می‌یابد
3. اعتماد عمومی به ‌ویژه در بخش مشتریان شرکتی آسیب می‌بیند

سناریوی فرضی سوم: با فرض عدم اجرا و نقص‌های اساسی در اجرای مفاد قانونی و آئین‌نامه‌های پدافند غیرعامل

1. سطح فنی: طبق گزارش مرکز مدیریت راهبردی افتا (۱۴۰۰)، عدم جداسازی شبکه منجر به فلج کامل سیستم‌های بانکی می‌شود. مراکز پشتیبان وجود ندارند یا غیرقابل استفاده هستند (ماده ۱۲ قانون پدافند غیرعامل ۱۳۹۲) بازیابی خدمات حداقل یک هفته زمان می‌برد.
2. سطح مالی: صندوق بین‌المللی پول در سال ۲۰۲۳ پیش‌بینی کرد که زیان‌های مستقیم به بیش از ۲۰۰ میلیارد می‌رسد و احتمال جریمه‌های نظارتی (مطابق استانداردهای کمیته بال ۲۰۲۳) تا ۵۰ میلیارد اضافه می‌شود. زمان تعلیق خدمات نیز بیش از یک هفته (گزارش بانک مرکزی ایران، ۱۴۰۲).
3. سطح اعتماد عمومی: بر اساس مطالعه پژوهشکده پولی و بانکی (۱۴۰۱) ، ۷۰ درصد مشتریان به فکر انتقال حساب خود به بانک‌های دیگر می‌افتند.

لذا در این فرضیه، با وجود عدم اجرا و نقص‌های اساسی:

1. خدمات بانکی برای بیش از یک هفته متوقف می‌شوند
2. زیان‌های مالی به حداکثر مقدار خود می‌رسد و بانک با بحران نقدینگی مواجه می‌شود
3. اعتمادعمومی به طور کامل از بین می‌رود و بانک نیاز به بازسازی برند دارد

این بررسی نشان می‌دهد که اجرای کامل پدافند غیرعامل، نه تنها از خسارات مالی جلوگیری می‌کند، بلکه از بحران‌های اعتباری نیز پیشگیری خواهد کرد.

با این وجود لازم به ذکر است که بر اساس ماده ۸ قانون جرایم رایانه‌ای (۱۳۸۸)، در صورت اثبات عدم رعایت الزامات پدافند غیرعامل، مسئولیت حقوقی متوجه مدیریت بانک است.

نتیجه‌گیری و پیشنهادات

اجرای کامل پدافند غیرعامل در نظام بانکی نه ‌تنها یک الزام قانونی، بلکه یک ضرورت استراتژیک برای حفظ ثبات اقتصادی و امنیت مالی کشور محسوب می‌شود. بررسی سناریوهای مختلف نشان می‌دهد که هرچه بانک‌ها به مفاد قانون پدافند غیرعامل (۱۳۹۲) و آئین‌نامه‌های اجرایی آن پایبند باشند، تاب‌آوری آنها در برابر بحران‌هایی مانند حملات سایبری به‌ طور چشمگیری افزایش می‌یابد. در سناریوی ایده‌آل (اجرای کامل)، خسارات مالی تا ۷۵ درصد کاهش یافته و اعتماد عمومی حفظ می‌شود، در حالی که در سناریوی ضعیف (عدم اجرا)، بانک با فلج سیستم‌ها، زیان‌های کلان و بحران اعتبار مواجه می‌شود.

5. پیشگیری بهتر از درمان است: سرمایه‌گذاری در پدافند غیرعامل نظیر امنیت سایبری، مراکز پشتیبان و مقاوم‌سازی فیزیکی بسیار کم‌هزینه‌تر از جبران خسارات بحران‌هاست.
5. تداوم خدمات=اعتماد عمومی: بانک‌هایی که برنامه‌های تداوم کسب‌وکار (BCP) و مدیریت بحران را اجرا می‌کنند، در شرایط اضطراری اعتماد مشتریان و ذی‌نفعان را حفظ خواهند کرد.
5. مسئولیت حقوقی مدیران: غفلت از پدافند غیرعامل می‌تواند مسئولیت‌های سنگین حقوقی مطابق قانون جرایم رایانه‌ای را برای مدیران بانک‌ها به همراه داشته باشد.

با این اوصاف پیشنهاد می‌شود که بانک مرکزی و بانک‌ها با اولویت‌بندی بودجه و آموزش، پدافند غیرعامل را به‌ عنوان بخشی از فرهنگ سازمانی نهادینه کنند. همچنین، نظارت مستمر بر اجرای این الزامات از طریق بازرسی‌های دوره‌ای و شبیه‌سازی بحران ضروری به نظر می‌رسد تا از تاب‌آوری نظام بانکی در برابر تهدیدات آتی اطمینان حاصل شود. در این صورت است که می‌توان در شرایط بحرانی، از دارایی‌های ملی و منافع مشتریان موثرانه محافظت کرد.

منابع:

• بانک مرکزی جمهوری اسلامی ایران (۱۴۰۲) گزارش نظارتی پدافند غیرعامل در نظام بانکی
• مرکز پژوهش‌های مجلس (۱۴۰۲) ارزیابی اجرای قانون پدافند غیرعامل در بخش بانکی. شماره گزارش ۱۹۴۷۵

• مرکز پژوهش‌های مجلس (۱۴۰۲) ارزیابی امنیت سایبری بانک‌ها

• قانون پدافند غیرعامل ایران (۱۳۹۲)
• Basel Committee (۲۰۲۳). Principles for Operational Resilience in Banking
• Basel Committee (۲۰۲۰). Cyber Resilience Principles.
• IMF (۲۰۲۳). Global Cyber Risk Assessment.
• World Economic Forum. (۲۰۱۸). The Global Risks Report ۲۰۱۸ (۱۳th ed.). Geneva, Switzerland: Author. Retrieved from https://www.weforum.org/reports/the-global-risks-report-۲۰۱۸