فهرست مطالب
انتشار گزارشها درباره اختلال در سامانههای پولی و گمانهزنیها پیرامون حملات اخیر، بار دیگر چالشهای حوزه **امنیت سایبری بانکها** را به یکی از دغدغههای اصلی فعالان اقتصاد دیجیتال ایران تبدیل کرده است؛ در این میان، بانک مرکزی با انتشار بیانیهای رسمی، ادعاهای مربوط به دخالت یا تحمیل شرکتهای فناوری اطلاعات و پشتیبان فنی به شبکه بانکی را تکذیب کرد و با «بیپایه» خواندن این اتهامات، بر استقلال و مسئولیت مستقیم خود بانکها در توسعه و حفاظت از زیرساختهای فناوریشان تأکید نمود.
این رویداد بار دیگر چالشهای عمیق حاکمیت داده، امنیت زنجیره تأمین فناوری و مرز میان نظارت رگولاتور و استقلال اجرایی بانکها را در سال ۱۴۰۵ به تصویر کشید. در دنیای امروز که بانکداری دیجیتال و خدمات مالی آنلاین به بخش جداییناپذیر زندگی روزمره مردم تبدیل شدهاند، هرگونه اختلال در این سامانهها میتواند پیامدهای اقتصادی و اجتماعی گستردهای داشته باشد. از این رو، شفافسازی درباره نقشها و مسئولیتهای هر یک از بازیگران این عرصه اهمیت دوچندانی یافته است.
در این گزارش تحلیلی از رسانه پیکار، به بررسی ابعاد مختلف این موضوع، بیانیه بانک مرکزی، اهمیت امنیت زنجیره تأمین در بانکداری و وظایف متقابل رگولاتور و بانکها در مواجهه با تهدیدات سایبری میپردازیم.
تکذیب قاطع بانک مرکزی

ماجرا از آنجا آغاز شد که پس از بروز اختلال در خدماترسانی چند بانک کشور، برخی فعالان فضای مجازی و کانالهای خبری مدعی شدند که بانک مرکزی با اعمال نفوذ یا معرفی شرکتهای فناوری خاص، در فرآیند انتخاب پیمانکاران امنیتی و فنی این بانکها دخالت داشته است. این گمانهزنیها به سرعت به شایعهای بزرگتر تبدیل شد که رگولاتور را مسئول غیرمستقیم ضعفهای امنیتی موجود معرفی میکرد.
بانک مرکزی در واکنش به این ادعاها، با انتشار اطلاعیهای شفاف اعلام کرد که در انتخاب ارائهدهندگان خدمات فناوری هیچ نقشی نداشته و ندارد. در این اطلاعیه تأکید شده است که بانکها به عنوان بنگاههای اقتصادی و شخصیتهای حقوقی مستقل، بر اساس ضوابط داخلی و تجاری خود اقدام به عقد قرارداد با شرکتهای پیمانکار میکنند. بانک مرکزی وظیفه خود را تدوین چارچوبهای کلان و نظارت بر حسن اجرای آنها میداند، نه ورود به جزئیات اجرایی و انتخاب شرکای تجاری بانکها.
این تکذیبیه نشاندهنده تمایل رگولاتور برای حفظ مرزهای قانونی و پرهیز از پذیرش مسئولیت خطاهای اجرایی بانکهاست. با این حال، این پرسش باقی میماند که در ساختار فعلی بانکداری ایران، تا چه حد استقلال بانکها در انتخاب فناوریها رعایت میشود و رگولاتور چگونه میتواند بدون دخالت مستقیم، سطح امنیت کل شبکه را ارتقا دهد؟
چرا این موضوع مهم است؟ چالش امنیت زنجیره تأمین فناوری

امنیت سایبری بانکها دیگر یک موضوع صرفاً فنی و درونسازمانی نیست، بلکه به یکی از ارکان اصلی ثبات مالی کشور تبدیل شده است. یکی از بزرگترین تهدیدات پیش روی بانکداری مدرن، «ریسک زنجیره تأمین» (Supply Chain Risk) است. بانکها برای ارائه خدمات خود به شدت به شرکتهای ثالث فناوری، توسعهدهندگان نرمافزار و ارائهدهندگان خدمات ابری وابسته هستند. اگر یکی از این شرکتهای واسط دچار آسیبپذیری امنیتی شود، تمام بانکهای طرف قرارداد با آن نیز در معرض خطر قرار میگیرند.
در سالهای اخیر، تلاشهای زیادی برای توسعه ابزارهای نوین پرداخت و سیستمهای مالی یکپارچه صورت گرفته است. با این حال، پیادهسازی این فناوریها همواره با ریسکهای پیادهسازی روشهای پرداخت جایگزین و چالشهای امنیتی همراه بوده است. تمرکز بیش از حد بانکها بر روی چند پیمانکار محدود در بازار ایران، ریسک تمرکز را به شدت افزایش داده است. در چنین شرایطی، بروز مشکل در یک شرکت فناوری میتواند به طور همزمان چندین بانک بزرگ کشور را با بحران مواجه کند.
به همین دلیل، شفافیت در فرآیند انتخاب پیمانکاران و ارزیابی مداوم سطح امنیتی آنها اهمیت حیاتی دارد. بانکها باید فرآیندهای سختگیرانهای برای ممیزی امنیتی شرکای تجاری خود داشته باشند و به طور مستمر تابآوری سیستمهای خود را در برابر حملات احتمالی بسنجند.
نقش رگولاتور در امنیت سایبری؛ نظارت یا دخالت؟
یکی از چالشهای همیشگی در رابطه میان بانک مرکزی و بانکهای تجاری، تعیین مرز دقیق میان «نظارت نظارتی» (Supervision) و «دخالت اجرایی» (Intervention) است. وظیفه اصلی رگولاتور، تدوین استانداردها، الزامات امنیتی و نظارت بر پایبندی بانکها به این اصول است. بانک مرکزی باید با استفاده از ابزارهای مدرن نظارتی، بانکها را ملزم به رعایت بالاترین استانداردهای امنیتی کند.
در ادبیات نوین بانکداری دنیا، رگولاتورها به جای دیکته کردن نام شرکتها یا ابزارهای خاص، از روشهایی مانند تست استرس عملیاتی استفاده میکنند. برای درک بهتر این مفاهیم، مطالعه مقاله چرا تست استرس بانکها اهمیت دارد؟ میتواند ابعاد فنی این نظارتها را روشنتر کند. در این رویکرد، رگولاتور سناریوهای بحرانی (مانند قطع ناگهانی شبکه یا حمله سایبری گسترده) را شبیهسازی کرده و توانایی بانک در بازیابی اطلاعات و ادامه خدماترسانی را ارزیابی میکند.
اگر رگولاتور به حوزه انتخاب پیمانکاران ورود کند، نهتنها مسئولیت اشتباهات بعدی را به گردن گرفته است، بلکه پویایی و رقابت را در بازار فینتک و امنیت فناوری از بین میبرد. بانک مرکزی ایران با تکذیب اخیر خود نشان داد که مایل است مسئولیت نهایی عملکرد فنی را بر عهده خود بانکها باقی بگذارد تا آنها پاسخگوی مستقیم سهامداران و مشتریان خود باشند.
تاثیر بر اکوسیستم فینتک و امنیت فناوری در ایران
این رویداد و شفافسازی بانک مرکزی، سیگنالهای مهمی برای اکوسیستم فینتک و شرکتهای امنیت فناوری در ایران دارد. نخست اینکه بانکها دیگر نمیتوانند در صورت بروز بحرانهای امنیتی، پشت تصمیمات یا توصیههای رگولاتور پنهان شوند. این امر تقاضا برای خدمات ممیزی امنیتی مستقل، سیستمهای پیشرفته شناسایی تهدیدات و مشاوران زبده امنیت سایبری را افزایش خواهد داد.
دوم، شرکتهای فینتک و ارائهدهندگان خدمات پرداخت که با بانکها همکاری میکنند، باید استانداردهای امنیتی خود را به شدت ارتقا دهند. بانکها تحت فشارهای نظارتی جدید، ممیزیهای سختگیرانهتری را بر روی شرکای تجاری خود اعمال خواهند کرد. این چالشها شباهت زیادی به مسائل مطرحشده در حوزه پرداختهای دیجیتال دارد که در مقاله چالشهای شناسایی تقلب در پرداختهای دیجیتال به تفصیل بررسی شده است.
در نهایت، این وضعیت فرصتی بزرگ برای شرکتهای دانشبنیان و استارتاپهای حوزه امنیت سایبری (SecTech) در ایران ایجاد میکند تا با ارائه راهکارهای بومی و خلاقانه، به بانکها در کاهش ریسکهای زنجیره تأمین و ارتقای تابآوری عملیاتی کمک کنند.
جمعبندی
تکذیب قاطع بانک مرکزی درباره دخالت در انتخاب شرکتهای فناوری بانکها، گامی مثبت در جهت شفافسازی مسئولیتها در شبکه بانکی کشور است. امنیت سایبری یک فرآیند مستمر و پویاست که نیازمند همکاری نزدیک میان رگولاتور، بانکها و شرکتهای فناوری است. رگولاتور باید با تدوین استانداردهای سختگیرانه و انجام تستهای استرس منظم، نقش نظارتی خود را ایفا کند و بانکها نیز باید با پذیرش مسئولیت کامل، سرمایهگذاری در حوزه امنیت و مدیریت ریسک زنجیره تأمین را در اولویت قرار دهند. تنها از این طریق است که میتوان تابآوری شبکه بانکی کشور را در برابر تهدیدات پیچیده سال ۱۴۰۵ و سالهای آینده تضمین کرد.
پرسشهای متداول (FAQ)
چرا بانک مرکزی دخالت در انتخاب شرکتهای فناوری بانکها را تکذیب کرد؟
بانک مرکزی اعلام کرد که بانکها به عنوان شخصیتهای حقوقی مستقل، خود مسئول انتخاب پیمانکاران فناوری و امنیت هستند و رگولاتور نقشی در این فرآیند اجرایی ندارد.
مسئولیت نهایی امنیت سایبری بانکها بر عهده چه نهادی است؟
مسئولیت مستقیم حفظ امنیت شبکه، دادهها و سامانهها بر عهده مدیریت ارشد هر بانک و تیمهای امنیت فناوری اطلاعات آنهاست.
ریسک زنجیره تأمین در بانکداری چیست؟
این ریسک زمانی رخ میدهد که آسیبپذیری در نرمافزارها یا خدمات ارائه شده توسط شرکتهای ثالث (پیمانکاران)، امنیت کل سیستم بانکی را به خطر بیندازد.
بانک مرکزی چگونه بر امنیت سایبری بانکها نظارت میکند؟
بانک مرکزی از طریق تدوین بخشنامهها، الزامات امنیتی، انجام ممیزیهای دورهای و ارزیابی تابآوری عملیاتی بر عملکرد بانکها نظارت دارد.
شرکتهای فینتک چه نقشی در ارتقای امنیت سایبری بانکها دارند؟
فینتکها و شرکتهای امنیت فناوری میتوانند با ارائه راهکارهای نوآورانه، سیستمهای شناسایی تقلب آنی و ابزارهای مانیتورینگ پیشرفته، به بانکها در کاهش ریسکهای امنیتی کمک کنند.
برای دنبال کردن تحلیلهای بیشتر درباره فینتک، بانکداری دیجیتال و امنیت فناوریهای مالی، گزارشهای تخصصی پیکار را در بخش فینتک و اقتصاد دیجیتال بخوانید.
در پی انتشار اخبار ضدونقیض درباره اختلال در سامانههای پرداختی، بانک مرکزی با تکذیب شایعات مربوط به هک سراسری، مسئولیت پایداری فنی را متوجه زیرساختهای داخلی خود بانکها دانست؛ موضوعی که بار دیگر چالشهای رگولاتوری و مرزبندی امنیت سایبری در شبکه بانکی کشور را به تصویر میکشد. برای تحلیل عمیقتر این بحرانها میتوانید آرشیو مقالات تحلیلی پیکار را مطالعه کنید و برای مرور جزئیات تکذیبیه رسمی، گزارش منتشرشده پیرامون واکنش بانک مرکزی به شایعات درباره حمله سایبری را بررسی نمایید.
درباره سردبیر
مطالب این بخش با نام سردبیر در PayKaar منتشر میشوند و شامل پوشش اخبار و تحلیلهای حوزه فینتک و فناوریهای مالی هستند.
مشاهده سایر مقالات


دیدگاههای کاربران
هنوز دیدگاهی ثبت نشده است. اولین نفری باشید که نظر میدهد!