روایت معاون توسعه محصول داتین از هک بانک سپه و پاسارگاد؛ ۱۱ روز نبرد سایبری

به گزارش پیوست، حمیدرضا آموزگار معاون توسعه محصول داتین در صفحه شخصی خود در لینکدین به روزنگاری حمله سایبری به زیرساخت‌های بانک‌های سپه و پاسارگاد پرداخته است.

۲۷ تیر ۱۴۰۴

آن‌چه می‌گذرد انباشته‌ای می‌شود در تاریخ و شاید اگرچه در میثاق درونی روایت کردنش مصداق خودبینی باشد؛ لیک روایت نکردنش ظلم به همراهان و شاید مانع روشنگری برای آیندگان باشد. امروز یک ماه از یک واقعه می‌گذرد. پشتیبانی و مراقبت از دسترس‌پذیری خدماتی که بانک‌ها به مردم می‌دهند در کنار تلاش برای گسترش فراگیری مالی، زندگی روزمره یک جمعیت ۲۰۰۰ نفری را می‌سازد. جمعیتی که علی‌رغم تنوع فرهنگی و ایدئولوژیک یک عبارت ساده که خیلی از فعالان IT بانک‌ها می‌شناسندش، سال‌هاست که سر خط‌شان می‌آورد: «داریم ۸۰ می‌دیم» چیز عجیبی نیست، این یک کد خطاست. زمانی رخ می‌دهد که مثلاً یک نفر کارت بانکی‌اش را روی یک دستگاه پوز می‌کشد و کار نمی‌کند. به همین سادگی.

آن روز ولی… همه نمودارهای مانیتورینگ افتادند یا شاید درست‌ترش این باشد نمودارها کلاً نبودند. در لحظه‌ای، گویا دیگر هیچ چیز نبود.

صبح ۲۶ خرداد ۱۴۰۴

چهار روز قبل، حملات ناگهانی اسرائیل به ایران آغاز شده بود و متولیان شرکت به شدت درگیر مدیریت بحران سرمایه انسانی ناشی از این حملات بود. بدون آگاهی از میزان ادامه‌دار بودن تقابل نظامی و حواشی ناشی از آن در کشور، کمیته بحران شرکت- طبق نظام همیشگی شرکت در بحران‌های پر رخداد سال‌های اخیر- تصمیماتی از باب حمایت از همکاران را به تدریج اجرایی می‌کرد.

۲۶ خرداد اسرائیل تهدید به هدف قرار دادن منطقه ۳ کرد و ساختمان‌های تهران شرکت نیز در این منطقه بود. تمام تمرکز بر مراقبت هرچه کامل‌تر از روال خدمت‌رسانی به بانک‌ها و مشتریانشان در بحبوحه یک حمله نظامی به کشور که همکاران را به شدت دچار نگرانی و اضطراب کرده بود.

همان روز صداوسیما هدف قرار گرفت و ۲۶ام خرداد ۱۴۰۴ را با دغدغه ادامه حملات به منطقه ۳ به انتها رساندیم.

صبح ۲۷ خرداد ۱۴۰۴

هیچ‌چیز قابل دسترسی نبود؛ هیچ‌چیز برای دیدن نبود. سرورهای بانک سپه قابل دسترسی نبودند که ناگهان خبری رسید: استوریج‌ها آسیب دیده‌اند و داده‌ها در دسترس نیستند‌. (عبارات و توضیحات فنی دقیق‌ترش را می‌سپارم به گزارش‌دهندگان رسمی امینتی.)

اوه

اولین راه فرار، خب برویم سراغ سایت پشتیبان.

پاسخ: در آنجا هم همین اتفاق افتاده است.

اوه

ابهام روی ابهام

دیگر اولویت چه شده و چگونه شده نبود؛ چه کنیم که بشود به مردم حداقل سرویس‌ها را در اسرع وقت داد.

سریعاً در همه سطوح عالی مدیران مطلع شدند و بررسی راهکارها شروع شد.

وقتی می‌گویند استوریج نیست- برای دوستانی که شاید از IT کمتر مطلع باشند- مثل آن است که دستگاه خانگی شما هارد دیسک نداشته باشد؛ پس فقط بحث داده‌ها نیست شما حتی سیستم عاملی هم ندارید شما هیچ چیز ندارید هیچ چیز.

اوایل سال ۱۴۰۲

بعد از وقایع سال ۱۴۰۱ و مسائل اجتماعی ناشی از آن، بحث ایجاد راهکارهای تداوم کسب‌وکار برای بانک‌ها در صورت رخدادهای متنوعی که با هدف از کار انداختن خدمت‌رسانی به مردم طراحی شده‌اند، جدی‌تر شد. وظیفه ما مثل همیشه مراقبت از تداوم خدمت‌رسانی بود. پس چندین پروژه محصول آغاز به تحلیل، طراحی و توسعه شد.

یکی از تجاربی که دوست داشتنی نیست ولی به دلایل مختلف تجربه شده وقتی است که یک مرکز داده از دسترس خارج می‌شود. این می‌تواند ناشی از یک عملیات پیش‌بینی شده مانند اورهال یک کارخانه باشد یا ناشی از هر نوع اتفاق پیش‌بینی نشده دیگر. به هر حال یک مرکز داده از دسترس خارج است. پس راهکاری لازم بود که بتواند برای مدت محدودی مانند ۲ ساعت تا زمان برگشتن مرکز داده به وضعیت سرویس‌دهی، خدمات حداقلی بانک برای مردم را در دسترس نگاه دارد. با توجه به نسبت تراکنش‌ها در نظام بانکی و شبکه پرداخت کشور، خدمات مبتنی بر کارت به عنوان خدمات پایه‌ای در نظر گرفته شد که قطع بودن آن می‌تواند برای مردم چالش زیادی ایجاد کند. این راهکار باید می‌توانست حتی در صورت از بین رفتن مرکز داده تا زمان انتقال به سایت پشتیبان در ساده‌ترین حالت خدمات را ارائه دهد. پس می‌بایست ساده و قابل حمل می‌بود. لحظه‌ای به این فکر کنیم یک مرکز داده در یک سرور شاید کارتونی به نظر برسد وقتی یک فیل را در یک ماشین اسباب بازی جا بدهید.

تعریف محصول مشخص بود، یک بانک در یک کیف، نامش پیرو خاطرات دهه شصتی‌ها شد «سامسونت» که فارغ از برند اصیل آن یادآور اصالت یک راهکار بود؛ همه چیزهای حیاتی لازم در یک کیف باید جا می‌شد.

یک روز به دوستی گفتم این محصول، عصاره دانشی تمام سال‌های کاری شرکت است. آن‌جایی که آن‌قدر جرات کنی که بگویی، در یک سرور خدمات پایه بانکی را می‌دهیم. افرادی که دستی در معماری نرم‌افزار داشته باشند و در کنارش نظام بانکی و پرداخت ایران و دغدغه‌های پرفورمنسی آن را بشناسند، شاید حسی به این صورت مساله داشته باشند. سامانه‌های حسابداری، سپرده، کارت و سوییچ و زیرسامانه‌هایی برای ارتباط با هریم و سامانه پیامک و…. برای پاسخ‌‌دهی به حدود ۱۵۰ tps الی ۱۵۰۰ tps راهکاری که باید همیشه آماده به اجرا باشد، داده‌هایش سینک باشد، شروع به کارش ساده باشد و از همه مهم‌تر آنجا جایی برای ماندن نیست باید بازگشتی سریع و با دوام داشته باشیم به وضعیت عادی یعنی بازگشت به سامانه‌های اصلی.

۲۷ خرداد ۱۴۰۴ ساعت ۱۱

دور یک میز در بهت نشسته‌ایم. پیام نهایی بود. همه استوریج‌های سایت اصلی و پشتیبان سپه دیگر در دسترس نیستند. باید می‌رفتیم سراغ بکاپ‌های اصطلاحاً «کلد» (یعنی بکاپ‌هایی که از داده‌ها به‌صورت آفلاین و معمولاً خارج از محیط سایت یعنی آفسایت نگهداری می‌شوند.)

یک چیز خیلی دور پیدا شد!!! و یک بکاپ کلد نزدیکتر برای حالت سریع وجود داشت؛ یعنی حداقل داده‌ها برای نجات که صرفاً داده‌های سپرده‌ها و حساب آنها بود. اسمش مشخص است کلد. پس داده آنلاین در آن نیست. برای بانکی که ماهانه حدود یک میلیارد گردش حساب دارد، هر یک روز عقب‌تر یعنی بیش از ۳۰ میلیون گردش، گم شده است.

بگذریم. بکاپ‌های سپه که توسط همکاران آن بانک تهیه می‌شد تحت بررسی بود و در نهایت بکاپ چند روز عقب‌تر قابل بازیابی شد.

قاعدتاً مانده‌ها به روز نبود. روزهای آخر ماه روز پرداخت حقوق‌ها بود پس خیلی‌ها به مانده نهایی احتیاج جدی داشتند. بعد از همه این بلایا یک شانس کوچک مانده بود. لاگ نگهداری شده توسط همکاران IT بانک برای بررسی‌های SOC.

گام‌ها مشخص شد. راه‌اندازی سخت‌افزار جدید (چون چیز سالمی در مراکز داده نمانده بود و جهت بررسی‌های امنیتی حتی اگر چیز سالمی هم بود در دسترس نبود.)

نصب سیستم عامل‌ها و دیتابیس

بازیابی داده‌های محدود بکاپ روی دیتابیس

مانده‌سازی از روی لاگ‌های موجود

دریافت اطلاعات کارت‌های بانک از بانک مرکزی

نصب و راه‌اندازی راهکار سامسونت بر روی حداقل سخت‌افزار در دسترس

داده‌سازی بر اساس فایل دریافتی از بانک مرکزی

اطلاع‌رسانی به دارندگان کارت

اتصال به شبکه‌های مرتبط بانکی در کشور و…

مسیر معلوم بود. راهکار موقت در کوتاه‌ترین زمان، راهکار دائم سرویس‌دهی ۷ روز بعد و جمع‌آوری داده‌ها و انتقال به راهکار اصلی به تدریج…

مدیران بانک باید اطلاعات کافی را به دست می‌آوردند که بتوانند تصمیمات مدیریتی لازم را در هماهنگی با ارکان مرتبط در کشور بگیرند.

حدود ساعت ۱۳ روز ۲۷ خرداد

آنچه نباید می‌شد، شد.

خبر دادند که این اتفاق عیناً در بانک پاسارگاد رخ داده است. باز هم در همه سایت‌ها، اصلی، پشتیبان و بحران…

صرفاً با تاخیری که بعدها به همراه برخی جزئیات دیگر، گام‌های نجات را در این بانک سرعت بخشید. ظرف چند ساعت دو تا از بانک‌های کشور دیگر نبودند، هیچ هیچ هیچ.

مراحل بانک سپه در حال طی شدن بود. در لحظات اول ولی برای بانک پاسارگاد اوضاع گنگ بود. وضعیت ما و پاسارگاد متفاوت از ما و سپه بود. گام‌های ابتدایی سپه را همکاران خود بانک سپه برعهده داشتند ولی در پاسارگاد گام‌ها از خود ما شروع می‌شد. شروع کردیم به دنبال داده گشتن و هر قدم که پیش می‌رفتیم مصداق «جز وحشتم نیفزود بود» و بهت پس از بهت.

سه گروه شروع کرده بودند

گروه اول پیگیر وضعیت گام‌های بانک سپه

گروه دوم به دنبال داده در بانک پاسارگاد

گروه سوم دنبال راهی برای نجات داده‌ها در میان زیرساخت‌های بانک پاسارگاد (داستان این گروه در این مقال نمی‌گنجد.)

بعدها متوجه شدم در زمانی که در مسیر اجرای گروه اول که دغدغه طی شدن گام‌ها در بانک سپه را داشتند و گاهی از ایشان می‌پرسیدم چرا بانک سریعتر جلو نمی‌رود، گویا مدیران این بانک پیگیر آن کار دیگر بودند که حتماً توجیهات کارشناسی/مدیریتی برای آن داشتند. ولی هیچ‌گاه متوجه علت پنهان‌کاری‌شان نشدم. حتی آن زمانی که بعد از دو شبانه روز نخوابیدن آن مقام محترم آمد و سر بنده را بوسید هم داشت کار دیگری می‌کرد‌.

در انتظار خبر از گروه اول، گروه دوم گشت و گشت و گشت (وارد تعریف آن ۱۲ ساعت نمی‌شوم که خود سال‌ها شاید از عمرها کاست) و آنچه یافته شد جز اعتقاد یک انسان به کارش و پدیده‌ای که هرقدر هم به خدا اعتقاد نداشته باشید باز هم جز خواست او- لااقل من علتی برایش نیافتم- باعثش نبود.

بانک پاسارگاد که چند گام از بانک سپه عقب، بود ناگهان جلو افتاد. داده‌های سامسونت بانک پاسارگاد که ماه‌ها قبل در آن مستقر شده بود، به همراه خود راهکار به سرعت مسیر را به پیش برد و خدمات کارت بانک پاسارگاد بامداد ۲۹ خرداد در دسترس گرفت. بعدها نپرسید که چرا زودتر نشد! چون واقعا داده‌ها نبود و نبود و نبود و باید هر چیزی از ابتدا راه‌اندازی می‌شد.

بامداد ۲۹ خرداد ۱۴۰۴

لحظه‌ای که غلیان احساسات یک پدر را دیدیم؛ اشک‌هایی که ریختنش را مراقبت می‌کرد وقتی که چشمان فرزند به کما رفته‌اش را باز شده دید. این لحظات را می‌توان به ارزش یک عمر خرید. ما این احساس‌ها را در پدران پاسارگاد از ته ته وجودشان لمس کردیم و آن را زیستیم.

ساعت ۱۸ روز ۲۷ خرداد ۱۴۰۴

سامسونت آماده بود؛ ولی قرار این نبود. قرار نبود سامسونت راهکاری برای بلندمدت باشد ولی وضعیت دو بانک بحث چند ساعت نبود. مجبور بودیم برای مراجعه مردم به شعب هم راهکاری بیاندیشیم. اینجا بود که ظهور تیم‌هایی را به تدریج می‌بینیم که هر کدام مسئولیت بخشی از شریان‌های بانک را برعهده می‌گیرند. یک تیم شروع می‌کند پنل عملیات سپردهای شعب سامسونت را توسعه می‌دهد. یک تیم راهکاری میانی برای ساتنا و تیمی دیگر پایا و…. حتی برای چک‌های سپه هم با توجه به اوضاع داده‌ها راهکاری توسعه داده شد که صد حیف که…

چیزهایی که باید می‌رسید تا شنبه صبح به تدریج در شعب کار کند. از هیچ به…

عصر ۲۸ خرداد ۱۴۰۴

بالاخره اطلاع دادند گام اول بانک سپه تمام شده و امکان به روزآوری مانده‌ها فراهم شد. گروه مستقر در بانک سپه برای این بخش تقویت شدند و تعدادی دیگر از همکاران شرکت به گروه اول پیوستند.

یک چیزی در بانک سپه می‌لنگید. انگار واقعاً پای کار نبودند. صبح ۲۹ام دیگر قاطی کرده بودیم که چرا همه چیز برای گام‌های انتقال اطلاعات کارت و راه‌اندازی سامسونت آماده نیست. بالاخره زیرساخت‌ها در عصر ۲۹ خرداد آماده شد و گام‌های بعدی شروع شد. ما برای سپه آماده و با تجربه شده بودیم. علیرغم اینکه از صبح ۲۷ خرداد تا آن زمان امکان خوابیدن نبود و شاید یک یا دو ساعت روی صندلی خوابمان برده بود ولی هیچ وقفه‌ای در راه‌اندازی کارت‌های بانک سپه معنایی نداشت. پس با جدیت تمام کارها شروع شد. بانک سپه یک گام پیچیده اولیه در انتقال کارت‌ها بر اساس اطلاعات بانک مرکزی داشت. گامی که بانک پاسارگاد به علت استقرار سامسونت از قبل نداشت. وضعیتی از داده که افراد مطلع این حوزه پیچیدگی آن را درک می‌کنند. تقریباً بامداد ۳۰ خرداد کارت‌های بانک سپه به تدریج و مبتنی بر راهکار سامسونت وارد مدار شدند و آنجا بود که تازه یک نفسی کشیدیم.

عصر ۲۷ خرداد ۱۴۰۴

ایران در حال جنگ بود. همکاران شرکت مجوز دورکاری و مرخصی گرفته بودند و مانند خیلی از تهرانی‌ها برای محافظت از خانواده از شهر خارج شده بودند. تعدادی هم پس از تهدیدهای منطقه‌ای اسرائیل برای تهران، شروع به خروج کرده بودند. تا شب قبلش هنوز در حال کش‌مکش در باب حضور یا عدم حضور بودیم. حالا وضعیت به قدری مبهم بود که بنیان‌های دیالوگ را تغییر می‌داد. خبر نیاز به حضور برای تعدادی از خبرگان دست به آچار شرکت. حتی یک نفر هم نه نیاورد. افرادی که لحظاتی عجیب را تجربه کردند. در روزهای آتی از پنجره‌های ساختمان محل استقرارشان هم صداهای انفجار گاهاً می‌آمد؛ هم دودها دیده می‌شد. آن هم خیلی نزدیک. گاهی ساختمان می‌لرزید و ثانیه‌ای بعد صدای انفجار می‌آمد. جنگی بود در جنگی دیگر.

شب ۲۷ خرداد ۱۴۰۴

در مرکز داده بانک پاسارگاد و در جست‌وجوی داده. مدیران بانک پاسارگاد به تدریج از عمق واقعه مطلع می‌شدند. صدای جنگ آنجا نمی‌آمد ولی بارها پیش آمد که در دل می‌گفتم کاش بزند که اگر داده‌ای نباشد توان نگاه کردن در چشمان این آدم‌ها که عمر و اعتبارشان را گذاشته بودند، نخواهیم داشت. بخش‌هایی از این داستان حکم رساندن خبر در کما بودن فرزند به پدر را داشت. پدری که برای بزرگ کردن فرزندش از همه چیز گذشته بود و هر آنچه داشت گذاشته بود. پدری که وقتی خبر را شنید ظاهرش را مثل یک کوه حفظ کرد و درون سرشار از تلاطمش را کسی ندید و من این تجربه آشنا را ۳۰ سال پیش هم به چشمان خود شاهد بودم.

شب ۳۰ خرداد ۱۴۰۴

حالا که کارت‌های مردم کار می‌کرد، بعد از چند روز به همه افرادی که از روز اول بودند مهلت خانه رفتن داده شد؛ ولی با شرط بازگشت از ۴ بامداد و قرار مجدد در سپه برای تکمیل و ادامه کار. شب‌هایی که در نزدیکی مرکز داده بانک سپه طی می‌شد و هرگاه برای تلفن زدن بیرون می‌رفتیم، صدا و نور درگیری‌های جنگ را به وضوح و از نزدیک لمس می‌کردیم. ما در زیر بمباران جنگ جایی می‌رفتیم که هر لحظه می‌توانست پودر شود. ولی انگار ذهن‌ها از آن عبور کرده بود و آنهایی که شاید تا چند روز قبل گفتمان دورکاری و خروج از شهر و غیره داشتند جنگ را شبیه آتش‌بازی کودکانه‌ای می‌دیدند که در میانه آن بزرگترین آتش را باید مهار می‌کردند. آتشی اقتصادی که دشمن بر جان میلیون‌ها خانواده انداخته بود. هر بار به حیاط محل استقرار در سپه سر می‌زدیم ساختمان موشک خورده‌ای را مقابلمان می‌دیدیم و کودکانه تحلیل می‌کردیم که این را پهباد اسرائیلی زده است یا موشک و ما وسط تمام آن صداهای شبانه به درون آن محل که خودش گزینه نقطه‌زنی بود، برای ادامه جراحی زخم عمیقش پناه می‌بردیم.

راهکار سامسونت در بانک سپه از زمان راه‌اندازی در بامداد ۳۰ خرداد تا زمان مهاجرت این بانک به راهکار بعدی در ۶ یا ۷ تیر ۱۴۰۴، میزبان بیش از ۶۰ میلیون تراکنش بانکی از چندین مدل بود که گزارش رسمی عملکرد آن قاعدتاً منتشر خواهد شد.

اینها گوشه‌هایی از روایت آغازی بود بر جنگ ۱۱ روزه ما در دل جنگ ۱۲ روزه ایران با اسرائیل که ۴ روز دیرتر شروع شد و ۳ روز دیرتر هم به آتش‌بس رسید. آتش‌بسی که به مانند آتش‌بس جنگ بیرونی بر خاکسترش تا مدت‌ها به تلاش و اهتمام برای بازسازی نیاز دارد. تاکید می‌کنم که گوشه‌هایی بیش نبود. چه بسیار جزئیاتی که امیدوارم تاریخ فراموش نکند و برای ثبتش تلاش شود. روایت روزهای بعد از ۳۰ خرداد ۱۴۰۴ هم برای خودش روایت پر رمز و رازی است. روایت مردان و زنانی که برای خدمت‌رسانی و نجات پایمردی کردند شاید پس از اندکی صبر و بازخورد آن هم نوشتنی شد.