Két napja, hétfőn teljesen leállt a Raiffeisen Bank informatikai rendszere. A bankfiókok bezártak, sem a netbank, sem az ATM-ek nem működtek, és a kártyás fizetéssel is voltak fennakadások. A probléma kedd reggelre megoldódott, akkor már a bankfiókok is rendben kinyitottak.

A bank tegnap a Pénzcentrumnak azt nyilatkozta, hogy "az ügyfélkiszolgálási rendszerek hibáját egy központi számítógép kulcs-alkatrészének meghibásodása okozta."

Egy alaplap elszállása is sok volt

A Bitport megkereste a bankot további részletek után érdeklődve. A Raiffeisen kommunikációs osztálya a kulcs-alkatrész konkretizálására vonatkozó kérdésünkre az alábbi választ adta: "Az alapvető rendszereink jelentős részét futtató elsődleges szerver alaplapja hibásodott meg. Ennek cseréje még a délután folyamán megtörtént, azonban a biztonságos működés érdekében a mindenre kiterjedő ellenőrzések végrehajtása és így a szolgáltatások teljes körű helyreállítása tovább tartott az előre tervezettnél."

Tökéletes rendszerek nem léteznek, azonban az üzletileg kritikus problémák kiküszöbölésének egyik fontos eszköze az, hogy redundáns rendszereket építenek, melyekben a tartalék rendszer az elsődleges rendszer kiesése esetén azonnal, bizonyos funkciókat automatikusan átvesz.

Arra a kérdésünkre, hogy ez itt most miért nem működött, a bank a következőt válaszolta: "Természetesen az infrastruktúránkban többszörös a redundancia és tartalékrendszerekkel is rendelkezünk, ám az egyes alrendszerek közötti váltás valamilyen szinten mindig érinti a szolgáltatásokat. Tekintettel arra, hogy a hibás alkatrész gyorsan cserélve lett, úgy döntöttünk, hogy az elsődleges rendszert állítjuk helyre, hogy ezzel a további szolgáltatáskiesést elkerüljük."

A gyors csere egyébként jelen esetben 3 órát jelentett, "beleértve a diagnosztikát, a csereeszköz helyszínre szállítását és beépítését, valamint a szerver újraindítását is – írta a bank –. Az ezt követő lépések és ellenőrzések kb. 5 órát igényeltek, mely után szolgáltatásainkat folyamatosan indítottuk újra."

A bank hangsúlyozta: a leállás során olyan kockázat egyáltalán nem merült fel, amely veszélyeztette volna az ügyfelek bármilyen adatát (személyes, bankszámla stb.).

A redundancia nem old meg mindent

A redundáns rendszerek kialakításánál alapvetően az az elv érvényesül, mondták lapunknak banki IT-szakemberek, hogy mekkora egy leállás várható költsége.

Braun Péter, az OTP Bank elnök-vezérigazgatói főtanácsadója, a Vezető Informatikusok Szövetségének elnöke, némileg árnyalta a redundanciával kapcsolatos képet.

Mint mondta, vannak teljesen redundáns rendszerek – elsősorban olyan, például nemzetbiztonsági szempontból fontos területeken, ahol egy pillanatnyi kiesés sem engedhető meg. Ezek a rendszerek azonban hihetetlenül költségesek, mert minden szinten – még a személyzet tekintetében is – redundánsnak kell lenniük. Ilyen esetben a tartalék rendszer még földrajzilag is máshol helyezkedik el, mint az elsődleges rendszer. Ezeket ráadásul negyed- vagy félévente tesztelik is, azaz lekapcsolják az elsődleges rendszert, és átállnak a tartalék üzemre, amelynek úgy kell működnie, mint az eredetinek.

Természetesen ennél lazábbak a potenciális redundancia követelményei, egyben kevesebb lehetőséget is adnak – hangsúlyozta Braun Péter. Ilyenkor például a tartalék rendszerre való átállás sokkal hosszabb folyamat. A teljes rendszer részelemeit külön-külön kell átkapcsolni. Ráadásul ezeket a tartalék rendszereket nem egy esetben másra is használják, például oktatásra vagy tesztelésre, és azoknak a tevékenységeknek a nyomait is ki kell takarítani, mielőtt használatba állíthatnák.

A redundáns rendszerek kialakítására egyébként csak ajánlások vannak, melyek elsősorban a hatást fogalmazzák meg: tehát hogy kell egy tartalék rendszer, amely valamilyen elfogadható szinten bizonyos kiesés után tovább viszi a folyamatokat a helyreállításig. De alapvetően a várható veszteségek mértéke dönti el, hogy mennyit érdemes költeni a redundanciára.

A redundancia architekturális kérdés is...

...ezt már Jakab Péter, az MKB Bank ügyvezető igazgatója, elismert bankbiztonsági szakember mondta a Bitportnak. Ugyanakkor a szakember arra is felhívta a figyelmet, hogy amikor megterveznek egy redundáns rendszert, akkor készítenek kockázatelemzést is, amely becsléseket is tartalmaz az egyes hibák bekövetkeztének a valószínűségére. Lehet azonban bármilyen jól megtervezett egy architektúra, azt nem tudja kiküszöbölni, hogy bizonyos együttállások esetén olyan leállás következzen be, amelyre nincs felkészítve a rendszer. A katasztrófaelhárításra készített tervekben ráadásul a kockázatok bekövetkeztét csak becsülni lehet, és nem is lehet minden egyes együttállásra forgatókönyvet készíteni.

Jakab Péter szintén megerősítette: nincs törvényi vagy egyéb előírás a rendundanciára vonatkozóan. Mint mondta, erre nem is lesz, sőt nem is érdemes, mert az üzletfolytonossággal kapcsolatos elvárás voltaképpen üzleti döntés. Jelen esetben a banknak kell eldöntenie, hogy mekkora az a veszteség, amit még elvisel egy ilyen leállás esetén. Megerősítette Braun Péter által mondottakat abban is, hogy voltaképpen itt a vállalatok business case alapján döntenek: azt becsülik meg, hogy hogyan aránylik a redundáns rendszer felépítésének költsége a várható veszteségekhez, beleértve a reputációs veszteségeket is.

Megjegyzendő ugyanakkor, hogy miközben sokszor épp a reputációs veszteségek okozzák a legnagyobb kárt, annak számítása meglehetősen szubjektív alapokon nyugszik, ráadásul a hosszabb távú tendenciákból is csak következtetni lehet a valódi károk mértékére.