وقتی سامانه‌های دیجیتال از کار می‌افتند!

خلاصه اجرایی

اگر فردا تلفن‌های همراه و اینترنت از کار بیفتند، پرداخت‌ها انجام نشوند، بیمارستان‌ها داده‌های بیماران را از دست بدهند و هشدارهای اضطراری هرگز به دست مردم نرسند چه می‌شود؟ چیزی که شاید شبیه داستان‌های علمی‌تخیلی به نظر برسد می‌تواند به واقعیت تبدیل شود. ازکارافتادگی گسترده و تشدیدشونده سامانه‌های دیجیتال حیاتی، همانند یک «همه‌گیری دیجیتال»، سناریویی محتمل است که چارچوب‌های مدیریتی کنونی هنوز برای مواجهه با آن طراحی نشده‌اند.

جامعه مدرن بر زیرساخت دیجیتال حیاتی می‌چرخد: از برق، مالی و حمل‌ونقل گرفته تا سلامت، ارتباطات و خدمات دولتی. همه‌چیز به سامانه‌هایی عمیقاً به‌هم‌پیوسته وابسته است؛ سامانه‌ها شکننده‌تر از آن‌اند که به نظر می‌رسند و مخاطراتشان تا حد زیادی نادیده گرفته می‌شود.

یک طوفان خورشیدی در مقیاسی مانند آنچه در سال ۲۰۱۲ با فاصله‌ای اندک از زمین گذشت، می‌توانست شبکه‌های برق و ارتباطات را در سراسر قاره‌های کامل از کار بیندازد. انباشت رو‌به‌رشد زباله‌های فضایی از همین حالا تهدید حساب می‌شوند و مدار پایین زمین را به سمت ازکارافتادگی سوق دهد و می‌توانند ناوبری ماهواره‌ای، شبکه‌های مالی و پیش‌بینی هوا را هم‌زمان به خطر بیندازد. آب‌وهوای به حدی که با تغییر اقلیم شدید همراه می‌شود، پیش‌تر نیز نشان داده است که توان قطع کامل زیرساخت دیجیتال را دارد و می‌تواند بلایا را به بحران‌های انسانی تبدیل کند.

این گزارش نشان می‌دهد اختلالات دیجیتال به ندرت رویدادها و اتفاقات شناخته شده‌ای هستند. آن‌ها به صورت آبشاری‌ گسترش می‌یابند. چیزی که با یک خرابی محلی آغاز می‌شود می‌تواند به‌سرعت در میان بخش‌های مختلف گسترش یابد و از مرزها عبور کند. در واقع، تا ۸۹ درصد اختلالات دیجیتال ناشی از مخاطرات طبیعی، به‌جای آسیب اولیه، بر اثر پیامدهای ثانویه و سرریزهای زنجیره‌ای رخ می‌دهند. شمار افرادی که در نهایت تحت تأثیر قرار می‌گیرند می‌تواند تا ده برابر بیشتر از کسانی باشد که در ابتدا در معرض رویداد اولیه بوده‌اند. ریسک‌های دیجیتال اغلب تا رسیدن به یک آستانه بحرانی نامشخص باقی می‌مانند. در گام اول، سامانه‌ها صرفاً از کار می‌افتند، در حالی که دنیای فیزیکی ما ظاهراً تغییری نکرده است. این امر می‌تواند پاسخ به بحران را درست زمانی که اقدام بیشترین اهمیت را دارد به تأخیر بیندازد.

در همین حال، توان ما برای کنار آمدن بدون سامانه‌های دیجیتال تضعیف شده است. در بخش‌های مختلف، مهارت‌های آنالوگ و گزینه‌های پشتیبان از میان رفته‌اند یا دیگر آزموده نمی‌شوند. وقتی سامانه‌ها در مقیاس بزرگ از کار می‌افتند، جایگزین‌های دستی غالباً قادر به جبران آن‌ها نیستند. با این حال، شدت این چالش در زمینه‌های مختلف تفاوت چشمگیری دارد: کشورهایی با افزونگی زیرساختی محدودتر، از جمله کشورهای در حال توسعه و کم‌توسعه‌یافته‌، با آسیب‌پذیری‌های متمایز و در برخی موارد حادتر روبه‌رو هستند.

در نهایت، شکاف مهمی در شیوه فهم ریسک‌ها همچنان پابرجاست. تهدیدهای سایبری توجه زیادی را به خود جلب می‌کنند، اما اختلالات غیرعمدیِ زیرساخت، پویایی‌های متفاوتی دارند. دانش لازم در این زمینه وجود دارد، اما توجه کافی به آن نمی‌شود و حتی وقتی توجه می‌شود، چارچوب‌ها، استانداردها و ظرفیت‌های هماهنگیِ لازم وجود ندارد تا آن دانش را به آمادگی تبدیل کند.

رسیدگی به این ریسک‌ها نیازمند اقدام در شش اولویت است که از طریق یک فرآیند هم‌آفرینی و مشورت با متخصصان ارشد از سازمان‌های بین‌المللی، نهادهای ملی، مؤسسات دانشگاهی و بخش خصوصی، شناسایی شده‌اند:

1. ایجاد و تقویت پایه دانشی برای شناسایی ریسک‌های حیاتی، مدل‌سازی واکنش‌های زنجیره‌ای و ترسیم وابستگی‌های میان‌بخشی؛

2. به‌روزرسانی چارچوب‌های مدیریت ریسک برای به‌رسمیت شناختن اختلالات دیجیتال غیرعمدی به‌عنوان یک ریسک محوری؛

3. تقویت استانداردهای بین‌المللیِ تاب‌آوری، تشویق همکاری برای ظرفیت‌های پشتیبانِ آنالوگ و برنامه‌ریزی مشترک سناریوها؛

4. افزایش هماهنگی پیش‌دستانه درباره حادترین مسیرهای ریسک و ارتقای ظرفیت اجتماعی برای جذب شوک و بازیابی از اختلالات دیجیتال؛

5. ایجاد اعتماد و شکل‌دهی به درک مشترک از وضعیت (آگاهی موقعیتی مشترک) و

6. تقویت همکاری جهانی لازم برای تبدیل هشدارهای اولیه به اقدام جمعی.

سناریوهای ازکارافتادگی‌های بحرانی دیجیتال

سناریوهایی که در ادامه می‌آیند، ریسک انتزاعی را به مفاهیمی عینی و ملموس تبدیل می‌کنند. سناریوهای این بخش که بر مخاطرات مستند، شواهد تجربی و تخصص میان‌بخشی در حوزه‌های مخابرات، حکمرانی زیرساخت دیجیتال، مخاطرات طبیعی، مدیریت ریسک، امنیت سایبری و تاب‌آوری سامانه‌های حیاتی تکیه دارند، از طریق یک فرایند مشارکتی تدوین شده‌اند. متخصصان ارشد از سازمان‌های بین‌المللی، نهادهای ملی، مؤسسات دانشگاهی و بخش خصوصی در طراحی آن‌ها مشارکت داشته‌اند. این سناریوها، زنجیره‌های محتمل رویدادها را در سامانه‌های به‌شدت به‌هم‌پیوسته دنبال می‌کنند. آن‌ها تمرین پیش‌بینی نیستند. بلکه تلاشی بوده‌اند برای آشکار کردن چیزی که معمولاً ناگفته و پنهان می‌ماند. وابستگی‌هایی که هرگز در فهرست‌های ثبت ریسک ظاهر نمی‌شوند و لحظه‌هایی که یک سامانه دیجیتال بدون هشدار وارد یک اختلال دیجیتال گسترده می‌شود. هدف آن‌ها این است که ابزار مشترکی در اختیار سیاست‌گذاران و متخصصان اجرایی قرار دهند تا بر مبنای آن کار کنند. شدت و ماهیت پیامدها، بسته به میزان یکپارچگی دیجیتال، مالکیت زیرساخت و ظرفیت تنظیم‌گری ملی، در مناطق مختلف به‌طور چشمگیری متفاوت خواهد بود.

داده‌ها و جدول‌های زمانی ارائه‌شده در این سه سناریو جنبه توضیحی دارند. آن‌ها بر ادبیات علمی، دانش تخصصی و رویدادهای مستند شده گذشته استوارند و پیش‌بینی‌های احتمالاتی نیستند. اختلالات دنیای واقعی در شرایطی از عدم‌قطعیت و پیچیدگی رخ می‌دهند که هیچ مدلی نمی‌تواند به‌طور کامل آن‌ها را بازنمایی کند و آثار واقعی آن‌ها ممکن است به‌طور قابل‌توجهی با آنچه در اینجا توصیف شده متفاوت باشد. این سناریوها برای آشکار ساختن پویایی‌های ساختاریِ ازکارافتادگیِ سیستمی طراحی شده‌اند، نه برای تجویز اینکه هر رویداد مشخصی دقیقاً چگونه رخ خواهد داد.

1- رخداد فضایی

در سپتامبر سال ۱۸۵۹، یک طوفان خورشیدی، فورانی از انرژی و ذرات باردار از خورشید، به زمین برخورد کرد. اپراتورهای تلگراف در اروپا و آمریکای شمالی دچار شوک‌های الکتریکی شدند. از تجهیزات تلگراف جرقه‌هایی پرید که برخی دفاتر را به آتش کشید. شفق‌های قطبی حتی در عرض‌های جغرافیایی استوایی نیز دیده شدند. این رویداد در تاریخ با نام «رویداد کارینگتون» ثبت شد؛ نامی که از ستاره‌شناس بریتانیاییِ مشاهده‌کننده آن گرفته شده است. در آن زمان، تلگراف همان اینترنت امروز بود. با وجود آنکه خسارت‌ها شدید بود، زیرساخت‌ها نسبتاً به‌سادگی بازسازی شدند و کارکردهای گسترده جامعه تا حد زیادی بدون اختلال ادامه یافت.

برآوردهای احتمالاتی وقوع رویدادی در مقیاس کارینگتون در ادبیات علمی بسیار متفاوت‌اند و این تفاوت بازتاب روش‌های آماری و مجموعه ‌داده‌های مختلف است. تخمین‌ها برای دهه آینده، بسته به مدل آماری مورد استفاده، از کمتر از ۲ درصد تا حدود ۱۲ درصد متغیر است. ارزیابی مؤسسه بیمه‌ای لویدز لندن در سال ۲۰۱۳ خسارت احتمالی تنها در آمریکای شمالی را بین 6/0 تا 6/2 تریلیون دلار برآورد کرد. نکته مهم این است که هیچ رویدادی در این مقیاس در طول عمر هیچ سامانه دیجیتالی رخ نداده است. با این حال، یک «برخوردِ نزدیک» در سال ۲۰۱۲ قدرتی مشابه رویداد کارینگتون داشت. سناریوی زیر نشان می‌دهد اگر رویدادی مشابه، امروز رخ دهد چگونه پیش خواهد رفت.

از 18 ساعت قبل از شروع تا T-زمان شروع رخداد: پنجره هشدار

سامانه‌های پایش آب‌وهوای فضایی یک پرتاب بزرگ جرم تاجی خورشیدی را در مسیری به سوی زمین شناسایی می‌کنند. پنجره هشدار ۱۶ تا ۲۰ ساعت است. این زمان، برای برخی اقدامات حفاظتی کافی است، اما برای بیشتر اقدامات کافی نیست. سه شرکت برق در عرض‌های جغرافیایی شمالی بار ترانسفورماتورها را کاهش می‌دهند. شرکت‌های هواپیمایی شروع به زمین‌گیر کردن پروازهای مسیرهای قطبی می‌کنند؛ جایی که ناوبری و ارتباطات در برابر تداخل خورشیدی آسیب‌پذیرتر است. یک ارائه‌دهنده بزرگ خدمات ابری فعالیت‌های خود را در عرض‌های جغرافیایی بالا متوقف می‌کند.

بیشتر سازمان‌ها اقدامی انجام نمی‌دهند. تصمیم‌گیرندگانی که هشدار را دریافت می‌کنند هرگز تجربه‌ای مشابه نداشته‌اند و سامانه‌هایی که مدیریت می‌کنند هرگز در برابر چنین شرایطی آزمایش نشده‌اند. این ناشی از سهل‌انگاری نیست؛ بلکه ویژگی ساختاری مدیریت ریسک است که بر داده‌های تاریخی بنا شده و در سابقه تاریخی، تنها یک نمونه بزرگ از چنین رویدادی ثبت شده است.

2 ساعت پس از شروع رخداد: ناوبری ناپدید می‌شود

سامانه‌های ناوبری ماهواره‌ای جهانی (GNSS) برای ارائه موقعیت، سرعت و زمان دقیق در سراسر جهان به سیگنال‌های رادیویی ماهواره‌ها متکی هستند. وقتی این سیگنال‌ها در مقیاس جهانی غیرقابل ‌اعتماد می‌شوند، هواپیماها مجبور می‌شوند به روش‌های پروازی ثابت به جای رادار بازگردند و همین امر ظرفیت ترافیک هوایی را به کسری از حالت عادی کاهش می‌دهد. ناوبری دریایی کند می‌شود. خدمات اضطراری توان مسیریابی اعزام نیرو را از دست می‌دهند. خودروهای خودران متوقف می‌شوند. کشاورزی دقیق نیز متوقف می‌شود و بر تأمین غذا اثر می‌گذارد.

زیرساخت مالی صرفاً برای تراکنش‌ها از شبکه‌های دیجیتال استفاده نمی‌کند؛ بلکه برای همگام‌سازی آن‌ها به زمان‌بندی ماهواره‌ای متکی است. این اختلالِ زمانی پیامدی بسیار مهم دارد: وقتی برچسب‌های زمانی قابل اعتماد نباشند، سامانه‌های تسویه نمی‌توانند ترتیب تقدم تراکنش‌ها را تعیین کنند. در نتیجه تراکنش‌ها رد می‌شوند.

4 تا 8 ساعت پس از شروع رخداد: موج خاموشی‌ها

جریان‌های القاشده ژئومغناطیسی می‌توانند موجب خرابی ترانسفورماتورها در شبکه‌های برق ملی شوند. این خرابی‌ها هم‌زمان رخ نمی‌دهند؛ بلکه همراه با جبهه طوفان حرکت می‌کنند و موجی از خاموشی‌ها ایجاد می‌کنند که ظرفیت بازیابی را پیش از آنکه هر شبکه بتواند کاملاً بهبود یابد، کند می‌کند.

در ابتدا خاموشی‌ها مدیریت می‌شوند. اما تا ساعت هشتم، تعدادی از شبکه‌ها توان مدیریت مرکزی توزیع برق را از دست می‌دهند. مراکز داده شروع به مصرف کامل برق پشتیبان خود می‌کنند. با رسیدن سامانه‌های پشتیبان به حد نهایی، اختلال شتاب می‌گیرد. در شرایط عادی تولید، جایگزینی هر ترانسفورماتور بین دوازده تا هجده ماه زمان می‌برد. هیچ ذخیره راهبردی وجود ندارد و در حال حاضر هیچ پروتکل بین‌المللی تثبیت‌شده‌ای برای هماهنگی فرایند بازیابی وجود ندارد.

12 تا 72 ساعت پس از شروع رخداد: فرضیه‌ای که شکست می‌خورد

هر برنامه تداوم کسب‌وکار بر فرضی استوار است که به ندرت به‌صراحت بیان می‌شود: اینکه در صورت ازکارافتادن سامانه‌های دیجیتال، می‌توان از روش‌های دستی استفاده کرد. اما در مقیاس بزرگ و در شرایط اختلال طولانی‌مدت، این فرض آزموده می‌شود و حتی در پیشرفته‌ترین اقتصادها نیز شکست می‌خورد.

کارکنان بیمارستانی که فقط با سامانه‌های پرونده الکترونیک سلامت آموزش دیده‌اند، نمی‌توانند اطلاعات بیماران را پیدا کنند. شعب بانک بدون ذخایر نقدی قادر به خدمت‌رسانی به مشتریان نیستند. مدیریت ترافیک در شهرهای دیجیتالی‌شده، از کار می‌افتد. مهارت‌های لازم برای بازگشت به روش‌های آنالوگ یا وجود ندارند یا تمرین نشده‌اند. هماهنگی به ظرفیت‌هایی وابسته است که پیش‌تر کنار گذاشته شده یا کاهش یافته‌اند.

مشکل مهارت‌های آنالوگ را می‌توان از منظر صنعت هوانوردی توضیح داد: ناوبری GNSS آن‌قدر جای مهارت‌های سنتی خلبانی را گرفته است که اکنون برنامه‌های آموزشی ویژه‌ای برای حفظ توانایی پرواز بدون GNSS در زمان اختلال ایجاد شده است. این اصل در همه بخش‌ها صدق می‌کند.

 پس از ۷۲ ساعت: سکوت طولانی

مدت زمان اختلال نه توسط طوفان، بلکه توسط زمان جایگزینی ترانسفورماتورها تعیین می‌شود. وقتی بازگرداندن شبکه برق به قطعاتی وابسته باشد که فقط در چند کارخانه در جهان تولید می‌شوند، روند بازیابی با ماه‌ها می‌رسد. این سناریو با یک رویداد ناگهانی و نمایشی پایان نمی‌یابد، بلکه با فرآیندی آهسته و نابرابر از بازسازی زیرساختی پایان می‌گیرد که آسیب‌پذیری آن از پیش شناخته شده و مدت‌ها مستند شده بود.

2- رخداد زمینی

در سال ۲۰۰۳، پیش‌بینی‌های هواشناسی درباره دماهای بسیار بالا تا حد زیادی دقیق بودند، در سراسر اروپای غربی هشدارهایی صادر شد و نهادهای حفاظت مدنی توصیه‌های مربوط به موج گرما را منتشر کردند. این راهنمایی‌ها با سطح خطر همخوانی داشتند، زیرا خطر به‌خوبی شناخته شده بود، اما زنجیره پیامدهای آن شناخته نشده بود. سازوکاری برای تبدیل یک سیگنال هواشناسی به بسیج نظام سلامت عمومی وجود نداشت و در نتیجه بیش از ۷۰ هزار مرگ اضافی در سراسر اروپای غربی رخ داد. در همان زمان، گرما سطح آب رودخانه‌ها را کاهش داد و دمای آب را بالا برد و نیروگاه‌ها را مجبور کرد درست زمانی که تقاضا به اوج رسیده بود، تولید خود را کاهش دهند. با وجود اینکه این وضعیت فشار زیادی بر تأمین برق وارد کرد، زیرساخت دیجیتال هنوز به‌طور کامل در سامانه‌های حیاتی ادغام نشده بود و بنابراین ازکارافتادن آن باعث اختلال گسترده و سیستمی نشد. اگر چنین رویدادی امروز رخ دهد، روند آن متفاوت خواهد بود.

روزهای اول و دوم: رسیدن به حد همه آستانه‌ها، در همه‌جا و هم‌زمان

چندین اپراتور بزرگ مراکز داده در منطقه از همان صبح نخست شروع به گزارش فشار بر سامانه‌های خنک‌کننده می‌کنند. تا بعدازظهر، مصرف برق در شبکه به ۹۷ درصد ظرفیت می‌رسد. یک اپراتور انتقال منطقه‌ای طبق رویه استاندارد، توازن احتیاطی بار را اعمال می‌کند و در نتیجه خاموشی‌های کوتاه‌مدت ۸ تا ۱۲ دقیقه‌ای در مناطق حومه‌ای و صنعتی ایجاد می‌شود. هر یک از این رخدادها برای سامانه مربوطه پایین‌تر از آستانه رسمی هشدار قرار دارند. وضعیت اضطراری اعلام نمی‌شود و هیچ هماهنگی میان‌بخشی فعال نمی‌گردد.

اختلالات زنجیره‌ای معمولاً این‌گونه آغاز می‌شوند: نه با یک رویداد ناگهانی، بلکه با همگرایی فشارهایی قابل‌تحمل که هیچ اپراتوری نمی‌تواند تصویر کلی برای آن در نظر بگیرد.

روز سوم: نخستین زنجیره اختلال

برخی مراکز داده به حالت عملکرد تنزل‌یافته (degraded mode) می‌روند و برای پیشگیری از کمبود سوخت ژنراتورهای پشتیبان، خدمات غیرحیاتی را تعلیق می‌کنند. این کمبود سوخت ناشی از کاهش حمل‌ونقل رودخانه‌ای در اثر موج گرماست که به‌طور محسوس قابلیت کشتیرانی در رودخانه‌ها را کاهش داده است. تأخیر شبکه‌های تلفن همراه ۱۸۰ درصد افزایش می‌یابد. سامانه مدیریت ترافیک یک اپراتور بزرگ که خود در یکی از مراکز داده آسیب‌دیده میزبانی می‌شود، شروع به محدودسازی خودکار ترافیک می‌کند. چند هزار ایستگاه پایه، خنک‌سازی فعال خود را از دست می‌دهند. یک ارائه‌دهنده منطقه‌ای خدمات ابری، فعالیت خود را متوقف می‌کند و ترافیک را به گره‌هایی در شمال اروپا هدایت می‌کند؛ اقدامی که باعث ازدحام در پیوندهای فرامرزی می‌شود، پیوندهایی که برای تحمل چنین باری طراحی نشده‌اند.

در اتاق جلسه‌ای در کشوری دیگر، مهندسان یک شرکت مخابراتی به داشبوردهایی نگاه می‌کنند که مشکلی را نشان می‌دهد که پیش‌بینی نکرده بودند: تصمیم‌های مدیریت ترافیک آن‌ها اکنون به سامانه‌هایی وابسته شده است که در ساختمان‌هایی با ظرفیت خنک‌کنندگی خارج از مالکیت آن‌ها قرار دارند، در شهری که با یک رویداد آب‌وهوایی روبه‌روست که اصلاً در برنامه‌های تاب‌آوری آن‌ها لحاظ نشده بود.

روزهای چهارم و پنجم: سامانه‌های سلامت و مالی می‌فهمند که به یک اتاق سرور وابسته‌اند

یک سامانه تأمین برق بدون وقفه (UPS)، که نوعی منبع برق پشتیبان است، در طول یک خاموشی کوتاه ۱۴ دقیقه‌ای شبکه در یکی از مراکز داده همچنان فعال می‌ماند، اما دیگر به‌طور کامل توان پشتیبانی و حفاظت لازم را فراهم نمی‌کند. بازیابی کامل ۳۱ ساعت طول می‌کشد. در این بازه، سامانه تبادل داده بیمارانِ نهاد ملی سلامت که برای اطلاع لحظه‌ای از ظرفیت تخت‌ها و مسیریابی آمبولانس‌ها استفاده می‌شود، در دسترس نیست. سه بیمارستان ناچار می‌شوند به هماهنگی تلفنی بازگردند. زمان پاسخ خدمات اضطراری در منطقه آسیب‌دیده ۳۴ درصد افزایش می‌یابد.

این وابستگی در هیچ فهرست استاندارد ثبت ریسک ظاهر نشده بود. هنگامی که پلتفرم تبادل داده سلامت هجده ماه پیش به زیرساخت ابری منتقل شد، از نهاد سلامت مشورتی گرفته نشد. هیچ‌کس نپرسیده بود اگر مرکز داده میزبان آن در طول یک موج گرما بیش از حد گرم شود چه اتفاقی می‌افتد. این پرسش ضروری به نظر نمی‌رسید.

یک سامانه تسویه مالی که خرده‌فروشان منطقه از آن استفاده می‌کنند، برای ۱۹ ساعت قادر به تسویه تراکنش‌ها نیست. فروشندگان کوچک‌تر پرداخت‌های الکترونیکی را متوقف کرده و فروشگاه‌ها را می‌بندند. در روز چهارم موج گرما، در شهری که دمای آن به ۴۲ درجه رسیده است، بسیاری از فروشگاه‌ها نه به‌دلیل گرما بلکه به این دلیل بسته‌اند که دستگاه‌های کارت‌خوان آن‌ها نمی‌توانند به سروری که بیش از حد داغ شده متصل شوند.

روز ششم: هشداری که ارسال نشد

در آخرین روز موج گرما، یک مرکز داده دیگر هم‌زمان با یک رویداد اوج بار شبکه برق، دچار اختلال در سامانه خنک‌کننده می‌شود. اتصال تلفن همراه در هسته شهری برای چهار ساعت به ۱۲ درصد ظرفیت عادی کاهش می‌یابد. زیرساخت پخش پیام سلولی منطقه که برای کار مستقل از شبکه‌های داده طراحی شده، به فرستنده‌های ایستگاه‌های پایه متکی است؛ چند صد مورد از این ایستگاه‌ها از روز سوم بدون خنک‌سازی فعال کار می‌کنند. نهاد حفاظت مدنی تلاش می‌کند یک هشدار عمومی اضطراری جدید صادر کند، اما پلتفرم اصلی انتشار هشدار نیز از کار افتاده است. سامانه‌های رادیویی و آنالوگ فعال می‌شوند، با این حال بخش قابل‌توجهی از جمعیت هشدار را دریافت نمی‌کنند.

3- رخداد زیر دریا

در ۱۵ ژانویه ۲۰۲۲، آتشفشان هونگا در ۴۰ کیلومتری شمال پایتخت تونگا فوران کرد. این فوران ۸۰ کیلومتر از تنها کابل زیردریایی که این مجمع‌الجزایر را به بقیه جهان متصل می‌کرد نابود کرد. نزدیک‌ترین کشتی تعمیر کابل در پاپوآ گینه نو و بیش از ۴۲۰۰ کیلومتر دورتر از محل رخداد مستقر بود. تونگا به مدت پنج هفته در خاموشی ارتباطی فرو رفت. کابل داخلی میان‌جزیره‌ای که زیر آوار آتشفشانی دفن شده بود، هجده ماه دیگر زمان برد تا تعمیر شود. تونگا سهم اندکی از ترافیک جهانی اینترنت را حمل می‌کرد. اگر همین جغرافیای کابلی برای یک گره اصلی مسیریابی به کار می‌رفت، نقطه‌ای گلوگاهی که ده‌ها سامانه در آن به هم می‌رسند، این قطعی صرفاً حاشیه‌ای بر یک فوران آتشفشانی نبود؛ بلکه به بحرانی مالی و لجستیکی در مقیاس قاره‌ها تبدیل می‌شد.

از ساعت شروع رخداد تا 6 ساعت پس از آن: گسست و خلأ حکمرانی‌ که آشکار می‌شود

چندین کابل بلافاصله قطع می‌شوند. برخی دیگر آسیب می‌بینند، اما ابزارهای پایش تا روز هشتم متوجه آن نمی‌شوند؛ یعنی تا زمانی که این کابل‌ها به‌طور کامل از کار می‌افتند و اتصال باقی‌مانده نیز حذف می‌شود. در شش ساعت نخست، پشتیبان ماهواره‌ای حدود ۸ درصد از ترافیک عادی را جذب می‌کند. ظرف ۹۰ دقیقه، حتی همین ظرفیت نیز اشباع می‌شود.

کابل‌های آسیب‌دیده متعلق به کنسرسیومی از اپراتورهای خصوصی از چند کشور هستند. اعزام کشتی تعمیر نیازمند مذاکره تجاری و اخذ مجوز از دولت‌های ساحلی از جمله مجوز عبور از سه منطقه انحصاری اقتصادی است. سریع‌ترین کشتی تعمیر کابل موجود، 9 روز با محل حادثه فاصله دارد. کشتی دومی شناسایی می‌شود، اما رسیدن آن به کابل‌های قطع‌شده ۱۸ روز طول می‌کشد. کل اقیانوس آرام تنها توسط چند کشتی پوشش داده می‌شود.

درخواست‌های اضطراری برای تغییر مسیر ظرفیت ماهواره‌ای باعث طرح ادعاهای رقابتی ملی بر سر پهنای باند موجود می‌شود. در حال حاضر هیچ پروتکل مورد توافقی برای اولویت‌بندی وجود ندارد و تعریف مشترکی از اینکه چه سطحی از اتصال، «حداقل انسانی» محسوب می‌شود نیز موجود نیست. این وضعیت بازتاب ماهیت پراکنده مسئولیت‌ها میان دولت‌های ملی، سازمان‌های بین‌المللی و اپراتورهای خصوصی است.

روزهای ۲ تا ۷ پس از رخداد: سرایت به اقتصادها

پس از ۴۸ ساعت اتصال تنزل‌یافته، تسویه مالی منطقه متوقف می‌شود. کسب‌وکارها قادر به انجام پرداخت‌های وارداتی نیستند. عملیات بندری ۶۰ درصد کند می‌شود، زیرا نرم‌افزارهای لجستیکی وابسته به خدمات ابری در دسترس نیستند. یک بانک مرکزی منطقه‌ای وضعیت اضطراری اتصال اعلام می‌کند. مراکز درمانی که پرونده‌های بیماران را به پلتفرم‌های ابری منتقل کرده بودند، دسترسی به سوابق بالینی را از دست می‌دهند. پزشکی که در یک درمانگاه روستایی بیماری را معالجه می‌کند، هیچ سابقه‌ای از داروها یا تشخیص‌های قبلی او در اختیار ندارد.

در این لحظه، سامانه‌ای که ظاهراً صرفاً درباره مدیریت اطلاعات بود، خود را به‌عنوان سامانه‌ای برای ایمنی پزشکی آشکار می‌کند. مهاجرت به فضای ابری کارآمد بوده است، اما یک وابستگی پنهان ایجاد کرده که باید مورد توجه قرار می‌گرفت.

روزهای ۸ تا ۲۱ پس از رخداد: سه هفته بدون اینترنت

منطقه ناچار می‌شود به ارتباطات رادیویی موج کوتاه و انتقال فیزیکی اسناد بازگردد. نسلی از مدیران، کارکنان سلامت، معلمان و بازرگانان که هرگز بدون اتصال دیجیتال کار نکرده‌اند، در شرایط فشار درمی‌یابند که بازگشت به روش‌های آنالوگ مستلزم مهارت‌هایی است که از میان رفته، تجهیزاتی است که از رده خارج شده و حافظه نهادی‌ای است که از گذار به سامانه‌های دیجیتال جان سالم به در نبرده است.

اطلاعات نادرست به‌سرعت گسترش می‌یابد تا خلأ اطلاعاتی را پر کند. با در دسترس نبودن منابع اطلاعاتی تأییدشده، گمانه‌زنی‌ها جای آن‌ها را می‌گیرند. شایعاتی درباره علت قطعی، زمان بازگشت اتصال، اینکه کدام بانک‌ها ذخایر نقدی دارند و کدام ندارند، منتشر و تقویت می‌شوند. اختلال اطلاعاتی دیگر پیامد ثانویه پارگی کابل نیست؛ بلکه خود به بحرانی مستقل تبدیل می‌شود.

الگوهای مشترک ریسک‌های سیستمی دیجیتال

با وجود تفاوت در محرک‌ها، سناریوهای ریسک دیجیتالِ حیاتی تمایل دارند از مجموعه‌ای از الگوهای ساختاری مشترک پیروی کنند.

به‌طور مشخص، سناریوهای مختلفِ ریسک دیجیتالِ حیاتی به یک اندازه محتمل هستند. یک خشکسالی طولانی‌مدت می‌تواند بر سامانه‌های رودخانه‌ای که برای خنک‌سازی مراکز داده استفاده می‌شوند، تأثیر بگذارد. یک فوران آتشفشانی بزرگ در امتداد یک کریدورِ کابل زیردریایی می‌تواند همان «خلأ حکمرانی» که در سناریوی کابل زیر دریا شرح داده شد را تکرار و تقویت کند و هم‌زمان اختلالات جوی ایجاد کند که پشتیبان ماهواره‌ای را نیز تضعیف نماید. یک طوفان بزرگ (هوریکان) می‌تواند دکل‌های موبایل و تیرهای حامل فیبر نوری ارتباطی در کشورهای جزیره‌ای را با خاک یکسان کند. یک فروپاشی پیش‌رونده بر اثر برخوردها در مدار پایین زمین، تعداد زیادی از ماهواره‌های ارتباطی را از کار می‌اندازد و میدان‌های زباله‌ای ایجاد می‌کند که آن‌قدر متراکم هستند که پوسته‌های مداری کلیدی را برای دهه‌ها غیرقابل‌استفاده می‌سازند. برخلاف دیگر سناریوهای این گزارش، این سناریو که به «اثر کسلر» معروف است، هیچ مسیر بازیابی فوری باقی نمی‌گذارد.

بنابراین، هر سناریو را باید به‌مثابه یک پرسش خواند: نه اینکه «آیا این اتفاق ممکن است بیفتد؟» بلکه «اگر بیفتد، چه خواهیم کرد؟»

این سه سناریو چه اشتراکاتی دارند؟

۱. این اختلالات با هشدار همراه هستند. در هر مورد، اطلاعات لازم برای پیش‌بینی اختلال وجود داشت. احتمال یک رویداد خورشیدی بزرگ منتشر شده بود، موج گرما پیش‌بینی شده بود و آسیب‌پذیری کریدور کابل نقشه‌برداری شده بود. آنچه در هر مورد غایب بود، «دانش» نبود، بلکه «معماریِ لازم برای تبدیل دانش به اقدام هماهنگ» در میان سازمان‌ها، حوزه‌های قضایی و بخش‌هایی بود که اختلال از آن‌ها عبور می‌کرد. با این حال، این معماری باید به ریسک‌هایی که هنوز نام‌گذاری نشده‌اند نیز گسترش یابد: ایجاد ظرفیت برای شناسایی «مجهولات ناشناخته» به‌مثابه آسیب‌پذیری‌هایی که پیش از ظهور در هر پیش‌بینی یا فهرست ثبت ریسک وجود دارند، همچنان چالشی به‌شدت فوری است.

۲. آن‌ها نامرئی هستند تا زمانی که دیگرنامرئی نباشند. هیچ‌یک از این بحران‌ها با یک رویداد نمایشیِ واحد خود را اعلام نمی‌کند. در عوض، آن‌ها از طریق گذشتن از آستانه‌هایی انباشته می‌شوند که هیچ سازمان منفردی در موقعیتی نیست که آن‌ها را به‌صورت مجموع ببیند. تا زمانی که بحران به‌عنوان یک «بحران» قابل‌تشخیص شود، فرصت برای مؤثرترین مداخلات از دست رفته است.

۳. آن‌ها نوع خاصی از وابستگی را آشکار می‌کنند: نوع پنهان. تراکنش‌های مالی به زمان‌بندی ماهواره‌ای وابسته‌اند. سامانه‌های حمل‌ونقل به داده‌های لحظه‌ای، ناوبری GNSS و مدیریت دیجیتال ترافیک وابسته‌اند. سامانه‌های سلامت به پلتفرم‌های ابری متکی‌اند. هشدارهای اضطراری به همان مراکز داده‌ای وابسته‌اند که خدمات روزمره از آن‌ها استفاده می‌کنند. این وابستگی‌ها از طریق تصمیماتِ به‌ظاهر عقلانی و انفرادی توسط افرادی ایجاد شده‌اند که از آن‌ها پرسشی نشده بود و هیچ سازوکاری برای ارزیابی اینکه آن انتخاب‌ها برای کلیتِ سامانه چه معنایی دارند، در اختیار نداشتند.

۴. در نهایت، ریسک‌های دیجیتال صرفاً به میزان دیجیتالی بودن یک کشور وابسته نیستند. شکاف دیجیتال جهانی که حدود یک‌چهارم از مردم جهان را آفلاین نگه داشته است، آسیب‌پذیری‌های متمایزی ایجاد می‌کند: در برخی از «کشورهای در حال توسعه»، اتصال ممکن است تنها به یک کابل زیردریایی وابسته باشد، در حالی که زیرساخت داده‌های حیاتی اغلب خارج از حوزه قضایی ملی قرار دارد.

بخش دوم این گزارش به بررسی مبانی تحلیلی می‌پردازد که توضیح می‌دهد چرا این الگوها تکرار می‌شوند و یک پاسخ مدیریتیِ متناسب با مقیاس آن‌ها به چه چیزی نیاز دارد.

 درک ریسک‌های حیاتی دیجیتال

سناریوهایی که در بخش نخست این گزارش توصیف شدند، کنجکاوی‌های فرضی نیستند. آن‌ها برون‌افکنی‌های قابل‌باوری از یک چشم‌انداز ریسک هستند که به‌طور نظام‌مند در ادبیات فنی، مطالعات تجربی درباره شکست‌های اخیر زیرساختی و فرآیندهای هم‌آفرینی کارشناسانه‌ای که این گزارش بر آن‌ها بنا شده، مستند شده‌اند. این بخش از گزارش، از سطح روایت فاصله می‌گیرد تا بررسی کند که واقعاً درباره ریسک‌های حیاتی دیجیتال چه می‌دانیم: این ریسک‌ها چگونه مفهوم‌پردازی می‌شوند، چه شرایط ساختاری آن‌ها را ایجاد می‌کند، چارچوب‌های ما در کجا ناکافی باقی مانده‌اند و چه شکل‌هایی از مدیریت می‌تواند آغازگر پاسخی متناسب با مقیاس این چالش باشد.

زیرساخت دیجیتال معاصر به‌طور هم‌زمان مقاوم‌تر و شکننده‌تر از هر زمان دیگری است. این تناقض نیست، بلکه ویژگی ساختاریِ نحوه تکامل سامانه‌های شبکه‌ای در مقیاس بزرگ است. دهه‌ها سرمایه‌گذاری در افزونگی، توازن بار و معماری توزیع‌شده باعث شده سامانه‌های دیجیتال در برابر خرابی‌های معمول و محلی روزبه‌روز تاب‌آورتر شوند. قطع شدن یک سرور، بریدگی یک لینک فیبر یا یک خطای نرم‌افزاری، چنین رویدادهایی می‌توانند توسط سامانه‌هایی که برای مدیریت این نوع خرابی‌ها طراحی شده‌اند، جذب شوند. با این حال، همین معماری، که به‌شدت به هم متصل، عمیقاً وابسته به اجزای دیگر و بیشتر برای کارایی تا داشتن حاشیه ظرفیت بهینه‌سازی شده، شرایطی ایجاد می‌کند که در آن یک شوک اولیه به‌اندازه کافی بزرگ می‌تواند با سرعت و دامنه‌ای در میان سامانه‌ها انتشار یابد که هیچ اپراتور واحدی آن را کنترل نمی‌کند یا حتی پیش‌بینی نمی‌کند.

ادبیات پژوهشی این وضعیت را گذار از پویایی‌های شکست «جمع‌پذیر» به «نمایی» توصیف می‌کند. در مدل‌های سنتی ریسک، دو خطر هم‌زمان تقریباً مجموع اثرات جداگانه خود را ایجاد می‌کنند. اما در یک زیرساخت دیجیتالِ به‌شدت به‌هم‌پیوسته، فشارهای هم‌زمان به‌صورت غیرخطی با یکدیگر تعامل می‌کنند: از کار افتادن یک سامانه، افزونگی‌ای را حذف می‌کند که سامانه دیگری به آن وابسته است؛ این امر سامانه سومی را بیش‌بار می‌کند و در نهایت فروپاشی زنجیره‌ای در بخش‌هایی را آغاز می‌کند که هرگز به‌طور صریح در فهرست ریسک هیچ اپراتوری به یکدیگر متصل در نظر گرفته نشده بودند. شواهد تجربی نشان می‌دهد که این صرفاً یک نگرانی نظری نیست. مطالعات درباره قطعی‌های مشاهده‌شده نشان می‌دهد که تا ۸۹ درصد از اختلالات خدمات دیجیتال ناشی از مخاطرات طبیعی، نه از آسیب مستقیم فیزیکی بلکه از همین اثرات موجی ثانویه ناشی می‌شوند. برآورد می‌شود تعداد افرادی که در نهایت تحت تأثیر قرار می‌گیرند تا ده برابر بیشتر از کسانی باشد که مستقیماً در معرض رویداد اولیه قرار گرفته‌اند.

این پارادوکس بُعد دومی نیز دارد که در بحث‌های کارشناسی به‌روشنی برجسته شده است: ریسک‌های دیجیتال نامرئی هستند. برخلاف سیل‌ها، زلزله‌ها یا حوادث صنعتی، خرابی‌های زیرساخت دیجیتال اغلب هیچ نشانه فیزیکی قابل مشاهده‌ای ایجاد نمی‌کنند. جمعیت‌ها و سازمان‌ها ممکن است از خواب بیدار شوند و ببینند در محیط اطرافشان هیچ چیز تغییر نکرده، اما سامانه‌های حیاتی از کار افتاده‌اند. این نامرئی بودن، تشخیص شدت بحران را به تأخیر می‌اندازد و فعال‌سازی سازوکارهای پاسخ را به تعویق می‌اندازد، دقیقاً در زمانی که اقدام به‌موقع بیشترین اهمیت را دارد. حادثه هسته‌ای فوکوشیما در سال ۲۰۱۱ این اصل را نشان می‌دهد: فروپاشی چندبخشی از زلزله تا سونامی و سپس بحران هسته‌ای، شکاف‌های حیاتی اطلاعاتی ایجاد کرد که خود به یک فاجعه ثانویه تبدیل شدند. هنگامی که زیرساخت اطلاعاتی از کار می‌افتد، توانایی ارزیابی خسارت، هماهنگ کردن واکنش‌ها و انتقال راهنمایی‌ها هم‌زمان با (یا حتی پیش از) سامانه‌های فیزیکی‌ای که به آن‌ها وابسته است، از بین می‌رود.

 چهار حوزه زیرساختی و وابستگی‌های متقابل آن‌ها

گروه تخصصیِ ریسک‌های حیاتی دیجیتال، چهار حوزه زیرساختیِ کلیدی را شناسایی کرده است که وابستگی‌های متقابل آن‌ها، «معماری مادی» ریسک‌های دیجیتال را تشکیل می‌دهد. این حوزه‌ها دسته‌بندی‌های مجزا نیستند، بلکه لایه‌هایی از یک اکوسیستم واحدند که هر یک به شیوه‌هایی به دیگری وابسته‌اند که تنها بخش کوچکی از آن‌ها شناسایی و نقشه‌برداری شده است.

۱. شبکه‌های برق به‌عنوان لایه بنیانی

شبکه‌های برق، لایه زیربناییِ زیرساخت دیجیتال هستند. تمام سامانه‌های دیگر، از شبکه‌های مخابراتی، مراکز داده و سامانه‌های پرداخت گرفته تا خدمات ناوبری، زیرساخت موبایل و ایستگاه‌های زمینی ماهواره، به تأمین پایدار برق وابسته‌اند. بنابراین، اختلال در شبکه برق فوراً در سراسر اکوسیستم دیجیتال منتشر می‌شود. نکته حیاتی این است که زیرساخت برق باید در سه مرحله ارزیابی شود: پیشگیری از خرابی، حفظ عملیاتِ حداقلی در زمان اختلال و بازیابی خدمات در بازه‌های زمانی که مانع از فروپاشی سامانه‌های وابسته شود.

تحلیل‌های تاریخی نشان می‌دهد که تأخیر در بازیابی، منجر به شکست‌های زنجیره‌ای می‌شود:

• موج گرمای سال ۲۰۰۳ اروپا: فشار بر شبکه برق را افزایش داد و به شکست‌های زنجیره‌ای در سامانه‌های وابسته منجر شد.

• آتش‌سوزی سال ۲۰۲۱ در مرکز OVHcloud استراسبورگ: خرابی یک تأسیسات فیزیکی واحد، باعث اختلال در حدود 6/3 میلیون وب‌سایت شد.

• موج گرمای سال ۲۰۲۱ اورگن: باعث قطعی مراکز داده در چندین ارائه‌دهنده خدمات ابری شد.

• اختلالات سال ۲۰۲۲ در لندن: خرابی خدمات ابری اوراکل و گوگل با محدودیت ظرفیت خنک‌سازی در جریان موج گرما مرتبط بود.

• خاموشی سال ۲۰۲۵ در اسپانیا: با از دست رفتن ناگهانی ۱۵ گیگاوات برق، شکست‌های میان‌بخشی رخ داد و مخابرات سراسر اسپانیا و پرتغال قطع شد. این اختلالات اثرات سرایتی به مراکش و روستاهای دورافتاده گرینلند نیز داشت.

۲. کابل‌های زیردریایی به‌عنوان ستون فقرات اتصال

کابل‌های ارتباطی زیردریایی بیش از ۹۹ درصد از ترافیک اینترنت بین‌المللی را منتقل می‌کنند، با این حال نقش حیاتی آن‌ها در بحث‌های عمومی و چارچوب‌های حکمرانیِ ریسک، به‌خوبی درک نشده است. این کابل‌ها شکننده‌اند و به‌راحتی توسط مخاطرات طبیعی یا فعالیت‌های تجاری (مانند ماهیگیری) قطع می‌شوند. آنچه این رویدادها را به‌ویژه شدید می‌کند، مقیاس زمانیِ تعمیر است: تعداد کشتی‌های تخصصی تعمیر کابل در جهان محدود است و بازیابی ممکن است چندین ماه طول بکشد؛ در این مدت، ترافیک به مسیرهای جایگزین منتقل شده و موجب کاهش کیفیت خدمات در کل شبکه می‌شود.

آسیب‌پذیری کابل‌های زیر دریا در برابر مخاطرات طبیعی به‌خوبی مستند شده است:

• زلزله زیردریایی هنگچون (۲۰۰۶): هشت کابل را هم‌زمان قطع کرد و اتصال چندین کشور آسیایی را برای هفته‌ها مختل ساخت.

• فوران آتشفشانی هونگا تونگا (۲۰۲۲): یک کشور جزیره‌ای را کاملاً از ارتباطات جهانی قطع کرد.

• قطعی کابل در جزایر شتلند (۲۰۲۲): باعث ایزوله شدن کامل جوامع محلی برای چند روز شد.

• اختلال کابل‌های دریای سرخ (۲۰۲۴): چندین کابل در عرض چند هفته قطع شدند که منجر به اختلال در ۲۵ درصد ترافیک بین آسیا و اروپا شد.

• سوابق متعدد: بازه‌های زمانی تعمیر ۳ تا ۶ هفته در آب‌های بین‌المللی، موارد متعددی دارد.

۳. سامانه‌های ماهواره‌ای و تأثیرات آب‌وهوای فضایی

ادبیات علمی به‌طور گسترده آسیب‌پذیری شبکه‌های برق در برابر آب‌وهوای فضایی را مستند کرده است. جریان‌های القایی ژئومغناطیسی ناشی از طوفان‌های خورشیدی بزرگ می‌توانند باعث اشباع نیم‌سیکل در ترانسفورماتورهای فشارقوی و آسیب دائمی به آن‌ها شوند؛ به‌طوری‌که جایگزینی‌شان ماه‌ها طول می‌کشد. همان‌طور که سناریوی «رویداد کارینگتون» نشان می‌دهد، یک اثر زنجیره‌ای در شبکه می‌تواند زیرساخت ترانسفورماتورها را سریع‌تر از آنچه ظرفیت تولید جهانی قادر به جایگزینی باشد، نابود کند. این یک سناریوی حاشیه‌ای نیست، بلکه یک افقِ برنامه‌ریزیِ باورپذیر است که چارچوب‌های آمادگی فعلی در برابر آن به‌لحاظ ساختاری ناکافی هستند.

سامانه‌های ماهواره‌ای نیز با آسیب‌پذیری‌های مشابهی روبه‌رو هستند که ناوبری GNSS، تراکنش‌های مالی، حمل‌ونقل و ارتباطات را تحت تأثیر قرار می‌دهد. «سندروم کسلر» (زنجیره‌ای از برخوردهای زباله‌های فضایی) نیز یک ریسک با افق زمانی طولانی‌تر است که برخی مدارها را به‌شکل خطرناکی شلوغ کرده است. این روند طی سال‌ها رخ می‌دهد و این توهم را ایجاد می‌کند که قابل ‌مدیریت است، در حالی که بی‌سروصدا در حال عبور از «نقطه بازگشت» است.

علیرغم منحصربه‌فرد بودن رویداد کارینگتون، سوابق قبلی از اختلالات آب‌وهوای فضایی وجود دارد:

• طوفان ژئومغناطیسی کبک (۱۹۸۹): منجر به خاموشی کامل ۹ ساعته برای ۶ میلیون نفر شد.

• طوفان‌های هالووین (۲۰۰۳): منجر به خرابی ماهواره‌ها، اختلال در هوانوردی و فشار بر شبکه‌های برق در سراسر اروپای شمالی شد.

۴. مراکز داده به‌عنوان ریسکِ پنهانِ تمرکز

مراکز داده با وجود نقش محوری در خدمات مالی، سلامت، زنجیره‌های تأمین و مدیریت عمومی، در ادبیات ریسک‌های دیجیتال «نقطه کور» بزرگی محسوب می‌شوند. تا اوایل ۲۰۲۴، تعداد کل مراکز داده در جهان از ۱۱۸۰۰ مورد فراتر رفته که حدود ۴۰ درصد آن تنها در ایالات متحده واقع شده است. این رشد با شتاب در حال افزایش است: این بخش تنها در سال ۲۰۲۴ تعداد ۱۳۷ مرکز داده فوق‌بزرگ (Hyperscale) جدید اضافه کرده و پیش‌بینی می‌شود هوش مصنوعی و رایانش ابری، نرخ رشد سالانه ۱۴ درصدی را تا ۲۰۳۰ رقم بزنند. انتظار می‌رود تقاضای برق مراکز داده تا سال ۲۰۳۰ بیش از دو برابر شده و به حدود ۳ درصد از کل مصرف برق جهانی برسد.

تمرکز جغرافیایی، آسیب‌پذیری را تشدید می‌کند. استانداردهای صنعتی برخی از این ریسک‌ها را در سطح هر تأسیسات پوشش می‌دهند، اما پویش‌های فروپاشی زنجیره‌ای میان مراکز را در نظر نمی‌گیرند. خوشه شدن این مراکز یعنی یک رویداد آب‌وهوایی شدید که یک قطب منطقه‌ای را تحت تأثیر قرار می‌دهد، می‌تواند هم‌زمان پلتفرم‌های ابری، شبکه‌های توزیع محتوا، سامانه‌های سازمانی و زیرساخت مخابراتی را مختل کند. سیل‌های ۲۰۲۱ اروپا و طوفان‌های متعدد در آمریکا نمونه‌های تجربی اخیر هستند. سیل باعث خسارت فوری و جبران‌ناپذیر به سامانه‌های برق و خنک‌کننده می‌شود و رویدادهای گرمای شدید می‌توانند با فشار بر مراکز داده و بازتوزیع بار کاری، باعث خاموشی‌های اضطراری در کل شبکه شوند.

خرابی‌های مراکز داده (با ریسک اثرات دومینو) غیرمعمول نیستند:

• طوفان استانبول (۲۰۰۹): باران شدید در عرض ۸ دقیقه مرکز داده وودافون را غرق کرد و باعث خرابی تجهیزات و قطعی گسترده برای مشتریان شد.

• طوفان سندی در نیویورک (۲۰۱۲): چندین مرکز داده در منهتن جنوبی آفلاین شدند؛ اپراتورها مجبور شدند زیرزمین‌های سیل‌زده را تخلیه و تجهیزات آسیب‌دیده را قبل از بازیابی سرویس تعویض کنند.

• سیل لیدز (۲۰۱۵-۲۰۱۶): طغیان رودخانه ایر باعث قطعی چندروزه مرکز وودافون و اختلال در خدمات موبایل منطقه شد.

• فصل‌های طوفانی آمریکا (به‌ویژه ۲۰۱۷): پرهزینه‌ترین فصل طوفانی که منجر به خرابی گسترده ژنراتورها، قطعی برق و تعطیلی مراکز داده در سواحل خلیج و شرق آمریکا شد.

ریسک‌های ترکیبی و محدودیت‌های چارچوب‌های کنونی

بیشتر برنامه‌ریزی‌های ریسک امروز بر این فرض استوار است که یک مشکل در یک زمان رخ می‌دهد، مدت کوتاهی ادامه دارد و می‌توان آن را با رویه‌های تمرین‌شده حل کرد. اغلبِ طرح‌های اضطراری، فهرست‌های ریسک و استراتژی‌های تداوم کسب‌وکار نیز دقیقاً بر همین اساس طراحی می‌شوند. اما اختلالات حیاتیِ دیجیتال به‌ندرت چنین الگویی را دنبال می‌کنند.

در واقعیت، چندین فشار معمولاً به‌طور هم‌زمان رخ می‌دهند، با یکدیگر تعامل می‌کنند و بیشتر از آنچه سامانه‌های پشتیبان برایش ساخته شده‌اند ادامه می‌یابند. ممکن است یک موج گرما با تقاضای بالای برق هم‌زمان شود. قطع یک کابل ممکن است زمانی اتفاق بیفتد که شبکه‌ها قبلاً تحت فشار باشند. در چنین شرایطی، خرابی‌ها محدود به یک سامانه یا یک بخش نمی‌مانند و گسترش پیدا می‌کنند.

دو الگوی رایج توضیح می‌دهند که چرا پیامدها خیلی سریع بزرگ‌تر از حد انتظار می‌شوند:

• در برخی موارد، یک رویداد واحد هم‌زمان چندین سامانه را تحت تأثیر قرار می‌دهد. برای مثال، یک طوفان خورشیدی شدید، یک رویداد آب‌وهوایی افراطی، یا آسیب به یک کابل زیردریایی مهم می‌تواند به‌صورت هم‌زمان برق، ارتباطات، مراکز داده، و خدمات مالی را مختل کند و حتی اگر این سامانه‌ها معمولاً جداگانه در نظر گرفته شوند.

• در موارد دیگر، مسئله اصلی «زمان‌بندی رویدادها» است. یک حادثه سامانه‌های پشتیبان و افزونگی‌ها را تحت فشار قرار می‌دهد؛ حادثه دوم، که در شرایط عادی قابل مدیریت بود، سامانه را از حد تحملش عبور می‌دهد. چیزی که به‌تنهایی قابل بازیابی بود، تبدیل به یک اختلال جدی می‌شود، چون حاشیه ایمنی قبلاً از بین رفته است.

در هر دو حالت، سامانه‌هایی که معمولاً قابل‌اعتمادند، شکننده می‌شوند، زیرا به شیوه‌هایی به یکدیگر وابسته‌اند که همیشه قابل مشاهده یا به‌خوبی فهمیده‌شده نیست.

این خرابی‌ها نه‌فقط به این دلیل مدیریت‌ناپذیرند که گسترش می‌یابند، بلکه به این دلیل که اغلب از جایی آغاز می‌شوند که دیده نمی‌شود. این نکته زمانی به‌وضوح مشخص می‌شود که آن را با تهدیدهای سایبری مقایسه کنیم، جایی که مشکل معمولاً قابل مشاهده است، حتی اگر پیامدهایش روشن نباشد. در رخدادهای سایبری، مشکل معمولاً خود را نشان می‌دهد. وقتی سامانه‌ها هک می‌شوند یا باج‌افزار حمله می‌کند، روشن است که حمله‌ای رخ داده است حتی اگر نتایج آن مشخص نباشد.

اما شکست‌های غیرعمدیِ زیرساخت دیجیتال متفاوت‌اند. این رخدادها، وقتی رخ می‌دهند، علت معمولاً برای کسانی که اختلال را تجربه می‌کنند نامرئی است. سامانه‌ها ناگهان از کار می‌افتند، پرداخت‌ها انجام نمی‌شود، داده‌ها در دسترس نیست و هشدارها بدون هیچ دلیلی نمی‌رسند.

در ریسک‌های فیزیکیِ دیجیتال، منشأ مشکل ممکن است کیلومترها دورتر باشد: یک مرکز داده بیش‌ازحد گرم‌شده، یک کابل زیردریایی آسیب‌دیده، یک آشفتگی برق، یا یک اختلال ماهواره‌ای. اما از دید کاربر، هیچ نقطه شروع مشخصی وجود ندارد. خرابی، محلی، موقتی یا صرفاً فنی به نظر می‌رسد، در حالی که در واقع بخشی از یک فروپاشی بزرگ‌تر است. همین نامرئی بودن است که این ریسک‌ها را خطرناک می‌کند. زمان صرف جستجوی علت‌های اشتباه می‌شود و در همین حال، خرابی‌ها بی‌صدا در میان بخش‌ها و مرزها گسترش می‌یابند. وقتی منشأ واقعی مشخص می‌شود، اگر ‌اصلاً مشخص شود، اختلال از قبل تشدید شده است.

این تمایز، تحلیلی است نه سلسله‌مراتبی. ریسک‌های سایبری و ریسک‌های غیرعمدی به‌طور فزاینده‌ای در هم تنیده‌اند: یک اختلال فیزیکی می‌تواند آسیب‌پذیری‌هایی ایجاد کند که بازیگران مخرب از آن سوءاستفاده کنند و یک حمله سایبری می‌تواند موجب ایجاد خرابی‌های فیزیکی زنجیره‌ای شود. هر دو جنبه نیازمند توجه‌اند و تعامل آن‌ها یک لایه اضافی از ریسک سیستمی ایجاد می‌کند.

در نهایت، پیامدهای اقتصادیِ اختلالات گسترده دیجیتال هنوز به‌خوبی درک نشده‌اند. اگرچه تخمین‌های موجود نشان می‌دهند که حتی یک روز قطع شبکه موبایل می‌تواند در اقتصادهای بسیار دیجیتالی خسارت‌های اقتصادی عظیمی ایجاد کند، بیشتر تحلیل‌ها تنها بر آثار مستقیم، مانند تراکنش‌های انجام‌نشده یا قطعی خدمات، تمرکز می‌کنند.

این تحلیل‌ها به‌ندرت اثرات زنجیره‌ای گسترده‌تر را ثبت می‌کنند: زنجیره‌های تأمین که متوقف می‌شوند، کسب‌وکارهایی که نمی‌توانند فعالیت کنند، خدمات عمومی که از هماهنگ‌سازی باز می‌مانند، یا آسیب بلندمدت به اعتماد عموم و سرمایه‌گذاران. ما هنوز مدل‌های اقتصادی‌ای نداریم که نشان دهد جوامع مدرن تا چه اندازه عمیقاً به زیرساخت دیجیتال وابسته‌اند و بتوان از آن‌ها برای برنامه‌ریزی قابل‌اعتماد در سطح سازمانی، ملی یا بین‌المللی استفاده کرد.

 نتیجه‌گیری و توصیه‌ها

ریسک‌های حیاتی دیجیتال واقعی، مستند، سیستمی و تا حد زیادی دست‌کم گرفته شده‌اند. این ریسک‌ها به‌صورت رخدادهای جداگانه ظاهر نمی‌شوند، بلکه به شکل اختلالاتی گسترش می‌یابند که بخش‌ها و مرزهای مختلف را دربر می‌گیرد. با وجود اینکه بسیاری از این ریسک‌ها در میان جوامع تخصصی شناخته شده‌اند، هنوز به اندازه کافی مورد توجه قرار نگرفته و اقدام مؤثری در برابر آن‌ها انجام نشده است. این گزارش که بر پایه یک فرایند هم‌آفرینی با مشارکت متخصصان ارشد از سازمان‌های بین‌المللی، نهادهای ملی، مؤسسات دانشگاهی و بخش خصوصی تهیه شده است، شش اولویت برای اقدام را برجسته می‌کند:

ایجاد دانش

• شناسایی ریسک‌های حیاتی دیجیتال؛

• نقشه‌برداری از وابستگی‌های میان‌بخشی، متناسب با زمینه‌های ملی مختلف، از جمله کشورهای کم‌درآمد و با درآمد متوسط که در آن‌ها داده‌های زیرساختی محدودتر است و الگوهای ادغام دیجیتال متفاوت است؛

• مدل‌سازی واکنش‌های زنجیره‌ای بر اساس احتمالات؛

به‌روزرسانی مدیریت

• به رسمیت شناختن اختلالات غیرعمدی در زیرساخت دیجیتال به‌عنوان یک ریسک محوری؛

• روشن‌سازی تعاریف حقوقی؛

• بازنگری چارچوب‌های مدیریت ریسک بلایا؛

• ایجاد مشوق‌هایی برای آمادگی و پیشگیری؛

بررسی تقویت استانداردهای بین‌المللی

• تضمین وجود ظرفیت‌های پشتیبان آنالوگ؛

• انجام برنامه‌ریزی مشترک سناریوها برای حوزه‌های انرژی، مالی، مخابرات و مدیریت اضطراری در سطوح داخلی (محلی و ملی)، منطقه‌ای و حتی جهانی؛

افزایش هماهنگی پیش‌دستانه درباره ریسک‌های حیاتی، به‌ویژه در حوزه‌های زیر

• آب‌وهوای فضایی؛

• کابل‌های زیردریایی؛

• ماهواره‌ها؛

• مراکز داده؛

 تقویت تاب‌آوری اجتماعی

• حفظ مهارت‌های آنالوگ در حوزه‌های حرفه‌ای و عمومی؛

• افزایش توانایی جامعه برای جذب شوک‌ها و بازیابی پس از اختلالات دیجیتال؛

ایجاد اعتماد

• تقویت ظرفیت نهادهای ملی، دولت‌های محلی و جوامع آسیب‌پذیر؛

• گردهم‌آوردن جوامع و ذی‌نفعان، از جمله اپراتورهای خصوصی در بخش‌ها و کشورهای مختلف؛

• ایجاد آگاهی مشترک از وضعیت و تقویت پاسخگویی متقابل؛

در نهایت، اینکه این ریسک‌ها در سطحی قابل مدیریت باقی بمانند یا به بحران‌های سیستمی تبدیل شوند، تا حد زیادی به این بستگی دارد که این اولویت‌ها چگونه به اقدامات عملی تبدیل شوند.