راه پرداخت
رسانه فناوری‌های مالی ایران

10 چیز که در مورد افشای اطلاعات کارت‌های بانکی مردم نمی‌دانید

راه پرداخت – در روزهای گذشته خبری بین مردم چرخیده، مبنی بر این که اطلاعات 3 میلیون از کارت‌های بانکی توسط یکی از مدیران سابق شرکت‌های پرداخت الکترونیک کشور به بیرون درز کرده است. این موضوع نگرانی‌هایی را در بین مردم ایجاد کرده است که ما در ادامه تلاش داریم با طرح 10 پرسش و پاسخ به آنها به این نگرانی‌ها پاسخ دهیم.

 

1. آیا این ماجرا به علت امنیت پایین سیستم‌های بانکداری و پرداخت الکترونیک کشور رخ داده و یک هک بانکی بوده است؟

هم بله و هم نه. این ماجرا یک حمله از درون (inside attack) بوده و به هیچ وجه هک از بیرون نیست. یکی از مدیران سابق یکی از شرکت‌های پرداخت الکترونیک کشور به دلیل مشکلات شخصی و به علت داشتن دسترسی به اطلاعات حساس از این موقعیت سواستفاده کرده و اطلاعات را با خود بیرون برده و منتشر کرده است. بنابراین این ماجرا بیشتر از آن که یک مورد امنیتی (security) باشد یک تقلب (fraud) است.

2. آیا این مشکل و نشت اطلاعات حساس بانکی باز هم ممکن است رخ دهد؟

بله. به نظر می‌رسد این مشکل ریشه در مسائل مدیریتی سازمان‌های فناوری اطلاعات ایران داشته باشد. مدیریت منابع انسانی در چنین مجموعه‌هایی در ایران ضعیف است و هنوز برای حل دعواهای شخصی روش‌های قابل قبولی وجود ندارد. در بسیاری از سازمان‌های ایرانی هنوز ثبت و ضبط دسترسی‌های افراد به درستی انجام نمی‌شود و مدیریت صحیحی بر منابع انسانی وجود ندارد. اگر شرکتی که این مشکل از آنجا ناشی شده فرایند صحیحی برای اخراج یا تسویه حساب می‌داشت به احتمال بسیار زیاد چنین مشکلی رخ نمی‌داد. در سیستم‌های امن دسترسی افراد به منابع مشخص و کنترل شده است.

3. برای مقابله با این مشکل چه باید بکنم؟

اولین و بهترین کار تغییر رمز عبور است. البته کارشناسان امنیت توصیه می‌کنند در فاصله‌های زمانی مشخص مثلا هر سه ماه یک بار نسبت به تغییر رمزهای عبور خود اقدام کنید. در صورتی که اطلاعات کارت شما لو رفته باشد با تغییر رمز عبور امان سواستفاده را از بین خواهید برد.

4. شرکت‌ها چه باید بکنند؟

شرکت‌های حوزه فناوری اطلاعات باید با روش‌های صحیح مستندسازی و تفکیک مراحلی مانند طراحی، پیاده‌‎سازی، تست و استقرار یک محصول راه هر گونه تخلف را ببندند. شخصی که اطلاعات را نشت داده توسعه دهنده محصول بوده است و دلیلی برای دسترسی او به اطلاعات عملیاتی وجود نداشته است. بنابراین پیاده کردن صحیح چارچوب‌های استانداد در رفع این مشکل در آینده و پیش‌گیری آن بسیار کمک خواهد کرد.

5. آیا با اطلاعات منتشر شده می‌توان از حساب‌های بانکی سواستفاده نمود؟

در صورتی که صاحب کارت نسبت به تغییر رمز عبور خود اقدام نکند بلی. حتی بدون داشتن کارت و با اطلاعاتی مانند شماره کارت، رمز عبور و … می‌توان از کارت‌ها استفاده نمود.

6. آیا این مشکلات مختص ایران است؟

مطلقا نه. اگر چنین بود این اندازه سازمان‌هایی که در زمینه امنیت فعالیت می‌کنند رشد نمی‌کردند. در جهان امروز و هر چند وقت یک بار خبری مبنی بر نشت اطلاعات حساس بانکی مردم منتشر می‌شود. تفاوت در فرایندهای آنهاست که بلافاصله راه سواستفاده را می‌بندند.

7. در دنیا برای مقابله با این مشکل چه کرده‌اند؟

استاندارد امنیتی PCI DSS برای مقابله با چنین مشکلاتی است. با تطبیق با این استاندارد راه بر سواستفاده از سیستم‌های پرداخت الکترونیک بسته می‌شود. به نظر می‌رسد سیستم‌های شرکت‌های پرداخت الکترونیک ایران با معیارهای این استاندارد تطبیق ندارند.

8. شرکتی که اطلاعات از آن درز کرده چند مشتری مشخص دارد. چرا اطلاعاتی که منتشر شده شامل اطلاعات 3 میلیون کارت از تعداد زیادی از بانک‌های کشور است؟

ذخیره سازی اطلاعات حساس کارت‌های بانکی مردم نباید انجام می‌شده است. یعنی نه تنها نباید اطلاعات کارت‌های بانکی بانک‌هایی که مشتری این شرکت نبودند ثبت و نگهداری می‌شده بلکه اطلاعات کارت‌های بانکی بانک‌های مشتری این شرکت هم نباید در جایی ثبت و نگهداری می‌شده است. احتمالا زمانی که مردم با کارت‌های بانک‌هایی که مشتری این شرکت نبودند از پایانه‌های فروش بانک‌های مشتری این شرکت استفاده می‌کردند این اطلاعات در سوئیچ بانکی این شرکت ذخیره می‌شده است. این اقدام احتمالا به دلیل اشکالاتی در سوئیچ رخ می‌داده و توسعه دهنده آن از این مشکلات با خبر بوده است و اکنون با استفاده از این اطلاعات قصد سواستفاده دارد.

9. آیا امکان دارد نشت این اطلاعات اقدامی در راستای تخریب شرکت‌های پرداخت الکترونیک ایران بوده باشد؟

بعید نیست. هر چند هیچ منبعی این موضوع را تائید نمی‌کند اما به نظر می‌رسد انتشار این اطلاعات در این مقطع زمانی برنامه‌ای هدفمند برای تخریب برندهای فعال در حوزه پرداخت الکترونیک ایران باشد. این ماجرا قدرت چانه‌زنی را از شرکت‌های پرداخت الکترونیک ایران خواهد گرفت.

10. آیا اگر به جای کارت‌های نقدی در ایران کارت‌های اعتباری استفاده می‌شد این مشکل ابعاد کمتری می‌یافت؟

بلی. در دنیا برخلاف ایران به جای استفاده وسیع از کارت‌های نقدی که مستقیم به حساب‌های بانکی مردم متصل است از کارت‌های اعتباری استفاده می‌شود که صرفا در آنها اعتبار وجود دارد. البته این مشکل نشت اطلاعات در مورد کارت‌های اعتباری هم وجود دارد. اما در صورتی که اطلاعات کارت‌های اعتباری لو برود بانک‌ها و فروشندگان و پذیرندگان کارت‌ها هم مسئول بودند و برای رفع مشکل اقدامات جدی‌تری می‌کردند. مثلا بلافاصله این کارت‌ها را وارد فهرست سیاه می‌کردند و از پذیرش آنها خودداری می‌کردند. در حال حاضر و با وجود تعداد زیاد کارت‌های نقدی دست مردم این مشکل بیشتر سمت مردم است و مردم باید نسبت به تغییر رمزهای خود اقدام کنند. در کشورهایی که کارت‌ها اعتباری به طور وسیع استفاده می‌شوند حق واقعا با خریدار است و جنس فروخته شده هم پس گرفته می‌شود!

 

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.