پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
ابعاد نشت اطلاعات ۳میلیون کارت بانکی شهروندان ایرانی روی اینترنت بسیار بزرگتر از آن است که بتوان با چند اطلاعیه ساده بانک مرکزی یا احیانا عذرخواهی این یا آن مقام بانکی سر و ته آن را هم آورد.
تنبیه شرکت خاطی نیز دردی را دوا نمیکند. حتی دستگیری نشتدهنده این اطلاعات نیز به تنهایی کافی نیست. برخی نشانهها حتی میتواند حکایت از آن داشته باشد که نشتدهنده یک نفوذگر کلاه سفید به شمار میرود. در واقع آنچه در خبرها آمده میتواند نشانه نمایان شدن بخشی از کوه یخی بزرگی باشد که در سیستم بانکی کشور وجود دارد و بخش اعظم این مشکل از دیدهها پنهان است.
مشکل از جای دیگری است
مشکل در آنجاست که اطلاعات مبادله شده میان دستگاههای پایانه فروشگاهی (POS) رمزگذاری نشده و شرکتهای خدماتدهنده بانکی موسوم به پیاسپیها هر بار که یک تراکنش از سوی مشتریان انجام شود و کارتی در یک دستگاه خودپرداز کشیده شود اطلاعات کارت شامل شماره ۱۶رقمی و رمز عبور را ثبت و ذخیره میکنند و این اطلاعات ذخیره شده میتواند دستاویز سوء استفادههای احتمالی در آینده قرار گیرد.
بنابراین فراخوان بانک مرکزی و سایر بانکها مبنی بر عوض کردن رمز عبور دارندگان کارت بانکی، تنها یک مسکن موقتی چند روزه یا حتی چند ساعته برای مردم تلقی میشود چرا که به محض نخستین تراکنش این کارتها از طریق پایانههای فروشگاهی، احتمال ذخیره شدن اطلاعات مذکور در جای دیگری وجود دارد. عوض کردن رمز تنها درصورتی میتواند مانع سوء استفادههای بعدی شود که هیچ خرید فروشگاهی بعد از عوض کردن رمز صورت نگیرد. این نکتهای است که بانک مرکزی باید به آن توجه کند و راهکار اساسیتر برای رفع این مشکل بیندیشد.
راه حل
راه حل نیز بسیار ساده است بانک مرکزی باید استانداردها و ضوابط سختگیرانهتری برای شرکتهای خدماتدهنده بانکها وضع کند و بر آن نظارت دقیق و جدی داشته باشد تا هیچگونه تخطی از آن صورت نگیرد. این استانداردها باید به گونهای باشد که کل فرایند تراکنشهای بانکی بهصورت رمزگذاری بوده و هیچگونه ردی در مسیرهای انتقال به شبکه شتاب از خود بر جای نگذارد. اگر این مشکل حل شود هیچ شرکت پیاسپی قادر به دستیابی به اطلاعات حسابهای مشتریان بانکها نخواهد بود.
ممکن است گفته شود الان هم این اطلاعات رمزگذاری میشود و شرکتهای مذکور از آن اطلاعی ندارند. اگر این طور است این ۳میلیون اطلاعات در شرکت مذکور چه میکرده است؟ چه تضمینی وجود دارد که اطلاعات دهها میلیون کارت دیگر در شرکتهای دیگر مشابه ذخیره نشده باشد.
بسیاری از شرکتهای بزرگ، سازمانها و بانکها در دنیا برای حفظ امنیت اطلاعات خود تدابیر بسیار شدیدی اتخاذ میکنند، یکی از این تدابیر انعقاد قرارداد با هکرهای کلاه سفید به منظور تلاش برای نفوذ به سایتهای مورد نظر است. کار این هکرها این است که سعی کنند بهطور شبانه روزی به سایتهای سفارش شده حمله کنند و درصورت پیدا کردن نقاط نفوذ و حفرههای امنیتی آن را به اطلاع مدیران سایت برسانند تا حفرهها پر شود.
اگرچه نشتدهنده اطلاعات بانکی ایران یک هکر به شمار نمیرود و تنها از اطلاعاتی که بهطور غیرمجاز در دسترسش بوده سوء استفاده کرده است اما او ظرفیت و پتانسیل تبدیل شدن به یک هکر کلاهسفید را داشت و میتوانست در خدمت نظام بانکی و امنیت اطلاعات آن باشد نه اینکه به خاطر یک بیتدبیری مدیریتی و مشکل نیروی انسانی در یک شرکت خدمات بانکی، اکنون اینترپل را به دنبال او بفرستیم! در خانه اگر کس است یک حرف بس است!
دکتر حمید ضیاییپور
منبع: همشهری