پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
کوپن آخری که خرج شد
یکشنبه ۲۷ فروردین خبری روی سایتها و خبرگزاریها قرار گرفت با این مضمون که اطلاعات سه میلیون کارت بانکی افشا شده است.
این خبر موجی از نگرانی ایجاد کرد که باعث شد خیلی زود آن را به صدر خبرهای رادیو و تلویزیون و روزنامهها و بالاتر از موضوعات جنجالیای مثل نشست اعضای۱+۵ و بیسابقهترین تگرگ تهران در نیم قرن گذشته برساند.
هر لحظه اطلاعات بیشتری به این ماجرا اضافه میشد و باعث میشد نگرانیها تشدید شود.
اینکه این اطلاعات را یکی را مدیران یکی از شرکتهای پرداخت الکترونیک که زیر نظر بانک مرکزی است، منتشر کرده است، گفتگوی ویژه خسرو زارعفرید با بیبیسی فارسی و پراکندن این شایعه که عوض کردن رمز کارتها مشکلی را حل نمیکند تا ذهن مردم را درگیر کند، اطلاعیههای بانک مرکزی که تا دو روز مرتب در همه اخبار تکرار میشد، اطلاعیههایی که بانکها روی سایتهایشان گذاشته بودند و پیامکهایی مبتنی بر عوض کردن رمز به مشترکانشان ارسال کردند، متوقف شدن عملیات بانکی از کارتهایی که اطلاعاتشان افشا شده بود تا زمانی که رمز کارت عوض شود، همه و همه باعث شد تا خیلی زود صفهای طولانی برای عوض کردن رمز کارت جلوی عابربانکها تشکیل شود و این جمعها زمزمه نگرانی از ناامنی از سیستم بانکی الکترونیک را راه انداخت…
ماجرا از این قرار است
انیاک شرکتی است که تجهیزات مورد نیاز برای ارائه خدمات پرداخت الکترونیک مانند خودپرداز و پایانههای فروش را برای بانکها فراهم میکند و با آنها قرارداد میبندد تا نقش پرداخت الکترونیک را برای آنها ایفا کند. خسرو زارعفرید مدیر سابق یکی از بخشهای شرکت انیاک است که به بخش قابل توجه و مهمی از اطلاعات بانکی مشتریان دسترسی داشته، در مذاکرات خودش با مدیران شرکت برای احقاق حقوقش موفق نمیشود و از آنجا که در اوضاع کاریاش به شرایط نامطلوبی میرسد تصمیم میگیرد شرایط باثبات شرکت را نیز در این موضوع درگیر کند و برای محقق شدن این منظور اطلاعاتی را که قبلا از شرکت کپی کرده بود در وبلاگش منتشر میکند تا توجه همه را به خود و شرکتی که در آن کار میکرده جلب کند و موجی از نگرانی راه بیفتد.
هک کردن
گاهی وقتها مفاهیم بعضی از اصطلاحات را با هم قاطی میکنیم. هک کردن یک توانایی است.اینکه کسی با توجه به دانش و مهارتهایی که در حوزه برنامهنویسی و نرمافزار دارد بتواند وارد اطلاعاتیشود که به آن دسترسی ندارد. اما اتفاقی که افتاده از این دست نیست. زارعفرید کسی نیست که به زور و با صرف ساعتها و یا به خاطر داشتن مهارت قابل توجه در نفوذ به اطلاعات این اطلاعات را به دست آورده باشد، بلکه او به این اطلاعات دسترسی داشته و خودش آنها را تهیه و پیادهسازی میکرده است و برای به دست آوردن این اطلاعات سادهترین کار را انجام داده؛ آنها را برداشته است.
با این تفاسیر به نظر میرسد استفاده از واژه هکر و هک کردن در این مورد درست نیست.
چراکه این کلمه مضمون نفوذپذیری، رخنه کردن از بیرون و ناامن بودن را در بر دارد، در صورتی که سامانه بانکداری الکترونیک ما هنوز با این مشکل مواجه نشده است.
خیانت در امانت
همه ما جایی که کار یا زندگی میکنیم به مواردی دسترسی داریم که به واسطه عضویت در آن مجموعه به ما داده شده است و دیگران از آن بیبهرهاند. در یک مثال ساده اگر این دسترسی را در مورد کلید خانهتان در نظر بگیرید، متوجه میشوید که افراد زیادی هستند که به آن دسترسی ندارند و شاید بیشتر ما این امکان را داریم که از این دسترسیمان -که به واسطه اعتماد افراد آن مجموعه به ما داده شده – سوء استفاده کنیم. مثلا میتوانیم کلید خانهمان را به کسی بدهیم تا بیاید دزدی کند، آن وقت خودمان یا دیگران بگوییم این خانه امن نیست!
شاید چنین قضاوتی بسیار سادهانگارانه به نظر برسد،در صورتی که اتفاقی که در بانکداری الکترونیک ما اتفاق افتاده از همین جنس است و بیشتر از آنکه جنبه فنی داشته داشته باشد، جنبه انسانی دارد.
زارعفرید به عنوان مدیر بخشی از یک شرکت پرداخت به راحتی و با اعتمادی که مجموعه به او داشته به این اطلاعات دسترسی داشته و با برداشتن این اطلاعات خیانت در امانت و با افشا کردن آن عملی غیر اخلاقی مرتکب شده است.
البته این اتفاق به این دلیل افتاده که زارعفرید مدعی است حقو حقوقش را نگرفته و مسئولان هم نسبت به هشدارهای او بیتوجه بودهاند و از هیچ راه دیگری نتوانسته آنها به راه بیاورد و مجبور شده اطلاعات را منتشر کند.
هر چند این اتفاق در کشمکش و جنگ قدرت و گرفتن حق و حقوق اتفاق افتاده ولی از طرفی منتشر کردن اطلاعات شخصی دیگران و به راهانداختن چنین فضای ملتهبی مسئلهای نیست که به سادگی بتوان از آن گذشت.
بانک مرکزی مقصر است
بانک مرکزی برای شرکتهایی که در این زمینه فعالیت میکنند استانداردی را اجباری نکرده و شرکتها را به این منوط نکرده که امکانات، تجهیزات و قابلیتهای حداقلی در زمینه رمزنگاری داشته باشند تا بتوانند در این حوزه فعالیت کنند.
حتی اگر بانک مرکزی در این زمینه نمیتوانست وارد شود میتوانست این مسئولیت را به شرکتی از طرف خودش از طرف خودش واگذار کند.
بانک مرکزی به عنوان تنها نهاد نظارتکننده بر فعالیتها و امور بانکی با موضع حاکمیتی نسبت به اتفاقات و عملکردهایی که در این شرکت و بانکداری الکترونیک رخ داده اهمال کرده است.
اینکه این شرکت تجهیزات مورد نیاز را به هر دلیلی در اختیار نداشته در اولین رتبه مقام نظارتکننده را زیر سئوال میبرد که بیتوجه از کنار آن گذشته و اجازه داده با چنین امکاناتی به فعالیت خود ادامه دهند.
دیگر اینکه این بانک مرکزی بوده که بدون اینکه از امنیت و ساز و کارهای این شرکت اطمینان کامل حاصل کند با تمام کاستیها و ضعفهای این شرکت را به عنوان پیمانکار برای تعدادی از بانکها پذیرفته است و با این امکان بوده که این شرکت توانسته به شبکه شتاب متصل شود. اگر این شرکت به شتاب متصل نبود امکان افشا شدن اطلاعات دیگر بانکهایی که با این شرکت کار نمیکردند، وجود نداشت.
پس در این مورد مقام ناظر در انجام وظایف نظارتی خود کوتاهی کرده و همان وقت ا مکان به وجود آمدن چنین اتفاقاتی را فراهم کرده است.
ما ایرانیها عادت داریم وقتی میخواهیم کاری را انجام دهیم صفر تا صد آن را بدانیم و خودمان انجام دهیم واگر قراراست کاری خوب انجام شود پس من باید آن را انجام دهم.
بانک مرکزی به خوبی راه و رسم ایرانیها را برای دست پیش گرفتن پیش گرفته و از طرفی برای ورود به حوزه اجرایی در پرداخت که جز حدود کاریاش نیست ادعا میکند اگر این حوزه را در دست داشت نظم بیشتری به آن داده میشد.
در هر حال موضع گیری بانک مرکزی در این ماجرا آن چیزی نیست که باید باشد.
انیاک هم مقصر است
هر چند نمیشود از این خیانت در امانت چشمپوشی کرد ولی انیاک هم در این زمینه بیتقصیر نیست. البته دارا بودن حداقل تجهیزات را باید بانک مرکزی به شرکتها اجبار میکرده مثل داشتن یک سری امکانات امنیتی که این شرکت این حداقلها را هم نداشته است.
نصب سختافزار HSM از اولین مواردی است که در یک شرکت پرداخت باید در نظر گرفته شود. نصب این سختافزار دسترسی افراد شرکت به اطلاعات را محدود میکند ولی اینطور نیست که احتمال درز اطلاعات به بیرون به صفر برساند چراکه بالاخره افرادی باید نرمافزار و برنامههای این اطلاعات را تولید، نظارت و مدیریت کنند.
پس خرید این سختافزار به معنی اینکه دیگر دست کسی به این اطلاعات نخواهد رسید و دیگر اتفاقاتی از این دست رخ نمیدهد، نیست.
جای دیگری که شاید انیاک اشتباه کرده است آن جاست که شخصی را که امین نبوده جایی قرار داده که نباید آنجا قرار میگرفته است.
اگر شما کلید گاوصندوقتان را به کسی که ممکن است اشتباهی از او سر بزند و نسبت به او اعتماد و اطمینان و شناخت کامل ندارید بسپارید و روزی ببینید گاوصندوقتان خالی است، آن وقت مقصر چه کسی است؟
از طرف دیگر شرکت انیاک نباید هم مسئولیت تولید نرمافزار و هم پیادهسازی آن را با این حساسیت به عهده میداشت و از آن بدتر اینکه کسی که رمزها به کد تبدیل میکند و در قسمت تولید نرمافزار است نباید اجراکننده همان برنامه هم باشد. کسی که نرمافزاری را تهیه میکند یا برنامهای را مینویسد بیشتر از هر کسی نقاط ضعف و ناامنش را میشناسد و وقتی خود او آن را پیاده و اجرا کند هم امکان دسترسی به همه قسمتها را پیدا خواهد کرد و هم کسی است که میداند از کجا و چگونه میتواند نفوذ کند و اطلاعات را به دست آورد و آن وقت بیاید بگوید امن نیست.
باج ممنوع
زارعفرید مدعی است که هرچه به این در و آن در زده موفق نشده توجه مسئولان و مقامات بانکی را به این موضوع که سیستم امنیتی اشکالاتی دارد جلب کند. اما اشکال درست همین جاست که چون ایشان این برنامه و نرمافزار را طراحی کرده بودند و به آن دسترسی داشتند توانستند آنها را به نحوی ذخیره و سرانجام منتشر کنند. در واقع اگر این سیستم و نرمافزار اشکال داشته اولین نگاهها سمت کسی است که آن را نوشته، طراحی و اجرا کرده است.
اگر ایشان مدافع امنیت سیستم بانکی بودند بهتر بود خودشان برنامهای بنویسند که مشکلات امینی کمتری داشته باشد تا دیگر کار به هشدار دادن به مسئولان و جواب نگرفتن نرسد.
بعضیها هم معتقدند بانکها در این مورد مقصرند و به نسبت به حقوق مشترکانشان بیتوجهند و زمانی که زارعفرید هشدار داد که اطلاعات مشتریانشان را منتشر میکند باید کاری میکردند و شاید پولی میدادند و به هر صورت اجازه نمیدادند چنین اتفاقی بیفتد.
اگر کسی آدمربایی کند و بچهای را بدزدد و برای آن پول بخواهد، در چنین مواقعی انتظار داریم پلیس وارد عمل شود و جلوی او را بگیرد چراکه اگر قرار باشد هر کسی به آدمرباها پول کلانی بدهد فردا همه قالپاقدزدهای شهر چاقویی میگیرند دستشان و آدم میدزدند و باید روشی اتخاذ شود که چنین جریانهایی باب نشود، ولی برای باج دادن در مورد اطلاعات چنین نظری نداریم و فکر نمیکنیم فردا هر کسی برای هر اطلاعاتی باج میخواهد.
اطلاعات بیمصرف
این موج نگرانی شاید بیشتر به این خاطر بود که خیلیها گفتند با استفاده از این اطلاعات میشود از حساب شخص برداشت کرد یا به نحوی از آن سوءاستفاده کرد. در صورتی که رمز حسابهایی که منتشر شده به صورت کد است و کسی نمیتواند آن را رمزگشایی کند، مگر اینکه به تواناییهای قابل توجه و دانش قابل اعتنایی در حوزه برنامهنویسی مسلط باشد تا بتواند کد رمزها را باز کرده و از آن استفاده کند که چنین احتمالی نه غیر ممکن ولی بعید به نظر میرسد.
آن هم در شرایطی مثل کشور ما که نه تنها کارتمان را به فروشنده میدهیم بلکه وقتی از ما میخواهد رمز خود را بگوییم آن را بلند میگوییم تا اشتباه نزند. برای دزدی کردن در چنین فرهنگی خیلی هم لازم نیست هکر قابلی باشی. همین که یک مغازه داشته باشی تا مردم موقع خرید رمز کارتشان را بگویند. به راحتی میتوان دزدی کرد. خیلی بیزحمت!
بیخیال باش
ما قبل از این خیلی برای امنیت اطلاعات بانکیمان ارزش قایل نبودیم. به راحتی رمز کارتمان را به همه میگفتیم، برای عوض کردن رمز کارتمان وقت نداشتیم و بسیاری از این بیتوجهیها به امنیت بانکیمان برایمان عادی بود.
اگر کسی میخواست کارتش را خودش در دستگاه کارتخوان بکشد یا رمزش را خودش وارد کند به نظر ما یک وسواسی یا غیر معمولی بود.
حالا همین مایی که نسبت به چنین رفتارهایی کاملا بیتوجه بودیم مثل کسانی که امنیت را جز اصلیترین کارها و رمزشان را جز مخفیترین اطلاعات میدانند عمل میکنیم و با سرعت خودمان را به خودپردازها میرسانیم تا رمزهایمان را عوض کنیم و حق به جانبیم که این چه فضای ناامنی است و… در حالیکه از این موضوع کمترین اطلاع را داریم و رمز کارتمان را همه میدانند مخصوصا بقال محلهمان.
از آن جا زارع فرید چنذین ماه پیش ازکشور خارج شده و اطلاعات او برای حداقل چند ماه پیش است. پس کسانی که هرچند وقت یکبار رمز کارت خود را عوض میکنند و به امنیت بانکیشان اهمیت میدهند ازاین اتفاق مصون ماندهاند و اگر اطلاعاتی از آنها منتشر شده مدتهاست که تغییر کرده است.
خوب