ظرفیت سازی برای پوشش ۵۰ میلیون تراکنش روزانه در شتاب

نویسنده: رسول قربانی در تاریخ 12 اردیبهشت سال 1391 ساعت 13:20 1

مدیر سیستم‌های کارت شرکت خدمات انفورماتیک با اشاره به افزایش بیش از ۱۰۰ درصدی در ظرفیت شتاب در سیستم بانکی کشور در سال جاری از موفقیت بالای ۹۹ درصدی تراکنش‌های بانکی شتاب خبر داد. وی کیفیت رمزنگاری داده‌ها در سیستم شتاب را بالا توصیف کرد و از بی‌توجهی یک شرکت به مقررات و دستورالعمل‌های ابلاغی به عنوان دلیل اصلی سرقت اخیر اطلاعات کارت‌های بانکی نام برد.

وی دسترسی کامل به اطلاعات شبکه توسط طراحان را از نقیصه‌های شتاب عنوان کرد و گفت: اشکال در مدیریت کلید این شرکت بوده، فردی که تولیدکننده نرم‌افزار است نباید به داده‌های عملیاتی دسترسی داشته باشد و کلید‌ها نباید در اختیار این افراد باشد. به گفته وی در زمان سرقت اطلاعات، روال بانک‌ها این است که ریسک مشتریان خود را می‌پذیرند و چنانچه خسارتی به کسی وارد آید آن را می‌پردازند.

به گزارش راه پرداخت به نقل از روابط عمومی شرکت خدمات انفورماتیک نسترن اسماعیلی اعلام کرد: سال گذشته از مرز ۲۱ میلیون تراکنش روزانه با موفقیت عبور کردیم و در سال جاری برنامه افزایش ظرفیت شتاب تا ۵۰ میلیون تراکنش را داریم گرچه این تعداد بسیار بیشتر از تعداد تراکنش‌های روزانه پیش بینی شده در شرایط کنونی است. خانم اسماعیلی ضمن اعلام این خبر افزود: برخلاف برخی تحلیل‌های اخیر مبنی بر عدم توانایی شتاب در پوشش حجم عظیم مراجعات به خودپرداز‌ها و پایانه‌های فروش، سال گذشته این شبکه توانست در بحرانی‌ترین شرایط پاسخگوی نیاز مشتریان باشد.

اما آنچه مسلم است تصور عام بر این است که هرگونه عدم پاسخگویی در ابزار پرداخت الکترونیک به شتاب مربوط می‌شود؛ در حالی که ارائه خدمات شتاب ۲۴ ساعته بوده و بدون قطعی است. وی متذکر شد:‌گاه برخی افراد به دلیل عدم اطلاع کافی از عملکرد سیستم‌ها در ترویج این باور غلط موثر هستند. در جریان اتفاق اخیر نیز شاهد تحلیل‌های نادرستی بودیم که شبکه شتاب را عامل عدم پاسخگویی می‌دانستند. در حالی که مراجع پاسخگو و مطلع طی مصاحبه‌هایی هرگونه نفوذ و عدم پاسخگویی در شبکه شتاب را رد کردند.

مدیر سیستم‌های کارت شرکت خدمات انفورماتیک به انجام ۹۲/۹۹ درصد تراکنش موفق در این شبکه اشاره و خاطر نشان کرد: این میزان تراکنش موفق با توجه به حجم عظیم مراجعات گواه محکمی است بر عملکرد مطلوب این شبکه. هر چند این مساله ضرورت ارتقا و بهینه‌سازی سیستم‌ها را نفی نمی‌کند و شرکت خدمات انفورماتیک نیز هرگز از این مهم غافل نشده است. مهندس اسماعیلی در ادامه به ضریب بالای امنیتی در شبکه شتاب اشاره کرد و افزود: از سال ۸۱ که این شبکه فعال شده است تا کنون هیچ‌گونه نفوذی به آن صورت نگرفته و نکته حائز اهمیت اینکه یک گروه بسیار قوی در شرکت خدمات انفورماتیک صرفا مسوولیت کنترل و شناسایی راه‌های نفوذ به این شبکه را برعهده دارند. افزون بر این برخلاف برخی نظرات غیر کار‌شناسانه تمامی داده‌های مهم و محرمانه در شبکه شتاب رمز نگاری شده است.

رعایت نکردن مقررات موجب سرقت اطلاعات کارت‌های بانکی شد

مدیرسیستم‌های کارت شرکت خدمات انفورماتیک در خصوص اتفاق اخیر بی‌توجهی یک شرکت به مقررات و دستورالعمل‌های ابلاغی را موجب سرقت اطلاعات کارت‌های بانکی عنوان کرد.

اسماعیلی با اشاره به تدوین و ابلاغ مقررات مربوط به تامین امنیت سیستم‌های الکترونیکی بانکی به شرکت‌های فعال در عرصه سیستم‌های کارتی تصریح کرد: مشکل درنبود کنترل و نظارت کافی در جهت اجرای این مقررات بود که با طرح شاپرک (شبکه الکترونیکی پرداخت کارتی) قرار است این خلأ پر شود و از این پس نظارت مستمر اعمال می‌شود.

وی افزود: از سال ۱۳۸۴ که طرح استفاده از شرکت‌های PSP مطرح شد، مقررات مربوط به تامین امنیت شبکه نیز تدوین و ابلاغ شد، از نظر مقررات شرکت‌ها مجاز به ذخیره اطلاعات محرمانه نبودند. اسماعیلی گفت: ذخیره اطلاعات و دسترسی یک فرد به تمام داده‌ها موجب بروز مشکل اخیر و لو رفتن بخشی از اطلاعات کارت‌های بانکی شد. وی افزود: آخرین استانداردهای جهانی تدوین شده در زمینه امنیت سیستم‌های الکترونیکی بانکی که مربوط به سال‌های ۲۰۰۸ و۲۰۱۰ است، در کشور ما مورد توجه قرار گرفته و فاصله ما با استانداردهای جهانی زیاد نیست، ولی بخشنامه‌ای در زمینه الزامی بودن رعایت این استاندارد‌ها تا کنون نداشته‌ایم و به صورت توصیه بوده است که لازم است این اقدام صورت پذیرد.

تجدید نظر در سیستم امنیتی شرکت‌های طرف قرارداد با شبکه بانکی

مدیرسیستم‌های کارت شرکت خدمات انفورماتیک گفت: برای جلوگیری از سرقت اطلاعات کارت‌های بانکی، قرار است سیستم امنیتی همه شرکت‌های ارائه‌دهنده خدمات پرداختی مورد تجدید نظر قرار ‌گیرد.

وی افزود: پس از اتفاق اخیر در کشور و سرقت اطلاعات تعدادی از کارت‌های بانکی توسط مدیر قبلی نرم‌افزار یک شرکت PSP، مسوولان نسبت به امنیت شبکه بانکی حساستر شده‌اند. وی افزود: در زمان حاضر بانک مرکزی با اجرای طرح شاپرک بازرسی از همه شرکت‌های ارائه‌دهنده خدمات پرداختی را شروع کرده است.

طراح نرم‌افزار سیستم بانکی به داده‌های عملیاتی نباید دسترسی داشته باشد

اسماعیلی در مورد چگونگی سرقت اطلاعات کارت‌های بانکی و نحوه جلوگیری از این اتفاق در آینده گفت: اشکال در مدیریت کلید این شرکت بوده، فردی که تولیدکننده نرم‌افزار است نباید به داده‌های عملیاتی دسترسی داشته باشد و کلید‌ها نباید در اختیار این افراد باشد.

وی افزود: مدیریت کلید، مدیریت داده‌ها و رعایت مقررات سه اصل پایه‌ای برای برقراری امنیت در سیستم الکترونیکی است که هر سه مورد در این شرکت رعایت نشده است.

اسماعیلی افزود: مدیریت کلید به این معنی است که کلیدهایی که برای رمزنگاری مورد استفاده قرار می‌گیرد در اختیار یک فرد نباشد و هیچ فردی نباید به تمام اطلاعات دسترسی داشته باشد.

وی با بیان اینکه مقررات رمزنگاری نیز در این شرکت رعایت نشده، افزود: کد‌ها نباید قابل بازیابی باشد و باید اطلاعات رمز نگاری شده قابل رویت نباشند. به گفته وی رمزنگاری روشی به منظور ارسال یک پیام به صورت کد شده می‌باشد و در نتیجه هدف رمز نگاری

محرمانگی است.

اسماعیلی گفت: در مرداد ماه سال گذشته، مسوولان نظام بانکی متوجه شدند که اطلاعات یک شرکت PSP لو رفته و از آن تاریخ تغییرات سیستم این شرکت شروع شد که تا مهرماه سال گذشته سیستم تغییر کرده بود، یعنی بنا به گفته مسوولان در آن شرکت از آن پس اطلاعات کاربران ذخیره نمی‌شد.

تاکید بر توسعه شبکه

اسماعیلی با اشاره به اینکه شبکه الکترونیکی بانک‌ها در کشور ما شبکه جوانی است، گفت: به همین دلیل در سال‌های اخیر بیشتر روی توسعه این شبکه کار شده و از سوی بانک‌ها بحث کیفیت و امنیت شبکه در اولویت‌های بعدی بوده است.

وی افزود: در شبکه بانکی فشار روی گسترش خدمات و ارائه سرویس بود تا کیفیت خدمات، اما شرکت خدمات انفورماتیک به عنوان مشاور بانک مرکزی، همواره به این بانک در جهت ساماندهی شرکت‌های خصوصی فعال در سیستم‌های پرداخت و نظارت براین شرکت‌ها و تدوین مقررات کمک کرده و در خصوص رعایت استانداردهای امنیتی تاکید داشته است.

اسماعیلی افزود: سرقت رمز تعدادی از کارت‌های بانکی نشان داد که هر سهل‌انگاری کوچک در سیستم بانکی پتانسیل تبدیل به یک مشکل بزرگ و گسترده را دارد.

وی افزود: ارتقای کیفی سیستم‌ها و سرویس‌های بانکی، امسال در دستور کار بانک مرکزی قرار دارد که مهم‌ترین آن ارتقای امنیت است.

هیچ سرقتی از حساب‌های بانکی رخ نداده است.

وی با بیان اینکه دستبرد به حساب بانکی افراد به سادگی میسر نیست و فرد سارق نیز با داشتن اطلاعات ادعایی، قادر به دسترسی به حساب‌های کاربران نبود، افزود: هیچ سرقتی از حساب‌های بانکی افراد گزارش نشده است.

اسماعیلی توضیح داد: اطلاعاتی که در اختیار کاربر کارت بانکی قرار می‌گیرد، شماره کارت و رمز کارت است، ولی پشت کارت بانکی نوار مغناطیسی است که اطلاعات دیگری در این نوار ضبط می‌شود که در رسید‌ها چاپ نمی‌شود و کاربر نیز اطلاعی از این اطلاعات ندارد. وی ادامه داد: با استفاده از مجموع این اطلاعات است که کارت بانکی شناسایی می‌شود و تا زمانی که اطلاعات نوار مغناطیسی خوانده نشود، امکان دستبرد به حسا‌ب‌ها نیست. اسماعیلی در ادامه افزود: شرکت‌های ارائه‌دهنده خدمات پرداخت، مستقیم به سیستم شتاب وصل نیستند، فعالیت این شرکت‌ها در زمینه نصب کارتخوان است و سوئیچ بانک‌ها به شبکه شتاب متصل می‌باشند. مدیرسیستم‌های کارت شرکت خدمات انفورماتیک گفت: سرقت و هک اطلاعات بانکی پدیده جدیدی نیست، حتی در سال ۲۰۱۲ کارت اعتباری مس‌تر کارت در سطح گسترده مورد سرقت اطلاعاتی قرار گرفته است و در سال ۲۰۰۹ میلادی نیز ۴۰ میلیون ویزاکارت هک شد.

اسماعیلی گفت: سرقت اطلاعات توسط نیروهای درونی و هک از بیرون از سامانه‌ها و توسط هکر‌ها اتفاق می‌افتد و اکثر کشور‌ها این موضوع را تجربه کرده‌اند، اما در ایران نخستین بار بود که سرقت اطلاعات پیش آمد.

بانک‌ها خسارت سرقت‌های الکترونیکی را جبران می‌کنند

مدیر سیستم‌های کارت شرکت خدمات انفورماتیک گفت: در زمان سرقت اطلاعات روال بانک‌ها این است که ریسک مشتریان خود را می‌پذیرند و اگر خسارتی به کسی وارد آید آن را می‌پردازند.

کاربران کارت‌های بانکی به طور دوره‌ای تغییر رمز بدهند

وی در مورد وضعیت امنیت سیستم بانکداری الکترونیکی در ایران گفت: در سیستم‌های الکترونیکی کسی نمی‌تواند امنیت را صددرصد تضمین کند.

اسماعیلی افزود: فضای مجازی یک فضای وسیع با درهای زیاد است، بنابراین کاربران خود نیز باید به حفظ اطلاعات محرمانه نیز توجه کنند که یکی از مهم‌ترین آن‌ها، حفظ رمز و تغییر دوره‌ای آن است.

وی افزود: متاسفانه فرهنگ ما شفاهی است و به هشدارهای کتبی کمتر توجه می‌کنیم، برای مثال، ضرورت تغییر رمز دوره‌ای، مرتب به کاربران کارت‌های بانکی از طریق رسید خودپرداز‌ها گوشزد می‌شود، اما کاربران کمتر به این موضوع توجه می‌کنند.

اسماعیلی تصریح کرد: سیستم کارت کشور ما مبتنی بر رمز است و امنیت آن از همین طریق تا حد زیادی تامین شده است، در بسیاری از کشور‌ها کارت‌هایی داریم که رمز ندارند.

راهکار شرکت خدمات انفورماتیک در افزایش امنیت سیستم‌های بانکی

مدیر سیستم‌های کارت شرکت خدمات انفورماتیک همچنین اعلام کرد: برای ارتقای امنیت و کارآیی سیستم بانکی کشور پیاده‌سازی استاندارد امنیتی صنعت کارت به نام PCI_DSS، استفاده از کارت هوشمند و تعریف روال‌های کاری در بخش‌های مختلف باید به صورت جدی برنامه‌ریزی و اجرایی شود.

مهندس اسماعیلی با اشاره به زمانبر بودن اجرای پروژه کارت هوشمند متذکر شد: به نظر می‌رسد پیش از هر راهکار دیگری باید استاندارد PCI در بانک‌ها اجرایی شود. این در حالی است که سال گذشته بانک مرکزی از بانک‌ها خواست تا میزان فاصله سامانه‌های خود را با استاندارد مذکور شناسایی و اعلام کنند. برای تسریع این جریان پیشنهاد می‌شود با توجه به جزئیات بسیار دقیق استاندارد مذکور، بانک مرکزی بخش‌های مهم این استاندارد را شناسایی و به مرور و به صورت مرحله‌ای، جهت اجرا به بانک‌ها ابلاغ کند. وی یادآور شد: شرکت خدمات انفورماتیک از چندی پیش پیاده‌سازی این استاندارد را در دستور کار خود قرار داده است. آنچه مسلم است اجرای این استاندارد در سایر کشور‌ها آثار بسیار مثبتی را در شبکه بانکی به همراه داشته است. مهندس اسماعیلی در خصوص ضرورت تدوین روال‌های کاری در شبکه بانکی نیز خاطرنشان کرد: متاسفانه برخی از تخلفاتی که صورت می‌گیرد ناشی از فقدان دستورالعمل‌های کاری لازم‌الاجرا است که با تدوین این روال‌ها قطعا یک فرد امکان دسترسی و سوءاستفاده‌هایی از نوع ماجرای اخیر را نخواهد داشت.

علاوه بر این گزارش، می‌توانید متن گفتگوی با خانم مهرک محمودی، مدیر پروژه سیستم‌های کارت شرکت خدمات انفورماتیک، را اینجا ببینید.

منبع: دنیای اقتصاد