پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
گذر از تونل امنیت
ثنا کمرئی و سولماز نقدیانی؛ گروه راهبری امنیت اطلاعات شرکت خدمات انفورماتیک؛
سیستم بانکداری الکترونیکی، سیستم یکپارچهای است که کلیه مدیریت و عملیات خدمات بانکی را از طریق دسترسی به پایگاههای داده مشترک و متمرکز در قالب یک سیستم ارائه میکند. بانکداری الکترونیکی به صورت الکترونیکی از فناوریهای پیشرفته نرمافزاری و سختافزاری مبتنی بر شبکه و مخابرات جهت مبادله اطلاعات حساس مالی استفاده میکند. ارائه کلیه خدمات بانکداری الکترونیکی، از طریق واسطههای امن و بدون نیاز به حضور فیزیکی مشتری در شعب بانکها امکانپذیر است. توسعه خدمات بانکداری الکترونیکی، امکان کنترل لحظه به لحظه سود، زیان و صورتحساب کاربر را فراهم میکند. بانکداری الکترونیکی شامل سیستمهای بانکداری اینترنتی، بانکداری تلفنی، بانکداری مبتنی بر پایانه فروش (POS)، بانکداری مبتنی بر موبایل و سایر کانالهای تحویل الکترونیکی است. هدف این مقاله، تمرکز روی امنیت سیستم بانکداری اینترنتی است.
در نمودار زیر ارتباط تجارت الکترونیکی و زیرمجموعههای آن مشخص شده است:
بانکداری اینترنتی:
امروزه سیستم بانکداری اینترنتی به عنوان یک کانال کارآمد که از طریق آن میتوان معاملات بانکی را بدون نیاز به ترک خانه یا دفتر انجام داد، مطرح شده است. بانکداری اینترنتی، مزیتهای مختلفی همچون بهبود کارایی، سرعت و آسانی کار را به همراه دارد. سیستم بانکداری اینترنتی، برنامه کاربردی مبتنی بر وب است که برای کاربران به صورت آشکار و قابل دسترس روی اینترنت قرار گرفته است. هدف کاربران این سیستم، انجام عملیات مالی بدون اتلاف وقت و هزینه رفت و آمد است. این مدل کسب و کار برای ارائه محصولات امنیتی و خدمات بانکی با توجه به ماهیت حساس اطلاعات رد و بدلشده زمینه فراوانی برای تحقیق و کار فراهم کرده است. با شکلگیری بانکداری اینترنتی، با مباحث جدیدی پیرامون محرمانگی و امنیت اطلاعات مواجه هستیم.
استانداردهای امنیت بانکداری اینترنتی
با گسترش بانکداری اینترنتی نیاز به استانداردهای امنیت بانکداری اینترنتی به سرعت شناسایی و منجر به ایجاد تعدادی مستندات راهنما شده است. این استانداردهای امنیتی جهت سیستمهای بانکداری اینترنتی به طور خاص توسط برخی از مراجع و موسسات استاندارد ارائه شده است. هدفی که از ارائه استانداردهای امنیتی عنوان میشود، ارائه پیشنهادات امنیتی برای محافظت از اطلاعات مهم بانکها و موسسات مالی است. از جمله این استانداردها میتوان به موارد زیر اشاره کرد.
- راهنمایی برای بانکها که توسط) Financial Institutions Examination Council (FIEC تهیه شده است و به تشریح روشهای احراز هویت پیشرفته با تاکید به ناکارآمد بودن احراز هویت تک عاملی میپردازد.
- چارچوبBasel II که به تعریف کنترلهای امنیتی برای سیستم بانکداری اینترنتی میپردازد.
- استانداردی به نام Internet Organization for Standardizations ISO ۲۱۱۸۸: ۲۰۰۶ که به تشریح چارچوب لازم برای فعال کردن راهحلهای مبتنی بر گواهی دیجیتال برای کاربردهای امن سیستم بانکداری اینترنتی و تسهیل و هدایت فرآیند مدیریت ریسک توسط ارائه هدفها و رویههای امنیتی میپردازد.
- استاندارد ISACA IS که راهنمای بازبینی و بازرسی سیستم بانکداری اینترنتی است.
- استاندارد ISO/TR ۱۳۵۶۹ تحت عنوان Banking and Related Financial Services Information Security
- استاندارد X۹/TG-S تحت عنوان ANSI Information Security for Financial Organizations Guidelines
- استاندارد شرکت Master card با عنوانManual Master card Security Policies & Procedures
- استاندارد شرکت Visa تحت عنوان Account Information Security
- استاندارد ISO/IEC ۲۷۰۰۱ که به تشریح پیادهسازی یک سیستم مدیریت امنیت اطلاعات میپردازد.
- استانداردهای امنیتی PCI که مجموعه راهکارهای امنیتی برای سیستم کارت است.
حملات متداول بانکداری اینترنتی
به طور کلی میتوان حملات را به سه بخش زیر تقسیم کرد:
راههای موثر برای جلوگیری از حملات
یکی از قسمتهای بسیار مهم سیستم بانکداری اینترنتی، روند احراز هویت کاربران است که این روند در معرض شدید حملات قرار دارد. روند احراز هویت از دو دیدگاه مورد بررسی قرار میگیرد:
۱. احراز هویت سرور
برای احراز هویت سرور، کاربر میتواند از طریق SSL اقدام کند. این روش یکی از راههای متداول جلوگیری از حملات Phishing است.
•SSL
استفاده از SSL در بانکداری اینترنتی:
پروتکل SSL به دو صورت ۴۰ و ۱۲۸ بیتی که به طول session key تولیدشده بستگی دارد، ارائه شده است. هر اندازه طول کلید بیشتر باشد، امکان شکستن رمز مشکلتر خواهد بود. رمزنگاری SSL از نوع ۱۲۸ بیتی، قویترین نوع رمزنگاری است. قدرت رمزنگاری ۱۲۸ بیتی تقریبا ۲۶ ۱۰ *۳ مرتبه قویتر از رمزنگاری ۴۰ بیتی SSL است. مرورگرهای IE و نتاسکیپ، سطوح متفاوتی از رمزنگاری را بر اساس نوع گواهینامه سرویسدهنده SSL ارائه میکنند. (گواهینامههای سرویسدهنده SSL از نوع ۴۰ بیتی، گواهینامههای سرویسدهنده SSL از نوع ۱۲۸ بیتی) در بانکداری اینترنتی بیشتر از پروتکل SSL ۱۲۸ بیتی استفاده میشود.
۲. احراز هویت کاربران
کنترل دسترسی منطقی شامل کنترل دسترسی کاربران به اطلاعات و احراز هویت آنهاست. در کلیه تراکنشهای بانکداری اینترنتی باید روند احراز هویت بر اساس حداقل دو فاکتور طراحی و پیادهسازی شود.
امنیت روند احراز هویت کاربران وابسته به طراحی و پیادهسازی موثر آن است که در این راستا یکی از سه روش زیر پیشنهاد میشود و در هر سه روش امضای دیجیتال تکمیلکننده امنیت سیستم بانکداری اینترنتی و برای تصدیق عمل جابهجایی مالی در معامله مورد استفاده قرار میگیرد.
• حفاظت چندلایهای Multilayer Protection
برای جلوگیری از حملات ذکرشده در قسمتهای قبلی نمیتوان از یک استراتژی استفاده کرد که کل سیستم را از همه این حملات محافظت کند اما یکی از روشهای کارآمد حفاظت چندلایهای است.
حفاظت چندلایهای شامل ترکیب عوامل مختلف زیر است:
۱ – محافظت از چرخه احراز هویت در مقابل فرآیندهای مخرب از طرف ایستگاه کاربر نهایی
۲ – فراهم کردن استراتژیهای احراز هویت که اتصالات میان کاربران و سایت را بررسی میکند.
۳ – پیادهسازی عوامل احراز هویت مبتنی بر آنچه کاربر دارد (OTP، USB Device، ….).
۴ – پیادهسازی عوامل احراز هویت مبتنی بر آنچه کاربر میداند (هر اطلاعاتی که بانک از کاربر دارد).
۵ – پیادهسازی عوامل احراز هویت مبتنی بر آنچه کاربر است (اطلاعات بیومتریک).
۶ – ارائه پیشنهاد حفاظت مکمل برای ایستگاه کاربر نهایی
۷ -ارتباط سیستم با کاربر نهایی تا آن را از وقوع تقلب آگاه کند.
• امنیت لایهای Layered Security
در این روش مکانیسمهای مختلف امنیتی در قسمتهای مختلف فرآیند به کار گرفته میشود.
مثل فیلتر کردن سیستمها، حفاظت از منابع فناوری اطلاعات و…
به طور کلی امنیت لایهای کنترل موثری است که شامل موارد زیر است:
• سیستمهای نظارتی که شامل در نظرگرفتن تاریخ، زمان ورود و رفتار کاربر و تشخیص تقلب و پاسخ به موقع به آن است.
• استفاده از Out of Band Verification برای هر معامله (یعنی بعد از پرداخت، واریز به حساب از طریق پیام کوتاه یا پست الکترونیکی به کاربر در کوتاهترین زمان اعلام شود)
• کنترل بر فعالیتهای حسابها:
– آستانه مجاز ارزش معاملهها
– تعداد مجاز معاملههای انجامشده در روز
– گیرندگان پرداخت
• سیاستها و شیوههای شناسایی Device کاربر
• آموزش به کاربران و بالا بردن آگاهی کاربران از خطر تقلب و آموزش برای استفاده از تکنیکهای موثر برای کاهش خطر
• مسدود کردن اتصالات با آدرسIP مشکوک به سرور بانکی
• روشهای دیگر
یکی دیگر از راهکارهای موثر برای حفاظت از روند احراز هویت ترکیب روشهای زیر است:
۱ -کلمه عبور
۲ – کلمه عبور یکبارمصرف
۳ – احراز هویت به وسیله تجهیزات (Type، Manufacture، Serial Number ….)
۴ – سوالات چالشبرانگیز
۵ – (USB (Token
۶ – گواهینامه دیجیتالی
به طور خلاصه میتوان گفت برای افزایش امنیت و جلب اعتماد بیشتر مشتریان سیستم بانکداری اینترنتی لازم است ترکیبی از روشهای گفتهشده در بالا مورد استفاده قرار گیرد. با توجه به اهمیت روند احراز هویت در این سیستم، بانکها موظفند حداقل از دو فاکتور برای احراز هویت کاربران استفاده کنند.
منبع: عصر ارتباط؛ ویژه نامه بانکداری الکترونیکی؛ تیرماه 91