امنیت، چالش درحال رشد بانکداری الکترونیک

نویسنده: رضا قربانی در تاریخ 6 دی سال 1390 ساعت 18:50 0

روزنامه جام جم؛ سید علی دوستی موسوی؛

بانک مرکزی: رمزهای عبور فعلی موجود در بانکداری الکترونیک باید با گواهی دیجیتال جایگزین شود

جام جم آنلاین: یک ضرب‌المثل قدیمی ایرانی می‌گوید: بچه هر قدر بزرگ می‌شود، مشکلاتش هم با خودش بزرگ می‌شود. در دنیای پیچیده کنونی که استفاده از فناوری برای انجام امور روزمره به یکی از بدیهیات تبدیل شده، به‌‌ همان اندازه رشد فناوری، تبعات و مشکلات و خطرات ناشی از استفاده آن نیز بزرگ شده است.

این در حالی است که استفاده از بسیاری از فناوری‌های نوین بویژه فناوری‌های الکترونیک یا مبتنی بر ارتباطات الکترونیکی ـ‌ رایانه‌ای در ایران به نسبت جهان همانند بچه‌ای تازه از آب و گل درآمده است. با این حال هر قدر این بچه بیشتر و بیشتر از بچگی درمی‌آید و به مرزهای پختگی می‌رسد، مشکلاتش نیز برزگ و بزرگ‌تر می‌شود. نمونه بارز این مساله را می‌توان در مشکلاتی که بتازگی بانکداری الکترونیک با آن مواجه شده و شکایت بسیاری از مردم را در پی داشته است، جستجو کرد. بانکداری الکترونیک، کارت بانکی، خود‌پرداز، تلفن‌بانک، پرداخت غیرحضوری قبوض، نقل و انتقالات شتابی، ساتنا، پایا، تراکنش، درگاه و… لغاتی جدید در فرهنگ اقتصادی ایرانیان هستند.

بانکداری الکترونیک این روز‌ها در کشور ما پیشتاز ورود فناوری الکترونیک به زندگی روزمره است به طوری که انجام امور شخصی بانکی را بدون استفاده از این فناوری‌ها غیرممکن می‌کند. این نیاز هم در خود سیستم بانک‌ها و هم در میان مردم به صورت یک اپیدمی تکثیر شده است؛ اپیدمی مثبتی که البته‌گاه می‌تواند بسیار خطرناک باشد. همانند مشکلات نوجوانی در سن بلوغ که در عین آرامش، در وجودش آرمانخواهی و لجاجتی نهفته است که می‌تواند آغازکننده هرکار خطرناکی باشد. بانکداری الکترونیک در ایران مثال بارز همین نوجوان است که رفقای ناباب در اطرافش بسیارند و پتانسیل خطرآفرین نیز فراوان.

۲۲ سال تاخیر

با اینکه راه‌اندازی اولین زیرساخت‌های بانکداری الکترونیک در ایران نسبت به دنیا حدود ۲۲ سال تاخیر دارد، اما سرعت فراگیری بانکداری الکترونیک در ایران از معمول دنیا بالا‌تر بوده است. نخستین سرویس‌های بانکداری آنلاین درسال ۱۹۸۱ (۱۳۵۹ خورشیدی) در ۴ بانک نیویورک شروع‌ به کار کردند و سرویس ویدئوتکس را ارائه دادند.

۲ سال بعد در سال ۱۹۸۳ سرویس‌های بانکداری آنلاین خانگی به اروپا و انگلستان نیز تسری یافت. این فناوری بر اتصال یک صفحه‌کلید به سیستم تلفن یا دستگاه تلویزیون تکیه داشت که امکان مشاهده آنلاین صورتحساب‌ها، انتقالات بانکی و پرداخت قبوض را فراهم می‌کرد. سرانجام ۱۱ سال بعد موسسه اعتباری استنفورد به عنوان اولین موسسه در اکتبر ۱۹۹۴ سرویس‌های بانکداری اینترنتی را به همه اعضای خود و جهان ارائه کرد و فصلی نوین در صنعت بانکداری گشود. بانکداری الکترونیک جهانی در ۳ سطح اطلاع‌رسانی، ارتباطات و تراکنش با ارائه ۶۶ خدمت متنوع از پرداخت الکترونیک قبوض گرفته تا مدیریت آنلاین موسسات مالی، بانکداری تجاری، راه‌اندازی شبکه‌های پرداخت و دریافت، دستگاه‌های خود‌پرداز، کارت‌های بانکی و شعبه‌های الکترونیک کار خود را گسترش داد تا آنجا که اکنون بانک‌های تمام الکترونیک در آمریکا متولد شده و به سرعت فراگیر شده‌اند، اما در ایران شبکه شتاب (شبکه تبادل اطلاعات بانکی) به عنوان مهم‌ترین زیرساخت بانکداری الکترونیک و آنلاین در سال ۸۱ راه‌اندازی شد که در مقایسه با راه‌اندازی این سرویس‌ها در دنیا از سال ۱۹۸۱ یا ۱۳۵۹ حدود ۲۲ سال تاخیر دارد. با این حال سرعت رشد این فناوری اقتصادی ـ اجتماعی هر چند نامتوازن از نظر جغرافیایی، به طرز حیرت‌آوری فراگیر بوده است، چرا که براساس آخرین آمار بانک مرکزی، فقط در عرض ۵/۸ سال و تا پایان شهریور امسال، تعداد کارت‌های الکترونیک بانکی از مرز ۱۵۲ میلیون عدد گذشته است که در مقایسه با شهریور ۸۹ حدود ۴۵ درصد رشد نشان می‌دهد. مقایسه آمار این کارت‌ها با جمعیت ۷۵ میلیونی کشور نشان می‌دهد در جیب هر ایرانی بیش از ۲ کارت بانکی وجود دارد. در همین حال، اگر تعداد خانوارهای موجود در ایران را ۲۰ میلیون خانوار در نظر بگیریم به طور متوسط در هر خانواده بیش از ۷ کارت وجود دارد. یک چنین رشدی در سایر تجهیزات بانکداری الکترونیک نیز به چشم می‌خورد. هم‌اکنون تعداد دستگاه‌های خود‌پرداز بانکی از مرز ۲۲ هزار گذشته که نسبت به شهریور سال گذشته حدود ۲۰ درصد رشد داشته است. مقایسه این عدد با ۲۰ هزار شعبه بانکی که در کشور وجود دارد نشانگر وجود ۲‌/‌۱ دستگاه خود‌پرداز به ازای هر شعبه است. بخش پایانه‌های فروشگاهی نیز به بیش از یک میلیون و ۷۸۵ هزار دستگاه رسیده که رشد ۳۸ درصدی را در مقایسه با سال قبل نشان می‌دهد. این رشد نشانگر آن است که مردم تمایل بیشتری به استفاده از خدمات بانکداری الکترونیک در بخش پرداخت دارند و بانک‌ها نیز به همین تناسب تلاش دارند خدمات خود را در این خصوص گسترش دهند.

مشکلات بانکداری الکترونیک

روشن است که پیش از ورود هر فناوری به زندگی روزمره مردم باید فرهنگ استفاده از آن وارد شود. این فرهنگ یعنی اینکه مردم ۲ چیز را درباره آن فناوری بدانند: اول آنکه آن فناوری چیست و به درد چه کاری می‌خورد تا از آن درست استفاده کنند و دوم اینکه روش استفاده صحیح و ایمن از آن چیست تا فناوری به ضدفناوری تبدیل نشود. اما به‌زعم کار‌شناسان این یک واقعیت است که فرهنگ استفاده از بانکداری آنلاین و الکترونیک به اندازه رشد کلی آن ارتقاء نیافته و همین امر موجب بروز نگرانی‌های امنیتی و از دست‌رفتن وجوه مردم شده است. این نگرانی‌ها در ماه‌های اخیر با افزایش گزارش‌هایی که از سوءاستفاده از حساب‌های الکترونیک، کارت‌های بانکی، دستگاه‌های خود‌پرداز، پایانه‌های فروشگاهی و سایر سرویس‌های بانکداری آنلاین می‌رسد، بیشتر نیز شده است. تا جایی که بانک‌های بزرگ کشور به مشتریان خود درباره سوءاستفاده‌هایی که از حساب‌های الکترونیک آن‌ها یا حین استفاده آنان از خدمات بانکداری الکترونیک پیش می‌آید، هشدار داده‌اند.

در بسیاری موارد پای پلیس نیز به این ماجرا‌ها کشیده شده است. چراکه ارقام سوءاستفاده بسیار بزرگ بوده است. البته آمار دقیقی از کل ارقام سوءاستفاده یا سرقت از خدمات بانکداری الکترونیک در دست نیست، اما از آنجا که فعالیت پلیس فتا (پلیس فضای تولید و تبادل اطلاعات الکترونیک) ‌ در ۳ ماهه آغازین امسال نسبت به مدت مشابه سال قبل ۴۸ درصد رشد داشته است، باید گفت مشکلات بانکداری الکترونیک نوجوان ایران با نزدیک شدن به دوران بلوغ افزایش یافته و باید حصارهای امنیتی برای جلوگیری از ورود دوستان ناباب افزایش یابد.

امنیت از حفظ رمز می‌گذرد

تقریبا تمامی کار‌شناسان امنیت بانکداری الکترونیک در یک اصل با یکدیگر هم‌نظرند: راه امنیت بانکداری الکترونیک از «حفظ رمز» می‌گذرد. یعنی اگر شخص از رمز یا رمزهای عبور خود به درستی نگهداری و حفاظت کند، مشکلات امنیتی و سرقت وجوه به حداقل ممکن می‌رسد.

احمد معینی، کار‌شناس امنیت شبکه در یکی از بانک‌های خصوصی کشور در این‌باره به خبرنگار ما می‌گوید: بیشتر حملات الکترونیکی به بانکداری آنلاین چه در سطح مردم و استفاده‌کنندگان از خدمات ساده این بانکداری و چه کاربران حرفه‌ای و بزرگ که از خدمات بزرگ‌تر استفاده می‌کنند، برپایه ضریب کاربر برای دزدیدن اطلاعات رمز وی بنا شده است. وی افزود: در بانکداری الکترونیک ۲ نوع رمز وجود دارد. یک رمز عادی یا Pin است. همین رمزهایی که در خودپرداز‌ها و روی کارت‌های بانکی مستقر است. این رمز‌ها برای استفاده کاربران عادی که استفاده و نقل و انتقالات عادی با ارقام کمتر سنگین و قابل توجه را انجام می‌دهند. اما وقتی کار وارد بخش اینترنتی و بانکداری مجازی به معنای کلان و ارقام سنگین آن می‌شود، رمزهای یکبار مصرف دیگری به نام TAN وجود دارد که برای هر بار استفاده از خدمات به کار می‌رود. یعنی شما علاوه بر استفاده از رمز عادی برای ورود به حساب خودتان، برای استفاده از آن و انجام تراکنش نیاز به یک رمز اضافه یکبار مصرف دارید تا شبکه کاملا مطمئن شود شما صاحب واقعی حساب هستید.

وی اظهار کرد: به تمام فیلم‌ها و ماجراهایی که روزنامه‌ها درباره سرقت از حساب‌های الکترونیک اشخاص یا بانک‌ها می‌نویسند نگاه می‌کنید می‌بینید کمبود حفاظت از رمز‌ها یا عدم اطلاع از چگونگی استفاده از آنکه باعث اجبار برای افشای آن نزد سایر افراد می‌شود، ریشه سوءاستفاده‌هاست.

وی تصریح کرد: مثلا شخصی که نمی‌داند چگونه از خدمات بانکداری الکترونیک در رایانه یا حتی یک دستگاه خود‌پرداز استفاده کند، رمز خود را نزد افراد افشا می‌کند و همین باعث سوءاستفاده می‌شود. حتی همین ترفندهای پیامکی که اخیرا مد شده و پیامک با این ترفند که شما برنده جایزه شده‌اید اطلاعات حساب خود را ارسال کنید، به تلفن همراه اشخاص ارسال می‌شود نیز بر پایه آگاهی از رمز حساب‌های بانکی قراردارد. لذا باید با آموزش و فرهنگ‌سازی فقط همین نکته را به کاربران بانکداری الکترونیک در همه زمینه‌ها گفت و آن، این است که رمز شما همه چیز شماست.

وی اظهار کرد: البته خوشبختانه روش‌های سرقت در بانکداری الکترونیک ما هنوز پیچیده نیست، اما این سرقت‌ها در دنیا اکنون به حملات اینترنتی تبدیل شده است. مثلا شخص حین کار با رایانه‌اش و وقتی به صفحه مخصوص حساب بانکی‌اش وارد می‌شود، حساب وی هک شده و یک صفحه ساختگی و شبیه‌‌ همان صفحه اصلی در برابر کاربر قرار می‌گیرد تا اطلاعات محرمانه او را سرقت کند.

معینی گفت: با این حال بانکداری الکترونیک در کشور به‌سرعت رو به گسترش است و به تناسب آن روش‌های سرقت نیز پیچیده می‌شود. لذا بانک مرکزی باید زیرساخت‌های مقابله با این سرقت‌ها را که مهم‌ترین آن گواهی دیجیتالی یا CA است گسترش دهد.

وی افزود: CA در شبکه بانکی ۲ مزیت دارد؛ مزیت اول این است که هویت دیجیتالی برای مشتریان بانک‌ها فراهم و شناسایی وی را بیشتر و بهتر امکان‌پذیر می‌سازد و دیگر اینکه امنیت فضای مجازی بانکداری را ارتقا می‌دهد؛ چراکه کسانی در این فضا امکان فعالیت دارند که از طریق این گواهی بسیار شناخته‌شده هستند.

بانک مرکزی: به سرعت در حال کار هستیم

همچنین ناصر حکیمی، مدیر اداره نظام‌های پرداخت بانک مرکزی از سرعت‌بخشی این بانک برای اجرای زیرساخت‌های امنیت در بانکداری الکترونیک خبر داد.

وی گفت: در شرایط فعلی خدمات بانکداری الکترونیک و اینترنتی ما نفوذ محدودی دارد. دلیل آن نیز محدودیت در ارائه سرویس‌های مهم بانکی به علت کمبود بسترهای امنیتی است. چراکه بسیاری از این سرویس‌ها را با زیرساخت‌های کنونی امنیتی نمی‌توان ارائه داد.

وی افزود: هم‌اکنون بانک‌ها از ۲ روش برای اعتبارسنجی و ورود مشتریانشان به خدمات بانکداری الکترونیک استفاده می‌کنند؛ یکی رمز عبور استاتیک که در واقع نام کاربری و رمزعبور عادی است و دیگری نام کاربری یکبار مصرف یا OTP است. رمز عبور استاتیک به لحاظ امنیتی هم برای مشتری و هم برای بانک ریسک دارد. بنابراین باید هر چه زود‌تر برای کنار گذاشتن این رمز عبور از خدمات بانکی فکر اساسی کرد و در این زمینه به سرعت در حال کار هستیم.

وی اظهار کرد: در نظر داریم هویت دیجیتالی را جایگزین انواع رمزهای بانکی کنیم. یعنی‌‌ همان CA یا گواهی دیجیتال را برای همه مشتریان بانک‌ها اعم از حقیقی و حقوقی الزامی کنیم. ما به سرعت در حال کار هستیم، اما سازمان‌ها و وزارتخانه‌های متعددی در این خصوص فعالیت می‌کنند که متناظرشدن نرم‌افزار‌ها، رویه‌ها و دستورالعمل‌ها و همچنین ترویج و آموزش زمان می‌برد، اما امیدواریم تا پایان امسال بخش مهمی از کار انجام شود.

وی خاطرنشان کرد: وقتی این گواهی دیجیتالی فراگیر شود مشتریان تمام بانک‌ها یک زیرساخت مشترک شناسایی خواهند داشت. یعنی یک سیستم مرکزی تمام آن‌ها را شناسایی و برایشان گواهی صادر می‌کند و اگر مشتری این گواهی را بگیرد در تمام بانک‌ها قابل استفاده خواهد بود. همچنین این گواهی امکان این را می‌دهد که بتوان مشتریانی را که دارای سوءسابقه هستند، حین فعالیت کنترل کرد.

وی تصریح کرد: البته در کنار این عملیات سیستم‌های نظارتی دیگری نیز در حال راه‌اندازی است که یکی از آن‌ها سپاک (سیستم پایش الکترونیکی کارت‌های بانکی) ‌ است که بر صدور کارت‌های بانکی و استفاده از آن نظارت دارد. بانک مرکزی به تناسب رشد بانکداری الکترونیک، در حال ارتقای امنیت در این فضاست و بزودی تلاش‌ها در این خصوص به نتیجه می‌رسد.