پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
درحالیکه یک مقام بانک مرکزی بهتازگی درباره احتمال سوءاستفاده و لو رفتن اطلاعات کارتهای بانکی هشدار داده است، کارشناسان وجود نقایص ساختاری فنی و استفاده زودهنگام و شتابزده از بستر تلفن همراه برای ارائه خدمات بانکی مبتنی بر کارت را باعث بروز نگرانی از امنیت کارتهای بانکی عنوان میکنند.
تقریباً سه سال پیش بود که یکی از مدیران شرکتهای ارائهدهنده خدمات بانکی با در اختیار داشتن تعداد قابلتوجهی از اطلاعات کارتهای بانکی به خارج از کشور گریخت و با ایجاد یک وبلاگ تمام اطلاعات مربوط به حسابها و کارتهای بانکی سه میلیون ایرانی را منتشر کرد.
این اطلاعات که بیشتر مربوط به رمز کارتهای بانکی بهصورت کدگذاری بود، باعث بروز نگرانیهایی در میان مردم و کارشناسان شد و بحثهایی را ایجاد کرد، هرچند در آن زمان اطلاعرسانی گسترده بانک مرکزی و اطمینان دادن مقامات این بانک از دستکاری نشدن حسابهای بانکی و البته درخواست برای تغییر رمز کارتها، تا حدی مشکل را فرونشاند، اما اصل ماجرا که نگرانی از وجود حفرههای امنیتی در کارتهای بانکی است، همچنان روی میز است و هرازچندگاهی جلوهای از آن پدیدار میشود. تازهترین نمونه این نگرانی در اظهارات داوود محمد بیگی، مدیر اداره نظامهای پرداخت بانک مرکزی، منعکس شد.
وی در گفتوگو با سایت رسمی بانک مرکزی تصریح کرد: به دلیل انحرافات پیشآمده در حوزه پرداخت و ورود نهادها و سازمانهای غیر مرتبط با موضوع پرداخت، ممکن است اطلاعات کارت مشتریان نظام بانکی در دسترس دیگران و مورد سوءاستفاده قرار گیرد.
وی افزود: ما تلاش میکنیم امکان هرگونه سوءاستفاده در فرآیند پرداختهای الکترونیک به حداقل برسد و اگر سوءاستفادهای صورت گیرد، میزان خسارت مشتری حداقل باشد.
این اظهارت هرچند معطوف به محدودیتهای اعمالشده در پرداخت با تلفن همراه با استفاده از کدهای دستوری (درگاه ussd) بود، اما بهسرعت موردتوجه رسانهها قرار گرفت و این پرسش را مطرح کرد که چه چالشهایی در امنیت کارتهای بانکی وجود دارد که بانک مرکزی را بهعنوان دستگاه ناظر، به چنین واکنشی واداشته است.
پیگیریهای جام جم و گفتوگو با چند تن از کارشناسان، مشخص کرد که کارتهای بانکی مورداستفاده در ایران ازلحاظ ساختار فنی اشکال بنیادین دارد و باید ازلحاظ پایه و نسلی تعویض شود. در این میان برخی کارشناسان استفاده زودهنگام و بدون آمادگی امنیتی از تلفن همراه برای انجام تراکنشهای کارتی و همچنین چالش فرهنگی موجود در استفادهکنندگان کارتهای بانکی را عوامل دیگری در بروز مجدد نگرانی درباره امنیت کارتهای بانکی عنوان میکنند.
جام جم سپس تلاش کرد تا نظر شرکت شاپرک (شبکه پرداختهای کارتی) ـ که تمامی کارتخوانهای فروشگاهی را تحت پوشش دارد ـ و بانک مرکزی را دریافت کند که این امر تا زمان تهیه گزارش میسر نشد.
.
مشکل از کارتهای مگنتی است
دراینباره محمدعلی فرداد، معاون فنی یکی از شرکتهای ارائهدهنده نرمافزارهای بانکی در این زمینه به جام جم گفت: بهطورکلی اکنون دو نوع کارت در نظام بانکی مورداستفاده قرار میگیرد؛ اول کارتهای مگنتی که دارای نوار چسبیده هستند و دوم اسمارتی یا هوشمند مانند گواهینامههای جدید.
وی افزود: در ایران کارتهای بانکی مگنتی مورداستفاده قرار میگیرد که دارای ضریب اطمینان بسیار پایینی است، چون بهراحتی با تهیه یک دستگاه چند صد هزارتومانی که تهیه آن در بازار زیاد هم سخت نیست، میتوان اطلاعات آن را کپی کرد و جای دیگر مورداستفاده قرار داد. بنابراین نمیتوان اطمینان کامل داد که استفاده از کارتهای بانکی ایمن است.
وی تصریح کرد: اگر واقعاً سیستم بانکی تصمیم به حفاظت از منافع مشتریان دارد، باید از کارتهای اسمارت یا همان کارتهای چیپستی (تراشه دار) استفاده کند؛ کاری که امروز آمریکا نسبت به آن اقدام کرده و ضریب امنیت بالایی را برای مشتریان تدارک دیده است، اما این روش فعلاً در ایران غیرممکن بوده چون هزینهای بسیار سنگین برای کشور همراه خواهد داشت. به صورتی که نهتنها کارتها باید تغییر کند، بلکه تمام کارتخوانهای فروشگاهی و خودپردازها نیز باید تغییر یابد.
.
مشکلی که تلفنهای همراه ایجاد کردند
این کارشناس با اشاره به ماهیت مشکل امنیتی جدید کارتهای بانکی که اخیراً توسط کدهای دستوری پرداخت ارسالی توسط تلفن همراه ایجاد شده، تصریح کرد: خیلی ساده وقتی از تلفن همراه دستور پرداختی از یک کارتبانکی صادر میشود، تمام اطلاعات آن کارتبانکی به دست اپراتور میافتد و امکان هرگونه سوءاستفادهای را ایجاد میکرد.
وی افزود: ما از قبل نسبت به ارائه اینگونه سرویسها بر بستر کارتهای بانکی به مقامهای مسئول هشدار داده و گفته بودیم که ازنظر کارشناسی هنوز امکان ارائه اینگونه خدمات فراهم نیست و در میانه راه نقلوانتقال، اطلاعات مشتریان قابلدسترسی است.
به عقیده فرداد، مشکل اصلی اینجاست که بانک مرکزی نسبت به این موضوع هیچ قوانین سختگیرانهای ندارد که مقابل هرگونه سوءاستفاده احتمالی بایستد و از حقوق مردم دفاع کند. درحالیکه اگر این قاطعیت وجود داشت، هرگز شاهد اینگونه قانونگذاریهای موردی و زودگذر نبودیم. بهعنوانمثال بااینکه اکنون بانک مرکزی محدودیتی در پرداختها و تراکنشهای کارتی توسط تلفن همراه ایجاد کرده، اما بههرحال ممکن است یک مشتری برای انجام عملیاتی چند ده هزار تومانی، کل حسابش که رقمی قابلتوجه در آن باشد را به مخاطره بیندازد.
.
خدمات موبایلی چالش امنیتی دارند
از سوی دیگر، عبدالعظیم قنبریان، مدیرعامل یک شرکت تجارت الکترونیک در گفتوگو با جام جم با تأکید بر امنیت کارتهای بانکی گفت: درباره اطمینان از امنیت خدمات بانکی که بهواسطه استفاده از کارتهای بانکی انجام میشود، با رعایت نکاتی کاملاً ابتدایی و ازآنجاکه کارتهای بانکی ایران PIN بیس هستند نباید هیچ نگرانی داشته باشیم.
وی افزود: ولی درباره تراکنشهای کارتهای بانکی از طریق تلفن همراه باید تغییرات امنیتی برای تبادل مالی ایجاد شود که به حداکثر اطمینان برسیم. وی گفت: بهطورکلی کدهای دستوری پرداخت از کارتبانکی با تلفن همراه – ussd ـ ابزار ارتباطی خاصی است که قادر است سیگنالهای شبکهها و دستگاههای اپراتورها را با یکدیگر مرتبط کند و به همین دلیل ازآنجاکه این مسیر نقلوانتقال از جاهایی عبور میکند که بانک مرکزی بهعنوان مقام حاکمیتی یا رگولاتور امکان بررسی و نظارت بر این مسیرها را نداشت و از وجود امنیت در این زمینه اطمینان ندارد پس نسبت به محدود کردن اینگونه عملیات کارتهای بانکی اقدام کرده است.
قنبریان اظهار کرد: با توجه به مبلغ تراکنشهای کارتهای بانکی از طریق تلفن همراه، بهطورکلی شاید اصلاً لزومی بر ایجاد یا برقراری ارتباط از طریق پرداختهای موبایلی یا موبایل بانکها نبوده و از ابتدا نباید در این زمینه اقدام میشد، اما برخی از خدمات زودتر از موعد و بدون در نظر گرفتن کافی موارد امنیتی وارد بازار مالی شده است.
.
مشکل اصلی فرهنگ استفاده است
در این میان، یکی از مدیران تجارت الکترونیک در سیستم بانکی کشورمان ضمن اشاره به امنیت بالای شبکه کارتهای بانکی در ایران به جام جم گفت: بهطورکلی بر اساس قوانین بینالمللی اکنون استاندارد PCI DSS که مربوط به حفاظت و امنیت شبکه پرداختهای الکترونیک است در ایران استفاده میشود، اما مشکل اصلی درباره بروز مشکلاتی از قبیل کلاهبرداری و سوءاستفاده از کارتهای بانکی در کشورمان مربوط به فرهنگ استفاده از این کارتهاست.
وی افزود: بهکارگیری هشدارهای امنیتی درباره استفاده از کارتهای بانکی و روشهای نوین پرداخت یکی از مهمترین مواردی است که باید از سوی مشتریان موردتوجه قرار گیرد.
بهعنوانمثال بااینکه هشدارهای متعددی نسبت به در اختیار نگذاشتن رمز عبور کارت منتشر شده است اما هنوز هم در بسیاری از موارد مشتریان کارتبانکی را که یکی از شخصیترین لوازم است در اختیار متصدی فروشگاه قرار داده و با صدای بلند رمز خود را نیز میگویند.
.
اشکال در ساختار فنی کارتهای بانکی
کارشناسان میگویند: ساختمان فنی کارتهای بانکی موجود در ایران به خاطر مگنتی بودن (مگنت به نوار چسبانیده شده در پشت کارتهای بانکی اطلاق میشود که تمامی اطلاعات کارتبانکی را در خود ذخیره کرده است) اشکال بنیادی دارد و تا زمانی که کارتها مگنتی هستند، احتمال کپی کردن اطلاعات روی آن به ترفندهای مختلف وجود دارد. تنها راهحل دراینباره نیز تغییر کارتها به هوشمند یا اسمارت است که به خاطر هزینه بالا فعلاً امکانپذیر نیست.
منبع: جام جم آنلاین