شایعه و هشدار!

«انتشار اطلاعات کارت بانکی سه میلیون کاربر» این خبری بود که طی چند روز گذشته همانند بمبی فضای مجازی را تحت تاثیر خود قرار داد.

«انتشار اطلاعات کارت بانکی سه میلیون کاربر» این خبری بود که طی چند روز گذشته همانند بمبی فضای مجازی را تحت تاثیر خود قرار داد. در ابتدا بیشتر کاربران فکر می‌کردند که این خبر شاید شایعه‌ای بیش نباشد اما همین که پیامک‌های هشداردهنده از سوی بانک‌های مختلف به دست برخی از افراد می‌رسید، داستان رنگ‌و‌بوی جدی‌تری به خود می‌گرفت. وقتی سرانجام بانک م رکزی در آخرین ساعات کاری روز شنبه اطلاعیه‌ای را با عنوان مهم، روی سایت خود قرار داد همه مطمئن شدند که موضوع چیز عادی نیست هر چند در خود اطلاعیه تعویض اجباری رمز کارت‌ها صرفا کاری از جهت محکم کاری و پاسخ به شایعات عنوان شد!

واکنش بانک مرکزی به موضوع و اتفاق رخ داده هر کدام دو روی قضیه هستند.
ماجرا در چند جمله
آنچه مشخص است فردی که گفته می‌شود همکار یکی از شرکت‌های خصوصی تحت قرارداد بانک مرکزی است به دلیل اختلاف با مدیریت شرکت در نبود امنیت، اطلاعات سه میلیون کارت را با رمز اول آنها روی وبلاگی قرار داده و البته رمزها را با اعداد دیگری پوشانده تا فقط برای صاحب شماره کارت مشخص باشد. آنچه از نوشته‌های کل صاحب وبلاگ که ظاهرا اکنون فراری است مشخص است، وی بروز یک نقص امنیتی را بارها به اطلاع مدیران شرکت خود و مدیران عامل سایر بانک‌های کشور رسانده اما هیچ‌کدام به حرف وی گوش نداده‌اند.

بانک مرکزی: شایعه است!
طی روز گذشته بارها با مسوولان بانک مرکزی تماس گرفتیم اما آنها تنها به این نکته اشاره کردند که این اتفاق شایعه‌ای بیشتر نیست و برای جویا شدن از چند و چون بیشتر اتفاق باید کمی صبر کرد. مسوولان بانک مرکزی تنها پیشنهادشان برای اطمینان بیشتر به کاربران، تعویض رمز عبور کارت‌های بانکی بود. اما مدیر اداره نظام‌های پرداخت بانک مرکزی در گفت‌وگو با خبرگزاری مهر با اشاره به سوءاستفاده برخی از افراد از موقعیت‌های خود در نظام بانکی، گفته است که: ادعاها اثبات شده نیست. آنچه خبرنگار از مدیر اداره نظام‌های پرداخت بانک مرکزی نپرسید این بود که اگر ماجرا اثبات نشد و در حد شایعه بود چرا این بانک دستور سراسری و اجباری تغییر رمز را صادر کرد.

در تماس با پلیس فتا نهاد برقرارکننده امنیت در فضای مجازی که معمولا مرتب با رصد فضای مجازی اخبار کشف موارد مختلف را به رسانه‌ها ارسال می‌کند موضوع را جویا شدیم اما پاسخ روشنی به درخواست «دنیای‌اقتصاد» داده نشد تنها یکی از مسوولان پلیس فتا گفت که به صورت تلفنی نمی‌تواند اطلاعاتی در این زمینه ارائه کند و خاطرنشان کرد که پلیس فتا در حال انجام برررسی‌های لازم روی این مساله است و هنوز به جواب روشنی در خصوص واقعی بودن این اتفاق نرسیده است.

واکنش‌های بانکی

با انتشار هک اطلاعات کاربران شاید یکی از نکات جالب در این بین واکنش بانک‌ها نسبت به این موضوع بود. چرا که تنها چند بانک اقدام به ارسال پیامک هشدار برای تغییر رمز کردند و سایر بانک‌ها تنها سکوت اختیار کردند. عبدالمجید منصوری، معاون فاوای بانک پارسیان در این خصوص می‌گوید: «بلافاصله بعد از انتشار این خبر، جلسه‌ای تشکیل شد که نتیجه این جلسه نیز ارسال اطلاعیه به کاربرانی بود که هدف این طعمه قرار گرفته بودند.» بانک پارسیان با غیرفعال کردن کارت بانکی کاربرانی که در خطر هک اطلاعات قرار گرفته بودند، اقدام به انتشار کارت مجدد کرد.به باور وی هک اطلاعات کاربران کارت‌های بانکی خیانت در امانت بوده و برخلاف ادعای دیگر فعالان، مقصر اصلی این اتفاق بانک مرکزی نیست.

براساس اظهارات وی عدم توجه برخی بانک‌ها به امنیت در فضای مجازی و عدم‌استفاده از نرم‌افزارهای امنیتی استاندارد باعث بروز چنین مشکلاتی می‌شود که این مشکلات هم در دنیای مجازی قابل پیش‌بینی است. منصوری معتقد است علاوه بر توجه بانک‌ها به مقوله امنیت، کم کاری کاربران در حفظ اطلاعات کارت بانک نیز باعث بروز مشکلاتی می‌شود از جمله اینکه برخی رمز عبور خود را پشت کارت خود يادداشت می‌کنند یا سالی یک بار هم دست به تغییر رمز خود نمی‌زنند.

کم‌توجهی بانک‌ها به امنیت اطلاعات
ابوالفضل غلامرضایی، کارشناس امنیت در بانکداری الکترونیک «با اشاره به کلیت داستان می‌گوید: «بخشی از اطلاعات کاربران بدون رمزنگاری در سیستم دستگاه شرکت مذکور ثبت می‌شود که این مشکل هم به سطح نرم‌افزارهای کاربردی روی دستگاه‌های این شرکت بازمی‌گردد. در واقع عدم اعمال رمزنگاری و توصیه‌های امنیتی روی نرم‌افزار باعث بروز چنین مشکلاتی می‌شود.» به باور وی در حال حاضر برخی شرکت‌ها در تولید نرم‌افزارهای کاربردی برای دستگاه‌های پرداخت الکترونیکی، به توصیه‌های امنیتی توجهی نمی‌کنند و تنها می‌خواهند کار به صورت کلی آماده شود.

همچنین در این زمینه هزینه‌های لازم برای انجام کار که شامل تست‌های امنیتی، بازبینی برنامه‌ها و کدهای امنیتی می‌شود، در نظر گرفته نمی‌شود و کمتر شرکتی در این زمینه‌ها حاضر به پرداخت هزینه می‌شود.وی تصریح می‌کند که اطلاعات منتشر شده روی این وبلاگ مربوط به سال ۸۹ است و ممکن است از آن سال تاکنون بسیاری از کاربران رمز عبور خود را تغییر داده باشند.

وی به کاربران پیشنهاد می‌کند که علاوه بر تغییر رمز، هنگام خرید از دستگاه‌های pos ، به شخصه رمز عبور خود را وارد کنند.

اما رضا هاشمی، کارشناس امنیت فناوری اطلاعات، بر این باور است که امنیت یک زنجیره‌ای از فرآيندها و سامانه‌های نرم افزاری و سخت‌افزاری است و در هر یک از حلقه‌های این زنجیره موارد امنیتی رعایت نشود می‌تواند تاثیرگذار باشد.
وی معتقد است کسانی که برنامه‌نویسی و توسعه سامانه‌های نرم‌افزاری یا سخت‌افزاری را بر عهده دارند اصولا نباید دسترسی مستقیم به تجهیزات و نرم‌افزارها در بخش عملیاتی داشته باشند و کلیدهای دسترسی به هر قسمت باید در اختیار چند فرد امین و به صوررت مکمل هم قرار بگیرد.

همچنین از این اشخاص نیز وثایق کافی گرفته شده و در عین حال تحت نظارت باشند تا خطاهای ناشی از نیروی انسانی و اختلافات درون شرکتی حداقل خطر را ایجاد كنند.

علاوه بر این، كنترل کامل بر هر گونه نقل‌وانتقال اطلاعات با ارزش وجود داشته باشد و ذخیره‌سازی داده‌ها به گونه‌ای باشد که امکان ایجاد خطر را به حداقل برساند.

در همین زمینه فراهانی، یکی دیگر از کارشناسان بانکداری الکترونیکی عنوان می‌کند که اگر در زمانی که اطلاعات محرمانه افراد در محلی خارج از بانک ذخیره می‌شد بانک مرکزی نگاه جدی‌تری به عواقب کار داشت و همچنین پروژه کارت‌های هوشمند جدی‌تر پیگیری می‌شد، طبعا امروز شاهد این اتفاق نبودیم.
وی همچنین تاکید می‌کند که اگر کلیه افرادی که به اطلاعات خارج شده، دسترسی پیدا کرده بودند از سوی نهاد مسوول مورد شناسایی قرار می‌گرفتند و کسب اطمینان از عدم درز اطلاعات به بیرون ایجاد می‌شد، حال شاهد ایجاد نگرانی برای کاربران این کارت‌ها نبودیم. وی معتقد است که چنین مشکلاتی در فضای مجازی قابل پیش‌بینی است اما با انجام فعالیت‌هایی می‌توان وقوع آنها را کاهش داد. به باور فراهانی از جمله این فعالیت‌ها استفاده از کارت هوشمند است که از سال ۸۳ در دستور کار بانک مرکزی قرار گرفت اما به دلایل مختلف این طرح عملیاتی نشد. با استفاده از کارت هوشمند بانکی کاربران می‌توانند روزانه رمز عبور خود را تغییر دهند.