کارشناسان استفاده زودهنگام و بدون آمادگی امنیتی از تلفن همراه برای انجام تراکنشهای کارتی و همچنین چالش فرهنگی موجود در استفادهکنندگان کارتهای بانکی را عوامل دیگری در بروز مجدد نگرانی درباره امنیت کارتهای بانکی عنوان میکنند.
نگاهی به میزان امنیت در کارتهای بانکی کشور
جام جم آنلاین , 10 آبان 1394 ساعت 10:02
کارشناسان استفاده زودهنگام و بدون آمادگی امنیتی از تلفن همراه برای انجام تراکنشهای کارتی و همچنین چالش فرهنگی موجود در استفادهکنندگان کارتهای بانکی را عوامل دیگری در بروز مجدد نگرانی درباره امنیت کارتهای بانکی عنوان میکنند.
کارشناسان استفاده زودهنگام و بدون آمادگی امنیتی از تلفن همراه برای انجام تراکنشهای کارتی و همچنین چالش فرهنگی موجود در استفادهکنندگان کارتهای بانکی را عوامل دیگری در بروز مجدد نگرانی درباره امنیت کارتهای بانکی عنوان میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تقریبا سه سال پیش بود که یکی از مدیران شرکتهای ارائهدهنده خدمات بانکی با در اختیار داشتن تعداد قابل توجهی از اطلاعات کارتهای بانکی به خارج از کشور گریخت و با ایجاد یک وبلاگ تمام اطلاعات مربوط به حسابها و کارتهای بانکی سه میلیون ایرانی را منتشر کرد.
این اطلاعات که بیشتر مربوط به رمز کارتهای بانکی بهصورت کدگذاری بود، باعث بروز نگرانیهایی در میان مردم و کارشناسان شد و بحثهایی ایجاد کرد، هرچند در آن زمان اطلاعرسانی گسترده بانک مرکزی و اطمینان دادن مقامات این بانک از دستکاری نشدن حسابهای بانکی و البته درخواست برای تغییر رمز کارتها، تا حدی مشکل را فرونشاند، اما اصل ماجرا که نگرانی از وجود حفرههای امنیتی در کارتهای بانکی است، همچنان روی میز است و هرازچندگاهی جلوهای از آن پدیدار میشود.
تازهترین نمونه این نگرانی در اظهارات داوود محمدبیگی، مدیر اداره نظامهای پرداخت بانک مرکزی، منعکس شد. وی هفته گذشته در گفتوگو با سایت رسمی بانک مرکزی تصریح کرد: بهدلیل انحرافات پیش آمده در حوزه پرداخت و ورود نهادها و سازمانهای غیرمرتبط با موضوع پرداخت، ممکن است اطلاعات کارت مشتریان نظام بانکی در دسترس دیگران و مورد سوءاستفاده قرار گیرد.
وی افزود: ما تلاش میکنیم امکان هرگونه سوءاستفاده در فرآیند پرداختهای الکترونیک به حداقل برسد و اگر سوءاستفادهای صورت گیرد، میزان خسارت مشتری حداقل باشد.
این اظهارت هرچند معطوف به محدودیتهای اعمال شده در پرداخت با تلفن همراه با استفاده از کدهای دستوری (درگاه ussd) بود، اما بهسرعت مورد توجه رسانهها قرار گرفت و این پرسش را مطرح کرد که چه چالشهایی در امنیت کارتهای بانکی وجود دارد که بانک مرکزی را بهعنوان دستگاه ناظر، به چنین واکنشی واداشته است.
گویا کارتهای بانکی مورد استفاده در ایران از لحاظ ساختار فنی اشکال بنیادین دارد و باید از لحاظ پایه و نسلی تعویض شود. در این میان برخی کارشناسان استفاده زودهنگام و بدون آمادگی امنیتی از تلفن همراه برای انجام تراکنشهای کارتی و همچنین چالش فرهنگی موجود در استفادهکنندگان کارتهای بانکی را عوامل دیگری در بروز مجدد نگرانی درباره امنیت کارتهای بانکی عنوان میکنند.
محمدعلی فرداد، معاون فنی یکی از شرکتهای ارائهدهنده نرمافزارهای بانکی، در این زمینه گفت: بهطور کلی اکنون دو نوع کارت در نظام بانکی مورد استفاده قرار میگیرد؛ اول کارتهای مگنتی که دارای نوار چسبیده هستند و دوم اسمارت یا هوشمند مانند گواهینامههای جدید.
وی افزود: در ایران کارتهای بانکی مگنتی مورد استفاده قرار میگیرد که دارای ضریب اطمینان بسیار پایینی است، چون بهراحتی با تهیه یک دستگاه چند صد هزار تومانی که تهیه آن در بازار زیاد هم سخت نیست، میتوان اطلاعات آن را کپی کرد و جای دیگر مورد استفاده قرار داد. بنابراین نمیتوان اطمینان کامل داد که استفاده از کارتهای بانکی ایمن است.
فرداد تصریح کرد: اگر واقعاً سیستم بانکی تصمیم به حفاظت از منافع مشتریان دارد، باید از کارتهای اسمارت یا همان کارتهای چیپستی (تراشهدار) استفاده کند؛ کاری که امروز آمریکا نسبت به آن اقدام کرده و ضریب امنیت بالایی را برای مشتریان تدارک دیده است، اما این روش فعلاً در ایران غیرممکن است چون هزینهای بسیار سنگین برای کشور همراه خواهد داشت. بهصورتی که نهتنها باید کارتها تغییر کند، بلکه تمام کارتخوانهای فروشگاهی و خودپردازها نیز باید تغییر یابد.
این کارشناس با اشاره به ماهیت مشکل امنیتی جدید کارتهای بانکی که اخیراً توسط کدهای دستوری پرداخت ارسالی توسط تلفن همراه ایجاد شده، تصریح کرد: وقتی دستور پرداختی از یک کارت بانکی از تلفن همراه صادر میشود، خیلی ساده تمام اطلاعات آن کارت بانکی بهدست اپراتور افتاده و امکان هرگونه سوءاستفادهای را ایجاد میکرد.
وی افزود: ما از قبل نسبت به ارائه این گونه سرویسها بر بستر کارتهای بانکی به مقامهای مسئول هشدار داده و گفته بودیم که از نظر کارشناسی هنوز امکان ارائه اینگونه خدمات فراهم نیست و اطلاعات مشتریان در میانه راه نقل و انتقال، قابل دسترسی است.
به عقیده فرداد، مشکل اصلی اینجاست که بانک مرکزی نسبت به این موضوع هیچ قوانین سختگیرانهای ندارد که مقابل هرگونه سوءاستفاده احتمالی بایستد و از حقوق مردم دفاع کند. در حالی که اگر این قاطعیت وجود داشت، هرگز شاهد اینگونه قانونگزاریهای موردی و زودگذر نبودیم. بهعنوان مثال با این که اکنون بانک مرکزی محدودیتی در پرداختها و تراکنشهای کارتی توسط تلفن همراه ایجاد کرده، اما به هر حال ممکن است یک مشتری برای انجام عملیاتی چند ده هزار تومانی، کل حسابش را که رقمی قابل توجه در آن باشد به مخاطره بیندازد.
از سوی دیگر، عبدالعظیم قنبریان، مدیرعامل یک شرکت تجارت الکترونیک با تأکید بر امنیت کارتهای بانکی گفت: درباره اطمینان از امنیت خدمات بانکی که بهواسطه استفاده از کارتهای بانکی انجام میشود، با رعایت نکاتی کاملاً ابتدایی و از آنجا که کارتهای بانکی ایران PIN بیس هستند نباید هیچ نگرانی داشته باشیم.
وی افزود: ولی درباره تراکنشهای کارتهای بانکی از طریق تلفن همراه باید تغییرات امنیتی برای تبادل مالی ایجاد شود که به حداکثر اطمینان برسیم. بهطور کلی کدهای دستوری پرداخت از کارت بانکی با تلفن همراه – ussd ـ ابزار ارتباطی خاصی است که قادر است سینگالهای شبکهها و دستگاههای اپراتورها را با یکدیگر مرتبط کند و به همین دلیل از آنجا که این مسیر نقل و انتقال از جاهایی عبور میکند که بانک مرکزی بهعنوان مقام حاکمیتی یا رگولاتور امکان بررسی و نظارت بر این مسیرها را نداشت و از وجود امنیت در این زمینه اطمینان ندارد پس نسبت به محدود کردن اینگونه عملیات کارتهای بانکی اقدام کرده است.
قنبریان اظهار کرد: با توجه به مبلغ تراکنشهای کارتهای بانکی از طریق تلفن همراه، بهطور کلی شاید اصلاً لزومی بر ایجاد یا برقراری ارتباط از طریق پرداختهای موبایلی یا موبایل بانکها نبوده و از ابتدا نباید در این زمینه اقدام میشد، اما برخی از خدمات زودتر از موعد و بدون در نظر گرفتن کافی موارد امنیتی وارد بازار مالی شده است.
در این میان، یکی از مدیران تجارت الکترونیک در سیستم بانکی کشورمان ضمن اشاره به امنیت بالای شبکه کارتهای بانکی در ایران گفت: بهطور کلی براساس قوانین بینالمللی اکنون استاندارد PCI DSS که مربوط به حفاظت و امنیت شبکه پرداختهای الکترونیک است در ایران استفاده میشود، اما مشکل اصلی درباره بروز مشکلاتی از قبیل کلاهبرداری و سوءاستفاده از کارتهای بانکی در کشورمان مربوط به فرهنگ استفاده از این کارتهاست.
وی افزود: بهکارگیری هشدارهای امنیتی درباره استفاده از کارتهای بانکی و روشهای نوین پرداخت یکی از مهمترین مواردی است که باید از سوی مشتریان مورد توجه قرار گیرد.
بهعنوان مثال با این که هشدارهای متعددی نسبت به در اختیار نگذاشتن رمز عبور کارت منتشر شده است اما هنوز هم در بسیاری از موارد مشتریان کارت بانکی را که یکی از شخصیترین لوازم است در اختیار متصدی فروشگاه قرار داده و با صدای بلند رمز خود را نیز میگویند.
بهگفته کارشناسان، ساختمان فنی کارتهای بانکی موجود در ایران بهخاطر مگنتی بودن (مگنت به نوار چسبانیده شده در پشت کارتهای بانکی اطلاق میشود که تمامی اطلاعات کارت بانکی را در خود ذخیره کرده است) اشکال بنیادی دارد و تا زمانی که کارتها مگنتی هستند، احتمال کپی کردن اطلاعات روی آن به ترفندهای مختلف وجود دارد. تنها راهحل در این مورد نیز تغییر کارتها به هوشمند است که بهخاطر هزینه بالا فعلا امکانپذیر نیست.
کد مطلب: 10308