به گزارش جام جم آنلاین ، تقریبا سه سال پیش بود که یکی از مدیران شرکتهای ارائهدهنده خدمات بانکی با در اختیار داشتن تعداد قابل توجهی از اطلاعات کارتهای بانکی به خارج از کشور گریخت و با ایجاد یک وبلاگ تمام اطلاعات مربوط به حسابها و کارتهای بانکی سه میلیون ایرانی را منتشر کرد.
این اطلاعات که بیشتر مربوط به رمز کارتهای بانکی به صورت کدگذاری بود، باعث بروز نگرانیهایی در میان مردم و کارشناسان شد و بحثهایی را ایجاد کرد، هرچند در آن زمان اطلاعرسانی گسترده بانک مرکزی و اطمینان دادن مقامات این بانک از دستکاری نشدن حسابهای بانکی و البته درخواست برای تغییر رمز کارتها، تا حدی مشکل را فرونشاند، اما اصل ماجرا که نگرانی از وجود حفرههای امنیتی در کارتهای بانکی است، همچنان روی میز است و هرازچندگاهی جلوهای از آن پدیدار میشود.
تازهترین نمونه این نگرانی در اظهارات داوود محمدبیگی، مدیر اداره نظامهای پرداخت بانک مرکزی، منعکس شد.
وی سه روز پیش در گفتوگو با سایت رسمی بانک مرکزی تصریح کرد: به دلیل انحرافات پیش آمده در حوزه پرداخت و ورود نهادها و سازمانهای غیرمرتبط با موضوع پرداخت، ممکن است اطلاعات کارت مشتریان نظام بانکی در دسترس دیگران و مورد سوءاستفاده قرار گیرد.
وی افزود: ما تلاش میکنیم امکان هرگونه سوءاستفاده در فرآیند پرداختهای الکترونیک به حداقل برسد و اگر سوءاستفادهای صورت گیرد، میزان خسارت مشتری حداقل باشد.
این اظهارت هرچند معطوف به محدودیتهای اعمال شده در پرداخت با تلفن همراه با استفاده از کدهای دستوری (درگاهussd) بود، اما به سرعت مورد توجه رسانهها قرار گرفت و این پرسش را مطرح کرد که چه چالشهایی در امنیت کارتهای بانکی وجود دارد که بانک مرکزی را به عنوان دستگاه ناظر، به چنین واکنشی واداشته است.
پیگیریهای جامجم و گفتوگو با چند تن از کارشناسان، مشخص کرد که کارتهای بانکی مورد استفاده در ایران از لحاظ ساختار فنی اشکال بنیادین دارد و باید از لحاظ پایهو نسلی تعویض شود. در این میان برخی کارشناسان استفاده زودهنگام و بدون آمادگی امنیتی از تلفن همراه برای انجام تراکنشهای کارتی و همچنین چالش فرهنگی موجود در استفادهکنندگان کارتهای بانکی را عوامل دیگری در بروز مجدد نگرانی درباره امنیت کارتهای بانکی عنوان میکنند.
جامجم سپس تلاش کرد تا نظر شرکت شاپرک (شبکه پرداختهای کارتی) ـ که تمامی کارتخوانهای فروشگاهی را تحت پوشش دارد ـ و بانک مرکزی را دریافت کند که این امر تا زمان تهیه گزارش میسر نشد.
مشکل از کارتهای مگنتی است
در اینباره محمدعلی فرداد، معاون فنی یکی از شرکتهای ارائهدهنده نرمافزارهای بانکی در این زمینه به جامجم گفت: بهطور کلی اکنون دو نوع کارت در نظام بانکی مورد استفاده قرار میگیرد؛ اول کارتهای مگنتی که دارای نوار چسبیده هستند و دوم اسمارتی یا هوشمند مانند گواهینامههای جدید.
وی افزود: در ایران کارتهای بانکی مگنتی مورد استفاده قرار میگیرد که دارای ضریب اطمینان بسیار پایینی است، چون بهراحتی با تهیه یک دستگاه چند صد هزار تومانی که تهیه آن در بازار زیاد هم سخت نیست، میتوان اطلاعات آن را کپی کرد و جای دیگر مورد استفاده قرار داد. بنابراین نمیتوان اطمینان کامل داد که استفاده از کارتهای بانکی ایمن است.
وی تصریح کرد: اگر واقعا سیستم بانکی تصمیم به حفاظت از منافع مشتریان دارد، باید از کارتهای اسمارت یا همان کارتهای چیپستی (تراشهدار) استفاده کند؛ کاری که امروز آمریکا نسبت به آن اقدام کرده و ضریب امنیت بالایی را برای مشتریان تدارک دیده است، اما این روش فعلا در ایران غیرممکن بوده چون هزینهای بسیار سنگین برای کشور همراه خواهد داشت. بهصورتی که نهتنها کارتها باید تغییر کند، بلکه تمام کارتخوانهای فروشگاهی و خودپردازها نیز باید تغییر یابد.
مشکلی که تلفنهای همراه ایجاد کردند
این کارشناس با اشاره به ماهیت مشکل امنیتی جدید کارتهای بانکی که اخیرا توسط کدهای دستوری پرداخت ارسالی توسط تلفن همراه ایجاد شده، تصریح کرد: خیلی ساده وقتی از تلفن همراه دستور پرداختی از یک کارت بانکی صادر میشود، تمام اطلاعات آن کارت بانکی به دست اپراتور میافتد و امکان هرگونه سوءاستفادهای را ایجاد میکرد.
وی افزود: ما از قبل نسبت به ارائه اینگونه سرویسها بر بستر کارتهای بانکی به مقامهای مسئول هشدار داده و گفته بودیم که از نظر کارشناسی هنوز امکان ارائه اینگونه خدمات فراهم نیست و در میانه راه نقل و انتقال، اطلاعات مشتریان قابل دسترسی است.
به عقیده فرداد، مشکل اصلی اینجاست که بانک مرکزی نسبت به این موضوع هیچ قوانین سختگیرانهای ندارد که مقابل هرگونه سوءاستفاده احتمالی بایستد و از حقوق مردم دفاع کند. در حالی که اگر این قاطعیت وجود داشت، هرگز شاهد اینگونه قانونگذاریهای موردی و زودگذر نبودیم. به عنوان مثال با اینکه اکنون بانک مرکزی محدودیتی در پرداختها و تراکنشهای کارتی توسط تلفن همراه ایجاد کرده، اما به هر حال ممکن است یک مشتری برای انجام عملیاتی چند ده هزار تومانی، کل حسابش که رقمی قابل توجه در آن باشد را به مخاطره بیندازد.
خدمات موبایلی چالش امنیتی دارند
از سوی دیگر، عبدالعظیم قنبریان، مدیرعامل یک شرکت تجارت الکترونیک در گفتوگو با جامجم با تاکید بر امنیت کارتهای بانکی گفت: درباره اطمینان از امنیت خدمات بانکی که به واسطه استفاده از کارتهای بانکی انجام میشود، با رعایت نکاتی کاملا ابتدایی و از آنجا که کارتهای بانکی ایران PIN بیس هستند نباید هیچ نگرانی داشته باشیم.
وی افزود: ولی درباره تراکنشهای کارتهای بانکی از طریق تلفن همراه باید تغییرات امنیتی برای تبادل مالی ایجاد شود که به حداکثر اطمینان برسیم. وی گفت: بهطور کلی کدهای دستوری پرداخت از کارت بانکی با تلفن همراه – ussd ـ ابزار ارتباطی خاصی است که قادر است سینگالهای شبکهها و دستگاههای اپراتورها را با یکدیگر مرتبط کند و به همین دلیل از آنجا که این مسیر نقل و انتقال از جاهایی عبور میکند که بانک مرکزی به عنوان مقام حاکمیتی یا رگولاتور امکان بررسی و نظارت بر این مسیرها را نداشت و از وجود امنیت در این زمینه اطمینان ندارد پس نسبت به محدود کردن اینگونه عملیات کارتهای بانکی اقدام کرده است.
قنبریان اظهار کرد: با توجه به مبلغ تراکنشهای کارتهای بانکی از طریق تلفن همراه، بهطور کلی شاید اصلا لزومی بر ایجاد یا برقراری ارتباط از طریق پرداختهای موبایلی یا موبایلبانکها نبوده و از ابتدا نباید در این زمینه اقدام میشد، اما برخی از خدمات زودتر از موعد و بدون در نظر گرفتن کافی موارد امنیتی وارد بازار مالی شده است.
مشکل اصلی فرهنگ استفاده است
در این میان، یکی از مدیران تجارت الکترونیک در سیستم بانکی کشورمان ضمن اشاره به امنیت بالای شبکه کارتهای بانکی در ایران به جامجم گفت: بهطور کلی براساس قوانین بینالمللی اکنون استاندارد PCI DSS که مربوط به حفاظت و امنیت شبکه پرداختهای الکترونیک است در ایران استفاده میشود، اما مشکل اصلی درباره بروز مشکلاتی از قبیل کلاهبرداری و سوءاستفاده از کارتهای بانکی در کشورمان مربوط به فرهنگ استفاده از این کارتهاست.
وی افزود: بهکارگیری هشدارهای امنیتی درباره استفاده از کارتهای بانکی و روشهای نوین پرداخت یکی از مهمترین مواردی است که باید از سوی مشتریان مورد توجه قرار گیرد.
به عنوان مثال با اینکه هشدارهای متعددی نسبت به در اختیار نگذاشتن رمز عبور کارت منتشر شده است اما هنوز هم در بسیاری از موارد مشتریان کارت بانکی را که یکی از شخصیترین لوازم است در اختیار متصدی فروشگاه قرار داده و با صدای بلند رمز خود را نیز میگویند.
اشکال در ساختار فنی کارتهای بانکی
کارشناسان میگویند: ساختمان فنی کارتهای بانکی موجود در ایران به خاطر مگنتی بودن (مگنت به نوار چسبانیده شده در پشت کارتهای بانکی اطلاق میشود که تمامی اطلاعات کارت بانکی را در خود ذخیره کرده است) اشکال بنیادی دارد و تا زمانی که کارتها مگنتی هستند، احتمال کپی کردن اطلاعات روی آن به ترفندهای مختلف وجود دارد. تنها راهحل در اینباره نیز تغییر کارتها به هوشمند یا اسمارت است که بهخاطر هزینه بالا فعلا امکانپذیر نیست.
عماد عزتی - روزنامه جام جم
برای مطالعه اخبار بیشتر از جام جم آنلاین به اینجا کانال تلگرام این سایت مراجعه کنید.
سید رضا صدرالحسینی در یادداشتی اختصاصی برای جام جم آنلاین مطرح کرد
دانشیار حقوق بینالملل دانشگاه تهران در یادداشتی اختصاصی برای جام جم آنلاین مطرح کرد
یک پژوهشگر روابط بینالملل در گفتگو با جام جم آنلاین مطرح کرد
در یادداشتی اختصاصی برای جام جم آنلاین مطرح شد
در گفتوگوی «جامجم» با نماینده ولیفقیه در بنیاد شهید و امور ایثارگران عنوان شد