امنیت کارت‌های بانکی، زیر سوال

به گزارش جام ‌جم آنلاین ، تقریبا سه سال پیش بود که یکی از مدیران شرکت‌های ارائه‌دهنده خدمات بانکی با در اختیار داشتن تعداد قابل توجهی از اطلاعات کارت‌های بانکی به خارج از کشور گریخت و با ایجاد یک وبلاگ تمام اطلاعات مربوط به حساب‌ها و کارت‌های بانکی سه میلیون ایرانی را منتشر کرد.

این اطلاعات که بیشتر مربوط به رمز کارت‌های بانکی به صورت کد‌گذاری بود، باعث بروز نگرانی‌هایی در میان مردم و کارشناسان شد و بحث‌هایی را ایجاد کرد، هرچند در آن زمان اطلاع‌رسانی گسترده بانک مرکزی و اطمینان دادن مقامات این بانک از دستکاری نشدن حساب‌های بانکی و البته درخواست برای تغییر رمز کارت‌ها، تا حدی مشکل را فرونشاند، اما اصل ماجرا که نگرانی از وجود حفره‌های امنیتی در کارت‌های بانکی است، همچنان روی میز است و هرازچندگاهی جلوه‌ای از آن پدیدار می‌شود.

تازه‌ترین نمونه این نگرانی در اظهارات داوود محمدبیگی، مدیر اداره نظام‌های پرداخت بانک ‌مرکزی، منعکس شد.

وی سه روز پیش در گفت‌وگو با سایت رسمی بانک مرکزی تصریح کرد: به دلیل انحرافات پیش آمده در حوزه پرداخت و ورود نهادها و سازمان‌های غیرمرتبط با موضوع پرداخت، ممکن است اطلاعات کارت مشتریان نظام بانکی در دسترس دیگران و مورد سوءاستفاده قرار گیرد.

وی افزود: ما تلاش می‌کنیم امکان هرگونه سوءاستفاده در فرآیند پرداخت‌های الکترونیک به حداقل برسد و اگر سوءاستفاده‌ای صورت گیرد، میزان خسارت مشتری حداقل باشد.

این اظهارت هرچند معطوف به محدودیت‌های اعمال شده در پرداخت با تلفن همراه با استفاده از کدهای دستوری (درگاه‌ussd) بود، اما به سرعت مورد توجه رسانه‌ها قرار گرفت و این پرسش را مطرح کرد که چه چالش‌هایی در امنیت کارت‌های بانکی وجود دارد که بانک مرکزی را به عنوان دستگاه ناظر، به چنین واکنشی واداشته است.

پیگیری‌های جام‌جم و گفت‌وگو با چند تن از کارشناسان، مشخص کرد که کارت‌های بانکی مورد استفاده در ایران از لحاظ ساختار فنی اشکال بنیادین دارد و باید از لحاظ پایه‌و نسلی تعویض شود. در این میان برخی کارشناسان استفاده زودهنگام و بدون آمادگی امنیتی از تلفن همراه برای انجام تراکنش‌های کارتی و همچنین چالش فرهنگی موجود در استفاده‌کنندگان کارت‌های بانکی را عوامل دیگری در بروز مجدد نگرانی درباره امنیت کارت‌های بانکی عنوان می‌کنند.

جام‌جم سپس تلاش کرد تا نظر شرکت شاپرک (شبکه پرداخت‌های کارتی) ـ که تمامی کارتخوان‌های فروشگاهی را تحت پوشش دارد ـ و بانک مرکزی را دریافت کند که این امر تا زمان تهیه گزارش میسر نشد.

مشکل از کارت‌های مگنتی است

در این‌باره محمدعلی فرداد، معاون فنی یکی از شرکت‌های ارائه‌دهنده نرم‌افزارهای بانکی در این زمینه به جام‌جم گفت: به‌طور کلی اکنون دو نوع کارت در نظام بانکی مورد استفاده قرار می‌گیرد؛ اول کارت‌های مگنتی که دارای نوار چسبیده هستند و دوم اسمارتی یا هوشمند مانند گواهینامه‌های جدید.

وی افزود: در ایران کارت‌های بانکی مگنتی مورد استفاده قرار می‌گیرد که دارای ضریب اطمینان بسیار پایینی است، چون به‌راحتی با تهیه یک دستگاه چند صد هزار تومانی که تهیه آن در بازار زیاد هم سخت نیست، می‌توان اطلاعات آن را کپی کرد و جای دیگر مورد استفاده قرار داد. بنابراین نمی‌توان اطمینان کامل داد که استفاده از کارت‌های بانکی ایمن است.

وی تصریح کرد: اگر واقعا سیستم بانکی تصمیم به حفاظت از منافع مشتریان دارد، باید از کارت‌های اسمارت یا همان کارت‌های چیپستی (تراشه‌دار) استفاده کند؛ کاری که امروز آمریکا نسبت به آن اقدام کرده و ضریب امنیت بالایی را برای مشتریان تدارک دیده است، اما این روش فعلا در ایران غیرممکن بوده چون هزینه‌ای بسیار سنگین برای کشور همراه خواهد داشت. به‌صورتی که نه‌تنها کارت‌ها باید تغییر کند، بلکه تمام کارتخوان‌های فروشگاهی و خودپردازها نیز باید تغییر یابد.

مشکلی که تلفن‌های همراه ایجاد کردند

این کارشناس با اشاره به ماهیت مشکل امنیتی جدید کارت‌های بانکی که اخیرا توسط کدهای دستوری پرداخت ارسالی توسط تلفن همراه ایجاد شده، تصریح کرد: خیلی ساده وقتی از تلفن همراه دستور پرداختی از یک کارت بانکی صادر می‌شود، تمام اطلاعات آن کارت بانکی به دست اپراتور می‌افتد و امکان هرگونه سوءاستفاده‌ای را ایجاد می‌کرد.

وی افزود: ما از قبل نسبت به ارائه این‌گونه سرویس‌ها بر بستر کارت‌های بانکی به مقام‌های مسئول هشدار داده و گفته بودیم که از نظر کارشناسی هنوز امکان ارائه این‌گونه خدمات فراهم نیست و در میانه راه نقل و انتقال، اطلاعات مشتریان قابل دسترسی است.

به عقیده فرداد، مشکل اصلی اینجاست که بانک مرکزی نسبت به این موضوع هیچ قوانین سختگیرانه‌ای ندارد که مقابل هرگونه سوءاستفاده احتمالی بایستد و از حقوق مردم دفاع کند. در حالی که اگر این قاطعیت وجود داشت، هرگز شاهد این‌گونه قانونگذاری‌های موردی و زودگذر نبودیم. به عنوان مثال با این‌که اکنون بانک مرکزی محدودیتی در پرداخت‌ها و تراکنش‌های کارتی توسط تلفن همراه ایجاد کرده، اما به هر حال ممکن است یک مشتری برای انجام عملیاتی چند ده هزار تومانی، کل حسابش که رقمی قابل توجه در آن باشد را به مخاطره بیندازد.

خدمات موبایلی چالش امنیتی دارند

از سوی دیگر، عبدالعظیم قنبریان، مدیرعامل یک شرکت تجارت الکترونیک در گفت‌وگو با جام‌جم با تاکید بر امنیت کارت‌های بانکی گفت: درباره اطمینان از امنیت خدمات بانکی که به واسطه استفاده از کارت‌های بانکی انجام می‌شود، با رعایت نکاتی کاملا ابتدایی و از آنجا که کارت‌های بانکی ایران PIN بیس هستند نباید هیچ نگرانی داشته باشیم.

وی افزود: ولی درباره تراکنش‌های کارت‌های بانکی از طریق تلفن همراه باید تغییرات امنیتی برای تبادل مالی ایجاد شود که به حداکثر اطمینان برسیم. وی گفت: به‌طور کلی کدهای دستوری پرداخت از کارت بانکی با تلفن همراه – ussd ـ ابزار ارتباطی خاصی است که قادر است سینگال‌های شبکه‌ها و دستگاه‌های اپراتورها را با یکدیگر مرتبط کند و به همین دلیل از آنجا که این مسیر نقل و انتقال از جاهایی عبور می‌کند که بانک مرکزی به عنوان مقام حاکمیتی یا رگولاتور امکان بررسی و نظارت بر این مسیرها را نداشت و از وجود امنیت در این زمینه اطمینان ندارد پس نسبت به محدود کردن این‌گونه عملیات کارت‌های بانکی اقدام کرده است.

قنبریان اظهار کرد: با توجه به مبلغ تراکنش‌های کارت‌های بانکی از طریق تلفن همراه، به‌طور کلی شاید اصلا لزومی بر ایجاد یا برقراری ارتباط از طریق پرداخت‌های موبایلی یا موبایل‌بانک‌ها نبوده و از ابتدا نباید در این زمینه اقدام می‌شد، اما برخی از خدمات زودتر از موعد و بدون در نظر گرفتن کافی موارد امنیتی وارد بازار مالی شده است.

مشکل اصلی فرهنگ استفاده است

در این میان، یکی از مدیران تجارت الکترونیک در سیستم بانکی کشورمان ضمن اشاره به امنیت بالای شبکه کارت‌های بانکی در ایران به جام‌جم گفت: به‌طور کلی براساس قوانین بین‌المللی اکنون استاندارد PCI DSS که مربوط به حفاظت و امنیت شبکه پرداخت‌های الکترونیک است در ایران استفاده می‌شود، اما مشکل اصلی درباره بروز مشکلاتی از قبیل کلاهبرداری و سوءاستفاده از کارت‌های بانکی در کشورمان مربوط به فرهنگ استفاده از این کارت‌هاست.

وی افزود: به‌کارگیری هشدارهای امنیتی درباره استفاده از کارت‌های بانکی و روش‌های نوین پرداخت یکی از مهم‌ترین مواردی است که باید از سوی مشتریان مورد توجه قرار گیرد.

به عنوان مثال با این‌که هشدارهای متعددی نسبت به در اختیار نگذاشتن رمز عبور کارت منتشر شده است اما هنوز هم در بسیاری از موارد مشتریان کارت بانکی را که یکی از شخصی‌ترین لوازم است در اختیار متصدی فروشگاه قرار داده و با صدای بلند رمز خود را نیز می‌گویند.

اشکال در ساختار فنی کارت‌های بانکی

کارشناسان می‌گویند: ساختمان فنی کارت‌های بانکی موجود در ایران به خاطر مگنتی بودن (مگنت به نوار چسبانیده شده در پشت کارت‌های بانکی اطلاق می‌شود که تمامی اطلاعات کارت بانکی را در خود ذخیره کرده است) اشکال بنیادی دارد و تا زمانی که کارت‌ها مگنتی هستند، احتمال کپی کردن اطلاعات روی آن به ترفندهای مختلف وجود دارد. تنها راه‌حل در این‌باره نیز تغییر کارت‌ها به هوشمند یا اسمارت است که به‌خاطر هزینه بالا فعلا امکان‌پذیر نیست.

عماد عزتی - روزنامه جام جم

برای مطالعه اخبار بیشتر از جام جم آنلاین به اینجا کانال تلگرام این سایت مراجعه کنید.