وبلاگ ژست مثبت

همه‌ی ما تا حدودی میدونیم مفهوم بانکداری الکترونیک چیه. بانکی که همیشه و هر جا از طریق تجهیزات الکترونیکی در درسترس هست. امنیت زیادی داره و در کنار خدمات ۲۴ ساعته احتیاجی به مراجعه‌ی حضوری به شعبه رو نداره. بانکی که در پی کاهش هزینه‌های رفت و آمد و صرفه جویی در زمان هست و …

واضحه که مهمترین یا حداقل یکی از مهمترین مفاهیم این مبحث امنیت الکترونیکی هست. با نگاهی اجمالی و کلی به بانکهای کشور ممکنه این طور تصور بشه که امنیت تا حد بالایی برقرار هست.

دوربین‌های مدار بسته، چشم‌های الکترونیکی حساس به تحرک یا گرما(دمای بدن یا آتش سوزی)، سیستم‌های حفاظتی کد دار، اطاق‌های کنترل، ماموران آموزش دیده، گاو‌صندوق‌های فولادی، و … تنها بخشی از امکانات حفاظتی فیزیکی بانکها و سیستم کنترل امنیت است.

تقریبآ بالای سر هر دستگاه خودپرداز یه دوربین مداربسته هم نصب میکنن، حتی خیلی از بانکها دم در و پیاده‌روی خیابون رو هم رصد میکنن.

سوال اینجاست : با این همه تدبیر جهت حفاظت فیزیکی، فکری هم برای برقراری امنیت نرم‌افزاری شده؟

از کارمندها شروع میکنیم:

تقریبآ همشون دوره‌هایی رو گذروندند و کتابهایی که از طرف بانک عامل لازم دیده بشه رو میخونن و باید در امتحانش هم نمره‌ی قابل قبولی کسب کنند. ولی این کافی نیست. چون دوره‌های آموزشی خیلی سطحی گرفته میشه و آزمون‌ها هم کاملآ فرمالیته است. رفتار کارمندان بعد و قبل از گذراندن دوره‌ها هیچ تفاوتی نداره و هیچ کدوم از موارد امنیتی آموزش داده شده اگر تا الان اجرا نشده بعد از گذراندن دوره هم اجرا نخواهد شد. مثلآ من دقیقآ میدونم بانک من از چه سیستم عامل، نسخه و پروتکلی استفاده میکنه، کارمندها چطور به سرور متصل هستند و تعجب میکنم چرا گذرواژه‌هایشان انقدر کوتاه و ساده است! در حالی که من نباید اینها رو بدانم.

مهندسان نرم افزاری:

این گروه از قشر جامعه‌ی بانکی همواره مقصرین اصلی مشکلات موجود در زمینه‌ی بانکداری الکترونیک به حساب میان. کشور ما در زمینه‌ی ارتباطات الکترونیکی بسیار نوپاست. با این حال دلیل نمیشه که مهندسان و طراحان استانداردهای نرم‌افزاری رو فراموش کنند.

بزارید کمی بیشتر درمورد این قشر صحبت کنیم. چرا مقصران اصلی معمولآ اونها تلقی میشن؟

طراحی نرم‌افزاری دارای استانداردهای مختلفی برای سیستمها و زبانهای مختلف هست، که با رعایت یک سری مسائل امنیتی لازم‌الاجرا میشه تا حدودی نسبت به امنیت سیستم اطمینان پیدا کرد. یادتون نره شخص یا گروه نرم‌افزاری که طراحی سایت مثلآ بانک کشاورزی رو به عهده میگیره قطعآ عهده‌دار تامین امنیت نیز هست.

روزی یکی از دوستانم که خوشبختانه کلاه سفید تشریف دارند با بنده تماس گرفتند و از من خواستند به قسمتی از سایت بانک کشاورزی سر بزنم. وقتی به آدرس مورد نظر رجوع کردم متوجه شدم ایشون به سرور سایت بانک کشاورزی نفوذ کردن و چند فایل هم آپلود کردند. هر کسی در این شرایط احتمالآ میتونه یک صفحه‌ی تقلبی توی سایت بانک بسازه که از مشتری‌ها نام کاربری و گذرواژه حسابشون رو درخواست کنه و اطلاعات بدست اومده رو برای آدرس ایمیلی مورد نظر، ارسال کنه و بعدش با این اطلاعات وارد حساب مشتری‌های بخت برگشته شود و … . واضح است اگه من و شما فرمی توی سایت بانک کشاورزی ببینیم اعتماد خواهیم کرد و اطلاعاتمون رو وارد خواهیم کرد ولی چه کسی مسئول اصلی عواقب ناشی از امنیت پایین سایت خواهد بود؟

بعضی‌ها اعتقاد دارند که مشکل اصلی از جای دیگریست و نباید مهندسان سیستم را مقصر دانست. مثلآ به عقیده‌ی آنها اگر از بالا مدیریت قدرتمند‌تری اعمال شود و دید بازتری نسبت به تجارت و بانکداری الکترونیک ایجاد شود این دست مسایل از بین می‌رود یا به گفته‌ای دیگر اگر زیرساختها توسعه‌ی بیشتری پیدا کند و… که البته این گفته‌ها تا حدودی قابل قبول هستند،

ولی در جواب باید عرض شود که بنده چند وقت پیش قصد انقال وجه بین حسابهای شبکه‌ی شتاب را داشتم، با مراجعه به یک دستگاه ATM (خودپرداز) بانک ملت مبلغی به حساب دوستم، مجتبی، واریز کردم که در نیمه‌ی راه دستگاه پیغام داد که جوابی از بانک حساب شما دریافت نشد و کارت را بیرون داد. من هم به این خیال که تراکنشی انجام نگرفته است عملیات را دوباره انجام دادم، بعد از مشاهده فیش متوجه شدم دستگاه در مورد اول، بدون اینکه پیام مناسب را نمایش دهد یا اینکه رسیدی صادر کند تراکنش را انجام داده بود. بار دوم هم که تراکنش به صورت طبیعی صورت گرفته بود. در نتیجه من ۲ برابر مبلغ مورد نظرم وجه به حساب دوستم انقال داده بودم. اگر حساب مقصد مربوط به شرکت یا حسابی حقوقی بود قطعآ برگشتی برای وجه وجود نداشت. در نگاه اول ممکن است اینگونه تصور شود که مشکل پیش آمده به دلیل ضعف زیرساخت‌ها و در نتیجه عدم ارتباط مناسب با بانک حساب من(بانک ملی) بود. ولی در حقیقت اختلال در ارتباطات الکترونیکی همیشه و همه جا وجود دارد. مسئله این است که مهندس طراح سیستم می‌توانست اینگونه اختلالات را که خصوصآ برای ما ایرانیها زیاد اتفاق میافتد پیش‌بینی کرده و رویکردی برای اجتناب از آن یا عواقب آن اتخاذ میکرد.

مدیران:

بله، این قشری از جامعه‌ی بانکی است که قطعآ با افکار بزرگ میتوانند تغییراتی نوین ایجاد کنند. ولی در حال حاضر رقابت شدیدی بین بانکها از سوی خصوصآ مدیران جهت الکترونیکی شدن وجود داره که گاهآ این رقابت به جاهای خطرناکی کشیده میشه. مثلآ بعضی از بانکها سیستم‌هایی برای استفاده از خدمات به وسیله‌ی موبایل ارائه دادند که بعضآ خیلی عجولانه، بی‌استفاده، فرمالیته، غیر قابل اطمینان، نا امن و … بود که در نتیجه‌ی رقابت برای تصاحب بازار الکترونیکی به صورت کاذب به وجود آمدند. برای نمونه کارت‌های بانکی را میتوان نام برد که بعضی بانکها در انواع بسیار زیاد ارائه میدن. حقیقت این است که تفاوت اصلی تعداد بسیار زیادی از این کارتها معمولآ در رنگ و اسمشان خلاصه میشود.

به طور خلاصه: اگر خواستار شرایطی بهتر در موضوع امنیت بانکداری الکترونیکی هستیم باید در مورد آموزش کارمندان شیوه‌های عملی‌تری را برگزینیم، در مورد مهندسان نرم‌افزاری پویاتر باشیم، به روزتر باشیم و هزینه‌های بیشتری متقبل شویم. در نهایت در مورد مدیریت باید واقع بینانه‌تر، با صبر حوصله و آگاهی از مسائل روز قدم به قدم پیش رویم.