بانکداری الکترونیک و چالشهای امنیتی
همهی ما تا حدودی میدونیم مفهوم بانکداری الکترونیک چیه. بانکی که همیشه و هر جا از طریق تجهیزات الکترونیکی در درسترس هست. امنیت زیادی داره و در کنار خدمات ۲۴ ساعته احتیاجی به مراجعهی حضوری به شعبه رو نداره. بانکی که در پی کاهش هزینههای رفت و آمد و صرفه جویی در زمان هست و …
واضحه که مهمترین یا حداقل یکی از مهمترین مفاهیم این مبحث امنیت الکترونیکی هست. با نگاهی اجمالی و کلی به بانکهای کشور ممکنه این طور تصور بشه که امنیت تا حد بالایی برقرار هست.
دوربینهای مدار بسته، چشمهای الکترونیکی حساس به تحرک یا گرما(دمای بدن یا آتش سوزی)، سیستمهای حفاظتی کد دار، اطاقهای کنترل، ماموران آموزش دیده، گاوصندوقهای فولادی، و … تنها بخشی از امکانات حفاظتی فیزیکی بانکها و سیستم کنترل امنیت است.
تقریبآ بالای سر هر دستگاه خودپرداز یه دوربین مداربسته هم نصب میکنن، حتی خیلی از بانکها دم در و پیادهروی خیابون رو هم رصد میکنن.
سوال اینجاست : با این همه تدبیر جهت حفاظت فیزیکی، فکری هم برای برقراری امنیت نرمافزاری شده؟
از کارمندها شروع میکنیم:
تقریبآ همشون دورههایی رو گذروندند و کتابهایی که از طرف بانک عامل لازم دیده بشه رو میخونن و باید در امتحانش هم نمرهی قابل قبولی کسب کنند. ولی این کافی نیست. چون دورههای آموزشی خیلی سطحی گرفته میشه و آزمونها هم کاملآ فرمالیته است. رفتار کارمندان بعد و قبل از گذراندن دورهها هیچ تفاوتی نداره و هیچ کدوم از موارد امنیتی آموزش داده شده اگر تا الان اجرا نشده بعد از گذراندن دوره هم اجرا نخواهد شد. مثلآ من دقیقآ میدونم بانک من از چه سیستم عامل، نسخه و پروتکلی استفاده میکنه، کارمندها چطور به سرور متصل هستند و تعجب میکنم چرا گذرواژههایشان انقدر کوتاه و ساده است! در حالی که من نباید اینها رو بدانم.
مهندسان نرم افزاری:
این گروه از قشر جامعهی بانکی همواره مقصرین اصلی مشکلات موجود در زمینهی بانکداری الکترونیک به حساب میان. کشور ما در زمینهی ارتباطات الکترونیکی بسیار نوپاست. با این حال دلیل نمیشه که مهندسان و طراحان استانداردهای نرمافزاری رو فراموش کنند.
بزارید کمی بیشتر درمورد این قشر صحبت کنیم. چرا مقصران اصلی معمولآ اونها تلقی میشن؟
طراحی نرمافزاری دارای استانداردهای مختلفی برای سیستمها و زبانهای مختلف هست، که با رعایت یک سری مسائل امنیتی لازمالاجرا میشه تا حدودی نسبت به امنیت سیستم اطمینان پیدا کرد. یادتون نره شخص یا گروه نرمافزاری که طراحی سایت مثلآ بانک کشاورزی رو به عهده میگیره قطعآ عهدهدار تامین امنیت نیز هست.
روزی یکی از دوستانم که خوشبختانه کلاه سفید تشریف دارند با بنده تماس گرفتند و از من خواستند به قسمتی از سایت بانک کشاورزی سر بزنم. وقتی به آدرس مورد نظر رجوع کردم متوجه شدم ایشون به سرور سایت بانک کشاورزی نفوذ کردن و چند فایل هم آپلود کردند. هر کسی در این شرایط احتمالآ میتونه یک صفحهی تقلبی توی سایت بانک بسازه که از مشتریها نام کاربری و گذرواژه حسابشون رو درخواست کنه و اطلاعات بدست اومده رو برای آدرس ایمیلی مورد نظر، ارسال کنه و بعدش با این اطلاعات وارد حساب مشتریهای بخت برگشته شود و … . واضح است اگه من و شما فرمی توی سایت بانک کشاورزی ببینیم اعتماد خواهیم کرد و اطلاعاتمون رو وارد خواهیم کرد ولی چه کسی مسئول اصلی عواقب ناشی از امنیت پایین سایت خواهد بود؟
بعضیها اعتقاد دارند که مشکل اصلی از جای دیگریست و نباید مهندسان سیستم را مقصر دانست. مثلآ به عقیدهی آنها اگر از بالا مدیریت قدرتمندتری اعمال شود و دید بازتری نسبت به تجارت و بانکداری الکترونیک ایجاد شود این دست مسایل از بین میرود یا به گفتهای دیگر اگر زیرساختها توسعهی بیشتری پیدا کند و… که البته این گفتهها تا حدودی قابل قبول هستند،
ولی در جواب باید عرض شود که بنده چند وقت پیش قصد انقال وجه بین حسابهای شبکهی شتاب را داشتم، با مراجعه به یک دستگاه ATM (خودپرداز) بانک ملت مبلغی به حساب دوستم، مجتبی، واریز کردم که در نیمهی راه دستگاه پیغام داد که جوابی از بانک حساب شما دریافت نشد و کارت را بیرون داد. من هم به این خیال که تراکنشی انجام نگرفته است عملیات را دوباره انجام دادم، بعد از مشاهده فیش متوجه شدم دستگاه در مورد اول، بدون اینکه پیام مناسب را نمایش دهد یا اینکه رسیدی صادر کند تراکنش را انجام داده بود. بار دوم هم که تراکنش به صورت طبیعی صورت گرفته بود. در نتیجه من ۲ برابر مبلغ مورد نظرم وجه به حساب دوستم انقال داده بودم. اگر حساب مقصد مربوط به شرکت یا حسابی حقوقی بود قطعآ برگشتی برای وجه وجود نداشت. در نگاه اول ممکن است اینگونه تصور شود که مشکل پیش آمده به دلیل ضعف زیرساختها و در نتیجه عدم ارتباط مناسب با بانک حساب من(بانک ملی) بود. ولی در حقیقت اختلال در ارتباطات الکترونیکی همیشه و همه جا وجود دارد. مسئله این است که مهندس طراح سیستم میتوانست اینگونه اختلالات را که خصوصآ برای ما ایرانیها زیاد اتفاق میافتد پیشبینی کرده و رویکردی برای اجتناب از آن یا عواقب آن اتخاذ میکرد.
مدیران:
بله، این قشری از جامعهی بانکی است که قطعآ با افکار بزرگ میتوانند تغییراتی نوین ایجاد کنند. ولی در حال حاضر رقابت شدیدی بین بانکها از سوی خصوصآ مدیران جهت الکترونیکی شدن وجود داره که گاهآ این رقابت به جاهای خطرناکی کشیده میشه. مثلآ بعضی از بانکها سیستمهایی برای استفاده از خدمات به وسیلهی موبایل ارائه دادند که بعضآ خیلی عجولانه، بیاستفاده، فرمالیته، غیر قابل اطمینان، نا امن و … بود که در نتیجهی رقابت برای تصاحب بازار الکترونیکی به صورت کاذب به وجود آمدند. برای نمونه کارتهای بانکی را میتوان نام برد که بعضی بانکها در انواع بسیار زیاد ارائه میدن. حقیقت این است که تفاوت اصلی تعداد بسیار زیادی از این کارتها معمولآ در رنگ و اسمشان خلاصه میشود.
به طور خلاصه: اگر خواستار شرایطی بهتر در موضوع امنیت بانکداری الکترونیکی هستیم باید در مورد آموزش کارمندان شیوههای عملیتری را برگزینیم، در مورد مهندسان نرمافزاری پویاتر باشیم، به روزتر باشیم و هزینههای بیشتری متقبل شویم. در نهایت در مورد مدیریت باید واقع بینانهتر، با صبر حوصله و آگاهی از مسائل روز قدم به قدم پیش رویم.