بانکداری الکترونیک و چالشهای امنیتی
همهي ما تا حدودي ميدونيم مفهوم بانكداري الكترونيك چيه. بانكي كه هميشه و هر جا از طريق تجهيزات الكترونيكي در درسترس هست. امنيت زيادي داره و در كنار خدمات 24 ساعته احتياجي به مراجعهي حضوري به شعبه رو نداره. بانكي كه در پي كاهش هزينههاي رفت و آمد و صرفه جويي در زمان هست و …
واضحه كه مهمترين يا حداقل يكي از مهمترين مفاهيم اين مبحث امنيت الكترونيكي هست. با نگاهي اجمالي و كلي به بانكهاي كشور ممكنه اين طور تصور بشه كه امنيت تا حد بالايي برقرار هست.
دوربينهاي مدار بسته، چشمهاي الكترونيكي حساس به تحرك يا گرما(دماي بدن يا آتش سوزي)، سيستمهاي حفاظتي كد دار، اطاقهاي كنترل، ماموران آموزش ديده، گاوصندوقهاي فولادي، و … تنها بخشي از امكانات حفاظتي فيزيكي بانكها و سيستم كنترل امنيت است.
تقريبآ بالاي سر هر دستگاه خودپرداز يه دوربين مداربسته هم نصب ميكنن، حتي خيلي از بانكها دم در و پيادهروي خيابون رو هم رصد ميكنن.
سوال اينجاست : با اين همه تدبير جهت حفاظت فيزيكي، فكري هم براي برقراري امنيت نرمافزاري شده؟
از كارمندها شروع ميكنيم:
تقريبآ همشون دورههايي رو گذروندند و كتابهايي كه از طرف بانك عامل لازم ديده بشه رو ميخونن و بايد در امتحانش هم نمرهي قابل قبولي كسب كنند. ولي اين كافي نيست. چون دورههاي آموزشي خيلي سطحي گرفته ميشه و آزمونها هم كاملآ فرماليته است. رفتار كارمندان بعد و قبل از گذراندن دورهها هيچ تفاوتي نداره و هيچ كدوم از موارد امنيتي آموزش داده شده اگر تا الان اجرا نشده بعد از گذراندن دوره هم اجرا نخواهد شد. مثلآ من دقيقآ ميدونم بانك من از چه سيستم عامل، نسخه و پروتكلي استفاده ميكنه، كارمندها چطور به سرور متصل هستند و تعجب ميكنم چرا گذرواژههايشان انقدر كوتاه و ساده است! در حالي كه من نبايد اينها رو بدانم.
مهندسان نرم افزاري:
اين گروه از قشر جامعهي بانكي همواره مقصرين اصلي مشكلات موجود در زمينهي بانكداري الكترونيك به حساب ميان. كشور ما در زمينهي ارتباطات الكترونيكي بسيار نوپاست. با اين حال دليل نميشه كه مهندسان و طراحان استانداردهاي نرمافزاري رو فراموش كنند.
بزاريد كمي بيشتر درمورد اين قشر صحبت كنيم. چرا مقصران اصلي معمولآ اونها تلقي ميشن؟
طراحي نرمافزاري داراي استانداردهاي مختلفي براي سيستمها و زبانهاي مختلف هست، كه با رعايت يك سري مسائل امنيتي لازمالاجرا ميشه تا حدودي نسبت به امنيت سيستم اطمينان پيدا كرد. يادتون نره شخص يا گروه نرمافزاري كه طراحي سايت مثلآ بانك كشاورزي رو به عهده ميگيره قطعآ عهدهدار تامين امنيت نيز هست.
روزي يكي از دوستانم كه خوشبختانه كلاه سفيد تشريف دارند با بنده تماس گرفتند و از من خواستند به قسمتي از سايت بانك كشاورزي سر بزنم. وقتي به آدرس مورد نظر رجوع كردم متوجه شدم ايشون به سرور سايت بانك كشاورزي نفوذ كردن و چند فايل هم آپلود كردند. هر كسي در اين شرايط احتمالآ ميتونه يك صفحهي تقلبي توي سايت بانك بسازه كه از مشتريها نام كاربري و گذرواژه حسابشون رو درخواست كنه و اطلاعات بدست اومده رو براي آدرس ايميلي مورد نظر، ارسال كنه و بعدش با اين اطلاعات وارد حساب مشتريهاي بخت برگشته شود و … . واضح است اگه من و شما فرمي توي سايت بانك كشاورزي ببينيم اعتماد خواهيم كرد و اطلاعاتمون رو وارد خواهيم كرد ولي چه كسي مسئول اصلي عواقب ناشي از امنيت پايين سايت خواهد بود؟
بعضيها اعتقاد دارند كه مشكل اصلي از جاي ديگريست و نبايد مهندسان سيستم را مقصر دانست. مثلآ به عقيدهي آنها اگر از بالا مديريت قدرتمندتري اعمال شود و ديد بازتري نسبت به تجارت و بانكداري الكترونيك ايجاد شود اين دست مسايل از بين ميرود يا به گفتهاي ديگر اگر زيرساختها توسعهي بيشتري پيدا كند و… كه البته اين گفتهها تا حدودي قابل قبول هستند،
ولي در جواب بايد عرض شود كه بنده چند وقت پيش قصد انقال وجه بين حسابهاي شبكهي شتاب را داشتم، با مراجعه به يك دستگاه ATM (خودپرداز) بانك ملت مبلغي به حساب دوستم، مجتبي، واريز كردم كه در نيمهي راه دستگاه پيغام داد كه جوابي از بانك حساب شما دريافت نشد و كارت را بيرون داد. من هم به اين خيال كه تراكنشي انجام نگرفته است عمليات را دوباره انجام دادم، بعد از مشاهده فيش متوجه شدم دستگاه در مورد اول، بدون اينكه پيام مناسب را نمايش دهد يا اينكه رسيدي صادر كند تراكنش را انجام داده بود. بار دوم هم كه تراكنش به صورت طبيعي صورت گرفته بود. در نتيجه من 2 برابر مبلغ مورد نظرم وجه به حساب دوستم انقال داده بودم. اگر حساب مقصد مربوط به شركت يا حسابي حقوقي بود قطعآ برگشتي براي وجه وجود نداشت. در نگاه اول ممكن است اينگونه تصور شود كه مشكل پيش آمده به دليل ضعف زيرساختها و در نتيجه عدم ارتباط مناسب با بانك حساب من(بانك ملي) بود. ولي در حقيقت اختلال در ارتباطات الكترونيكي هميشه و همه جا وجود دارد. مسئله اين است كه مهندس طراح سيستم ميتوانست اينگونه اختلالات را كه خصوصآ براي ما ايرانيها زياد اتفاق ميافتد پيشبيني كرده و رويكردي براي اجتناب از آن يا عواقب آن اتخاذ ميكرد.
مديران:
بله، اين قشري از جامعهي بانكي است كه قطعآ با افكار بزرگ ميتوانند تغييراتي نوين ايجاد كنند. ولي در حال حاضر رقابت شديدي بين بانكها از سوي خصوصآ مديران جهت الكترونيكي شدن وجود داره كه گاهآ اين رقابت به جاهاي خطرناكي كشيده ميشه. مثلآ بعضي از بانكها سيستمهايي براي استفاده از خدمات به وسيلهي موبايل ارائه دادند كه بعضآ خيلي عجولانه، بياستفاده، فرماليته، غير قابل اطمينان، نا امن و … بود كه در نتيجهي رقابت براي تصاحب بازار الكترونيكي به صورت كاذب به وجود آمدند. براي نمونه كارتهاي بانكي را ميتوان نام برد كه بعضي بانكها در انواع بسيار زياد ارائه ميدن. حقيقت اين است كه تفاوت اصلي تعداد بسيار زيادي از اين كارتها معمولآ در رنگ و اسمشان خلاصه ميشود.
به طور خلاصه: اگر خواستار شرايطي بهتر در موضوع امنيت بانكداري الكترونيكي هستيم بايد در مورد آموزش كارمندان شيوههاي عمليتري را برگزينيم، در مورد مهندسان نرمافزاري پوياتر باشيم، به روزتر باشيم و هزينههاي بيشتري متقبل شويم. در نهايت در مورد مديريت بايد واقع بينانهتر، با صبر حوصله و آگاهي از مسائل روز قدم به قدم پيش رويم.