وبلاگ ژست مثبت

همه‌ي ما تا حدودي ميدونيم مفهوم بانكداري الكترونيك چيه. بانكي كه هميشه و هر جا از طريق تجهيزات الكترونيكي در درسترس هست. امنيت زيادي داره و در كنار خدمات 24 ساعته احتياجي به مراجعه‌ي حضوري به شعبه رو نداره. بانكي كه در پي كاهش هزينه‌هاي رفت و آمد و صرفه جويي در زمان هست و …

واضحه كه مهمترين يا حداقل يكي از مهمترين مفاهيم اين مبحث امنيت الكترونيكي هست. با نگاهي اجمالي و كلي به بانكهاي كشور ممكنه اين طور تصور بشه كه امنيت تا حد بالايي برقرار هست.

دوربين‌هاي مدار بسته، چشم‌هاي الكترونيكي حساس به تحرك يا گرما(دماي بدن يا آتش سوزي)، سيستم‌هاي حفاظتي كد دار، اطاق‌هاي كنترل، ماموران آموزش ديده، گاو‌صندوق‌هاي فولادي، و … تنها بخشي از امكانات حفاظتي فيزيكي بانكها و سيستم كنترل امنيت است.

تقريبآ بالاي سر هر دستگاه خودپرداز يه دوربين مداربسته هم نصب ميكنن، حتي خيلي از بانكها دم در و پياده‌روي خيابون رو هم رصد ميكنن.

سوال اينجاست : با اين همه تدبير جهت حفاظت فيزيكي، فكري هم براي برقراري امنيت نرم‌افزاري شده؟

از كارمندها شروع ميكنيم:

تقريبآ همشون دوره‌هايي رو گذروندند و كتابهايي كه از طرف بانك عامل لازم ديده بشه رو ميخونن و بايد در امتحانش هم نمره‌ي قابل قبولي كسب كنند. ولي اين كافي نيست. چون دوره‌هاي آموزشي خيلي سطحي گرفته ميشه و آزمون‌ها هم كاملآ فرماليته است. رفتار كارمندان بعد و قبل از گذراندن دوره‌ها هيچ تفاوتي نداره و هيچ كدوم از موارد امنيتي آموزش داده شده اگر تا الان اجرا نشده بعد از گذراندن دوره هم اجرا نخواهد شد. مثلآ من دقيقآ ميدونم بانك من از چه سيستم عامل، نسخه و پروتكلي استفاده ميكنه، كارمندها چطور به سرور متصل هستند و تعجب ميكنم چرا گذرواژه‌هايشان انقدر كوتاه و ساده است! در حالي كه من نبايد اينها رو بدانم.

مهندسان نرم افزاري:

اين گروه از قشر جامعه‌ي بانكي همواره مقصرين اصلي مشكلات موجود در زمينه‌ي بانكداري الكترونيك به حساب ميان. كشور ما در زمينه‌ي ارتباطات الكترونيكي بسيار نوپاست. با اين حال دليل نميشه كه مهندسان و طراحان استانداردهاي نرم‌افزاري رو فراموش كنند.

بزاريد كمي بيشتر درمورد اين قشر صحبت كنيم. چرا مقصران اصلي معمولآ اونها تلقي ميشن؟

طراحي نرم‌افزاري داراي استانداردهاي مختلفي براي سيستمها و زبانهاي مختلف هست، كه با رعايت يك سري مسائل امنيتي لازم‌الاجرا ميشه تا حدودي نسبت به امنيت سيستم اطمينان پيدا كرد. يادتون نره شخص يا گروه نرم‌افزاري كه طراحي سايت مثلآ بانك كشاورزي رو به عهده ميگيره قطعآ عهده‌دار تامين امنيت نيز هست.

روزي يكي از دوستانم كه خوشبختانه كلاه سفيد تشريف دارند با بنده تماس گرفتند و از من خواستند به قسمتي از سايت بانك كشاورزي سر بزنم. وقتي به آدرس مورد نظر رجوع كردم متوجه شدم ايشون به سرور سايت بانك كشاورزي نفوذ كردن و چند فايل هم آپلود كردند. هر كسي در اين شرايط احتمالآ ميتونه يك صفحه‌ي تقلبي توي سايت بانك بسازه كه از مشتري‌ها نام كاربري و گذرواژه حسابشون رو درخواست كنه و اطلاعات بدست اومده رو براي آدرس ايميلي مورد نظر، ارسال كنه و بعدش با اين اطلاعات وارد حساب مشتري‌هاي بخت برگشته شود و … . واضح است اگه من و شما فرمي توي سايت بانك كشاورزي ببينيم اعتماد خواهيم كرد و اطلاعاتمون رو وارد خواهيم كرد ولي چه كسي مسئول اصلي عواقب ناشي از امنيت پايين سايت خواهد بود؟

بعضي‌ها اعتقاد دارند كه مشكل اصلي از جاي ديگريست و نبايد مهندسان سيستم را مقصر دانست. مثلآ به عقيده‌ي آنها اگر از بالا مديريت قدرتمند‌تري اعمال شود و ديد بازتري نسبت به تجارت و بانكداري الكترونيك ايجاد شود اين دست مسايل از بين مي‌رود يا به گفته‌اي ديگر اگر زيرساختها توسعه‌ي بيشتري پيدا كند و… كه البته اين گفته‌ها تا حدودي قابل قبول هستند،

ولي در جواب بايد عرض شود كه بنده چند وقت پيش قصد انقال وجه بين حسابهاي شبكه‌ي شتاب را داشتم، با مراجعه به يك دستگاه ATM (خودپرداز) بانك ملت مبلغي به حساب دوستم، مجتبي، واريز كردم كه در نيمه‌ي راه دستگاه پيغام داد كه جوابي از بانك حساب شما دريافت نشد و كارت را بيرون داد. من هم به اين خيال كه تراكنشي انجام نگرفته است عمليات را دوباره انجام دادم، بعد از مشاهده فيش متوجه شدم دستگاه در مورد اول، بدون اينكه پيام مناسب را نمايش دهد يا اينكه رسيدي صادر كند تراكنش را انجام داده بود. بار دوم هم كه تراكنش به صورت طبيعي صورت گرفته بود. در نتيجه من 2 برابر مبلغ مورد نظرم وجه به حساب دوستم انقال داده بودم. اگر حساب مقصد مربوط به شركت يا حسابي حقوقي بود قطعآ برگشتي براي وجه وجود نداشت. در نگاه اول ممكن است اينگونه تصور شود كه مشكل پيش آمده به دليل ضعف زيرساخت‌ها و در نتيجه عدم ارتباط مناسب با بانك حساب من(بانك ملي) بود. ولي در حقيقت اختلال در ارتباطات الكترونيكي هميشه و همه جا وجود دارد. مسئله اين است كه مهندس طراح سيستم مي‌توانست اينگونه اختلالات را كه خصوصآ براي ما ايرانيها زياد اتفاق ميافتد پيش‌بيني كرده و رويكردي براي اجتناب از آن يا عواقب آن اتخاذ ميكرد.

مديران:

بله، اين قشري از جامعه‌ي بانكي است كه قطعآ با افكار بزرگ ميتوانند تغييراتي نوين ايجاد كنند. ولي در حال حاضر رقابت شديدي بين بانكها از سوي خصوصآ مديران جهت الكترونيكي شدن وجود داره كه گاهآ اين رقابت به جاهاي خطرناكي كشيده ميشه. مثلآ بعضي از بانكها سيستم‌هايي براي استفاده از خدمات به وسيله‌ي موبايل ارائه دادند كه بعضآ خيلي عجولانه، بي‌استفاده، فرماليته، غير قابل اطمينان، نا امن و … بود كه در نتيجه‌ي رقابت براي تصاحب بازار الكترونيكي به صورت كاذب به وجود آمدند. براي نمونه كارت‌هاي بانكي را ميتوان نام برد كه بعضي بانكها در انواع بسيار زياد ارائه ميدن. حقيقت اين است كه تفاوت اصلي تعداد بسيار زيادي از اين كارتها معمولآ در رنگ و اسمشان خلاصه ميشود.

به طور خلاصه: اگر خواستار شرايطي بهتر در موضوع امنيت بانكداري الكترونيكي هستيم بايد در مورد آموزش كارمندان شيوه‌هاي عملي‌تري را برگزينيم، در مورد مهندسان نرم‌افزاري پوياتر باشيم، به روزتر باشيم و هزينه‌هاي بيشتري متقبل شويم. در نهايت در مورد مديريت بايد واقع بينانه‌تر، با صبر حوصله و آگاهي از مسائل روز قدم به قدم پيش رويم.