در حاشیه نشت اطلاعات بانکی
کوه یخی نشت بانکی!
حمید ضیایی‌پرور
کد مطلب: 903
تاریخ انتشار : سه شنبه ۲۹ فروردين ۱۳۹۱ ساعت ۱۴:۵۰
 
اگر این مشکل حل شود هیچ شرکت پی‌اس‌پی قادر به دستیابی به اطلاعات حساب‌های مشتریان بانک‌ها نخواهد بود
کوه یخی نشت بانکی!
 
 
Share/Save/Bookmark
ابعاد نشت اطلاعات ۳‌میلیون کارت بانکی شهروندان ایرانی روی اینترنت بسیار بزرگ‌تر از آن است که بتوان با چند اطلاعیه ساده بانک مرکزی یا احیانا عذرخواهی این یا آن مقام بانکی سر و ته آن را هم آورد.

تنبیه شرکت خاطی نیز دردی را دوا نمی‌کند. حتی دستگیری نشت‌دهنده این اطلاعات نیز به تنهایی کافی نیست. برخی نشانه‌ها حتی می‌تواند حکایت از آن داشته باشد که نشت‌دهنده یک نفوذگر کلاه سفید به شمار می‌رود. در واقع آنچه در خبرها آمده می‌تواند نشانه نمایان شدن بخشی از کوه یخی بزرگی باشد که در سیستم بانکی کشور وجود دارد و بخش اعظم این مشکل از دیده‌ها پنهان است.

مشکل از جای دیگری است، مشکل در آنجاست که اطلاعات مبادله شده میان پزهای فروشگاهی رمزگذاری نشده و شرکت‌های خدمات‌دهنده بانکی موسوم به پی‌اس‌پی‌ها هر بار که یک تراکنش از سوی مشتریان انجام شود و کارتی در یک دستگاه خودپرداز کشیده شود اطلاعات کارت شامل شماره ۱۶‌رقمی و رمز عبور را ثبت و ذخیره می‌کنند و این اطلاعات ذخیره شده می‌تواند دستاویز سوءاستفاده‌های احتمالی در آینده قرار گیرد.

بنابراین فراخوان بانک مرکزی و سایر بانک‌ها مبنی بر عوض کردن رمز عبور دارندگان کارت بانکی، تنها یک مسکن موقتی چند روزه یا حتی چند ساعته برای مردم تلقی می‌شود چرا که به محض نخستین تراکنش این کارت‌ها از طریق پایانه‌های فروشگاهی، احتمال ذخیره شدن اطلاعات مذکور در جای دیگری وجود دارد. عوض کردن رمز تنها درصورتی می‌تواند مانع سوءاستفاده‌های بعدی شود که هیچ خرید فروشگاهی بعد از عوض کردن رمز صورت نگیرد. این نکته‌ای است که بانک مرکزی باید به آن توجه کند و راهکار اساسی‌تر برای رفع این مشکل بیندیشد.

راه حل نیز بسیار ساده است بانک مرکزی باید استانداردها و ضوابط سختگیرانه‌تری برای شرکت‌های خدمات‌دهنده بانک‌ها وضع کند و بر آن نظارت دقیق و جدی داشته باشد تا هیچ‌گونه تخطی از آن صورت نگیرد. این استانداردها باید به‌گونه‌ای باشد که کل فرایند تراکنش‌های بانکی به‌صورت رمز‌گذاری بوده و هیچ‌گونه ردی در مسیرهای انتقال به شبکه شتاب از خود بر جای نگذارد.

اگر این مشکل حل شود هیچ شرکت پی‌اس‌پی قادر به دستیابی به اطلاعات حساب‌های مشتریان بانک‌ها نخواهد بود.

ممکن است گفته شود الان هم این اطلاعات رمز‌گذاری می‌شود و شرکت‌های مذکور از آن اطلاعی ندارند. اگر این طور است این ۳‌میلیون اطلاعات در شرکت مذکور چه می‌کرده است؟ چه تضمینی وجود دارد که اطلاعات ده‌ها میلیون کارت دیگر در شرکت‌های دیگر مشابه ذخیره نشده باشد.

بسیاری از شرکت‌های بزرگ، سازمان‌ها و بانک‌ها در دنیا برای حفظ امنیت اطلاعات خود تدابیر بسیار شدیدی اتخاذ می‌کنند، یکی از این تدابیر انعقاد قرارداد با هکرهای کلاه سفید به‌منظور تلاش برای نفوذ به سایت‌های مورد نظر است. کار این هکرها این است که سعی کنند به‌طور شبانه روزی به سایت‌های سفارش شده حمله کنند و درصورت پیدا کردن نقاط نفوذ و حفره‌های امنیتی آن را به اطلاع مدیران سایت برسانند تا حفره‌ها پر شود.

اگرچه نشت‌دهنده اطلاعات بانکی ایران یک هکر به شمار نمی‌رود و تنها از اطلاعاتی که به‌طور غیرمجاز در دسترسش بوده سوءاستفاده کرده است اما او ظرفیت و پتانسیل تبدیل شدن به یک هکر کلاه‌سفید را داشت و می‌توانست در خدمت نظام بانکی و امنیت اطلاعات آن باشد نه اینکه به خاطر یک بی‌تدبیری مدیریتی و مشکل نیروی انسانی در یک شرکت خدمات بانکی، اکنون اینترپل را به‌دنبال او بفرستیم! در خانه اگر کس است یک حرف بس است!