نگاهی به میزان امنیت در کارت‌های بانکی کشور

کارشناسان استفاده زودهنگام و بدون آمادگی امنیتی از تلفن همراه برای انجام تراکنش‌های کارتی و همچنین چالش فرهنگی موجود در استفاده‌کنندگان کارت‌های بانکی را عوامل دیگری در بروز مجدد نگرانی درباره امنیت کارت‌های بانکی عنوان می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تقریبا سه سال پیش بود که یکی از مدیران شرکت‌های ارائه‌دهنده خدمات بانکی با در اختیار داشتن تعداد قابل توجهی از اطلاعات کارت‌های بانکی به خارج از کشور گریخت و با ایجاد یک وبلاگ تمام اطلاعات مربوط به حساب‌ها و کارت‌های بانکی سه میلیون ایرانی را منتشر کرد.

این اطلاعات که بیشتر مربوط به رمز کارت‌های بانکی به‌صورت کدگذاری بود، باعث بروز نگرانی‌هایی در میان مردم و کارشناسان شد و بحث‌هایی ایجاد کرد، هرچند در آن زمان اطلاع‌رسانی گسترده بانک مرکزی و اطمینان دادن مقامات این بانک از دست‌کاری نشدن حساب‌های بانکی و البته درخواست برای تغییر رمز کارت‌ها، تا حدی مشکل را فرونشاند، اما اصل ماجرا که نگرانی از وجود حفره‌های امنیتی در کارت‌های بانکی است، همچنان روی میز است و هرازچندگاهی جلوه‌ای از آن پدیدار می‌شود.

تازه‌ترین نمونه این نگرانی در اظهارات داوود محمدبیگی، مدیر اداره نظام‌های پرداخت بانک مرکزی، منعکس شد. وی هفته گذشته در گفت‌وگو با سایت رسمی بانک مرکزی تصریح کرد: به‌دلیل انحرافات پیش آمده در حوزه پرداخت و ورود نهادها و سازمان‌های غیرمرتبط با موضوع پرداخت، ممکن است اطلاعات کارت مشتریان نظام بانکی در دسترس دیگران و مورد سوءاستفاده قرار گیرد.

وی افزود: ما تلاش می‌کنیم امکان هرگونه سوءاستفاده در فرآیند پرداخت‌های الکترونیک به حداقل برسد و اگر سوءاستفاده‌ای صورت گیرد، میزان خسارت مشتری حداقل باشد.

این اظهارت هرچند معطوف به محدودیت‌های اعمال شده در پرداخت با تلفن همراه با استفاده از کدهای دستوری (درگاه ussd) بود، اما به‌سرعت مورد توجه رسانه‌ها قرار گرفت و این پرسش را مطرح کرد که چه چالش‌هایی در امنیت کارت‌های بانکی وجود دارد که بانک مرکزی را به‌عنوان دستگاه ناظر، به چنین واکنشی واداشته است.

گویا کارت‌های بانکی مورد استفاده در ایران از لحاظ ساختار فنی اشکال بنیادین دارد و باید از لحاظ پایه و نسلی تعویض شود. در این میان برخی کارشناسان استفاده زودهنگام و بدون آمادگی امنیتی از تلفن همراه برای انجام تراکنش‌های کارتی و همچنین چالش فرهنگی موجود در استفاده‌کنندگان

کارت‌های بانکی را عوامل دیگری در بروز مجدد نگرانی درباره امنیت کارت‌های بانکی عنوان می‌کنند.

محمدعلی فرداد، معاون فنی یکی از شرکت‌های ارائه‌دهنده نرم‌افزارهای بانکی، در این زمینه گفت: به‌طور کلی اکنون دو نوع کارت در نظام بانکی مورد استفاده قرار می‌گیرد؛ اول کارت‌های مگنتی که دارای نوار چسبیده هستند و دوم اسمارت یا هوشمند مانند گواهی‌نامه‌های جدید.

وی افزود: در ایران کارت‌های بانکی مگنتی مورد استفاده قرار می‌گیرد که دارای ضریب اطمینان بسیار پایینی است، چون به‌راحتی با تهیه یک دستگاه چند صد هزار تومانی که تهیه آن در بازار زیاد هم سخت نیست، می‌توان اطلاعات آن را کپی کرد و جای دیگر مورد استفاده قرار داد. بنابراین نمی‌توان اطمینان کامل داد که استفاده از کارت‌های بانکی ایمن است.

فرداد تصریح کرد: اگر واقعاً سیستم بانکی تصمیم به حفاظت از منافع مشتریان دارد، باید از کارت‌های اسمارت یا همان کارت‌های چیپستی (تراشه‌دار) استفاده کند؛ کاری که امروز آمریکا نسبت به آن اقدام کرده و ضریب امنیت بالایی را برای مشتریان تدارک دیده است، اما این روش فعلاً در ایران غیرممکن است چون هزینه‌ای بسیار سنگین برای کشور همراه خواهد داشت. به‌صورتی که نه‌تنها باید کارت‌ها تغییر کند، بلکه تمام کارت‌خوان‌های فروشگاهی و خودپردازها نیز باید تغییر یابد.

این کارشناس با اشاره به ماهیت مشکل امنیتی جدید کارت‌های بانکی که اخیراً توسط کدهای دستوری پرداخت ارسالی توسط تلفن همراه ایجاد شده، تصریح کرد: وقتی دستور پرداختی از یک کارت بانکی از تلفن همراه صادر می‌شود، خیلی ساده تمام اطلاعات آن کارت بانکی به‌دست اپراتور افتاده و امکان هرگونه سوءاستفاده‌ای را ایجاد می‌کرد.

وی افزود: ما از قبل نسبت به ارائه این گونه سرویس‌ها بر بستر کارتهای بانکی به مقام‌های مسئول هشدار داده و گفته بودیم که از نظر کارشناسی هنوز امکان ارائه این‌گونه خدمات فراهم نیست و اطلاعات مشتریان در میانه راه نقل و انتقال، قابل دسترسی است.

به عقیده فرداد، مشکل اصلی اینجاست که بانک مرکزی نسبت به این موضوع هیچ قوانین سخت‌گیرانه‌ای ندارد که مقابل هرگونه سوءاستفاده احتمالی بایستد و از حقوق مردم دفاع کند. در حالی که اگر این قاطعیت وجود داشت، هرگز شاهد این‌گونه قانون‌گزاری‌های موردی و زودگذر نبودیم. به‌عنوان مثال با این که اکنون بانک مرکزی محدودیتی در پرداخت‌ها و تراکنش‌های کارتی توسط تلفن همراه ایجاد کرده، اما به هر حال ممکن است یک مشتری برای انجام عملیاتی چند ده هزار تومانی، کل حسابش را که رقمی قابل توجه در آن باشد به مخاطره بیندازد.

از سوی دیگر، عبدالعظیم قنبریان، مدیرعامل یک شرکت تجارت الکترونیک با تأکید بر امنیت کارت‌های بانکی گفت: درباره اطمینان

از امنیت خدمات بانکی که به‌واسطه استفاده از کارت‌های بانکی انجام می‌شود، با رعایت نکاتی کاملاً ابتدایی و از آنجا که کارت‌های بانکی ایران PIN بیس هستند نباید هیچ نگرانی داشته باشیم.

وی افزود: ولی درباره تراکنش‌های کارت‌های بانکی از طریق تلفن همراه باید تغییرات امنیتی برای تبادل مالی ایجاد شود که به حداکثر اطمینان برسیم. به‌طور کلی کدهای دستوری پرداخت از کارت بانکی با تلفن همراه – ussd ـ ابزار ارتباطی خاصی است که قادر است سینگال‌های شبکه‌ها و دستگاه‌های اپراتورها را با یکدیگر مرتبط کند و به همین دلیل از آنجا که این مسیر نقل و انتقال از جاهایی عبور می‌کند که بانک مرکزی به‌عنوان مقام حاکمیتی یا رگولاتور امکان بررسی و نظارت بر این مسیرها را نداشت و از وجود امنیت در این زمینه اطمینان ندارد پس نسبت به محدود کردن این‌گونه عملیات کارت‌های بانکی اقدام کرده است.

قنبریان اظهار کرد: با توجه به مبلغ تراکنش‌های کارت‌های بانکی از طریق تلفن همراه، به‌طور کلی شاید اصلاً لزومی بر ایجاد یا برقراری ارتباط از طریق پرداخت‌های موبایلی یا موبایل بانک‌ها نبوده و از ابتدا نباید در این زمینه اقدام می‌شد، اما برخی از خدمات زودتر از موعد و بدون در نظر گرفتن کافی موارد امنیتی وارد بازار مالی شده است.

در این میان، یکی از مدیران تجارت الکترونیک در سیستم بانکی کشورمان ضمن اشاره به امنیت بالای شبکه کارت‌های بانکی در ایران گفت: به‌طور کلی براساس قوانین بین‌المللی اکنون استاندارد PCI DSS که مربوط به حفاظت و امنیت شبکه پرداخت‌های الکترونیک است در ایران استفاده می‌شود، اما مشکل اصلی درباره بروز مشکلاتی از قبیل کلاهبرداری و سوءاستفاده از کار‌ت‌های بانکی در کشورمان مربوط به فرهنگ استفاده از این کارت‌هاست.

وی افزود: به‌کارگیری هشدارهای امنیتی درباره استفاده از کارت‌های بانکی و روش‌های نوین پرداخت یکی از مهم‌ترین مواردی است که باید از سوی مشتریان مورد توجه قرار گیرد.

به‌عنوان مثال با این که هشدارهای متعددی نسبت به در اختیار نگذاشتن رمز عبور کارت منتشر شده است اما هنوز هم در بسیاری از موارد مشتریان کارت بانکی را که یکی از شخصی‌ترین لوازم است در اختیار متصدی فروشگاه قرار داده و با صدای بلند رمز خود را نیز می‌گویند.

به‌گفته کارشناسان، ساختمان فنی کارت‌های بانکی موجود در ایران به‌خاطر مگنتی بودن (مگنت به نوار چسبانیده شده در پشت کارت‌های بانکی اطلاق می‌شود که تمامی اطلاعات کارت بانکی را در خود ذخیره کرده است) اشکال بنیادی دارد و تا زمانی که کارت‌ها مگنتی هستند، احتمال کپی کردن اطلاعات روی آن به ترفندهای مختلف وجود دارد. تنها راه‌حل در این مورد نیز تغییر کارت‌ها به هوشمند است که به‌خاطر هزینه بالا فعلا امکان‌پذیر نیست.