امنیت، چالش درحال رشد بانکداری الکترونیک

این در حالی است که استفاده از بسیاری از فناوری‌های نوین بویژه فناوری‌های الکترونیک یا مبتنی بر ارتباطات الکترونیکی ـ‌ رایانه‌ای در ایران به نسبت جهان همانند بچه‌ای تازه از آب و گل درآمده است. با این حال هر قدر این بچه بیشتر و بیشتر از بچگی درمی‌آید و به مرزهای پختگی می‌رسد، مشکلاتش نیز برزگ و بزرگ‌تر می‌شود. نمونه بارز این مساله را می‌توان در مشکلاتی که بتازگی بانکداری الکترونیک با آن مواجه شده و شکایت بسیاری از مردم را در پی داشته است، جستجو کرد. بانکداری الکترونیک، کارت بانکی، خودپرداز، تلفن‌بانک، پرداخت غیرحضوری قبوض، نقل و انتقالات شتابی، ساتنا، پایا، تراکنش، درگاه و... لغاتی جدید در فرهنگ اقتصادی ایرانیان هستند.

بانکداری الکترونیک این روزها در کشور ما پیشتاز ورود فناوری الکترونیک به زندگی روزمره است به طوری که انجام امور شخصی بانکی را بدون استفاده از این فناوری‌ها غیرممکن می‌کند. این نیاز هم در خود سیستم بانک‌ها و هم در میان مردم به صورت یک اپیدمی تکثیر شده است؛ اپیدمی مثبتی که البته گاه می‌تواند بسیار خطرناک باشد. همانند مشکلات نوجوانی در سن بلوغ که در عین آرامش، در وجودش آرمانخواهی و لجاجتی نهفته است که می‌تواند آغازکننده هرکار خطرناکی باشد. بانکداری الکترونیک در ایران مثال بارز همین نوجوان است که رفقای ناباب در اطرافش بسیارند و پتانسیل خطرآفرین نیز فراوان.

با این که راه‌اندازی اولین زیرساخت‌های بانکداری الکترونیک در ایران نسبت به دنیا حدود 22 سال تاخیر دارد، اما سرعت فراگیری بانکداری الکترونیک در ایران از معمول دنیا بالاتر بوده است. نخستین سرویس‌های بانکداری آنلاین درسال 1981 (1359 خورشیدی) در 4 بانک نیویورک شروع‌به کار کردند و سرویس ویدئوتکس را ارائه دادند.

2 سال بعد در سال 1983 سرویس‌های بانکداری آنلاین خانگی به اروپا و انگلستان نیز تسری یافت. این فناوری بر اتصال یک صفحه‌کلید به سیستم تلفن یا دستگاه تلویزیون تکیه داشت که امکان مشاهده آنلاین صورتحساب‌ها، انتقالات بانکی و پرداخت قبوض را فراهم می‌کرد. سرانجام 11 سال بعد موسسه اعتباری استنفورد به عنوان اولین موسسه در اکتبر 1994 سرویس‌های بانکداری اینترنتی را به همه اعضای خود و جهان ارائه کرد و فصلی نوین در صنعت بانکداری گشود. بانکداری الکترونیک جهانی در 3سطح اطلاع‌رسانی، ارتباطات و تراکنش با ارائه 66 خدمت متنوع از پرداخت الکترونیک قبوض گرفته تا مدیریت آنلاین موسسات مالی، بانکداری تجاری، راه‌اندازی شبکه‌های پرداخت و دریافت، دستگاه‌های خودپرداز، کارت‌‌های بانکی و شعبه‌های الکترونیک کار خود را گسترش داد تا آنجا که اکنون بانک‌های تمام الکترونیک در آمریکا متولد شده و به سرعت فراگیر شده‌اند، اما در ایران شبکه شتاب (شبکه تبادل اطلاعات بانکی) به عنوان مهم‌ترین زیرساخت بانکداری الکترونیک و آنلاین در سال 81 راه‌اندازی شد که در مقایسه با راه‌اندازی این سرویس‌ها در دنیا از سال 1981 یا 1359 حدود 22 سال تاخیر دارد. با این حال سرعت رشد این فناوری اقتصادی ـ اجتماعی هر چند نامتوازن از نظر جغرافیایی، به طرز حیرت‌آوری فراگیر بوده است، چرا که براساس آخرین آمار بانک مرکزی، فقط در عرض 5/8 سال و تا پایان شهریور امسال، تعداد کارت‌های الکترونیک بانکی از مرز 152 میلیون عدد گذشته است که در مقایسه با شهریور 89 حدود 45 درصد رشد نشان می‌دهد. مقایسه آمار این کارت‌ها با جمعیت 75 میلیونی کشور نشان می‌دهد در جیب هر ایرانی بیش از 2 کارت بانکی وجود دارد. در همین حال، اگر تعداد خانوارهای موجود در ایران را 20 میلیون خانوار در نظر بگیریم به طور متوسط در هر خانواده بیش از 7 کارت وجود دارد. یک چنین رشدی در سایر تجهیزات بانکداری الکترونیک نیز به چشم می‌خورد. هم‌اکنون تعداد دستگاه‌های خودپرداز بانکی از مرز 22 هزار گذشته که نسبت به شهریور سال گذشته حدود 20 درصد رشد داشته است. مقایسه این عدد با 20 هزار شعبه بانکی که در کشور وجود دارد نشانگر وجود 2‌/‌1 دستگاه خودپرداز به ازای هر شعبه است. بخش پایانه‌های فروشگاهی نیز به بیش از یک میلیون و 785 هزار دستگاه رسیده که رشد 38 درصدی را در مقایسه با سال قبل نشان می‌دهد. این رشد نشانگر آن است که مردم تمایل بیشتری به استفاده از خدمات بانکداری الکترونیک در بخش پرداخت دارند و بانک‌ها نیز به همین تناسب تلاش دارند خدمات خود را در این خصوص گسترش دهند.

روشن است که پیش از ورود هر فناوری به زندگی روزمره مردم باید فرهنگ استفاده از آن وارد شود. این فرهنگ یعنی این که مردم 2 چیز را درباره آن فناوری بدانند: اول آن که آن فناوری چیست و به درد چه کاری می‌خورد تا از آن درست استفاده کنند و دوم این که روش استفاده صحیح و ایمن از آن چیست تا فناوری به ضدفناوری تبدیل نشود. اما به‌زعم کارشناسان این یک واقعیت است که فرهنگ استفاده از بانکداری آنلاین و الکترونیک به اندازه رشد کلی آن ارتقاء نیافته و همین امر موجب بروز نگرانی‌های امنیتی و از دست‌رفتن وجوه مردم شده است. این نگرانی‌ها در ماه‌های اخیر با افزایش گزارش‌هایی که از سوءاستفاده از حساب‌های الکترونیک، کارت‌های بانکی، دستگاه‌های خودپرداز، پایانه‌های فروشگاهی و سایر سرویس‌های بانکداری آنلاین می‌رسد، بیشتر نیز شده است. تا جایی که بانک‌های بزرگ کشور به مشتریان خود درباره سوءاستفاده‌هایی که از حساب‌های الکترونیک آنها یا حین استفاده آنان از خدمات بانکداری الکترونیک پیش می‌آید، هشدار داده‌اند.

در بسیاری موارد پای پلیس نیز به این ماجراها کشیده شده است. چراکه ارقام سوءاستفاده بسیار بزرگ بوده است. البته آمار دقیقی از کل ارقام سوءاستفاده یا سرقت از خدمات بانکداری الکترونیک در دست نیست، اما از آنجا که فعالیت پلیس فتا (پلیس فضای تولید و تبادل اطلاعات الکترونیک)‌ در 3 ماهه آغازین امسال نسبت به مدت مشابه سال قبل 48 درصد رشد داشته است، باید گفت مشکلات بانکداری الکترونیک نوجوان ایران با نزدیک شدن به دوران بلوغ افزایش یافته و باید حصارهای امنیتی برای جلوگیری از ورود دوستان ناباب افزایش یابد.

تقریبا تمامی کارشناسان امنیت بانکداری الکترونیک در یک اصل با یکدیگر هم‌نظرند: راه امنیت بانکداری الکترونیک از «حفظ رمز» می‌گذرد. یعنی اگر شخص از رمز یا رمزهای عبور خود به درستی نگهداری و حفاظت کند، مشکلات امنیتی و سرقت وجوه به حداقل ممکن می‌رسد.

احمد معینی، کارشناس امنیت شبکه در یکی از بانک‌های خصوصی کشور در این‌باره به خبرنگار ما می‌گوید: بیشتر حملات الکترونیکی به بانکداری آنلاین چه در سطح مردم و استفاده‌کنندگان از خدمات ساده این بانکداری و چه کاربران حرفه‌ای و بزرگ که از خدمات بزرگ‌تر استفاده می‌کنند، برپایه ضریب کاربر برای دزدیدن اطلاعات رمز وی بنا شده است. وی افزود: در بانکداری الکترونیک 2 نوع رمز وجود دارد. یک رمز عادی یا Pin است. همین رمزهایی که در خودپردازها و روی کارهای بانکی مستقر است. این رمزها برای استفاده کاربران عادی که استفاده و نقل و انتقالات عادی با ارقام کمتر سنگین و قابل توجه را انجام می‌دهند. اما وقتی کار وارد بخش اینترنتی و بانکداری مجازی به معنای کلان و ارقام سنگین آن می‌شود، رمزهای یکبار مصرف دیگری به نام TAN وجود دارد که برای هر بار استفاده از خدمات به کار می‌رود. یعنی شما علاوه بر استفاده از رمز عادی برای ورود به حساب خودتان، برای استفاده از آن و انجام تراکنش نیاز به یک رمز اضافه یکبار مصرف دارید تا شبکه کاملا مطمئن شود شما صاحب واقعی حساب هستید.

وی اظهار کرد: به تمام فیلم‌ها و ماجراهایی که روزنامه‌ها درباره سرقت از حساب‌های الکترونیک اشخاص یا بانک‌ها می‌نویسند نگاه می‌کنید می‌بینید کمبود حفاظت از رمزها یا عدم اطلاع از چگونگی استفاده از آن که باعث اجبار برای افشای آن نزد سایر افراد می‌شود، ریشه سوءاستفاده‌هاست.

وی تصریح کرد: مثلا شخصی که نمی‌داند چگونه از خدمات بانکداری الکترونیک در رایانه یا حتی یک دستگاه خودپرداز استفاده کند، رمز خود را نزد افراد افشا می‌کند و همین باعث سوءاستفاده می‌شود. حتی همین ترفندهای پیامکی که اخیرا مد شده و پیامک با این ترفند که شما برنده جایزه شده‌اید اطلاعات حساب خود را ارسال کنید، به تلفن همراه اشخاص ارسال می‌شود نیز بر پایه آگاهی از رمز حساب‌های بانکی قراردارد. لذا باید با آموزش و فرهنگسازی فقط همین نکته را به کاربران بانکداری الکترونیک در همه زمینه‌ها گفت و آن، این است که رمز شما همه چیز شماست.

وی اظهار کرد: البته خوشبختانه روش‌های سرقت در بانکداری الکترونیک ما هنوز پیچیده نیست، اما این سرقت‌ها در دنیا اکنون به حملات اینترنتی تبدیل شده است. مثلا شخص حین کار با رایانه‌اش و وقتی به صفحه مخصوص حساب بانکی‌اش وارد می‌شود، حساب وی هک شده و یک صفحه ساختگی و شبیه همان صفحه اصلی در برابر کاربر قرار می‌گیرد تا اطلاعات محرمانه او را سرقت کند.

معینی گفت: با این حال بانکداری الکترونیک در کشور به‌سرعت رو به گسترش است و به تناسب آن روش‌های سرقت نیز پیچیده می‌شود. لذا بانک مرکزی باید زیرساخت‌های مقابله با این سرقت‌ها را که مهم‌ترین آن گواهی دیجیتالی یا CA است گسترش دهد.

وی افزود: CA در شبکه بانکی 2 مزیت دارد؛ مزیت اول این است که هویت دیجیتالی برای مشتریان بانک‌ها فراهم و شناسایی وی را بیشتر و بهتر امکان‌پذیر می‌سازد و دیگر این که امنیت فضای مجازی بانکداری را ارتقا می‌دهد؛ چراکه کسانی در این فضا امکان فعالیت دارند که از طریق این گواهی بسیار شناخته‌شده هستند.

همچنین ناصر حکیمی، مدیر اداره نظام‌های پرداخت بانک مرکزی از سرعت‌بخشی این بانک برای اجرای زیرساخت‌های امنیت در بانکداری الکترونیک خبر داد.

وی گفت: در شرایط فعلی خدمات بانکداری الکترونیک و اینترنتی ما نفوذ محدودی دارد. دلیل آن نیز محدودیت در ارائه سرویس‌های مهم بانکی به علت کمبود بسترهای امنیتی است. چراکه بسیاری از این سرویس‌ها را با زیرساخت‌های کنونی امنیتی نمی‌توان ارائه داد.

وی افزود: هم‌اکنون بانک‌ها از 2 روش برای اعتبارسنجی و ورود مشتریانشان به خدمات بانکداری الکترونیک استفاده می‌کنند؛ یکی رمز عبور استاتیک که در واقع نام کاربری و رمزعبور عادی است و دیگری نام کاربری یکبار مصرف یا OTP است. رمز عبور استاتیک به لحاظ امنیتی هم برای مشتری و هم برای بانک ریسک دارد. بنابراین باید هر چه زودتر برای کنار گذاشتن این رمز عبور از خدمات بانکی فکر اساسی کرد و در این زمینه به سرعت در حال کار هستیم.

وی اظهار کرد: در نظر داریم هویت دیجیتالی را جایگزین انواع رمزهای بانکی کنیم. یعنی همان CA یا گواهی دیجیتال را برای همه مشتریان بانک‌ها اعم از حقیقی و حقوقی الزامی کنیم. ما به سرعت در حال کار هستیم، اما سازمان‌ها و وزارتخانه‌های متعددی در این خصوص فعالیت می‌کنند که متناظرشدن نرم‌افزارها، رویه‌ها و دستورالعمل‌ها و همچنین ترویج و آموزش زمان می‌برد، اما امیدواریم تا پایان امسال بخش مهمی از کار انجام شود.

وی خاطرنشان کرد: وقتی این گواهی دیجیتالی فراگیر شود مشتریان تمام بانک‌ها یک زیرساخت مشترک شناسایی خواهند داشت. یعنی یک سیستم مرکزی تمام آنها را شناسایی و برایشان گواهی صادر می‌کند و اگر مشتری این گواهی را بگیرد در تمام بانک‌ها قابل استفاده خواهد بود. همچنین این گواهی امکان این را می‌دهد که بتوان مشتریانی را که دارای سوءسابقه هستند، حین فعالیت کنترل کرد.

وی تصریح کرد: البته در کنار این عملیات سیستم‌های نظارتی دیگری نیز در حال راه‌اندازی است که یکی از آنها سپاک (سیستم پایش الکترونیکی کارت‌های بانکی)‌ است که بر صدور کارت‌های بانکی و استفاده از آن نظارت دارد. بانک مرکزی به تناسب رشد بانکداری الکترونیک، در حال ارتقای امنیت در این فضاست و بزودی تلاش‌ها در این خصوص به نتیجه می‌رسد.