چگونگی نشت اطلاعات بانکی

• شرکتی که ادعا شده یکی از کارکنان آن اطلاعات کارت‌ها را درز داده چه نوع شرکتی است؟

یک شرکت پی‌اس‌پی یا پیمنت سرویس پرووایدر است که کارش ارائه سرویس‌های مرتبط با پرداخت‌های بانکی است. ما 3 نوع شرکت در حیطه بانکداری داریم؛ یک نوع شرکت‌هایی که خدمات کوربانکینگ می‌دهند که مربوط به بانکداری اینترنتی و الکترونیکی است و دیگری شرکت‌هایی که نرم‌افزار‌های بانکداری ارائه می‌دهند. شرکت مورد بحث ما از نوع سوم است که خدمات پرداخت ارائه می‌دهد؛ مثلا تولید و انتشار کارت بانکی یا خدمات پایانه‌های فروشگاهی یا پز و خدمات ‌ای‌تی‌ام یا خودپردازها. از هر یک از این سه نوع شرکت، چندین تیم و گروه و شرکت در ایران وجود دارد که با بانک‌های مختلف قرارداد ارائه خدمات دارند. شرکت مورد نظر تنها با دو بانک در ایران قرارداد خدمات سرویس دارد.

• یعنی این شرکت‌ها، یکی از خدماتشان تولید و چاپ کارت بانکی برای بانک‌ها است؟

بله، به همین دلیل سرعت انتشار کارت بانکی در سال‌های اخیر افزایش یافته است و بعد از درخواست مشتری، به سرعت حتی درون خود بانک، کارت را چاپ و تولید کرده و رمز هم تولید می‌کنند و به مشتری ارائه می‌دهند .

• این نفوذ یا نشتی که انجام شده چگونه بوده است؟

اغلب نفوذهایی که انجام می‌شود از سمت کارت است و به هیچ وجه ربطی به سیستم بانکداری ندارد؛ یعنی شرکتی که کارت و رمز را تولید می‌کند بعضا می‌تواند به آن اطلاعات دسترسی داشته باشد. البته بانک مرکزی سال قبل با پیشگیری ای که انجام داد جلوی چنین سوءاستفاده‌هایی را گرفت. حتی محدود شدن تراکنش‌های اینترنتی بانک‌ها طبق ابلاغیه بانک مرکزی بر همین اساس بوده است.

• در اتفاقی که افتاده از نظر فنی دقیقا چه مسئله‌ای رخ داده است؟

مسئله اصلا فنی نبوده بلکه یک نوع تقلب رخ داده یعنی فردی که مورد اعتماد بوده و خودش مسئول فنی شرکت مورد نظر بوده و دسترسی به اطلاعات کارت‌های بانکی بانک‌های طرف قرارداد شرکت داشته، اطلاعات را به خارج شرکت منتقل کرده و بعد روی اینترنت منتشر کرده است. این اصلا هک و نفوذ یا اختلال یا مشکل فنی نیست بلکه مشکل نیروی انسانی در داخل یک شرکت خدمات بانکی بوده که به این صورت بروز کرده است. البته شنیده شده شخص مورد نظر درخواست 500 میلیون تومان مطالباتش از شرکت مذکور را کرده است.

• آیا خطری، مشتریان بانک‌ها را تهدید می‌کند؟

به هیچ وجه. تنها چیزی که رخ داده این است که اطلاعات 3 میلیون کارت بانکی از حدود 123 میلیون کارتی که در سیستم بانکی ایران وجود دارد روی اینترنت منتشر شده و رمز هم به‌گونه‌ای است که فقط خود صاحب کارت می‌تواند رمز را تشخیص ‌دهد و این اطلاعات به درد هیچ کس نمی‌خورد.

• پس برای چه منتشر شده است؟

ظاهرا هدف این فرد این بوده که شرکت مورد نظر را بی‌اعتبار کند تا بانک‌ها با آن قرارداد نبندند. در واقع خواسته با آن شرکت که پولش را نداده تسویه حساب کند. البته این اطلاعات نشان می‌دهد که یک ضعف امنیتی در سیستم شرکت مذکور وجود داشته و آن عدم‌رمزگذاری اطلاعات در کارت‌های صادره‌اش بوده است.

• یعنی چه؟ رمزگذاری چیست؟

ببینید هر اطلاعاتی که بین پایانه فروشگاهی و یا ‌ای‌تی‌ام یا شبکه شتاب و روی کارت بانکی مبادله می‌شود باید رمز‌گذاری شود. اما ظاهرا شرکت مذکور اطلاعات را به‌صورت خام روی کارت‌ها وارد می‌کرده است و به سیستم رمزگذاری مجهز نمی‌کرده و همین باعث شده تا هر تراکنشی که توسط مشتریان آن دو بانک طرف قرارداد شرکت انجام شده روی سامانه‌های شرکت ثبت شود و در معرض خطر قرار بگیرد. این از نظر فنی یک خطای مهلک است و قابل گذشت نیست.

• بانک مرکزی و برخی بانک‌ها اطلاعیه داده‌اند که مشتریان، رمزهای خود را عوض کنند. آیا با این کار جلوی سوءاستفاده احتمالی گرفته می‌شود؟

بله قطعا. ببینید من می‌خواهم بگویم اصلا با همین وضعیت هم کسی قادر به سوءاستفاده نیست چون مبالغ حساب‌های کارت‌ها نمی‌تواند جابه‌جا شود و کسی مطلع نشود. اصلا این اطلاعات فعلا به درد کسی نمی‌خورد تنها چیزی که هست این است که این نگرانی را ایجاد می‌کند که سیستم بانکداری الکترونیکی آسیب‌پذیر است و ضرورت ایجاب می‌کند که بانک مرکزی تدابیر امنیتی جدی‌تری در این زمینه اتخاذ کند.

• مثلا چه تدابیری؟

سیستم فعلی کارت‌های بانکی ایران سیستم دبیت یا نقدی است درحالی‌که سیستم کارت‌های بانکی در دنیا به شکل کردیت یا اعتباری است. در سیستم اعتباری به هیچ وجه امکان برداشت غیرمجاز وجود ندارد چون پرداخت‌ها به‌صورت اعتباری است و سر هر ماه صاحب حساب باید مبالغ مبادله شده را تایید کند و بانک نیز ضامن و ناظر کار است. همچنین باید به سمت امضای دیجیتال پیش برویم و زیر‌ساخت‌های آی‌تی کشور و به‌ویژه سیستم بانکداری الکترونیک تقویت شود در این صورت چنین اتفاقاتی را شاهد نخواهیم بود.