- شرکتی که ادعا شده یکی از کارکنان آن اطلاعات کارتها را درز داده چه نوع شرکتی است؟
یک شرکت پیاسپی یا پیمنت سرویس پرووایدر است که کارش ارائه سرویسهای مرتبط با پرداختهای بانکی است. ما 3 نوع شرکت در حیطه بانکداری داریم؛ یک نوع شرکتهایی که خدمات کوربانکینگ میدهند که مربوط به بانکداری اینترنتی و الکترونیکی است و دیگری شرکتهایی که نرمافزارهای بانکداری ارائه میدهند. شرکت مورد بحث ما از نوع سوم است که خدمات پرداخت ارائه میدهد؛ مثلا تولید و انتشار کارت بانکی یا خدمات پایانههای فروشگاهی یا پز و خدمات ایتیام یا خودپردازها. از هر یک از این سه نوع شرکت، چندین تیم و گروه و شرکت در ایران وجود دارد که با بانکهای مختلف قرارداد ارائه خدمات دارند. شرکت مورد نظر تنها با دو بانک در ایران قرارداد خدمات سرویس دارد.
- یعنی این شرکتها، یکی از خدماتشان تولید و چاپ کارت بانکی برای بانکها است؟
بله، به همین دلیل سرعت انتشار کارت بانکی در سالهای اخیر افزایش یافته است و بعد از درخواست مشتری، به سرعت حتی درون خود بانک، کارت را چاپ و تولید کرده و رمز هم تولید میکنند و به مشتری ارائه میدهند .
- این نفوذ یا نشتی که انجام شده چگونه بوده است؟
اغلب نفوذهایی که انجام میشود از سمت کارت است و به هیچ وجه ربطی به سیستم بانکداری ندارد؛ یعنی شرکتی که کارت و رمز را تولید میکند بعضا میتواند به آن اطلاعات دسترسی داشته باشد. البته بانک مرکزی سال قبل با پیشگیری ای که انجام داد جلوی چنین سوءاستفادههایی را گرفت. حتی محدود شدن تراکنشهای اینترنتی بانکها طبق ابلاغیه بانک مرکزی بر همین اساس بوده است.
- در اتفاقی که افتاده از نظر فنی دقیقا چه مسئلهای رخ داده است؟
مسئله اصلا فنی نبوده بلکه یک نوع تقلب رخ داده یعنی فردی که مورد اعتماد بوده و خودش مسئول فنی شرکت مورد نظر بوده و دسترسی به اطلاعات کارتهای بانکی بانکهای طرف قرارداد شرکت داشته، اطلاعات را به خارج شرکت منتقل کرده و بعد روی اینترنت منتشر کرده است. این اصلا هک و نفوذ یا اختلال یا مشکل فنی نیست بلکه مشکل نیروی انسانی در داخل یک شرکت خدمات بانکی بوده که به این صورت بروز کرده است. البته شنیده شده شخص مورد نظر درخواست 500 میلیون تومان مطالباتش از شرکت مذکور را کرده است.
- آیا خطری، مشتریان بانکها را تهدید میکند؟
به هیچ وجه. تنها چیزی که رخ داده این است که اطلاعات 3 میلیون کارت بانکی از حدود 123 میلیون کارتی که در سیستم بانکی ایران وجود دارد روی اینترنت منتشر شده و رمز هم بهگونهای است که فقط خود صاحب کارت میتواند رمز را تشخیص دهد و این اطلاعات به درد هیچ کس نمیخورد.
- پس برای چه منتشر شده است؟
ظاهرا هدف این فرد این بوده که شرکت مورد نظر را بیاعتبار کند تا بانکها با آن قرارداد نبندند. در واقع خواسته با آن شرکت که پولش را نداده تسویه حساب کند. البته این اطلاعات نشان میدهد که یک ضعف امنیتی در سیستم شرکت مذکور وجود داشته و آن عدمرمزگذاری اطلاعات در کارتهای صادرهاش بوده است.
- یعنی چه؟ رمزگذاری چیست؟
ببینید هر اطلاعاتی که بین پایانه فروشگاهی و یا ایتیام یا شبکه شتاب و روی کارت بانکی مبادله میشود باید رمزگذاری شود. اما ظاهرا شرکت مذکور اطلاعات را بهصورت خام روی کارتها وارد میکرده است و به سیستم رمزگذاری مجهز نمیکرده و همین باعث شده تا هر تراکنشی که توسط مشتریان آن دو بانک طرف قرارداد شرکت انجام شده روی سامانههای شرکت ثبت شود و در معرض خطر قرار بگیرد. این از نظر فنی یک خطای مهلک است و قابل گذشت نیست.
- بانک مرکزی و برخی بانکها اطلاعیه دادهاند که مشتریان، رمزهای خود را عوض کنند. آیا با این کار جلوی سوءاستفاده احتمالی گرفته میشود؟
بله قطعا. ببینید من میخواهم بگویم اصلا با همین وضعیت هم کسی قادر به سوءاستفاده نیست چون مبالغ حسابهای کارتها نمیتواند جابهجا شود و کسی مطلع نشود. اصلا این اطلاعات فعلا به درد کسی نمیخورد تنها چیزی که هست این است که این نگرانی را ایجاد میکند که سیستم بانکداری الکترونیکی آسیبپذیر است و ضرورت ایجاب میکند که بانک مرکزی تدابیر امنیتی جدیتری در این زمینه اتخاذ کند.
- مثلا چه تدابیری؟
سیستم فعلی کارتهای بانکی ایران سیستم دبیت یا نقدی است درحالیکه سیستم کارتهای بانکی در دنیا به شکل کردیت یا اعتباری است. در سیستم اعتباری به هیچ وجه امکان برداشت غیرمجاز وجود ندارد چون پرداختها بهصورت اعتباری است و سر هر ماه صاحب حساب باید مبالغ مبادله شده را تایید کند و بانک نیز ضامن و ناظر کار است. همچنین باید به سمت امضای دیجیتال پیش برویم و زیرساختهای آیتی کشور و بهویژه سیستم بانکداری الکترونیک تقویت شود در این صورت چنین اتفاقاتی را شاهد نخواهیم بود.