جزئیاتي از پرونده افشای اطلاعات کارتهای بانکی/ ضرورت توسعه استاندارها در امنیت و جذب نیروی انسانی
قریب به اتفاق سوء استفاده از اطلاعات محرمانه حوزه پرداخت از درون خود شرکت های پرداخت ریشه گرفته است.(کارمند یا پیمانکار فعلی یا سابق) این بدان معناست که پیاده سازی pci و emv برای پیش گیری از تخلفاتی مورد اشاره چندان نمی تواند موثر باشد چون مشکل از شهر نیست بلکه اهالی خانه ای که ساخته ایم بیشتر دچار سوءرفتار شده اند و این مسئله نیاز به مطالعات جدی دارد.
به گزارش پایگاه خبری بانکداری الکترونیک رییس پلیس فتا ناجا هفته گذشته از كشف دو پرونده شاخص در حوزه پرداخت الکترونیک خبر داد و اظهار داشت : در این خصوص بالغ بر 209 هزار اطلاعات حساب بانكی مشتریان توسط تعدادی از كارمندان دو شركت متوالی تراكنش و امنیت سرقت شده بود كه 4 نفر از متهمان این پرونده دستگیر و جهت سیر مراحل قانونی به مراجع قضایی تحویل داده شده اند.
این خبر باعث شد تا در نهایت شرکت شاپرک با انتشار اطلاعیه ای اعلام کند که شهروندان نگران نباشند.
خلاصه اطلاعیه شاپرک بدین شرح است: شرکت شاپرک در پی انتشار برخی اخبار مبنی بر سرقت اطلاعات بانکی از شرکت های ارائه دهنده خدمات پرداخت توضیحاتی را برای رفع نگرانی عمومی ارائه نموده است.
شاپرک در ادامه آورده است: تمام اطلاعات بانکی و کارت های مردم در امنیت کامل است و دارندگان کارت ها می توانند بدون نگرانی و با اطمینان خاطر از همه خدمات بانکداری و پرداخت الکترونیکی استفاده کنند.
اصل داستان
اما داستان از چه قرار بود؟
شاید اگر هماهنگی نسبی بین پلیس فتا با شبکه پرداخت در حوزه اطلاع رسانی فراهم بود احتمالا رئیس این سازمان به بیان خبر سوءاستفاده از اطلاعات بانکی مبادرت نمی کرد چراکه هنگام بیان خبر مسئله دو پرونده تقریبا پیگیری شده و تمهیدات لازم جهت رفع آسیب پذیری شبکه پیش بینی شده بود.
بر همین اساس هم شاپرک در اطلاعیه خود ذکر می کند: در تخلفات صورت گرفته به هیچ وجه اطلاعات بانکی افراد مورد استفاده متخلفان قرار نگرفته و همکاری و هوشیاری نهادهای مسئول اعم از پلیس فتا، شاپرک و شرکت های ارائه دهنده خدمات پرداخت؛ منجر به اطلاع و دستگیری به موقع متخلفان شده است. این تخلفات به هیچ وجه ابعاد گسترده ای نداشته و متخلفان فرصت و امکان هیچگونه سوء استفاده را پیدا نکردند.
دو پرونده ای که هادیانفر از آنها یاد می کند در واقع مربوط به دو شرکت پرداخت الکترونیک است که مستقل از هم رخ داده و هیچ ارتباطی به هم ندارند. در یکی از پرونده ها یک کارمند که چندماهی است با شرکت قطع همکاری کرده است بخشی از اطلاعات محرمانه را به همراه خود از شرکت خارج و طی چندماه اخیر زمینه سوءاستفاده از آن را فراهم کرده بود. به نظر می رسد این سواستفاده چندان پیچیده نبوده و سریعا و قبل از سوءاستفاده فرد مجرم دستگیر شده است.
در پرونده دوم، یک پیمانکار شرکت پرداخت که در حوزه امنیت فعال بوده اقدام به سو استفاده از اطلاعات محرمانه کرده است اما در این خصوص نیز مجرم خیلی زود مورد شناسایی و دستگیری قرار گرفته است.
مشکل کجاست؟
شاید بروز چنین اتفاقاتی برای شبکه پرداخت یک فرصت مغتنم باشد تا زمینه های سوءاستفاده و سرقت اطلاعات محرمانه مشتریان شبکه پرداخت در دامنه های گسترده و چند ده میلیونی را شناسايي و از بروز چنين اتفاقاتي پیشگیری شود.
طی چند سال اخیر گزارش های نسبتا زیادی درخصوص افشای اطلاعات محرمانه کارتهای بانکی در رسانه ها منتشر شده است. اگرچه هنوز هزینه سنگینی بردوش شبکه پرداخت نگذاشته اما سوال این است که چرا شرکت های پرداخت تا این حد در حفظ اطلاعات محرمانه، از خود ضعف نشان می دهند و چرا این ضعف کمتر در نظام بانکی دیده می شود.
به زعم کارشناسان علت درز اطلاعات، ناشي از دو مسئله است؛ اول دسترسی آسان کارکنان به اطلاعات محرمانه و دوم ضعف در اخذ ضمانت ها و احراز صلاحیت ها از افرادی است که استخدام می شوند. اینکه نامه عدم سوءپیشینه و سفته چند صد میلیونی از یک فرد اخذ شود شاید چندان کافی نیست. وقتی فرد بتواند چند میلیارد سرقت کند طبعا چند صد میلیون برای وی بی اهمیت خواهد بود. به تعبیر دیگر شاپرک و شرکت های پرداخت باید در هر دو مسیر مطالعه جدی تری انجام دهند و در بخش امنیت، استانداردهایي را به کار گیرند كه امکان دسترسی مستقیم یک فرد به کل اطلاعات را غیر ممکن سازد.
برای تعبیر دیگر، یک فرد واحد قادر به دیدن همه اطلاعات یک کارت نباشد. در این صورت با فرض سرقت، عملا اطلاعات هرز رفته بی ثمر خواهد بود. یا از این دست تمهیدات امنیتی که البته کما بیش پیاده سازی شده اما شواهد تصدیق می کند که کافی نیست. همچنین در بحث جذب نیروی انسانی علاوه بر توجه به سبقه اخلاقی و پیشینه، از مصاحبه کنندگان حرفه ای برای جذب استفاده شود. با همه این مسائل اگر در یک شرکت به صورت مکرر درز اطلاعات صورت می گیرد باید به صورت جدی مطالعه ای را در این راستا برنامه ریزی کند.
گرچه شاپرک در اطلاعیه خود آورده است: «در پی تلاش های صورت گرفته توسط بانک مرکزی و شرکت شاپرک در سال های اخیر و دستاوردهای ناشی از آن، در حوزه ایجاد امنیت ساختاری در شبکه پرداخت الکترونیکی کشور، تخلفات صورت گرفته تنها ناشی از سوءاستفاده فردی بوده که خوشبختانه این موارد نیز با اطلاع به موقع و اقدامات نهادهای انتظامی خنثی و برطرف شده است.»
بانک ها امن تر هستند یا شرکت های پرداخت؟
طی چند سال اخیر کمتر شاهد درز اطلاعاتی مانند پرونده های اخیر در حوزه پرداخت از سوي بانك ها بوده ايم. برخی کارشناسان اعتقاد دارند مسئله های سوءاستفاده در شبکه بانکی نیز هرازگاهی رخ می دهد اما اخبار این سوءاستفاده ها به خارج از بانک درز نمی کند اما در شبکه پرداخت به راحتی این اتفاق می افتد. به تعبیر دیگر بانک ها علاوه بر حفظ اطلاعات، در خصوص درز اطلاعات هم به گونه ای حرکت می کنند که اطلاعات سوءاستفاده نیز به بیرون درز نمی کند.
حال چرا شرکت های پرداخت تمهیداتی در این مسیر پیش بینی نمی کنند که در صورت بروز تخلف، از درز کردن آن به بیرون از شبکه اجتناب شود؟ شاید تمهید دیگر آن باشد که شرکت های پرداخت مسئولیت تخلفات را بر عهده بگیرند و در صورت هر گونه تخلف جریمه های معناداري را از سوی شاپرک عهده دار شوند.