انیاک بعد از دوسال خاموشی/ حل مسئله با طعم سلیقه

به گزارش پایگاه خبری بانکداری الکترونیک،« در آن برهه(که تراکنش ها زیاد شده بود) فراموش شده بود که باید حوزه امنیت در نظام پرداخت را بسیار جدی‌تر از آنچه بود بگیریم.این وضعیت موجب شد که دو سال پیش شاهد اتفاقی نظیر شرکت «انیاک» باشیم… »اینها گفته های مدیرعامل کاشف است…براین اساس آیا تحول در بستر امنیت شبکه بانکی به انیاک مدیون است؟ در زیر به روند توقف فعالیت انیاک پرداخته ایم.

جامعه پرداخت غیر منسجم

از زمانی که شرکت انیاک از بازار پرداخت حذف شد حدود دوسال می گذرد در آن زمان به  دلیل فقدان نهاد صنفی شرکت های ارائه دهنده نظامهای پرداخت به عنوان نماینده جامعه پرداخت در راستای دفاع از حقوق اعضا، این شرکت عملا تمدید مجوز نشد و ازادامه فعالیت منع شد و کلیه تراکنش های بانکهای طرف قرار داد این شرکت منتقل شدند.

اما داستان انیاک از کجا شروع شد

یکی از انتقادهایی که بر مسئولان شرکت انیاک می رود آن است که چرا هنگام وقوع جرم و در طول سال 90مسئولان ذی ربط  را در جریان اتفاقات نگذاشتند اما از سوی دیگر شخص مجرم خود از تیر ماه سال 90 با تماس با مسئولان فناوری برخی بانکها مسئله را مطرح و از آنها تقاضای پول کرده بود و این نهادها نیز مسئولان امنیتی را اگر چه کمی دیر ولی در جریان کار قرار داده بودند. البته درست آن بود که مسئولان انیاک نیز در گزارش کردن آنچه روی داده بود کوتاهی نمی کرده اند اما این قصور چندان جرم نیست که مجازات آن پایان فعالیت یک شرکت با حدود 200 هزار پایانه فروشگاهی باشد.

انیاک از بعد فنی بهتر از دیگران بود

به زعم مسئولان ذیربط وقت شاپرک شرکت انیاک در زمستان سال 90 ( قبل از فرودین 91  که اطلاعات 3میلیون کارت افشا شد)تست های لازم را در خصوص ورود آزمایشی به طرح  شاپرک سپری کرد و در کنار دو شرکت وابسته به بانک در جمع سه شرکت دوره  پایلوت اجرای طرح شاپرک قرار گرفت. در این تست مشخص شد که انیاک از بعد امنیتی و فنی بهتر از دیگر شرکت های پی اس پی بوده است.اگر چه شرایط ایمنی در آن زمان در کل  بسیار نامطلوب گزارش شده و این وضعیت متعلق به همه شرکت های psp بوده است. همچنین بانک مرکزی نیز چندان در تدوین استانداردها دستور العمل صحیحی را ابلاغ نکرده بود. برای مثال با وجودی که طبق استانداردهای دنیا می بایست هیچ اطلاعات کارتی در هیچ شرکتی باقی نماند اما طبق دستور بانک مرکزی شرکت های پرداخت  موظف بودند اطلاعات را تا 5 سال دربایگانی داده های خود، ذخیره نگه دارند. همچنین نحوه کد کردن اطلاعات نیز از اصول غیر استانداردی تبعیت می کرد که نهاد ناظر ابلاغ کرده بود.

بعد از 29 فرودین افشای اطلاعات محرمانه سه میلیون کارت (که به زعم مسئولان  نظام های پرداخت بانک مرکزی اطلاعات سوخته ای محسوب می شد) باعث شد تا ساختار نظام های امنیتی شرکت های پی اس پی نیز متحول شد و شرکت انیاک باز هم از جمله شرکت هایی عنوان شده که در ارائه تست های فنی پیش قدم  بوده و تا ابان ماه 91 تست های لازم را زودتر از دیگر شرکتهای psp  برای اتصال نهایی به شاپرک انجام داد اگر چه نامه تایید این تست هیچ وقت به دست مسئولان نرسید.این نکته به معنای ان است که انیاک معدل فنی و امنیتی بهتری نسبت به دیگر شرکت های پرداخت داشته است.اما چه شد که انیاک از ادامه مسیر باز ماند:

راه حل های شخصی و سلیقه ای

اعتماد نکردن به رای دادگاه و سوق پیدا کردن به روش های شخصی و سلیقه ای باعث شد تا پرونده شرکت انیاک عملا مسیری را طی نماید که در نهایت به توقف فعالیت این شرکت در بازار پرداخت کشور منجر شد.

اگر چه دادگاه صالحه و رسمی کشور در پی شکایت بانک مرکزی در تیرماه 91 ،در اسفند ماه همان سال  رای بر برائت شرکت انیاک از اتهام های وارده  داد  اما برخی مسئولان بانک مرکزی منتظر این رای ننشسته و با ارائه راه حل های شخصی و سلیقه ای عملا مسیر پرونده منحرف  و به پایان راه انیاک منجر شد.

طبق برخی گفته ها در خرداد و تیر 91 قرار بر این شده بود که شرکت انیاک بخشی از سهام خود را به شرکت دیگری واگذار کند و تراکنشها نیز با نام دیگری در سامانه شاپرک ثبت شود. در این راستا شرکت گسترش فناوری نوین کشاورز پای به میدان می گذارد اما این شرکت تنها خریدار«دارایی ها اعم از مشهود و نامشهود شرکت انیاک که مربوط به فعالیت این شرکت تحت عنوان psp  میشود» است و در نتیجه طی تفاهم نامه ای در 4 دی ماه 91 مبادله مذکور صورت گرفته و این شرکت(نوین کشاورز) روز 5 دی نمایندگان خود را برای تحویل گرفتن سوئیچ و هر آنچه در تفاهم نامه قید شده  می فرستد. نوین کشاورز به علت اینکه مجوز psp نداشت متقاضی خرید بود اما بر اساس قانون مجوز قابل خرید و فروش نیست بلکه این سهام شرکت است که می بایست مبادله شود طبعا در این میان سهامی مبادله نشده بود. به هر روی نگرش های احتیاط آمیز مسئولان انیاک در راستای امانتداری اطلاعات بانکهای طرف قرار داد خود چون رفاه و بانک تجارت  باعث می شود تا آنان برای تحویل، مهلت دو ماهه ای را که در تفاهم نامه ذکر شود را مطالبه کنند اما بانک مرکزی ظاهرا عجله بیشتری در قطع اتصال به خرج داده و همان شب یعنی 5دی ماه دستور قطع سوئیچ انیاک از شاپرک را صادر می کند و با این اتفاق عملا تفاهم نامه لغو شده تلقی میگردد علت اصلی لغو تفاهم نامه شاید به این خاطر است که بانک مرکزی گرداننده این بازی بود . در هر حال بعد از این اتفاق مسئولان انیاک طی اقدام در 18 دی ماه سهام این شرکت را به دو بانک رفاه و تجارت که بخش قابل توجه ای از پایانه های آنان تحت قرارداد این شرکت بود واگذار می کنند اما عملا این اتفاق باعث نشد تا بانک مرکزی مجوز شرکت انیاک را تمدید کرده و موجبات شروع مجدد فعالیت آن را فراهم اورد و طبعا واگذاری سهام نیز با توجه به فشارهایی که در هنگام عقد قرارداد صورت گرفت  بی نتیجه ماند.

نگرش های شخصی  و سلیقه ای به فرایند

اگر چه در قصور شرکت انیاک شکی نیست اعم از گزارش نکردن به موقع تخلف به مراجع ذی ربط اما تعیین تکلیف میزان مجازات جرم با دادگاه صالحه است کما اینکه اداره نظامهای پرداخت بانک مرکزی در بهار سال 91 در این راستا شکایت حقوقی خود را تنظیم و به دادگاه ویژه  ارائه داده بود. دادگاه نیز حکم برائت برای شرکت انیاک در 19 اسفند 91 صادر کرد . در یک نگاه کلی نیز با توجه به شرایط آن دوره سرقت اطلاعات از یک شرکت چندان سخت نبوده است و اساسا اگر قرار بر مجرمیت باشد همه شرکت های psp (چون در شرایط برابر قرار داشته اند)و قبل از هم نهاد ناظر به دلیل اهمال از ابلاغ استانداردهای امنیتی درست و نظارت بر اجرای انها مجرم محسوب می شود.

به هر روی داستان انیاک در نهایت به دلیل نگاه های شخصی و سلیقه ای برخی مسئولان بانک مرکزی  به این پرونده (با وجود حسن نیت)لغو  مجوز شد در حالی که همه شرکت های دیگر نیز شرایط بهتری نداشتند.

شاید حالت بهتر آن بود که کارگروهی به نیابت شورای پول و اعتبار یا نهاد مرتبط دیگری مامور بررسی این پرونده می شد. یا  اینکه یک کار گروه تخصصی برای بررسی چنین اتفاقاتی در بانک مرکزی به وجود می آمد.

اگر چه تمدید مجوز در حیطه عمل بانک مرکزی است اما به هر حال لغو مجوز و رای بر پایان فعالیت نیازمند برخی شرایط است که به نظر می رسد در انیاک چنین شرایطی فراهم نبوده است چون از بعد فنی و امنیتی به زعم مسئولان وقت شاپرک در وضعیت بهتری نسبت به دیگر شرکت ها بوده است.

نوین کشاورز هم متضرر شد

نوین کشاورز اما همچنان در صف متقاضیان مجوز psp باقی ماند تا  اینکه در نهایت بخشی از سهام شرکت آسان پرداخت را خریداری کرد ولی همچنان نام آسان پرداخت در کنار نام شاپرک از پایانه های فروشگاهی پرینت می شود.به تعبیر دیگر در راه حلی که بانک مرکزی پیش روی این دو شرکت گذاشت هم انیاک متضرر شد و هم نوین کشاورز به اهداف مورد نظر خود نرسید.

انیاک نعمت شد

شاید کمتر به این وجه قضیه نگاه میکنیم که اتفاقی که در انیاک رخ داد نعمتی در لباس نغمت بود خیری در لباس شر چرا که اگر غیر این بود طبعا تحولات ضروری که در حوزه بانکداری الکترونیک و نظامهای پرداخت رخ داد به موقع انجام نمیشد و چه بسا مشکلاتی روی میداد که دامنه بسیار وسیعتری را در بر میگرفت بنابراین به نظر می رسد درباره انیاک جامعه پولی کشور چندان منصفانه  رفتار نکرده است و به نظر می رسد زمان آن رسیده که نهاد ناظر این شرکت را به جایی که قبلا قرار داشت فراخواند.