خطر بزرگ تبدیل کارت ملی هوشمند به کارت بانکی!

به گزارش پایگاه خبری بانکداری الکترونیک به نقل از دیجیاتو مدیر اداره نظام پرداخت بانک مرکزی اعلام کرد صاحبین حساب در بانک ملی، می‌توانند در شعب یا دستگاه‌های خودپرداز این بانک از کارت ملی هوشمند خود استفاده کنند؛ اتفاقی که کارشناسان امنیت باور دارند با حمله سایبری به سامانه ثبت احوال، خطری جدی حساب کاربری افراد را تهدید می‌کند.

«محمدرضا مانی یکتا»، مدیر اداره نظام پرداخت بانک مرکزی، در یک گفت‌وگوی خبری اظهار داشت با امضای تفاهم‌نامه همکاری مشترک میان سازمان ثبت احوال کشور و بانک ملی، تجمیع کارت‌های خدماتی در کارت ملی هوشمند کلید خورد و از این طریق، شهروندان می‌توانند از کارت ملی خود به‌عنوان کارت بانکی نیز استفاده کنند.

به گفته وی، افرادی که در بانک ملی حساب دارند، می‌توانند در شعب بانک ملی و دستگاه‌های خودپرداز این بانک از کارت ملی هوشمند خود استفاده کنند: «استفاده از کارت ملی اکنون در یک بانک امکان‌پذیر است، اما استفاده از آن در دستگاه‌های شتاب امکان‌پذیر نیست.»

مانی یکتا با بیان اینکه بیش از ۴۰۰ میلیون کارت بانکی در اختیار مردم است، گفت به‌صورت میانگین، ماهانه حدود ۱۲۰ میلیون از این تعداد کارت فعال هستند:

«هزینه صدور کارت بانکی در کشورهای دیگر بسیار بالاست، اما در ایران، صدور کارت هزینه ناچیزی دارد؛ البته از بُعد سیاست‌گذاری، این مسئله یک آسیب تلقی می‌شود.»

حث تجمیع کارت بانکی در کارت ملی هوشمند درحالی مطرح می‌شود که مجلس با این موضوع مخالفت کرده است. نمایندگان روز سه‌شنبه، چهارم مهرماه، در جریان بررسی جزئیات لایحه برنامه هفتم توسعه با پیشنهاد حذف بند مربوط به تجمیع کارت ملی موافقت کردند. در بند الحاقی ۱ ماده ۵ لایحه هفتم توسعه آمده است:

«به‌منظور پیاده‌سازی قابلیت‌های کارت هوشمند ملی، کاهش هزینه‌ها، ارتقای بهره‌وری، جلوگیری از تعدد صدور کارت‌های گوناگون در خدمات عمومی دولت، سازمان ثبت احوال کشور مکلف است با ایجاد بستر لازم و تعامل با دستگاه‌های اجرایی، نهادهای عمومی و سایر اشخاص حقوقی متولی ارائه خدمات، نسبت به تجمیع کارکردها روی کارت هوشمند ملی اقدام کند، به نحوی که تمامی گواهی‌ها، مجوزها و مالکیت‌های متناظر با هر شخص حقیقی از طریق کارت هوشمند ملی یا خدمات الکترونیکی متناظر آن قابل اجرا و احراز باشد.»

تجمیع کارت بانکی در کارت ملی چه خطراتی دارد؟

اواخر شهریورماه نشانه‌هایی از نشست اطلاعات سامانه ثبت احوال مشاهده شد، بااین‌حال این نهاد هک‌شدن را تکذیب کرد. اما اگر این هک واقعاً رخ داده باشد یا در حملات سایبری احتمالی بعدی به‌وقوع بپیوندد، حساب بانکی افراد با چه خطری روبه‌رو خواهد شد؟

«محمدرضا مستمع»، مدیرعامل شرکت امنیت «راسپینا نت پارس»، در پاسخ به این سؤال دیجیاتو گفت:

«با توجه به خبر هک ثبت احوال و اینکه هیچ گزارشی درباره آن بیرون نیامده که این نفوذ تا چه حدی انجام شده است، امکان اینکه این سطح از دسترسی در حدی باشد که هویت دیجیتالی افراد را جعل کنند، وجود دارد.»

حال باید با این جعل هویت چه‌کار کرد؟ به گفته مستمع، می‌توان کارت ملی هرکسی را کاملاً جعل کرد و اطلاعات چیپست آن را دوباره روی کارت دیگر ریخت، سپس با کارت جعلی به بانک ملی مراجعه نموده و اطلاعات حساب فرد را دریافت کرد.

فرض کنید براساس اطلاعاتی که از هک‌های مختلف به‌دست آمده است، فردی با سرمایه هزار میلیاردی شناسایی شده باشد. در این حالت می‌توان اطلاعات هویتی او را به‌طور کامل جعل کرد و تمام دارایی‌اش در بانک، مسکن و… را تصاحب نمود. هک سازمان ثبت احوال می‌تواند ما را با چنین ریسک بزرگی مواجه کند.

اما با وجود چنین خطراتی، مردم می‌توانند چه اقدامات پیشگیرانه‌ای انجام دهند؟ مدیرعامل شرکت امنیت راسپینا نت پارس اعتقاد دارد آب رفته به جوی بازنمی‌گردد:

«اگر من در یک خانه‌ای زندگی کنم که هر لحظه امکان اصابت موشک به آن وجود داشته باشد، کاری نمی‌توانم برای آن انجام دهم و صددرصد آسیب می‌بینم. تنها راه‌حل این است که در کشوری زندگی کنم که اهمیت امنیت اطلاعات را درک کند و امنیت را فقط در فیلترینگ نبیند. امنیت را به‌معنای واقعی کلمه امنیت فناوری اطلاعات ببیند و نسبت به افشای اطلاعات یا اصالت اطلاعات دغدغه داشته باشد.»

او همچنین به یکی دیگر از اثرات سوء هک سازمان ثبت احوال اشاره کرد و گفت: «علاوه بر افشا، ممکن است اصالت اطلاعات با اختلال مواجه شده باشد؛ مثلاً دیتای کد ملی و اطلاعات شخص من تغییر کرده باشد و دیتای درستی نباشد. این اختلال می‌تواند ما را نابود کند. هکرها می‌توانند اصالت اطلاعات را از بین ببرند و دیگر اطمینانی به آن داده‌ها وجود نداشته باشد.»

تحقق چنین چیزی می‌تواند تبدیل به یک هرج‌ومرج واقعی شود و کشور را با چالش‌های بسیار جدی روبه‌رو سازد.

نگاه دولت به حوزه امنیت بایستی تغییر کند

مستمع در بخش دیگری از سخنان خود بر لزوم تغییر نگاه دولت به حوزه امنیت تأکید کرد و گفت: «فرایندی که حاکمیت برای انتخاب یک پیمانکار امنیت اطلاعات دارد، مثل فرایندی است که می‌خواهد پنیر بخرد. امنیت اطلاعات باید متناسب با ارزش دارایی، ارزش‌گذاری شود. به‌طور مثال، سازمان ثبت احوال درصورتی‌که بخواهد یک پیمانکار برای مسائل امنیتی بگیرد، در سامانه ستاد ایران مناقصه برگزار می‌کند. عدد مناقصات در معاملات متوسط روی یک میلیارد و ۴۰۰ میلیون تومان است که نسبت به ارزشی که دیتا دارد، با این عدد اصلاً قابل قیاس نیست.»

او اعتقاد دارد در فرایند انتخاب یک پیمانکار در حوزه امنیت، اگرچه قیمت یک پارامتر مهم است، اما نباید تنها به آن توجه کرد و بایستی به کیفیت نیز اهمیت داده شود.

آن‌طور که در پایگاه قراردادهای کشور آمده است، فروردین‌ماه سال گذشته قراردادی تحت عنوان «خدمات مهندسی مشاوره و ارزیابی امنیتی و آزمون نفوذ سامان‌ها» از سوی ثبت احوال کشور به ثبت رسیده که مبلغ آن ۲۷۰ میلیون تومان برای یک سال بوده است.

به باور وی، دولت پس از هک و نشت اطلاعات، تنها کاری که می‌تواند انجام دهد، شفاف‌سازی و انتقال تجربه است تا به‌اصطلاح از یک سوراخ دو بار گزیده نشویم. این درحالی است که عکس آن رخ داده و معمولاً شاهد برخورد امنیتی، لاپوشانی و تکذیب هستیم.

مستمع تأکید دارد که دولت بایستی قیمت‌های جهانی برای پروژه‌های امنیتی درنظر بگیرد تا متخصصین بمانند و ارزش واقعی کار خود را به نمایش بگذارند: «پروژه‌های امنیتی بیرون از ایران ساعتی ۶۰ تا ۷۰ دلار است. در چنین حالتی نیرو یا مهاجرت می‌کند یا پروژه داخلی انجام نمی‌دهد و به سراغ پروژه بین‌المللی می‌رود. در این حالت علاوه بر پرداخت ارزی، خبری از دغدغه‌های بیمه‌ای، مالیاتی و ارزش افزوده نیست.»

ارائه خدمات نو و تسهیل زندگی برای مردم بسیار حائز اهمیت است، اما این مهم نباید به قیمت ازدست‌رفتن امنیت افراد باشد. بنابراین به‌نظر می‌رسد دولت و بانک مرکزی باید مجدداً درزمینه واحدسازی کارت‌های بانکی تجدیدنظر کنند، پیش از آنکه اثرات سوء آن گریبان‌گیر میلیون‌ها ایرانی و حاکمیت شود.