مدیرسیستمهای کارت شرکت خدمات انفورماتیک گفت: بیتوجهی یک شرکت به مقررات و دستورالعملهای ابلاغی، موجب به سرقت رفتن سرقت اطلاعات کارتهای بانکی شد.
به گزارش ایتنا نسترن اسماعیلی در گفتوگو با ایرنا با اشاره به تدوین و ابلاغ مقررات مربوط به تامین امنیت سیستمهای الکترونیکی بانکی به شرکتهای فعال در عرصه سیستمهای کارتی تصریح کرد: مشکل در نبود کنترل و نظارت کافی در جهت اجرای این مقررات بود که با طرح شاپرک(شبکه الکترونیکی پرداخت کارتی) قرار است این خلا پر شود و از این پس نظارت مستمر اعمال میشود.
وی افزود: از سال ۱۳۸۴ که طرح استفاده از شرکتهای psp مطرح شد، مقررات مربوط به تامین امنیت شبکه نیز تدوین و ابلاغ شد، از نظر مقررات شرکتها مجاز به ذخیره اطلاعات محرمانه نبودند.
اسماعیلی گفت: ذخیره اطلاعات و دسترسی یک فرد به تمام دادهها موجب بروز مشکل اخیر و لو رفتن بخشی از اطلاعات کارتهای بانکی شد.
وی افزود: آخرین استاندارهای جهانی تدوین شده در زمینه امنیت سیستمهای الکترونیکی بانکی که مربوط به سالهای ۲۰۰۸ و ۲۰۱۰ است، در کشور ما مورد توجه قرار گرفته و فاصله ما با استاندارهای جهانی زیاد نیست ولی بخشنامهای در زمینه الزامی بودن رعایت این استانداردها تاکنون نداشتهایم و به صورت توصیه بوده است که لازم است این اقدام صورت پذیرد.
سیستم امنیتی شرکتهای طرف قرارداد با شبکه بانکی تغییر میکند
مدیرسیستمهای کارت
” ذخیره اطلاعات و دسترسی یک فرد به تمام دادهها موجب بروز مشکل اخیر و لو رفتن بخشی از اطلاعات کارتهای بانکی شد. “
شرکت خدمات انفورماتیک گفت: برای جلوگیری از سرقت اطلاعات کارتهای بانکی، قرار است سیستم امنیتی همه شرکتهای ارائه دهنده خدمات پرداختی(psp) مورد تجدید نظر قرار گیرد.
اسماعیلی افزود: پس از اتفاق اخیر در کشور و سرقت اطلاعات تعدادی از کارت های بانکی توسط مدیر قبلی نرمافزار یک شرکت psp، مسئولان نسبت به امنیت شبکه بانکی حساستر شدهاند.
وی افزود: در زمان حاضر بانک مرکزی با اجرای طرح شاپرک بازرسی از همه شرکتهای ارائه دهنده خدمات پرداختی را شروع کرده است.
طراح نرمافزار سیستم بانکی به دادههای عملیاتی نباید دسترسی داشته باشد
اسماعیلی در مورد چگونگی سرقت اطلاعات کارتهای بانکی و نحوه جلوگیری از این اتفاق در آینده گفت: اشکال در مدیریت کلید این شرکت بوده، فردی که تولید کننده نرمافزار است نباید به دادههای عملیاتی دسترسی داشته باشد و کلیدها نباید در اختیار این افراد باشد.
وی افزود: مدیریت کلید، مدیریت دادهها و رعایت مقررات، سه اصل پایهای برای برقراری امنیت در سیستم الکترونیکی است که هر سه مورد در این شرکت رعایت نشده است.
اسماعیلی افزود: مدیریت کلید به این معنی است که کلیدهایی که برای رمزنگاری مورد استفاده قرار میگیرد در اختیار یک فرد نباشد و هیچ فردی نباید به تمام اطلاعات دسترسی داشته باشد.
وی با بیان اینکه مقررات رمزنگاری نیز در این شرکت رعایت نشده، افزود: کدها نباید قابل بازیابی باشد و بایستی اطلاعات رمزنگاری شده قابل رویت نباشند، رمزنگاری، روشی به منظور ارسال یک پیام به صورت کد شده میباشد هدف رمزنگاری محرمانگی است.
اسماعیلی گفت: در مرداد ماه سال گذشته، مسئولان نظام بانکی متوجه شدند که اطلاعات یک شرکت psp لو رفته،
” کارتهایی که دارای ایمنی بالایی است، کارت هوشمند است، اما استفاده از این کارتها هزینه زیادی دارد و تحریمها نیزمانع دیگری برای استفاده از این کارتها است. “
از آن تاریخ تغییرات سیستم این شرکت شروع شده که تا مهرماه سال گذشته سیستم تغییر کرده بود، یعنی بنا به گفته مسئولین آن شرکت از آن پس اطلاعات کاربران ذخیره نمیشد.
تاکید بر توسعه شبکه، عدم توجه کافی به کیفیت و امنیت شبکه
اسماعیلی با اشاره به اینکه شبکه الکترونیکی بانکها در کشور ما شبکه جوانی است، گفت: به همین دلیل در سالهای اخیر بیشتر روی توسعه این شبکه کار شده و از سوی بانکها بحث کیفیت و امنیت شبکه در اولویتهای بعدی بوده است.
وی افزود: در شبکه بانکی فشار روی گسترش خدمات و ارائه سرویس بود تا کیفیت خدمات بود، اما شرکت خدمات انفورماتیک به عنوان مشاور بانک مرکزی، همواره به این بانک در جهت ساماندهی شرکتهای خصوصی فعال در سیستمهای پرداخت و نظارت براین شرکتها و تدوین مقررات کمک کرده و در خصوص رعایت استانداردهای امنیتی تاکید داشته است.
اسماعیلی افزود: سرقت رمز تعدادی از کارتهای بانکی نشان داد که هر سهلانگاری کوچک در سیستم بانکی پتانسیل تبدیل به یک مشکل بزرگ و گسترده را دارد.
وی افزود: ارتقاء کیفی سیستمها و سرویسهای بانکی، امسال در دستور کار بانک مرکزی قرار داد که مهمترین آن ارتقاء امنیت است.
هیچ سرقتی از حسابهای بانکی رخ نداده است
وی با بیان اینکه دستبرد به حساب بانکی افراد به سادگی میسر نیست و فرد سارق نیز با داشتن اطلاعات ادعایی، قادر به دسترسی به حسابهای کاربران نبود، افزود: هیچ سرقتی از حسابهای بانکی افراد گزارش نشده است.
اسماعیلی توضیح داد: اطلاعاتی که در اختیار کاربر کارت بانکی قرار میگیرد، شماره کارت و رمز کارت است ولی پشت کارت بانکی نوار مغناطیسی است که اطلاعات دیگری در این نوار ضبط میشود که در رسیدها چاپ نمیشود و کاربر نیز اطلاع از این اطلاعات ندارد، با استفاده از مجموع این اطلاعات
” بالا بردن امنیت هزینه دارد، برای مثال HSM ، یک ماژول سختافزاری برای رمزنگاری است، اما به دلیل تحریم در تهیه این ماژول با ظرفیت بالا و کیفیت خوب مشکل داریم. “
است که کارت بانکی شناسایی میشود و تا زمانی که اطلاعات نوار مغناطیسی خوانده نشود، امکان دستبرد به حسابها نیست.
اسماعیلی در ادامه افزود: شرکتهای ارائه دهنده خدمات پرداخت، مستقیم به سیستم شتاب وصل نیستند، فعالیت این شرکتها در زمینه نصب کارتخوان(pos) است و سوئیچ بانکها به شبکه شتاب متصل میباشند.
مدیرسیستمهای کارت شرکت خدمات انفورماتیک گفت: سرقت و هک اطلاعات بانکی پدیده جدیدی نیست، حتی در سال ۲۰۱۲ کارت اعتباری مسترکارت در سطح گسترده مورد سرقت اطلاعاتی قرار گرفته است و در سال ۲۰۰۹ میلادی نیز ۴۰ میلیون ویزا کارت هک شد.
اسماعیلی گفت: سرقت اطلاعات توسط نیروهای درونی و هک از بیرون از سامانهها و توسط هکرها اتفاق میافتد و اکثر کشورها این موضوع را تجربه کردهاند، اما در ایران نخستین بار بود که سرقت اطلاعات پیش آمد.
بانکها خسارت سرقتهای الکترونیکی را جبران میکنند
مدیر سیستمهای کارت شرکت خدمات انفورماتیک گفت: در زمان سرقت اطلاعات، روال بانک ها این است که ریسک مشتریان خود را میپذیرند و چنانچه خسارتی به کسی وارد آید آن را میپردازند.
کاربران کارتهای بانکی به طور دورهای تغییر رمز بدهند
وی در مورد وضعیت امنیت سیستم بانکداری الکترونیکی در ایران گفت: در سیستمهای الکترونیکی کسی نمیتواند امنیت را صد درصد تضمین کند.
اسماعیلی افزود: فضای مجازی یک فضای وسیع با درهای زیاد است، بنابر این کاربران خود نیز باید به حفظ اطلاعات محرمانه نیز توجه کنند که یکی از مهمترین آنها حفظ رمز و تغییر دورهای آن است.
وی افزود: متاسفانه فرهنگ ما شفاهی است و به هشدارهای کتبی کمتر توجه میکنیم، برای مثال ضرورت تغییر رمز دورهای، مرتب به کاربران کارتهای بانکی از طریق رسید خودپردازها گوشزد میشود،
” در حدود ۱۶۰ میلیون کارت در شبکه بانکی کشور وجود دارد، روزانه ۲۰ میلیون تراکنش مالی در این شبکه داریم که ۱۲ میلیون تراکنش، مربوط به شتاب است. “
اما کاربران کمتر به این موضوع توجه میکنند.
اسماعیلی تصریح کرد: سیستم کارت کشور ما مبتنی بر رمز است و امنیت آن از همین طریق تا حد زیادی تامین شده است، در بسیاری از کشورها کارتهایی داریم که رمز ندارند.
کارت هوشمند با ایمنی بالا و هزینه زیاد
مدیر سیستمهای کارت شرکت خدمات انفورماتیک در مورد ارتقاء ایمنی کارتهای بانکی گفت: کارتهایی که دارای ایمنی بالایی است، کارت هوشمند است، اما استفاده از این کارتها هزینه زیادی دارد و تحریمها نیزمانع دیگری برای استفاده از این کارتها است.
اسماعیلی افزود: دلیل اینکه به سمت کارت هوشمند نرفتیم، هزینه زیاد این کارتها و تحریم بود و از سوی دیگر ریسک سرقت الکترونیکی در کشور ما نیز پایین بود ولی از این پس باید به این گزینه نیز توجه کرد.
وی با تاکید بر این نکته که بالا بردن امنیت هزینه دارد افزود: برای مثال HSM ، یک ماژول سختافزاری برای رمزنگاری است، اما به دلیل تحریم در تهیه این ماژول با ظرفیت بالا و کیفیت خوب مشکل داریم.
شبکه شتاب قادر به پاسخگویی به همه مشتریان است
مدیر سیستمهای کارت شرکت خدمات انفورماتیک با اشاره به ظرفیت بالای شبکه شتاب برای پاسخگویی به نیازهای مشتریان گفت: شبکه شتاب در واقع شبکه تبادل اطلاعات بین بانکی است و مواردی که وارد شتاب میشود که تراکنش بین بانکی باشد.
اسماعیلی در مورد صفهای طویلی که هفته گذشته برای تغییر رمز کارتهای بانکی جلوی خودپردازها کشیده شده بود، گفت: این مسئله ربطی به شبکه شتاب نداشت، این صفها بعد از اعلام بانک مرکزی برای تغییر رمز کارتهای بانکی تشکیل شد، در حالی که تراکنش تغییر رمز وارد سیستم شتاب نمیشود.
وی افزود: در حدود ۱۶۰ میلیون کارت در شبکه بانکی کشور وجود دارد، روزانه ۲۰ میلیون تراکنش مالی در این شبکه داریم که ۱۲ میلیون تراکنش، مربوط به شتاب است.