خدمات انفورماتیک: بی توجهی یک شرکت به مقررات و دستورالعمل ها موجب سرقت اطلاعات کارتهای بانکی شد

مدیرسیستم های کارت شرکت خدمات انفورماتیک گفت: بی توجهی یک شرکت به مقررات و دستورالعمل های ابلاغی ،موجب به سرقت رفتن سرقت اطلاعات کارت های بانکی شد.

‘ نسترن اسماعیلی ‘ روز دوشنبه در گفت و گو با ایرنا ، با اشاره به تدوین و ابلاغ مقررات مربوط به تامین امنیت سیستم های الکترونیکی بانکی به شرکت های فعال در عرصه سیستم های کارتی تصریح کرد:مشکل درنبود کنترل و نظارت کافی در جهت اجرای این مقررات بود که با طرح شاپرک ( شبکه الکترونیکی پرداخت کارتی )قرار است این خلا پر شود و از این پس نظارت مستمر اعمال می شود .

وی افزود: از سال ۱۳۸۴ که طرح استفاده از شرکت های psp مطرح شد، مقررات مربوط به تامین امنیت شبکه نیز تدوین و ابلاغ شد، از نظر مقررات شرکت ها مجاز به ذخیره اطلاعات محرمانه نبودند.

اسماعیلی گفت: ذخیره اطلاعات و دسترسی یک فرد به تمام داده ها موجب بروز مشکل اخیر و لو رفتن بخشی از اطلاعات کارت های بانکی شد .

وی افزود: آخرین استاندارهای جهانی تدوین شده در زمینه امنیت سیستم های الکترونیکی بانکی که مربوط به سال های ۲۰۰۸ و۲۰۱۰ است ، در کشور ما مورد توجه قرار گرفته و فاصله ما با استاندارهای جهانی زیاد نیست ولی بخشنامه ای در زمینه الزامی بودن رعایت این استانداردها تا کنون نداشته ایم و به صورت توصیه بوده است که لازم است این اقدام صورت پذیرد.

** سیستم امنیتی شرکت های طرف قرار داد با شبکه بانکی تغییر می کند

مدیرسیستم های کارت شرکت خدمات انفورماتیک گفت: برای جلوگیری از سرقت اطلاعات کارت های بانکی ، قرار است سیستم امنیتی همه شرکت های ارایه دهنده خدمات پرداختی (psp) مورد تجدید نظر قرار می گیرد

اسماعیلی افزود: پس از اتفاق اخیر در کشور و سرقت اطلاعات تعدادی از کارت های بانکی توسط مدیر قبلی نرم افزار یک شرکت psp ، مسئولان نسبت به امنیت شبکه بانکی حساس تر شده اند .

وی افزود: در زمان حاضر بانک مرکزی با اجرای طرح شاپرک بازرسی از همه شرکت های ارایه دهنده خدمات پرداختی را شروع کرده است .

** طراح نرم افزار سیستم بانکی به داده های عملیاتی نباید دسترسی داشته باشد

اسماعیلی در مورد چگونگی سرقت اطلاعات کارت های بانکی و نحوه جلوگیری از این اتفاق در آینده گفت: اشکال در مدیریت کلید این شرکت بوده ، فردی که تولید کننده نرم افزار است نباید به داده های عملیاتی دسترسی داشته باشد و کلیدها نباید در اختیار این افراد باشد .

وی افزود: مدیریت کلید، مدیریت داده ها و رعایت مقررات سه اصل پایه ای برای برقراری امنیت در سیستم الکترونیکی است که هر سه مورد در این شرکت رعایت نشده است .

اسماعیلی افزود: مدیریت کلید به این معنی است که کلیدهایی که برای رمزنگاری مورد استفاده قرار می گیرد در اختیار یک فرد نباشد و هیچ فردی نباید به تمام اطلاعات دسترسی داشته باشد .

وی با بیان اینکه مقررات رمزنگاری نیز در این شرکت رعایت نشده ، افزود: کدها نباید قابل بازیابی باشد و بایستی اطلاعات رمز نگاری شده قابل رویت نباشند، رمزنگاری ، روشی به منظور ارسال یک پیام به صورت کد شده می باشد هدف رمز نگاری محرمانگی است .

اسماعیلی گفت: در مرداد ماه سال گذشته ، مسئولان نظام بانکی متوجه شدند که اطلاعات یک شرکت psp لو رفته ،از آن تاریخ تغییرات سیستم این شرکت شروع شده که تا مهرماه سال گذشته سیستم تغییر کرده بود ، یعنی بنا به گفته مسئولین آن شرکت از آن پس اطلاعات کاربران ذخیره نمی شد .

** تاکید بر توسعه شبکه ، عدم توجه کافی به کیفیت و امنیت شبکه

اسماعیلی با اشاره به اینکه شبکه الکترونیکی بانک ها در کشور ما شبکه جوانی است، گفت : به همین دلیل در سال های اخیر بیشتر روی توسعه این شبکه کار شده واز سوی بانک ها بحث کیفیت و امنیت شبکه در اولویت های بعدی بوده است .

وی افزود: در شبکه بانکی فشار روی گسترش خدمات و ارایه سرویس بود تا کیفیت خدمات بود ،اما شرکت خدمات انفورماتیک به عنوان مشاور بانک مرکزی ، همواره به این بانک در جهت ساماندهی شرکت های خصوصی فعال در سیستم های پرداخت و نظارت براین شرکت ها و تدوین مقررات کمک کرده و در خصوص رعایت استانداردهای امنیتی تاکید داشته است.

اسماعیلی افزود: سرقت رمز تعدادی از کارت های بانکی نشان داد که هر سهل انگاری کوچک در سیستم بانکی پتانسیل تبدیل به یک مشکل بزرگ و گسترده را دارد .

وی افزود: ارتقا کیفی سیستم ها و سرویس های بانکی ، امسال در دستور کار بانک مرکزی قرار داد که مهمترین آن ارتقا امنیت است .

** هیچ سرقتی از حساب های بانکی رخ نداده است

وی با بیان اینکه دستبرد به حساب بانکی افراد به سادگی میسر نیست و فرد سارق نیز با داشتن اطلاعات ادعایی ، قادر به دسترسی به حساب های کاربران نبود، افزود: هیچ سرقتی از حساب های بانکی افراد گزارش نشده است .

اسماعیلی توضیح داد: اطلاعاتی که در اختیار کاربر کارت بانکی قرار می گیرد ، شماره کارت و رمز کارت است ولی پشت کارت بانکی نوار مغناطیسی است که اطلاعات دیگری در این نوار ضبط می شود که در رسیدها چاپ نمی شود و کاربر نیز اطلاع از این اطلاعات ندارد ، با استفاده از مجموع این اطلاعات است که کارت بانکی شناسایی می شود وتا زمانی که اطلاعات نوار مغناطیسی خوانده نشود ، امکان دستبرد به حسابها نیست .

اسماعیلی در ادامه افزود: شرکت های ارایه دهنده خدمات پرداخت ، مستقیم به سیستم شتاب وصل نیستند ، فعالیت این شرکت ها در زمینه نصب کارتخوان ( pos) است و سوئیچ بانک ها به شبکه شتاب متصل می باشند.

مدیرسیستم های کارت شرکت خدمات انفورماتیک گفت: سرقت و هک اطلاعات بانکی پدیده جدیدی نیست ، حتی در سال ۲۰۱۲ کارت اعتباری مستر کارت در سطح گسترده مورد سرقت اطلاعاتی قرار گرفته است و در سال ۲۰۰۹ میلادی نیز ۴۰ میلیون ویزا کارت هک شد .

اسماعیلی گفت: سرقت اطلاعات توسط نیروهای درونی و هک از بیرون از سامانه ها و توسط هکرها اتفاق می افتد و اکثر کشورها این موضوع را تجربه کرده اند ، اما در ایران نخستین بار بود که سرقت اطلاعات پیش آمد .

** بانک ها خسارت سرقت های الکترونیکی را جبران می کنند

مدیر سیستم های کارت شرکت خدمات انفورماتیک گفت: در زمان سرقت اطلاعات روال بانک ها این است که ریسک مشتریان خود را می پذیرند و چنانچه خسارتی به کسی وارد آید آن را می پردازند .

** کاربران کارت های بانکی به طور دوره ای تغییر رمز بدهند

وی در مورد وضعیت امنیت سیستم بانکداری الکترونیکی در ایران گفت: در سیستم های الکترونیکی کسی نمی تواند امنیت را صد درصد تضمین کند .

اسماعیلی افزود: فضای مجازی یک فضای وسیع با درهای زیاد است ، بنابر این کاربران خود نیز باید به حفظ اطلاعات محرمانه نیز توجه کنند که یکی از مهمترین آنها حفظ رمز و تغییر دوره ای آن است .

وی افزود: متاسفانه فرهنگ ما شفاهی است و به هشدارهای کتبی کمتر توجه می کنیم ، برای مثال ضرورت تغییر رمز دوره ای ، مرتب به کاربران کارت های بانکی از طریق رسید خودپردازها گوشزد می شود ، اما کاربران کمتر به این موضوع توجه می کنند .

اسماعیلی تصریح کرد: سیستم کارت کشور ما مبتنی بر رمز است و امنیت آن از همین طریق تا حد زیادی تامین شده است ، در بسیاری از کشورها کارت ها یی داریم که رمز ندارند .

** کارت هوشمند با ایمنی بالا و هزینه زیاد

مدیر سیستم های کارت شرکت خدمات انفورماتیک در مورد ارتقا ایمنی کارت های بانکی گفت: کارت هایی که دارای ایمنی بالایی است ،کارت هوشمند است ، اما استفاده از این کارت ها هزینه زیادی دارد و تحریم ها نیزمانع دیگری برای استفاده از این کارتها است .

اسماعیلی افزود: دلیل اینکه به سمت کارت هوشمند نرفتیم ، هزینه زیاد این کارتها و تحریم بود و از سوی دیگر ریسک سرقت الکترونیکی در کشور ما نیز پایین بود ولی از این پس باید به این گزینه نیز توجه کرد .

وی با تاکید بر این نکته که بالا بردن امنیت هزینه دارد ، افزود: برای مثال HSM ، یک ماژول سخت افزاری برای رمز نگاری است ، اما به دلیل تحریم در تهیه این ماژول با ظرفیت بالا و کیفیت خوب مشکل داریم .

** شبکه شتاب قادر به پاسخگویی به همه مشتریان است

مدیر سیستم های کارت شرکت خدمات انفورماتیک با اشاره به ظرفیت بالای شبکه شتاب برای پاسخگویی به نیازهای مشتریان گفت: شبکه شتاب در واقع شبکه تبادل اطلاعات بین بانکی است و مواردی که وارد شتاب می شود که تراکنش بین بانکی باشد.

اسماعیلی در مورد صف های طویلی که هفته گذشته برای تغییر رمز کارت های بانکی جلوی خودپردازها کشیده شده بود ، گفت: این مسئله ربطی به شبکه شتاب نداشت ، این صف ها بعد از اعلام بانک مرکزی برای تغییر رمز کارت های بانکی تشکیل شد ، در حالی که تراکنش تغییر رمز وارد سیستم شتاب نمی شود .

وی افزود:در حدود ۱۶۰ میلیون کارت در شبکه بانکی کشور وجود دارد ، روزانه ۲۰ میلیون تراکنش مالی در این شبکه داریم که ۱۲ میلیون تراکنش، مربوط به شتاب است .

لینک ثابت || اضافه شده توسط آرش کریم بیگی|| نسخه قابل چاپ || بازگشت به صفحه اصلی || آرش کریم بیگی