سايت خبری فناوری اطلاعات (ايتنا) 4 ارديبهشت 1391 ساعت 17:13 https://www.itna.ir/interview/21927/عدم-رعایت-اصول-اساسی-امنیت-موجب-سرقت-اطلاعات-كارت-های-بانكی -------------------------------------------------- سهل‌انگاری شرکت PSP قطعی است عنوان : عدم رعایت اصول اساسی امنیت موجب سرقت اطلاعات كارت‌های بانكی شد -------------------------------------------------- ایتنا - ما در زمینه امنیت سیستم‌های الكترونیكی بانکی، تاکنون بخشنامه‌ای برای الزامی بودن رعایت این استانداردها نداشته‌ایم. متن : مدیرسیستم‌های كارت شركت خدمات انفورماتیك گفت: بی‌توجهی یك شركت به مقررات و دستورالعمل‌های ابلاغی، موجب به سرقت رفتن سرقت اطلاعات كارت‌های بانكی شد. به گزارش ایتنا نسترن اسماعیلی در گفت‌وگو با ایرنا با اشاره به تدوین و ابلاغ مقررات مربوط به تامین امنیت سیستم‌های الكترونیكی بانكی به شركت‌های فعال در عرصه سیستم‌های كارتی تصریح كرد: مشكل در نبود كنترل و نظارت كافی در جهت اجرای این مقررات بود كه با طرح شاپرك(شبكه الكترونیكی پرداخت كارتی) قرار است این خلا پر شود و از این پس نظارت مستمر اعمال می‌شود. وی افزود: از سال ۱۳۸۴ كه طرح استفاده از شركت‌های psp مطرح شد، مقررات مربوط به تامین امنیت شبكه نیز تدوین و ابلاغ شد، از نظر مقررات شركت‌ها مجاز به ذخیره اطلاعات محرمانه نبودند. اسماعیلی گفت: ذخیره اطلاعات و دسترسی یك فرد به تمام داده‌ها موجب بروز مشكل اخیر و لو رفتن بخشی از اطلاعات كارت‌های بانكی شد. وی افزود: آخرین استاندارهای جهانی تدوین شده در زمینه امنیت سیستم‌های الكترونیكی بانكی كه مربوط به سال‌های ۲۰۰۸ و ۲۰۱۰ است، در كشور ما مورد توجه قرار گرفته و فاصله ما با استاندارهای جهانی زیاد نیست ولی بخشنامه‌ای در زمینه الزامی بودن رعایت این استانداردها تاكنون نداشته‌ایم و به صورت توصیه بوده است كه لازم است این اقدام صورت پذیرد. سیستم امنیتی شركت‌های طرف قرارداد با شبكه بانكی تغییر می‌كند مدیرسیستم‌های كارت شركت خدمات انفورماتیك گفت: برای جلوگیری از سرقت اطلاعات كارت‌های بانكی، قرار است سیستم امنیتی همه شركت‌های ارائه دهنده خدمات پرداختی(psp) مورد تجدید نظر قرار گیرد. اسماعیلی افزود: پس از اتفاق اخیر در كشور و سرقت اطلاعات تعدادی از كارت های بانكی توسط مدیر قبلی نرم‌افزار یك شركت psp، مسئولان نسبت به امنیت شبكه بانكی حساس‌تر شده‌اند. وی افزود: در زمان حاضر بانك مركزی با اجرای طرح شاپرك بازرسی از همه شركت‌های ارائه دهنده خدمات پرداختی را شروع كرده است. طراح نرم‌افزار سیستم بانكی به داده‌های عملیاتی نباید دسترسی داشته باشد اسماعیلی در مورد چگونگی سرقت اطلاعات كارت‌های بانكی و نحوه جلوگیری از این اتفاق در آینده گفت: اشكال در مدیریت كلید این شركت بوده، فردی كه تولید كننده نرم‌افزار است نباید به داده‌های عملیاتی دسترسی داشته باشد و كلیدها نباید در اختیار این افراد باشد. وی افزود: مدیریت كلید، مدیریت داده‌ها و رعایت مقررات، سه اصل پایه‌ای برای برقراری امنیت در سیستم الكترونیكی است كه هر سه مورد در این شركت رعایت نشده است. اسماعیلی افزود: مدیریت كلید به این معنی است كه كلیدهایی كه برای رمزنگاری مورد استفاده قرار می‌گیرد در اختیار یك فرد نباشد و هیچ فردی نباید به تمام اطلاعات دسترسی داشته باشد. وی با بیان اینكه مقررات رمزنگاری نیز در این شركت رعایت نشده، افزود: كدها نباید قابل بازیابی باشد و بایستی اطلاعات رمزنگاری شده قابل رویت نباشند، رمزنگاری، روشی به منظور ارسال یك پیام به صورت كد شده می‌باشد هدف رمزنگاری محرمانگی است. اسماعیلی گفت: در مرداد ماه سال گذشته، مسئولان نظام بانكی متوجه شدند كه اطلاعات یك شركت psp لو رفته، از آن تاریخ تغییرات سیستم این شركت شروع شده كه تا مهرماه سال گذشته سیستم تغییر كرده بود، یعنی بنا به گفته مسئولین آن شركت از آن پس اطلاعات كاربران ذخیره نمی‌شد. تاكید بر توسعه شبكه، عدم توجه كافی به كیفیت و امنیت شبكه اسماعیلی با اشاره به اینكه شبكه الكترونیكی بانك‌ها در كشور ما شبكه جوانی است، گفت: به همین دلیل در سال‌های اخیر بیشتر روی توسعه این شبكه كار شده و از سوی بانك‌ها بحث كیفیت و امنیت شبكه در اولویت‌های بعدی بوده است. وی افزود: در شبكه بانكی فشار روی گسترش خدمات و ارائه سرویس بود تا كیفیت خدمات بود، اما شركت خدمات انفورماتیك به عنوان مشاور بانك مركزی، همواره به این بانك در جهت ساماندهی شركت‌های خصوصی فعال در سیستم‌های پرداخت و نظارت براین شركت‌ها و تدوین مقررات كمك كرده و در خصوص رعایت استانداردهای امنیتی تاكید داشته است. اسماعیلی افزود: سرقت رمز تعدادی از كارت‌های بانكی نشان داد كه هر سهل‌انگاری كوچك در سیستم بانكی پتانسیل تبدیل به یك مشكل بزرگ و گسترده را دارد. وی افزود: ارتقاء كیفی سیستم‌ها و سرویس‌های بانكی، امسال در دستور كار بانك مركزی قرار داد كه مهم‌ترین آن ارتقاء امنیت است. هیچ سرقتی از حساب‌های بانكی رخ نداده است وی با بیان اینكه دستبرد به حساب بانكی افراد به سادگی میسر نیست و فرد سارق نیز با داشتن اطلاعات ادعایی، قادر به دسترسی به حساب‌های كاربران نبود، افزود: هیچ سرقتی از حساب‌های بانكی افراد گزارش نشده است. اسماعیلی توضیح داد: اطلاعاتی كه در اختیار كاربر كارت بانكی قرار می‌گیرد، شماره كارت و رمز كارت است ولی پشت كارت بانكی نوار مغناطیسی است كه اطلاعات دیگری در این نوار ضبط می‌شود كه در رسیدها چاپ نمی‌شود و كاربر نیز اطلاع از این اطلاعات ندارد‌، با استفاده از مجموع این اطلاعات است كه كارت بانكی شناسایی می‌شود و تا زمانی كه اطلاعات نوار مغناطیسی خوانده نشود، امكان دستبرد به حساب‌ها نیست. اسماعیلی در ادامه افزود: شركت‌های ارائه دهنده خدمات پرداخت، مستقیم به سیستم شتاب وصل نیستند، فعالیت این شركت‌ها در زمینه نصب كارت‌خوان(pos) است و سوئیچ بانك‌ها به شبكه شتاب متصل می‌باشند. مدیرسیستم‌های كارت شركت خدمات انفورماتیك گفت: سرقت و هك اطلاعات بانكی پدیده جدیدی نیست، حتی در سال ۲۰۱۲ كارت اعتباری مستركارت در سطح گسترده مورد سرقت اطلاعاتی قرار گرفته است و در سال ۲۰۰۹ میلادی نیز ۴۰ میلیون ویزا كارت هك شد. اسماعیلی گفت: سرقت اطلاعات توسط نیروهای درونی و هك از بیرون از سامانه‌ها و توسط هكرها اتفاق می‌افتد و اكثر كشورها این موضوع را تجربه كرده‌اند، اما در ایران نخستین بار بود كه سرقت اطلاعات پیش آمد. بانك‌ها خسارت سرقت‌های الكترونیكی را جبران می‌كنند مدیر سیستم‌های كارت شركت خدمات انفورماتیك گفت: در زمان سرقت اطلاعات، روال بانك ها این است كه ریسك مشتریان خود را می‌پذیرند و چنانچه خسارتی به كسی وارد آید آن را می‌پردازند. كاربران كارت‌های بانكی به طور دوره‌ای تغییر رمز بدهند وی در مورد وضعیت امنیت سیستم بانكداری الكترونیكی در ایران گفت: در سیستم‌های الكترونیكی كسی نمی‌تواند امنیت را صد درصد تضمین كند. اسماعیلی افزود: فضای مجازی یك فضای وسیع با درهای زیاد است، بنابر این كاربران خود نیز باید به حفظ اطلاعات محرمانه نیز توجه كنند كه یكی از مهم‌ترین آنها حفظ رمز و تغییر دوره‌ای آن است. وی افزود: متاسفانه فرهنگ ما شفاهی است و به هشدارهای كتبی كمتر توجه می‌كنیم، برای مثال ضرورت تغییر رمز دوره‌ای، مرتب به كاربران كارت‌های بانكی از طریق رسید خودپردازها گوشزد می‌شود، اما كاربران كمتر به این موضوع توجه می‌كنند. اسماعیلی تصریح كرد: سیستم كارت كشور ما مبتنی بر رمز است و امنیت آن از همین طریق تا حد زیادی تامین شده است، در بسیاری از كشورها كارت‌هایی داریم كه رمز ندارند. كارت هوشمند با ایمنی بالا و هزینه زیاد مدیر سیستم‌های كارت شركت خدمات انفورماتیك در مورد ارتقاء ایمنی كارت‌های بانكی گفت: كارت‌هایی كه دارای ایمنی بالایی است، كارت هوشمند است، اما استفاده از این كارت‌ها هزینه زیادی دارد و تحریم‌ها نیزمانع دیگری برای استفاده از این كارت‌ها است. اسماعیلی افزود: دلیل اینكه به سمت كارت هوشمند نرفتیم، هزینه زیاد این كارت‌ها و تحریم بود و از سوی دیگر ریسك سرقت الكترونیكی در كشور ما نیز پایین بود ولی از این پس باید به این گزینه نیز توجه كرد. وی با تاكید بر این نكته كه بالا بردن امنیت هزینه دارد افزود: برای مثال HSM ، یك ماژول سخت‌افزاری برای رمزنگاری است، اما به دلیل تحریم در تهیه این ماژول با ظرفیت بالا و كیفیت خوب مشكل داریم. شبكه شتاب قادر به پاسخگویی به همه مشتریان است مدیر سیستم‌های كارت شركت خدمات انفورماتیك با اشاره به ظرفیت بالای شبكه شتاب برای پاسخگویی به نیازهای مشتریان گفت: شبكه شتاب در واقع شبكه تبادل اطلاعات بین بانكی است و مواردی كه وارد شتاب می‌شود كه تراكنش بین بانكی باشد. اسماعیلی در مورد صف‌های طویلی كه هفته گذشته برای تغییر رمز كارت‌های بانكی جلوی خودپردازها كشیده شده بود، گفت: این مسئله ربطی به شبكه شتاب نداشت، این صف‌ها بعد از اعلام بانك مركزی برای تغییر رمز كارت‌های بانكی تشكیل شد، در حالی كه تراكنش تغییر رمز وارد سیستم شتاب نمی‌شود. وی افزود: در حدود ۱۶۰ میلیون كارت در شبكه بانكی كشور وجود دارد، روزانه ۲۰ میلیون تراكنش مالی در این شبكه داریم كه ۱۲ میلیون تراكنش، مربوط به شتاب است.