چالش امنیت سامانههای شبکه بانکی کشور
عصر بانک؛امروزه با وجود 412 میلیون کارت بانکی متنوع، بیش از 5 میلیون کارتخوان فروشگاهی،بیش از 46 هزار دستگاه عابربانک و کانالهای متنوع دیگر ارائه خدمات بانکی در بستر بانکداری الکترونیک و بالای 1 میلیارد و 200 میلیون تراکنش در بسترهای شاپرک و 450 میلیون تراکنش شتابی در بسترهای عابربانک و پایانه های شعب، تراکنشهای مالی باید در محیطی امن انجام شوند و تراکنشها از مبدا به مقصد طوری انتقال یابد که مشتری و سرویس دهنده نگرانیهای امنیتی نداشته باشند، در غیر این صورت اگر هر جای این زنجیره شبکه بانکی دچار رخنه و مشکلی شود نه تنها یک بانک و موسسه بلکه تمام شبکه بانکی را با مشکل روبرو میکند و ضربهای که به شبکه وارد می شود، فراگیر خواهد بود.
به همین بهانه و با توجه به اهمیت موضوع، عصربانک با جناب آقای مهندس یوسفی، مدیر پروژه پرداخت با کارت شرکت پویا، در مورد امنیت سوییچ پرداخت با کارت در شبکه بانکی گفتگو کرده که شما را به خواندن این گفتگو دعوت میکنیم.
به گفته مهندس یوسفی،مسئولین تا به امروز روی کارایی سامانهها،بیشترین تمرکز را داشته اند تا تراکنشهای بیشتر و باکیفیتتری ازنظر سرعت و البته بدون مغایرت رخ دهد. با توجه به اینکه طی سالهای اخیر تعداد تراکنشهای بانکی رشد بسیار زیادی داشته است، تمام سیاستها در شبکه بانکی حول این موضوع بوده که روی کارایی و سرعت سامانهها تمرکز کند. اما به نظر میرسد در این مدت توجه کمتری به مقوله امنیت سامانههای شبکه بانکی خصوصا در حوزه پرداخت با کارت شده است.
مدیر پروژه پرداخت با کارت شرکت پویا در ادامه گفت:مسئله امنیت،د ر بانکها یا پذیرندگان بدلیل کارایی و سرعت و افزایش حجم تراکنشها، تاکنون چندان مورد توجه یا در الویت کار نبوده است در صورتیکه باید استانداردهای امنیتی لازم از طریق مؤسساتی که دید حاکمیتی به موضوع امنیت دارند، تدوین و در شبکه بانکی اجرا شود.
یوسفی با اشاره به کیفیت مناسب تراکنش و جواب تراکنش در نظام بانکی گفت: باید کیفیت از دیدگاه امنیتی مورد بازبینی قرار بگیرد زیرا این دو قسمت کیفیت یعنی سرعت و حجم تراکنش از طرفی و امنیت از طرف دیگر به یک اندازه رشد نکردهاند؛ به عبارت دیگر شما زنجیرهای از بانکها و مؤسسات پذیرنده دارید، اگر هرکدام از این اعضا مشکل امنیتی به هر شکلی از جمله نگهداری، دریافت و حفظ و انتقال اطلاعات کارت را در درون خود یا به سمت صادرکننده کارت داشته باشند، نظام بانکی به مشکل میخورد. در این مبحث یکی از ابعاد استانداردهای امنیتی استفاده از سخت افزارهای رمزنگار مناسب و به روز است. به صورتی که کل روند از ابتدا تا انتها تحت کنترل سخت افزار رمزنگار باشد، تمام دادهها در تمام مراحل باید رمزنگاری شود حتی در درون بانکهای اطلاعاتی، زیرساخت و شبکههای خود بانک، باید نظارت کامل انجام شود و استانداردی برای آن تدوین شود و مؤسساتی وجود داشته باشند که نظارت یا پایش مداوم را انجام دهند که در حال حاضر ما در نظام بانکی دارای چنین عملکردی و حتی شاید رویکردی نیستیم.
وی با اشاره به سه مرحله در سامانههای پرداخت با کارت گفت:امنیت در قسمت اخذ اطلاعات کارت و رمز مشتری مثلاً در زمینه ATM، آنتی اسکیمرها و موارد مشابه یعنی بعد سختافزاری، تا حدی رعایت شده ولی در مبحث نرمافزار باید کلیدها و موارد امنیتی کاملاً در اختیار خود بانک باشد و پیمانکاران در این حوزه چندان دخالتی نداشته باشند. کسی که تولیدکننده نرمافزار است، نباید و نمیتواند امنیت لازم برای آن نرمافزار را به تنهایی فراهم کند. حتماً باید تحت استانداردهای خاصی این کار انجام شود و تحت پایش باشد. در حال حاضر تقریباً این اتفاق به صورت پیمانکاری انجام میشود و پیمانکاران امنیت لازم را برای مؤسسات مالی فراهم میکنند. در صورتی که حفظ امنیت سامانه های پرداخت با کارت نباید به تولیدکننده نرم افزار سپرده شود.
شرکت پویا در بحث سختافزاری و نرمافزاری چه کارهایی کرده است تا امنیت مدنظر شما را فراهم کند؟
یوسفی در جواب به این سوال گفت: ما در سامانههای پویا تمام تلاشمان را کردهایم که هم استفاده از سختافزار مناسب را برای بانکهایی که به آنها سرویس میدهیم، در دستور کار قرار دهیم و هم نحوه تولید و نگهداری کلید کاملاً از استانداردهای بینالمللی پیروی میکند. PCIDSS استاندارد اولیه است که در مورد سیستمهای پرداخت با کارت مورد توجه قرار گرفته، مشکل ما در ایران این است که شرکت های ارائه دهنده معتبر بین المللی PCIDSS هنوز به دلایلی به ایران سرویس نمیدهند. مؤسسات جایگزین PCIDSS میتوانند امنیت لازم را پایش کنند و این تأییدیه به موسسات داده شود و هر چند وقت یکبار هم تأییدیه تمدید شود. به نظر من بسیار مهم است که این مؤسسات، داخلی باشند چون ما به آسانی نمیتوانیم زیرساختها و بسترهای بانکی مان را در اختیار کشورهای دیگر یا شرکتهای بیرون از ایران قرار بدهیم. ازنظر حفاظت اطلاعات و بسترهای سختافزاری هم شاید چندان مناسب نباشد که از کشورهای دیگر پایش موردنظر را برای ایران انجام دهند هرچند که مؤسسات خارجی هم به دلیل بوروکراسی کشورشان، به راحتی این تأییدیه را به ما نمیدهند ولی به عنوان شرکت مشاور در ایران کارهایی را انجام میدهند که چندان مفید نیست زیرا در انتها تأییدیه مشخصی ارائه نمی شود.
مدیر پروژه پرداخت با کارت در ادامه گفت: اگر هر جای زنجیره شبکه بانکی به هر دلیلی، دچار نقص امنیتی باشد نه تنها خودش، بلکه همه زنجیره و شبکه را تحت تأثیر قرار میدهد چون کارتهای صادرشده توسط بانکها و مؤسسات مختلف پذیرش میشوند و اطلاعات آنها در کل شبکه بانکی در دسترس خواهد بود، پس ضربهای که به شبکه وارد می شود، فراگیر خواهد بود.
امنیت در سامانههای پویا
یوسفی در مورد امنیت سامانههای شرکت پویا گفت: در پویا، به صورت کامل از رمزنگاری در نرمافزارها استفاده میشود. این قابلیت در شرکت ما وجود دارد که از چندین مدل رمزنگار هم استفاده کنیم. ما در حال حاضر دانش استفاده کامل و بومیسازی شده از چندین نوع سختافزار با برندهای متفاوت را داشته و همزمان امکان مهاجرت از یک سختافزار به سختافزار دیگر را هم داریم این از قابلیتهای خاص شرکت پویا است. در سامانه پرداخت با کارت شرکت، به صورت تراکنش کامل از سختافزار رمزنگارمان استفاده میکنیم، تولید کلیدها کامل تحت استاندارد PCI و منطبق بر استانداردهای جهانی است و حتی قابلیت تولید این استانداردها، توسط شرکت ما وجود دارد؛ یعنی ما میتوانیم خودمان یکی از آن مؤسساتی باشیم که امکان ارائه دستورالعمل، استاندارد و حتی پایش موضوع امنیت را داشته باشیم. این یکی از قابلیتهای پویا است، علاوه بر اینکه خودمان کاملاً این استانداردها را رعایت میکنیم و امکان تولید دستورالعمل و پایش و صدور تأییدیه برای مؤسسات یا تولیدکننده یا بانکهای دیگر را نیز داریم.
اتفاقات مهم سال 95 شرکت پویا
یوسفی درباره پروژه پرداخت با کارت در پویا گفت: ما از سال 83 با دو بانک رفاه و مسکن، پروژه پرداخت با کارت را جلو بردهایم و سامانه ما در این دو بانک وجود دارد. این دو بانک در مجموع حدود 10 درصد از کل تراکنشهای سال 95 شبکه بانکی را در اختیار داشتند. سبد خدماتی ما در قسمت پرداخت با کارت کامل است. هیچگونه خدمتی نیست که در یکی از بانکها و مؤسسات باشد ولی معادل آن در سوییچهای رفاه و مسکن نباشد. همچنین در بسیاری از زمینهها نیز پیشتاز بودهایم. قطعاً ما اولین شرکتی بودیم که شتاب-7 را توانست با شتاب جلو ببرد و بانک مسکن اولین بانک در این زمینه بود. تفاوت شتاب-7 با شتاب-5 هم در این است که برخی خدمات جدید به آن اضافه شده و در زمینه امنیت، پروتکلهای امنیتی بهتری رعایت شده است. همچنین در سالهای اخیر محصولات و خدماتی داشتهایم که پیشتاز بودهاند مانند برداشت بدون کارت روی خودپرداخت که اولین بار در بانک مسکن رونمایی شد. سوییچ پویا قابلیتهای پوشش خوددریافت را نیز دارد یعنی میتواند از سامانههای خوددریافت و سامانههای صراف پشتیبانی کند. قابلیت سرویسدهی به شعبههای خودبانک جامع را نیز دارد. اتفاقی که درسال 95 افتاد رونمایی از خودبانکهای جامع پویا بود که سوییچ ما این سرویسها را پشتیبانی می کند، همچنین در سال 95 سرویس ساتنا و پایا را برای خودپردازها در بانک مسکن با استفاده از OTP و بدون استفاده از OTP ارائه دادیم.
برنامه پویا برای سال 96 چیست؟
یوسفی درباره برنامه های آتی شرکت گفت: ما همچنان خدمات جدیدی به بانکها ارائه میدهیم رویکرد ما رویکرد امنیت است و تمام تلاشمان حفظ حداکثری امنیت در سامانههای خودمان و تلاش برای ارتقا این سرویس در کل شبکه بانکی است.
در واقع سمت و سوی ما حول کل شبکه بانکی است و الآن صرفاً بحث سوییچ پویا نیست و ما به عنوان یکی از اعضای این مجموعه بیشتر نگران امنیت کلیت این مجموعه هستیم. الآن بحثهای مطرح شده بحثهای کلی است یعنی بحث استانداردسازی، نظارت و تأییدیه و بهبود و رفع مشکل در سامانههای موجود.
یکی از افتخارات ما این است که سامانه ما کاملاً موارد و استانداردهای مدنظر PCIDSS را رعایت میکند ولی این کافی نیست و اگر سوییچ پویا بهترین عملکرد و رویکرد امنیتی را داشته باشد، باز امنیت کامل برقرار نیست چون کارتهایی که در این سوییچ تولید میشود، توسط پذیرندگان بسیاری در سطح کشور پذیرش میشود و اگر آنها نتوانند از اطلاعاتی که صادر شده محافظت کنند، در اصل معضل آنها برای همه معضل ایجاد میکند. وقتی شخصی از یک دستگاه کارتخوان کارت میکشد دادههای کارت او وارد شبکه بانکی میشود و از اینجا به بعد، این سؤال مطرح میشود که چه استانداردهای امنیتی برای حفاظت از اطلاعات وجود دارد. بر این اساس حتی اگر سوییچها کاملاً امن باشند، نمیتوان تضمین کرد امنیت برای تمام مشتریان بانکی که به آن سرویس میدهیم تأمین شود. امسال ما دنبال راهکاری هستیم تا این موضوع را به یک چالش تبدیل کنیم که کل شبکه درگیر در امور پرداخت با کارت باید امن باشد.
در اکوسیستمهای بانکی برتر دنیا مسئله امنیت را چطور حل کردهاند؟
مدیر پروژه پرداخت با کارت گفت: اگر موضوع کارت مگنتدار باشد با استاندارد PCIDSS ، امنیت نظام بانکی برقرار می شود ولی در دنیا کارتهای چیپدار هم وجود دارند که استانداردهای PCIDSS یا استانداردهای دیگری مثل EMV برای آنها وجود دارد ولی در حال حاضر بحث ما کارتهای مگنت دار است که در ایران بسیار رایج است. پیشنهاد من در مورد بستر موجود در ایران این است که یک استاندارد جدید تولید و بومیسازی شود و این وظیفه به موسسهای سپرده شود که این استاندارد را از صفر تولید کند و به همه ابلاغ کند و بعد عمل پایش را انجام دهد و درنهایت تأییدیه صادر شود و مستمر این تأییدیه مورد بازبینی قرار بگیرد تا امنیت حفظ شود چون در ایران حتی اگر PCIDSS را مستقل اعمال کنیم، چون به ایران وارد نشده، پایش آن امکانپذیر نیست. همه باید دغدغه امنیت در شبکه بانکی را داشته باشند. فقط موضوع کمیت نباشد و کیفیت امنیتی هم مطرح باشد.
به نظر شما بانک مرکزی که در موارد بسیاری سختگیری میکند، چرا در این مورد که خلا بزرگی وجود دارد ضعف نشان داده است؟
یوسفی در جواب به این سؤال گفت: رشد تعداد تراکنشها در سالهای اخیر آنقدر بالا بوده که در کشوری در سطح ما بینظیر است. به نظرم این موضوع باعث شده که تمرکز بانک مرکزی روی ارائه سرویس مناسب به مشتری باشد و مردم از شبکه بانکی سرویس خوبی بگیرند.به همین دلیل اگر بانک مرکزی بخواهد همه موارد امنیتی را رعایت کند، مقداری از کارایی سامانه صرف این مسائل میشود و سرعت کاهش مییابد. همه مؤسسات درگیر دغدغه کارایی سامانه را دارند که مبادا رعایت مسائل امنیتی از بار تعداد تراکنش و کمیت بکاهد. این مسئله باعث شده آنها به این سمت بروند که در مرحله اول مشتری بتواند تراکنش اش را انجام دهد، ولی از یک جایی به بعد باید مسئله امنیت هم بررسی شود، چون در این تعداد بالای تراکنش اگر اتفاق ناخوشایندی بیفتد، حجم فاجعه بسیار زیاد خواهد بود. کوچکترین اتفاق امنیتی در یک بانک افراد بسیار زیادی را متأثر میکند. به نظر الآن دیگر باید به این چالش پرداخت و علاج واقعه را قبل از وقوع باید کرد.