چالش امنیت سامانه‌های شبکه بانکی کشور

24 خرداد 1401

مروزه با وجود 412 میلیون کارت بانکی متنوع، بیش از 5 میلیون کارتخوان فروشگاهی،بیش از 46 هزار دستگاه عابربانک و کانال‌های متنوع دیگر ارائه خدمات بانکی در بستر بانکداری الکترونیک و بالای 1 میلیارد و 200 میلیون تراکنش‌ در بسترهای شاپرک و 450 میلیون تراکنش شتابی‌ در بسترهای عابربانک و پایانه های شعب، تراکنش‌های مالی باید در محیطی امن انجام شوند و تراکنش‌ها از مبدا به مقصد طوری انتقال یابد که مشتری و سرویس دهنده نگرانی‌های امنیتی نداشته باشند، در غیر این صورت اگر هر جای این زنجیره شبکه بانکی دچار رخنه و مشکلی شود نه تنها یک بانک و موسسه بلکه تمام شبکه بانکی را با مشکل روبرو می‌کند و ضربه‌ای که به شبکه وارد می شود، فراگیر خواهد بود.

به همین بهانه و با توجه به اهمیت موضوع، عصربانک با جناب آقای مهندس یوسفی، مدیر پروژه پرداخت با کارت شرکت پویا، در مورد امنیت سوییچ پرداخت با کارت در شبکه بانکی گفتگو کرده که شما را به خواندن این گفتگو دعوت میکنیم.

به گفته مهندس یوسفی،مسئولین تا به امروز روی کارایی سامانه‌ها،بیشترین تمرکز را داشته اند تا تراکنش‌های بیشتر و باکیفیت‌تری ازنظر سرعت و البته بدون مغایرت رخ دهد. با توجه به اینکه طی سال‌های اخیر تعداد تراکنش‌های بانکی رشد بسیار زیادی داشته است، تمام سیاست‌ها در شبکه بانکی حول این موضوع بوده که روی کارایی و سرعت سامانه‌ها تمرکز کند. اما به نظر می‌رسد در این مدت توجه کمتری به مقوله امنیت سامانه‌های شبکه بانکی خصوصا در حوزه پرداخت با کارت شده است.

مدیر پروژه پرداخت با کارت شرکت پویا در ادامه گفت:مسئله امنیت،د ر بانکها یا پذیرندگان بدلیل کارایی و سرعت و افزایش حجم تراکنش‌ها، تاکنون چندان مورد توجه یا در الویت کار نبوده است در صورتیکه باید استانداردهای امنیتی لازم از طریق مؤسساتی که دید حاکمیتی به موضوع امنیت دارند، تدوین و در شبکه بانکی اجرا شود.

یوسفی با اشاره به کیفیت مناسب تراکنش و جواب تراکنش در نظام بانکی گفت: باید کیفیت از دیدگاه امنیتی مورد بازبینی قرار بگیرد زیرا این دو قسمت کیفیت یعنی سرعت و حجم تراکنش از طرفی و امنیت از طرف دیگر به یک اندازه رشد نکرده‌اند؛ به عبارت دیگر شما زنجیره‌ای از بانکها و مؤسسات پذیرنده دارید، اگر هرکدام از این اعضا مشکل امنیتی به هر شکلی از جمله نگهداری، دریافت و حفظ و انتقال اطلاعات کارت را در درون خود یا به سمت صادرکننده کارت داشته باشند، نظام بانکی به مشکل می‌خورد. در این مبحث یکی از ابعاد استانداردهای امنیتی استفاده از سخت افزارهای رمزنگار مناسب و به روز است. به صورتی که کل روند از ابتدا تا انتها تحت کنترل سخت افزار رمزنگار باشد، تمام داده‌ها در تمام مراحل باید رمزنگاری شود حتی در درون بانک‌های اطلاعاتی، زیرساخت و شبکه‌های خود بانک، باید نظارت کامل انجام شود و استانداردی برای آن تدوین شود و مؤسساتی وجود داشته باشند که نظارت یا پایش مداوم را انجام دهند که در حال حاضر ما در نظام بانکی دارای چنین عملکردی و حتی شاید رویکردی نیستیم.

وی با اشاره به سه مرحله در سامانه‌های پرداخت با کارت گفت:امنیت در قسمت اخذ اطلاعات کارت و رمز مشتری مثلاً در زمینه ATM، آنتی اسکیمرها و موارد مشابه یعنی بعد سخت‌افزاری، تا حدی رعایت شده ولی در مبحث نرم‌افزار باید کلیدها و موارد امنیتی کاملاً در اختیار خود بانک باشد و پیمانکاران در این حوزه چندان دخالتی نداشته باشند. کسی که تولیدکننده نرم‌افزار است، نباید و نمی‌تواند امنیت لازم برای آن نرم‌افزار را به تنهایی فراهم کند. حتماً باید تحت استانداردهای خاصی این کار انجام شود و تحت پایش باشد. در حال حاضر تقریباً این اتفاق به صورت پیمانکاری انجام می‌شود و پیمانکاران امنیت لازم را برای مؤسسات مالی فراهم می‌کنند. در صورتی که حفظ امنیت سامانه های پرداخت با کارت نباید به تولیدکننده نرم افزار سپرده شود.

شرکت پویا در بحث سخت‌افزاری و نرم‌افزاری چه کارهایی کرده است تا امنیت مدنظر شما را فراهم کند؟

یوسفی در جواب به این سوال گفت: ما در سامانه‌های پویا تمام تلاشمان را کرده‌ایم که هم استفاده از سخت‌افزار مناسب را برای بانک‌هایی که به آن‌ها سرویس می‌دهیم، در دستور کار قرار دهیم و هم نحوه تولید و نگهداری کلید کاملاً از استانداردهای بین‌المللی پیروی می‌کند. PCIDSS استاندارد اولیه است که در مورد سیستم‌های پرداخت با کارت مورد توجه قرار گرفته، مشکل ما در ایران این است که شرکت های ارائه دهنده معتبر بین المللی PCIDSS هنوز به دلایلی به ایران سرویس نمی‌دهند. مؤسسات جایگزین PCIDSS می‌توانند امنیت لازم را پایش کنند و این تأییدیه به موسسات داده شود و هر چند وقت یک‌بار هم تأییدیه تمدید شود. به نظر من بسیار مهم است که این مؤسسات، داخلی باشند چون ما به آسانی نمی‌توانیم زیرساخت‌ها و بسترهای بانکی مان را در اختیار کشورهای دیگر یا شرکت‌های بیرون از ایران قرار بدهیم. ازنظر حفاظت اطلاعات و بسترهای سخت‌افزاری هم شاید چندان مناسب نباشد که از کشورهای دیگر پایش موردنظر را برای ایران انجام دهند هرچند که مؤسسات خارجی هم به دلیل بوروکراسی کشورشان، به راحتی این تأییدیه را به ما نمی‌دهند ولی به عنوان شرکت مشاور در ایران کارهایی را انجام می‌دهند که چندان مفید نیست زیرا در انتها تأییدیه مشخصی ارائه نمی شود.

مدیر پروژه پرداخت با کارت در ادامه گفت: اگر هر جای زنجیره شبکه بانکی به هر دلیلی، دچار نقص امنیتی باشد نه تنها خودش، بلکه همه زنجیره و شبکه را تحت تأثیر قرار می‌دهد چون کارت‌های صادرشده توسط بانک‌ها و مؤسسات مختلف پذیرش می‌شوند و اطلاعات آن‌ها در کل شبکه بانکی در دسترس خواهد بود، پس ضربه‌ای که به شبکه وارد می شود، فراگیر خواهد بود.

امنیت در سامانه‌های پویا

یوسفی در مورد امنیت سامانه‌های شرکت پویا گفت: در پویا، به صورت کامل از رمزنگاری در نرم‌افزارها استفاده می‌شود. این قابلیت در شرکت ما وجود دارد که از چندین مدل رمزنگار هم استفاده کنیم. ما در حال حاضر دانش استفاده کامل و بومی‌سازی شده از چندین نوع سخت‌افزار با برندهای متفاوت را داشته و هم‌زمان امکان مهاجرت از یک سخت‌افزار به سخت‌افزار دیگر را هم داریم این از قابلیت‌های خاص شرکت پویا است. در سامانه پرداخت با کارت شرکت، به صورت تراکنش کامل از سخت‌افزار رمزنگارمان استفاده می‌کنیم، تولید کلیدها کامل تحت استاندارد PCI و منطبق بر استانداردهای جهانی است و حتی قابلیت تولید این استانداردها، توسط شرکت ما وجود دارد؛ یعنی ما می‌توانیم خودمان یکی از آن مؤسساتی باشیم که امکان ارائه دستورالعمل، استاندارد و حتی پایش موضوع امنیت را داشته باشیم. این یکی از قابلیت‌های پویا است، علاوه بر اینکه خودمان کاملاً این استانداردها را رعایت می‌کنیم و امکان تولید دستورالعمل و پایش و صدور تأییدیه برای مؤسسات یا تولیدکننده یا بانک‌های دیگر را نیز داریم.

اتفاقات مهم سال 95 شرکت پویا

یوسفی درباره پروژه پرداخت با کارت در پویا گفت: ما از سال 83 با دو بانک رفاه و مسکن، پروژه پرداخت با کارت را جلو برده‌ایم و سامانه ما در این دو بانک وجود دارد. این دو بانک در مجموع حدود 10 درصد از کل تراکنش‌های سال 95 شبکه بانکی را در اختیار داشتند. سبد خدماتی ما در قسمت پرداخت با کارت کامل است. هیچ‌گونه خدمتی نیست که در یکی از بانک‌ها و مؤسسات باشد ولی معادل آن در سوییچ‌های رفاه و مسکن نباشد. همچنین در بسیاری از زمینه‌ها نیز پیشتاز بوده‌ایم. قطعاً ما اولین شرکتی بودیم که شتاب-7 را توانست با شتاب جلو ببرد و بانک مسکن اولین بانک در این زمینه بود. تفاوت شتاب-7 با شتاب-5 هم در این است که برخی خدمات جدید به آن اضافه شده و در زمینه امنیت، پروتکل‌های امنیتی بهتری رعایت شده است. همچنین در سال‌های اخیر محصولات و خدماتی داشته‌ایم که پیشتاز بوده‌اند مانند برداشت بدون کارت روی خودپرداخت که اولین بار در بانک مسکن رونمایی شد. سوییچ پویا قابلیت‌های پوشش خوددریافت را نیز دارد یعنی می‌تواند از سامانه‌های خوددریافت و سامانه‌های صراف پشتیبانی کند. قابلیت سرویس‌دهی به شعبه‌های خودبانک جامع را نیز دارد. اتفاقی که درسال 95 افتاد رونمایی از خودبانک‌های جامع پویا بود که سوییچ ما این سرویس‌ها را پشتیبانی می کند، همچنین در سال 95 سرویس ساتنا و پایا را برای خودپردازها در بانک مسکن با استفاده از OTP و بدون استفاده از OTP ارائه دادیم.

برنامه پویا برای سال 96 چیست؟

یوسفی درباره برنامه های آتی شرکت گفت: ما همچنان خدمات جدیدی به بانک‌ها ارائه می‌دهیم رویکرد ما رویکرد امنیت است و تمام تلاشمان حفظ حداکثری امنیت در سامانه‌های خودمان و تلاش برای ارتقا این سرویس در کل شبکه بانکی است.

در واقع سمت و سوی ما حول کل شبکه بانکی است و الآن صرفاً بحث سوییچ پویا نیست و ما به عنوان یکی از اعضای این مجموعه بیشتر نگران امنیت کلیت این مجموعه هستیم. الآن بحث‌های مطرح شده بحث‌های کلی است یعنی بحث استانداردسازی، نظارت و تأییدیه و بهبود و رفع مشکل در سامانه‌های موجود.

یکی از افتخارات ما این است که سامانه ما کاملاً موارد و استانداردهای مدنظر PCIDSS را رعایت می‌کند ولی این کافی نیست و اگر سوییچ پویا بهترین عملکرد و رویکرد امنیتی را داشته باشد، باز امنیت کامل برقرار نیست چون کارت‌هایی که در این سوییچ تولید می‌شود، توسط پذیرندگان بسیاری در سطح کشور پذیرش می‌شود و اگر آن‌ها نتوانند از اطلاعاتی که صادر شده محافظت کنند، در اصل معضل آن‌ها برای همه معضل ایجاد می‌کند. وقتی شخصی از یک دستگاه کارت‌خوان کارت می‌کشد داده‌های کارت او وارد شبکه بانکی می‌شود و از اینجا به بعد، این سؤال مطرح می‌شود که چه استانداردهای امنیتی برای حفاظت از اطلاعات وجود دارد. بر این اساس حتی اگر سوییچ‌ها کاملاً امن باشند، نمی‌توان تضمین کرد امنیت برای تمام مشتریان بانکی که به آن سرویس می‌دهیم تأمین شود. امسال ما دنبال راهکاری هستیم تا این موضوع را به یک چالش تبدیل کنیم که کل شبکه درگیر در امور پرداخت با کارت باید امن باشد.

در اکوسیستم‌های بانکی برتر دنیا مسئله امنیت را چطور حل کرده‌اند؟

مدیر پروژه پرداخت با کارت گفت: اگر موضوع کارت مگنت‌دار باشد با استاندارد PCIDSS ، امنیت نظام بانکی برقرار می شود ولی در دنیا کارت‌های چیپ‌دار هم وجود دارند که استانداردهای PCIDSS یا استانداردهای دیگری مثل EMV برای آن‌ها وجود دارد ولی در حال حاضر بحث ما کارت‌های مگنت دار است که در ایران بسیار رایج است. پیشنهاد من در مورد بستر موجود در ایران این است که یک استاندارد جدید تولید و بومی‌سازی شود و این وظیفه به موسسه‌ای سپرده شود که این استاندارد را از صفر تولید کند و به همه ابلاغ کند و بعد عمل پایش را انجام دهد و درنهایت تأییدیه صادر شود و مستمر این تأییدیه مورد بازبینی قرار بگیرد تا امنیت حفظ شود چون در ایران حتی اگر PCIDSS را مستقل اعمال کنیم، چون به ایران وارد نشده، پایش آن امکان‌پذیر نیست. همه باید دغدغه امنیت در شبکه بانکی را داشته باشند. فقط موضوع کمیت نباشد و کیفیت امنیتی هم مطرح باشد.

به نظر شما بانک مرکزی که در موارد بسیاری سخت‌گیری می‌کند، چرا در این مورد که خلا بزرگی وجود دارد ضعف نشان داده است؟

یوسفی در جواب به این سؤال گفت: رشد تعداد تراکنش‌ها در سال‌های اخیر آن‌قدر بالا بوده که در کشوری در سطح ما بی‌نظیر است. به نظرم این موضوع باعث شده که تمرکز بانک مرکزی روی ارائه سرویس مناسب به مشتری‌ باشد و مردم از شبکه بانکی سرویس خوبی بگیرند.به همین دلیل اگر بانک مرکزی بخواهد همه موارد امنیتی را رعایت کند، مقداری از کارایی سامانه صرف این مسائل می‌شود و سرعت کاهش می‌یابد. همه مؤسسات درگیر دغدغه کارایی سامانه را دارند که مبادا رعایت مسائل امنیتی از بار تعداد تراکنش و کمیت بکاهد. این مسئله باعث شده آن‌ها به این سمت بروند که در مرحله اول مشتری بتواند تراکنش اش را انجام دهد، ولی از یک جایی به بعد باید مسئله امنیت هم بررسی شود، چون در این تعداد بالای تراکنش اگر اتفاق ناخوشایندی بیفتد، حجم فاجعه بسیار زیاد خواهد بود. کوچک‌ترین اتفاق امنیتی در یک بانک افراد بسیار زیادی را متأثر می‌کند. به نظر الآن دیگر باید به این چالش پرداخت و علاج واقعه را قبل از وقوع باید کرد.