سارقان در کمین ریال‌های الکترونیکی

م.ر.بهنام رئوف

نفوذ چهار هکر به سیستم بانکی که طی آن پنج‌میلیارد تومان به سرقت رفته و دستگیری آنان خبر مهم هفته گذشته بود. سرهنگ امیدی، رییس دایره جرایم رایانه‌ای ناجا که این خبر را اعلام کرده از جزئیات این سرقت و چگونگی این دستبرد بانکی سخن ‏نگفته است، اما شنیده‌ها حاکی از آن است که اصل این جریان مربوط به سال گذشته است و در واقع خبر موقعی اعلام شده که ‏پرونده تقریبا تکمیل و به پایان رسیده است.

این نخستین بار نیست که شبکه بانکی کشور مورد حمله قرار می‌گیرد. چند سال پیش نخستین مورد از این حمله‌ها نیز توسط ‏یک متخصص کامپیوتری و به شکل ماهرانه‌ای گزارش شده بود. در آن حمله گفته می‌شد حدود پنجاه‌میلیون تومان به سرقت ‏رفته بود، اما طولی نکشید که فرد هکر توسط متخصصان امنیتی شناسایی و دستگیر شده بود.

آیا حملات اخیر به شبکه بانکی نشان از وضعیت نگران‌کننده امنیت الکترونیکی حوزه مالی دارد؟ آیا رویکرد جدید شبکه بانکی ‏در توسعه سیستم‌های اینترنتی موجب فعال شدن بالقوه این حملات شده است؟ آیا این حمله اخیر را باید صرفا بر حسب یک ‏تصادف و اتفاق گذاشت و بالاخره و مهم‌تر از همه آیا مشتریان بانک‌ها باید بعد از این نگران این حملات باشند ؟

امنیت شبکه بانکی ‏

شبکه بانکی ایران که ظاهرا یک شبکه بانکی بسته است، از طریق سرورهایی هدایت می‌شود که در زیرزمین ساختمان بانک ‏مرکزی قرار دارند و به شکل ویژه‌ای حفاظت می‌شوند. این شبکه از طریق ارتباط ماهواره‌ای شکل گرفته و ارتباط تمامی ‏بانک‌های متصل را به آن فراهم می‌کند. به‌رغم حفاظت شدید مجازی از این شبکه، دو نفوذ گزارش شده نشان می‌دهد که این ‏شبکه غیر قابل نفوذ نیست. ‏

با این حال هر نوع نفوذی به یک شبکه را نمی‌توان صرفا به ضعف آن شبکه نسبت داد و فاکتورهای متعددی برای فراهم ‏آوردن یک حمله اینترنتی مورد نیاز است. امروزه در جهان روزانه هزاران کارت اعتباری به سرقت می‌رود و صدها نمونه ‏از کلاهبرداری‌های اینترنتی گزارش می‌شود که مجموع ارقام سرقت شده تنها چند روز آن با سنگین‌ترین سرقت اینترنتی ایران ‏برابری می‌کند. ‏مصطفی پورحسینی، کارشناس بانکی می‌گوید: هر چند سرقت‌های اینترنتی در ایران بسیار کم و ناچیز است، اما از یاد نبریم که ‏هراس از همین حملات بود که توسعه بانکداری اینترنتی و الکترونیکی را در ایران این همه به تاخیر انداخته است. بسیاری از ‏مدیران تصمیم گیر بانکی با هراس از بروز چنین حملاتی سال‌ها در مقابل توسعه بانکداری الکترونیکی در ایران مقاومت می‌‏کردند، اما طی چند ماه اخیر ناگهان همه بانک‌ها گویی تازگی امکانات الکترونیکی را کشف کرده باشند و مشغول تبلیغ فراوان ‏آن هستند. ‏بسیاری از کارشناسان بانکی بر این باورند که تعداد حملات اینترنتی در مقایسه با حملات فیزیکی عملا جایی را برای تردید ‏باقی نمی‌گذارد که روی آوردن به سیستم‌های الکترونیکی ریسک بسیار پایینی نسبت به توسعه روش‌های سنتی دارد. حتی ‏مقایسه حجم مبالغ به سرقت رفته از طریق روش‌های سنتی و روش‌های الکترونیکی نیز نشان دهنده آن است که حملات ‏الکترونیکی به مراتب تهدید کم‌خطرتری به شمار می‌آیند ضمن آنکه ردیابی و دستگیری سارقان از طریق روش‌های ‏الکترونیکی نیز بر این مزیت‌ها اضافه می‌شود. ‏

به‌رغم این، به نظر می‌رسد کمتر بانک ایرانی حاضر به سرمایه‌گذاری کلان روی امنیت شبکه خود باشد. موضوعی که ‏به تدریج و با رشد شبکه و دسترسی بیشتر مردم ریسک بالاتری می‌یابد. ‏

آموزش مشتریان بانکی ‏

به‌رغم این که حملات اینترنتی و الکترونیکی چندانی در ایران گزارش نشده، اما توسعه روز افزون وابستگی‌های الکترونیکی ‏مشتریان به بانک‌ها اهمیت فراوانی پیدا کرده است. شاید مهم‌ترین شانسی که شبکه بانکی ایران در مسیر توسعه خود داشته این ‏است که هنوز کارت‌های اعتباری بین‌المللی و حتی داخلی فراگیر نیست. بخش عمده حجم سرقت‌های بانکی در جهان را هک ‏شدن کارت‌های اعتباری و دزدیده شدن اطلاعات بانکی افراد تشکیل می‌دهد. در ایران نبود سیستم اعتباری ( که قطعا ناشی از ‏نبود اعتماد است) باعث شده صرفا کارت‌های ‏Debit‏ توسعه یابد. ‏

به‌رغم این که طی یکی دوسال اخیر حجم فراوانی از سازمان‌ها حقوق پرسنل خود را توسط این کارت‌ها پرداخت می‌کنند و ‏افزایش پایانه‌های فروش و دستگاه‌های خودپرداز نیز مردم را به استفاده از این کارت‌ها ترغیب کرده، اما در زمینه آموزش برای ‏حفظ امنیت مشتریان کمترین کار صورت گرفته است. ‏حسین منصورزهی، مدیر یکی از شعبه‌های یک بانک دولتی می‌گوید: بسیاری از مردم ناگهان مجبور به استفاده از این کارت‌ها ‏می‌شوند و بزرگ‌ترین مشکل روزانه ما این است که بسیاری از آنها از قابلیت‌های عادی این کارت‌ها بی‌اطلاع‌اند و از این رو ‏به‌رغم داشتن این کارت‌ها هنوز به انجام امور بانکی از داخل شعب علاقه نشان می‌دهند. ‏

وی می‌افزاید: در زمینه حذف پرداخت قبوض خدماتی ما مدت‌ها با مشتریان این بحث را داشتیم که دیگر حاضر به پذیرش این ‏قبوض نیستیم و آنها باید از طریق خودپرداز یا اینترنت نسبت به پرداخت آنها اقدام کنند، اما هنوز حتی بسیاری از افراد تحصیل‌کرده به خوردن مهر روی قبض بیشتر اعتماد دارند تا دریافت رسید از خودپرداز. ‏

علاوه بر این، بسیاری از مشتریان بانک‌ها از ابتدایی‌ترین اشکال امنیتی برای حفظ اطلاعات کارت خود با خبر نیستند و همین ‏زمینه را برای سوءاستفاده کلاهبرداران فراهم می‌کند. در میان بانک‌های ایرانی تنها معدودی حاضر به ارائه خدمات اطلاع‌رسانی به لحظه برای استفاده از سیستم‌های الکترونیکی هستند و اغلب بانک‌های دولتی کارت‌های بانکی را تنها به همراه یک ‏کلمه عبور به مشتری تحویل می‌دهند و هیچ کاری نسبت به آموزش وی انجام نمی‌دهند. ‏

شبکه‌های تلویزیونی و رسانه‌های جمعی در جهان معمولا همواره در حال نشان دادن تبلیغات بانک‌ها هستند. به طور متوسط ‏بانک‌های ایرانی هر ماه ده‌ها میلیارد تومان فقط هزینه تبلیغات تلویزیونی می‌دهند، اما این تبلیغات به هیچ عنوان جنبه ‏آموزشی یا هشدار دهنده ندارد. ‏پورحسینی، کارشناس بانکداری الکترونیکی می‌گوید: قریب به اتفاق بانک‌های ایرانی صرفا بر تعداد مشتریان می‌افزایند بی ‏آنکه به آموزش و آگاه‌سازی این مشتری تمایلی نشان دهند. همین موضوع زمینه‌ساز سوءاستفاده فراوان در آینده را فراهم می‌‏کند. موضوعی که در نهایت به خود بانک‌ها نیز باز خواهد گشت. ‏

راه نفوذ بسته نیست ‏

کسانی که قادر به هک سیستم‌های بانکی هستند قطعا از دانش و تخصص بالایی برخوردارند و شبکه فعلی بانکی کشور حداقل ‏امنیت را برای حفظ اطلاعات و پول مشتریان فراهم می‌کند. با این حال برخی کارشناسان کامپیوتری معتقدند که این شبکه ‏ضعف‌های امنیتی گسترده‌ای دارد. در عین حال جرم رایانه‌ای مرتبط با کلاهبرداری اینترنتی نیز هنوز در قانون تعریف نشده ‏است. ‏

قانون جرایم رایانه‌ای که هم اکنون در شورای نگهبان در حال تصویب نهایی است، مجازات‌هایی را برای این دسته از جرایم ‏در نظر گرفته است، هر چند برخی معتقدند که روح و قدرت بازدارندگی این قانون بیشتر از جرایمی از قبیل هک و حملات اینترنتی ‏به سمت و سویی دیگر رفته است. ‏طراحی شبکه‌های بانکی و گستردگی فراوان آنها در سطح کشور و برقراری تماس از طریق ماهواره ممکن است در آینده ‏خطرات بیشتری را به سمت و سوی شبکه بانکی سرازیر کند، اما آگاهی بخشی و پیش برد اصول امنیت رایانه‌ای در کنار ‏سرویس‌های اینترنتی یک اصل جدانشدنی است.