مشکل امنیتی سیستم های بانکی

   موضوع امنیت، یکی از اصول مهم در ایجاد و گسترش شبکه‌های کامپیوتری است، و امروزه با توسعه روزافزون استفاده از شبکه در امور مختلف زندگی، توجه و به کارگیری آن به ویژه پس از خطرات و حملات فراوان به شبکه‌ها، اهمیت خود بیش از پیش نشان می‌دهد.
متاسفانه در کشور ما، با وجود زمینه و علاقه فراوان به گسترش شبکه‌ها و استفاده از آن، هنوز آنچنانکه باید به موضوع امنیت توجه نمی‌شود، و طبیعی است در زمینه‌های حساس و مهم مانند بانکداری (که هنوز در ابتدای راه به کارگیری آن هستیم) نیز این مشکل وجود دارد.
به بهانه خبری که اخیرا در باره حمله به یک سیستم شبکه بانکی در کشور، و نتیجتا بروز خسارات فراوان منتشر شد، با مهندس بهرنگ فولادی کارشناس شبکه‌های کامپیوتری که به ویژه در زمینه امنیت شبکه‌ها فعالیت دارد گفت‌وگویی کرده‌ایم که نظراتش را در این خصوص می خوانید.

س: قبل از هر چیز، اصولا فکر می‌کنید در کشور ما پیشرفتی در زمینه بانکداری الکترونیک به وجود آمده است؟

ج: از چند سال پیش با پیشرفت شبکه‌های رایانه‌ای در سیستم‌های بانکی کشور، شکل‌های محدودی از خدمات بانکداری الکترونیک در اختیار مشتریان بانک‌ها قرار داده می‌شود. عمده این خدمات شامل حساب‌های سراسری و کارت‌های خودپرداز (به شکل Debit Card) قابل استفاده در ماشین‌های خودپرداز(ATM) می‌شوند و هنوز خدماتی به شکل Credit-card , Merchant account به علت وجود مشکلات قانونی و فنی عرضه نمی‌شود.


س: این سرویس‌ها و خدمات مورد ارزیابی هم قرار گرفته‌اند؟

ج: تا این زمان مشتریان و افراد زیادی از مشکلات زیاد این سرویس‌ها مانند وقفه‌های پیاپی در سرویس و کندی آن اظهار نارضایتی داشته‌اند.

س: در خصوص این مشکلات، معمولاً چه توضیحاتی ارائه می‌شود؟

ج: مشکلات مربوط به وقفه‌هایی که مشتریان غالباً با آنها موجه می‌شوند، عمدتاً به عواملی مانند پارازیت و عوامل جوی نسبت داده می‌شود، در صورتی که افراد آشنا به مسائل ارتباطات ماهواره‌ای (که در بیشتر این سیستم‌ها بکار گرفته شده) اطلاع دارند که علت این مشکلات در نوع سرویس ارتباطی و پهنای باند خریداری شده است. مطرح‌ترین این سیستم‌ها از روش TDMA درسرویس ارتباطی خود استفاده می‌کند که بر اساس اشتراک زمانی در استفاده از پهنای باند عمل می‌کند. این روش با وجود ارزان بودن دارای نواقصی چون کندی شبکه و ناپایداری ارتباط در پهنای باند کم و تعداد node زیاداست (کارکرد این نوع شبکه‌ها مشابه شبکه‌های حلقه‌ای Ring است). پهنای باند کلی خریداری شده برای یکی از مطرح‌ترین این سیستم‌ها 1Mbps/s است که در مواقعی جوابگوی حجم بالای داده‌ها نیست.

س: با توجه به تخصص شما در زمینه امنیت شبکه، بیشتر منظور ما ارزیابی امنیت موجود در این خدمات است...

ج: متاسفانه ضعف‌های امنیتی این سیستم‌ها کم نیست، ولی خیلی کم به آنها توجه شده است. در باره ضعف‌های امنیتی این نوع سیستم‌ها، انتظار می‌رفت که طراحان و مجریان سرویس‌ها از تجربیات و روشهای امنیتی بکار گرفته شده در سیستم‌های بانکی کشورهای پیشرفته که حداقل 10 سال جلوتر از ما این سرویس‌ها را پیاده‌سازی کرده و در محیط پر خطر از نظر میزان نفوذ و حمله‌ها، تجربه عملی کسب کرده‌اند، استفاده می‌کردند. اما متاسفانه در مواردی به علت عدم آگاهی و دانش کافی مجری سیستم و نیز عدم رقابتی بودن اجرای چنین پروژه هایی نکات امنیتی و حفاظتی نادیده گرفته شده اند.


س: با توجه به اهمیت امنیت در سیستم‌های بانکی به دلیل تاثیرات مستقیم مالی بر مردم و دولت، منشاء بیشتر این ضعف‌های امنیتی از نگاه شما چیست؟

ج: در کل فرهنگ استفاده از مشاوره‌های امنیتی و تست‌های امنیتی (Penetration Test) در جامعه IT کشور و متولیان اجرای پروژه‌های IT ضعیف است. از طرفی در این مورد خاص انحصاری نمودن اجرای پروژه‌های بانکی به یک مجموعه یا شرکت خاص باعث شده که مجال ارائه مشاوره و پیشنهادات در مورد امنیت سیستم از گروههای فعال و متخصص در این زمینه گرفته شود. به عنوان مثال مواردی وجود داشته است که گزارش یک ضعف امنیتی داده شده و برای ارائه راهکار اعلام آمادگی شده است اما عموما با موضعگیری مجموعه مقابل یا پیمانکاران آنان مواجه شده‌ایم و عملا از پیگیری موضوع دلسرد شده‌ایم. متاسفانه این دید در بسیاری از شرکت‌های متخصص اجرای طرح‌های نرم‌افزاری یا سیستم‌های رایانه‌ای وجود دارد که کد یا سیستم طراحی شده توسط آنان هیچ ایراد یا ضعف امنیتی ندارد در صورتی که متخصصان آنان شاید در زمینه برنامه‌نویسی ، تولید نرم‌افزار یا پیاده‌سازی شبکه‌های رایانه‌ای خبره باشند اما نمی‌توان ادعا کرد که در زمینه‌های امنیتی نیز که خارج از تخصص شرکت است، احاطه کامل دارند. به قول معروف همه چیز را همگان دانند.‌های متخصص اجرای طرح‌های نرم‌افزاری یا سیستم‌های رایانه‌ای وجود دارد که کد یا سیستم طراحی شده توسط آنان هیچ ایراد یا ضعف امنیتی ندارد در صورتی که متخصصان آنان شاید در زمینه برنامه‌نویسی ، تولید نرم‌افزار یا پیاده‌سازی شبکه‌های رایانه‌ای خبره باشند اما نمی‌توان ادعا کرد که در زمینه‌های امنیتی نیز که خارج از تخصص شرکت است، احاطه کامل دارند. به قول معروف همه چیز را همگان دانند.
در صورت ادامه چنین روندی، متاسفانه می‌توان پیش‌بینی کرد که در آینده‌ای نزدیک در سیستم‌های رایانه‌ای عمومی دیگر شاهد بروز چنین وضعی باشیم.

س: با توجه به خبر منتشره در یکی از سایت‌ها در باره خسارت مالی زیاد یک بانک به دلیل نقائص امنیتی، از آنجا که جزئیات زیادی از آن منتشر نشده، شما در این زمینه چیزی شنیده‌اید؟ و نقص مورد نظر از دید شما چه بوده است؟

ج: در مورد نام بانک و شرکت مجری سیستم آن به علت تبعات احتمالی آن نمی‌توانم اظهار نظر کنم. سیستم‌های بانکی فعلی یک سری ضعف‌های امنیتی مشترک و کلی در بستر ارتباطی خود دارند که البته در این مورد خاص بعید می‌دانم که از این ضعف برای نفوذ استفاده شده باشد. بیشتر احتمال روی نفوذ به شبکه شرکت مجری طرح که وظیفه مونیتورینگ سیستم را داشته از طریق یک اتصال اینترنتی محافت نشده مانند Gateway خرید Online بانک یا خطوط Dial-up است.


س: آیا از وجود برنامه و ساختار فنی مناسب برای بررسی امنیتی سرویس‌های مختلف در بانک‌ها اطلاعی دارید؟

ج: مسلما مجری این طرح‌ها که تابحال یک شرکت خاص بوده است، در این زمینه ادعا دارد که البته قابل توجه و بررسی است. اما چیزی که واضح است این است که امور امنیتی چنین طرح‌های حساسی باید به شرکت‌ها و مجموعه‌های متخصص در زمینه امنیت رایانه‌ای سپرده شود.

س: آیا برنامه و نگاه کلان در مدیران و نیز تمهیدات لازم در سیستم بانکی برای توجه به موضوع امنیت در شبکه‌های بانکی وجود دارد؟

ج: خوشبختانه از چند ماه پیش طبق خبری که در مطبوعات اعلام شد، بانک‌ها در اجرای چنین پروژه‌هایی ملزم به استفاده از خدمات یک مجموعه خاص نیستند. به این ترتیب در صورت اثبات ضعف یا عدم توانایی یک مجموعه، امکان استفاده از توانایی‌ها و استعدادهای داخلی برای اصلاح یا اجرای این سیستم‌هایی وجود دارد.، که طبیعتا این می‌تواند گامی در بهبود امنیت این سیستم‌ها باشد.