بندبازی در شرایط توفانی
مدیران امنیت شرکتهای بانکی و پرداخت کشور از نقش واحد امنیت در این صنایع میگویند
عصر تراکنش ۷۵ / پارادایمهای بانکداری و پرداخت در سراسر جهان تغییر کرده و این چرخش پارادایمی به سمتوسویی رفته که شاهد گذار از شیوههای سنتی انجام امور بانکی و پرداخت به شیوههای مدرن و دیجیتال هستیم. در این پارادایم جدید، حفاظت از دادههای مشتریان و ایجاد بستری امن برای انجام امور مالی آنها یکی از مسائل اساسی و چالشبرانگیزی است که همواره مورد بحث و بررسی متخصصان امنیت شبکه بوده است. به عقیده فعالان این حوزه، نظام بانکی و پرداخت هر کشوری یکی از مهمترین و حساسترین نقاط بدنه اقتصاد آن کشور است که اگر با بحران امنیت مواجه شود، میتواند علاوه بر از بین بردن منابع مالی اشخاص درگیر در شبکه، باعث ایجاد بحرانهای امنیتی ملی و کشوری نیز شود.
آنها بر این باورند که وضعیت امنیت در این دو صنعت در مقایسه با صنایع دیگر بهمراتب بهتر است و آن رویکردهای قدیمی که پرداختن به امنیت را گذاشتن هزینه اضافه روی دست سازمانها میپنداشت، تغییر کرده و نسل جدید مدیرانی که روی کار آمدهاند، توسعه امنیت سیستمها را به منزله جلوگیری از اتفاقات احتمالی و ناگوار آینده و پسانداز برای حفظ آبرو و جایگاه شرکتها میدانند و به همین دلیل است که باید به آینده توسعه امنیت سایبری در صنایع مختلف، از جمله صنعت بانکی و پرداخت کشور امیدوار بود. به همین منظور در این شماره از ماهنامه با حمیدرضا ولیزاده، مدیر دپارتمان امنیت شرکت پیشرو فناوری اطلاعات رادین؛ پویا پوراعظم، رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه و هاشم راز، مدیر امنیت پرداخت الکترونیک پاسارگاد درباره وضعیت کنونی و آینده امنیت سایبری در صنعت بانکی و پرداخت کشور گفتوگویی داشتیم که در ادامه آن را میخوانید.
بخش خصوصی؛ موتور محرکه توسعه امنیت سایبری
حمیدرضا ولیزاده، مدیر دپارتمان امنیت شرکت پیشرو فناوری اطلاعات رادین از آن دست افرادی است که معتقدند صنعت بانکی و پرداخت کشور در مقایسه با سایر صنایع به لحاظ امنیت سایبری در وضعیت بهتری به سر میبرد. او در اینباره میگوید: «در حال حاضر بهدلیل وجود یکسری الزامات امنیتی از سوی نهادهای بالادستی در صنعت بانکی و پرداخت، وضعیت امنیت سایبری در این صنعت نسبت به سایر صنایع بهتر است و به عبارتی در رعایت الزامات امنیت فناوری اطلاعات چند قدم جلوتر است، با این وجود هنوز هم جای کار زیادی جهت افزایش و ارتقای سطح امنیت صنعت بانکی و پرداخت کشور وجود دارد.»
او معتقد است توسعه امنیت سایبری در شبکه بانکی و پرداخت کشور یکی از اولویتهای اصلی این صنعت است و بیان میکند که این مفهوم مدتزمان زیادی است که مورد توجه مسئولان و دستاندرکاران این صنعت است؛ چراکه نظام بانکی و پرداخت یکی از نقاط حساس و حیاتی بدنه اقتصاد کشور است و حفظ امنیت آن بسیار مهم است. با این وجود گاهی ارتقای سطح امنیت سازمانها بهدلیل مسائل مالی و انسانی به تعویق میافتد.
ولیزاده با اشاره به توانایی بخش خصوصی در توسعه امنیت سایبری در صنایع مختلف اظهار میکند: «با توجه به اینکه بخش خصوصی در ایران، هیچ کرسی حقوقی در نهادهای تصمیمگیرنده و شورای عالی فضای مجازی ندارد، ممکن است نتواند آنطور که باید سهم خود در توسعه امنیت سایبری را بر عهده بگیرد. شرکتهای خصوصی موتور محرکه و پیشرو در امور توسعه عملیاتی هستند، اما این انرژی و انگیزه بهدلیل وجود محدودیتهای مختلف دچار اتلاف و هدررفت شده است. در نتیجه اینطور به نظر میرسد که باید سهم بخش خصوصی در دارا بودن کرسی در نهادهای قانونگذار و تصمیمگیرنده بیشتر شود.»
مدیر دپارتمان امنیت شرکت پیشرو فناوری اطلاعات رادین بیان میکند که در سالهای اخیر پلتفرمهای باگبانتی که از کلاهسفیدها (هکرها) برای افزایش امنیت شبکهها استفاده میکنند، در جهان ترند شده که در بلندمدت راهکار جامعی نیست. او در این خصوص توضیح میدهد: «راهکارهای باگبانتی از راهحلهای مرسوم در دنیاست، اما نباید فراموش کنیم که موضوع امنیت را باید از ابتدا و بهصورت کامل و جامع مورد بررسی و اجرا قرار دهیم. راهکارهای اینچنینی اگرچه ممکن است بهصورت موقت و زودگذر کمک کننده باشد، اما در بلندمدت راهکار جامعی نیست. پروتکلهای امنیتی چه در سطح شبکه و چه در سطح معماری نرمافزار و سایر سطوح باید دقیق و گامبهگام اجرا شود تا امنیت یک سازمان یا یک سامانه تأمین شود.»
او به نقش تحریمها، مهاجرت نیروهای انسانی و عدم تبادل دانش میان کشورهای توسعهیافته و ایران در توسعه امنیت سایبری در صنایع مختلف اشاره میکند و میگوید: «موضوع مهاجرت و کمبود نیروی فنی باتجربه و بادانش در سالهای اخیر به اوج خود رسیده که بر هیچکس پوشیده نیست. مسلماً متخصصی که سالها تجربه کسب کرده و با آزمونوخطا و مطالعه و تحقیق به یک نیروی پخته و باتجربه تبدیل شده، مدت زیادی زمان میبرد تا جایگزین شود و این وقفه خسارتهای جبرانناپذیری به همراه خواهد داشت و موضوع امنیت اطلاعات نیز از این شرایط مستثنی نیست.
با این وجود تدوین، توسعه، بهبود و همراستا کردن برنامههای امنیتی هر سازمان به فراخور شرایط و نیاز آن، آموزش و اجرای پروتکلهای امنیت اطلاعات در سازمانها، پیادهسازی استانداردهای امنیت اطلاعات و سیستمهای مدیریتی امنیت بهمنظور افزایش قابلیت دستیابی امن به اطلاعات سازمانی و استفاده از فناوریهای پشتیبان امنیتی و در نظر گرفتن هزینههای مادی و انسانی جهت افزایش امنیت نهادهای بانکی و پرداخت کشور از جمله راهکارهایی است که به ذهن میرسد. همچنین باید به این نکته اشاره کرد که نباید به امنیت اطلاعات در یک سازمان به چشم هزینه نگاه کرد. با توجه به اتفاقات و حوادث اخیر درمییابیم که ضربههای امنیتی در اثر نگاه ساده به این موضوعات میتواند نتایج بهمراتب فاجعهبار و شدیدتری برای یک سازمان و کاربران آن به همراه داشته باشد که شاید هیچ راه جبرانی برای آن وجود نداشته باشد.»
او در خاتمه بیان میکند که راهکارهایی نظیر دیتابیس امن نیز وجود دارد که به رمزنگاری اطلاعات پایگاه داده و نگهداری کلید رمزنگاری در دستگاه HSM اطلاق میشود. در واقع اگر اطلاعات نشت پیدا کند یا به سرقت رود، هیچکس قادر به استفاده از اطلاعات پایگاه داده نیست که این مسئله به رمزنگاریشدن آن برمیگردد و تنها افرادی که به HSM دسترسی دارند، میتوانند از اطلاعات استفاده کنند که معمولاً این کلید در سازمانها از طریق پروتکلهای خاص و بسیار پیچیده توسط افراد مختلف کلیدی سازمان نگهداری میشود: «در نتیجه اینطور میتوان گفت که دیتابیس امن یا تیدیای یک راهحل بسیار ایمن و مطمئن است.»
خلاء قانونی امنیت سایبری در ایران
پویا پوراعظم، رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه در خصوص وضعیت امنیت سایبری در صنعت بانکی و پرداخت کشور معتقد است صنعت بانکی و پرداخت در مقایسه با سایر صنایع تا حدودی از وضعیت بهتری برخوردار است، اما این بدان معنا نیست که میتوان ادعا کرد که وضعیت امنیت در صنعت بانکی و پرداخت کشور، وضعیتی مطلوب و مورد انتظار است.
او درباره علت بهتر بودن وضعیت امنیت در این صنعت میگوید: «یکی از دلایلی که موجب بهتر بودن وضعیت امنیت در این صنعت در مقایسه با سایر صنایع میشود، صرف هزینه و اختصاص بودجه بیشتر به آن است، اما همواره این مسئله مطرح است که آیا این بودجه و منابع مالی بهصورت مطلوب و اثربخش استفاده شده یا خیر؟ باید بگویم که خیر؛ این منابع آنطور هم که باید و شاید درست و بجا به کار نرفته است.
شاید اگر از منابع مالی اختصاص دادهشده به این صنعت بهصورت حداکثری برای ارتقای امنیت شبکه بانکی و پرداخت کشور استفاده میشد و با مشکلاتی از قبیل تحریم و مهاجرت و کمبود نیروی انسانی متخصص مواجه نبودیم و وضعیت نیروی کار در ایران بهتر بود، وضعیت امنیت در صنایع مختلف و از جمله صنعت بانکی و پرداخت کشور نیز بهتر میشد. با این وجود هنوز هم بر این باورم که وضعیت امنیت در این صنعت از صنایع دیگر بهتر است.»
پوراعظم در پاسخ به این سؤال که آیا مقوله امنیت در دستورالعمل و اولویت صنعت بانکی و پرداخت کشور قرار دارد، یا نه اظهار میکند: «قطعاً پاسخ این سؤال، منفی است؛ خیر این مقوله در اولویت صنعت قرار ندارد و این مسئله دلایل مختلفی نیز دارد که از جمله آنها میتوان به زیاد و متکثر بودن دغدغههای نظام بانکی و پرداخت کشور اشاره کرد. برای مثال پایداری اقتصادی یک مؤسسه بانکی یا شرکت پرداختی به گونهای که زیانده نباشد، بهطور خودبهخودی به در اولویت قرار نگرفتن مقوله امنیت منجر میشود.
از طرفی ثابتنبودن نرخ ارز و تورم باعث رشد روزافزون قیمت فناوریها و ابزارهای گوناگونی میشود که صنعت بانکی و پرداخت کشور برای توسعه خود به آنها نیاز دارد و این نیز میتواند یکی از دلایل در اولویت نبودن مقوله امنیت و به تعویق افتادن تأمین حداکثری آن باشد. علاوه بر اینها باید این را هم در نظر گرفت که چون اثرات مثبت پروژهها و فعالیتهای امنیت سایبری، بهراحتی قابل مشاهده نیست و در واقع اندازهگیری نرخ بازگشت سرمایه برای هزینههای این حوزه سخت و پیچیده است، فعالان صنعت آنطور که باید به مقوله امنیت بها نمیدهند و ترجیح میدهند وقت، انرژی و بودجه اختصاص دادهشده به صنعت را در راستای توسعه مقولات دیگری به کار ببندند که رؤیتپذیرتر است؛ ممکن است هزینه زیادی برای ارتقای امنیت صنعت شود و تا سالها پس از آن شبکه بانکی و پرداخت کشور مورد حمله سایبری قرار نگیرد تا اثر مثبت این ارتقا و هزینهکردنها رؤیتپذیر شود، البته برعکس آن هم ممکن است.»
بخش خصوصی در عمل هیچ کرسی حقوقی در نهادهای تصمیمگیرنده و شورای عالی فضای مجازی ندارد و این مسئله مهمی است که میتواند در نحوه توسعه صنایع مختلف و بهطور خاص توسعه مقوله امنیت در صنعت بانکی و پرداخت کشور مؤثر باشد. او با اشاره به این مهم بیان میکند: «در وضعیتی که بخش خصوصی هیچ کرسی حقوقی در نهادهای تصمیمگیرنده ندارد، تنها راهی که ممکن است به افزایش نقش او در تصمیمگیریها کمک کند، فعالیتهای صنفی است؛ نهادهای صنفی مانند کمیسیون افتای نظام صنفی که بهطور خاص در این زمینه فعالیت میکنند، توان این را دارند که با کاربست ابزارهای گوناگونی مانند رسانهها و کمکگرفتن از توان چانهزنی اعضایشان تا حد قابل قبولی در تصمیمگیریهای نهادهای بالادستی مداخله کنند.»
در سالهای اخیر، پلتفرمهای باگبانتی که از کلاهسفیدها برای افزایش امنیت شبکهها استفاده میکنند، در جهان ترند شدهاند. پوراعظم درباره نقش این پلتفرمها توضیح میدهد که پیدایش این پلتفرمها میتواند کمک قابل توجهی به ارتقای سطح امنیت سایبری سازمانهای مختلف، از جمله بانکها و شرکتهای پرداختی کند: «البته باید فرهنگ استفاده از آنها برساخت شود و بانکها و شرکتهای پرداختی به آنها اعتماد کنند.
از طرفی این پلتفرمها نیز باید تعهدات لازم را در راستای حفظ محرمانگی دادهها و نقاط ضعف امنیتی را به سازمانها بدهند. ممکن است سازمانی بدون استفاده از پلتفرمهای بیرونی، برنامههای باگبانتی ارائه دهد که به نظر من چنین کاری میتواند ریسک بالایی داشته باشد و توصیهام به سازمانها این است که حتماً از پلتفرمهای بیرونی و تخصصی این حوزه استفاده کنند و تفکر پلتفرمی را در سازمان خود نهادینه کنند. سالیان سال است که پروژههای تست نفوذ در بانکها و شرکتهای پرداختی اجرا میشود و چون اثربخشی لازم را نداشتهاند، پلتفرمهای باگبانتی در سالهای اخیر مورد توجه قرار گرفتهاند.»
رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه معتقد است تحریمها نقش بسزایی در کاهش روند توسعه امنیت در شبکه بانکی و پرداخت کشور دارند و مانع ورود فناوریهای روز دنیا به داخل کشور میشوند؛ ممکن است تحریمها روی توسعه کربنکینگ تأثیر بسزایی نداشته باشند، اما قطعاً در زمینه فناوری و ابزارهای مربوط به بحث امنیت سایبری اثرات منفی خود را میگذارند. او درباره استفاده از فناوریهای ساخت داخل ایران میگوید: «من مخالف استفاده از محصولات فناورانهای که در داخل مرزهای کشور خودمان ساخته میشوند، نیستم، اما این محصولات باید توان رقابت با محصولات جهانی را داشته باشند و به گونهای نباشند که هزینهای که برای آنها میشود، تلف شود، بلکه باید ما را برای توسعه و رقابت با سایر کشورها مهیا کنند.
تحریمها باعث عدم تبادل دانش میان کشورهای توسعهیافته و ایران و عدم دسترسی افراد به دورههای آموزشی متخصصپرور شده که این مسئله ما را در ایجاد محصولات کارآمد و باکیفیت داخلی عقب میاندازد. با این وجود، فکر میکنم که باید فکری به حال این وضعیت کرد و بودجههایی برای ایجاد برنامههای آموزشی بومی در سطح کیفیت جهانی، در نظر گرفت تا در سالهای آینده بتوان از توسعه در ابعاد مختلف صحبت کرد. صنعت بانکی و پرداخت کشور میتواند محرک خوبی در این زمینه باشد.»
او مهاجرت منابع انسانی را نیز عامل مهمی در کاهش روند توسعه امنیت سایبری در صنایع مختلف میداند و در اینباره میگوید: «حالا دیگر همه ما میدانیم که وضعیت مهاجرت از ایران تا چه اندازه بحرانی شده است. این مهاجرتها ریشه در مسائل خرد و کلان اقتصادی و اجتماعی کشور دارد و اگر قرار باشد که این روند صعودی مهاجرت، در نقطهای ثابت شود یا کاهش یابد، نیازمند اقدامات اساسی و بزرگ در سطح کشوری هستیم. با این وجود تنها کاری که از دست شرکتهای مختلف برمیآید، این است که به تربیت نیروهای بومی مبادرت بورزند و آنها را از صفر آموزش دهند و در شرکتهای خود استخدامشان کنند. این برنامهها باید توسط بانکها و شرکتهای پرداخت مورد توجه قرار بگیرد و دنبال نتایج زودرس آن نباشند و از الان برای ساختن آیندهای بهتر برنامههای بلندمدت بریزند.»
پوراعظم اصلیترین اقدام روبهجلو برای ارتقای سطح امنیت سایبری در کشور، از جمله صنعت بانکی و پرداخت کشور را تدوین و تصویب قوانین توسعهدهنده میداند و در اینباره اظهار میکند: «ما با خلاء قانونی در زمینه امنیت سایبری مواجهیم و نیازمند قوانینی هستیم که در زمینه حفاظت از دادهها و اطلاعات کاربران، ضمانت اجرایی کافی را داشته باشد و در عین حال مانعی برای پیادهسازی روشهای نوآورانه نباشد. برای مثال افشای اطلاعات در یک سازمان باید به جریمه جدی آن سازمان و اقدامات قضایی و حتی تأثیر در سطح یا مجوزشان منجر شود؛ چیزی شبیه به قانون GDPR در اتحادیه اروپا.»
او اضافه میکند که این خلاء قانونی به عدم پاسخگویی سازمانها در قبال افشای اطلاعات کاربرانشان منجر میشود: «برای مثال همین اواخر شاهد هک و افشای اطلاعات کاربران یکسری از پلتفرمهای داخلی بودیم که هیچ توضیحی برای این اتفاق هم نداشتند. علاوه بر این، برای آن دسته از مخاطرات امنیت سایبری که بهصورت عمدی و غیرعمدی توسط کارمندان انجام میشود نیز باید تدابیری اندیشید و برنامههای بازدارنده، تشویقکننده، آموزشمحور و فرهنگی ایجاد کرد تا کمتر شاهد چنین اتفاقاتی باشیم.»
تغییر رویکرد هزینهمحور بودن امنیت
هاشم راز، مدیر امنیت پرداخت الکترونیک پاسارگاد معتقد است وظیفه امنیت اطلاعات محافظت از کسبوکارهای مبتنی بر IT در قبال هرگونه عامل داخلی و خارجی است که سبب مختلشدن آن کسبوکار میشود. در واقع، اینطور میتوان گفت که امنیت یک مؤلفه پیشران است، نه بازدارنده که بهعنوان یک کیفیت در ارائه خدمات IT ایفای نقش میکند. امنیت باید قواره کسبوکارها باشد، اما گاهی بهدلیل تمرکز بسیار زیاد روی فاکتورهای فنی و تکنیکی پیادهسازی امنیت و فراموشکردن ماهیت و ذات اصلی کسبوکار، این نقش بهدرستی اجرا نمیشود.
او در این خصوص توضیح میدهد: «یک اصل بسیار مهم و جود دارد و آن این است که با توجه به شباهتها و استانداردهای مشابه بسیار زیاد پیادهسازی امنیت از منظر مسائل فنی، در کسبوکارهای متفاوت بهدلیل ساختارها و شرایط گوناگون باید به ظرافتهای بسیار زیادی در پیادهسازی امنیت توجه شود و امنیت باید بهاصطلاح، قواره کسبوکار سازمان باشد. برای مثال ممکن است در تولید یک لباس مسائل فنی دوخت، برش و غیره بسیار شبیه به یکدیگر باشند، اما بهترین لباس اسکی نمیتواند برای شنا مناسب باشد و بهترین لباس شنا مناسب کوهنوردی نیست. باید ذینفعان هر صنعت، گستره جغرافیایی آن، ریسکهایی که آنها را تهدید میکند و خسارتهایی را که ممکن است به شکل آشکار یا پنهان به آنها وارد شود، بشناسیم.»
راز با اشاره به آنچه در اکوسیستم پرداخت میگذرد، عنوان میکند: «ذینفعان اصلی این شرکت، تمام شهروندان ایرانی هستند که به هر شکل به خرید یا انتقال وجه با استفاده از کارتهای بانکی مبادرت میورزند. پس از آن میتوان از بانکها، بنگاههای تجاری و تمامی کسبوکارهایی که متصل به هر نوع از درگاهها و پایانههای پرداخت هستند، بهعنوان ذینفعان این شرکت نام برد. با این وجود، گستره جغرافیایی این صنعت به وسعت تمام کشور و همه فرهنگها و هنجارهای نهفته در آن است.»
مدیر امنیت پرداخت الکترونیک پاسارگاد درباره ریسکهای فعالیت در حوزه پرداخت الکترونیک مطرح میکند: «ریسکهایی که این صنعت را تهدید میکنند، گستره وسیعی دارند. این ریسکها شامل مسائل اقتصادی و نوسانهای نرخ ارز، مسائل اجتماعی و سیاسی، مسائل فنی و موارد مربوط به تخلفات احتمالی ناشی از مسائل فرهنگی و اجتماعی میشود.
خسارتهایی که تمام این موارد میتواند به ذینفعان صنعت پرداخت الکترونیک وارد کند، در نگاه اول به از دست دادن پول اشخاص تعبیر میشود که ما آن را خسارات مشهود مینامیم، اما گاهی دامنه این خسارتها که غالباً نیز غیرقابل رؤیت است، فراتر از هدر رفتن پول شده و حتی به مسئله ملی و کشوری تبدیل میشود. از این رو واحد امنیت در صنعت پرداخت وظیفه بسیار مهم و سنگینی در راستای پیادهسازی استانداردها، ارائه سیاستها و دستورالعملها دارد؛ چراکه تعلل در تصمیمگیریها و همچنین تدوین و پیادهسازی یک طرح به شکل شتابزده و کارشناسینشده ممکن است بخش زیادی از ذینفعان را دچار مشکل و خسارت کرده یا کل یک کسبوکار را مختل کند.»
به اعتقاد راز، حفظ تعادل در شرایط سخت برای دستیابی به اهداف خرد و کلان تمام ذینفعان باید سرلوحه کار یک مدیر امنیت باشد و در واقع اینطور میتوان گفت که واحد امنیت شرکتهای پرداخت باید بندبازی در شرایط توفانی را بیاموزد.
او با اشاره به اینکه برای تأمین امنیت تراکنشهای پرداخت الکترونیک پاسارگاد در درگاههای پرداخت، دستگاههای کارتخوان و نرمافزار پیپاد دو بخش کلی دارند، میگوید: «در بخش اول باید بگویم که خطمشی کلان پرداخت الکترونیک پاسارگاد محاسبه ریسکها و مخاطرات در هر اقدام و پیادهسازی و اجرای حداکثری قوانین و مقررات بالادستی است. بعد از آن تکیه بر مباحث مربوط به شناخت مشتری در ارائه خدمات یا KYC در دستورکار ما قرار دارد. در همین راستا، شعار اصلی ما ارائه خدمات به شکل سریع، راحت و کارا بوده تا حداکثر قابلیتها را با حداقل فشار و سختی کار برای مردم فراهم کنیم.»
به گفته مدیر امنیت پرداخت الکترونیک پاسارگاد، حذف بوروکراسیهای ناکارآمد و سخت، تکیه بر ایجاد تغییرات مثبت بدون اعمال شوکهای عملکردی و کسبوکاری به مشتریان و استفاده از فناوریهای نوین در عرصههایی چون احراز هویت دیجیتال و یادگیری ماشین و… از جمله مواردی است که از آنها میتوان تحت عنوان مزیت رقابتی پرداخت الکترونیک پاسارگاد نام برد.
راز در توضیح اینکه محصولات پرچالش شرکتهای پرداخت از لحاظ امنیتی، چه هستند، اظهار میکند: «در این خصوص نمیتوان برای تمام شرکتها یک حکم کلی و یکسان صادر کرد؛ زیرا هر یک از بازیکنان این عرصه شرایط خاص خود را دارند. مطلبی که عرض میکنم بر اساس شواهد و تجربیات شخصیام در صنعت و شرکتهای همکار است. اگر ما چالشهای امنیتی را فقط از منظر فنی در نظر بگیریم و شیوههای پرداخت را به دو شکل کلی با حضور کارت و بدون حضور کارت بررسی کنیم، چالشهای فنی امنیت در بخش پرداخت بدون حضور کارت بسیار زیاد است؛ مواردی مانند هککردن و نفوذ به سایتهای درگاه پرداخت، سایتهای جعلی، نرمافزارهای موبایلی غیراستاندارد و تأییدنشده روی گوشیهای هوشمند مثل انواع ویپیانها از جمله مهمترین مسائلی هستند که به بحرانهای امنیتی ختم میشوند.»
او اضافه میکند که ریسک بالای ارائه خدمات بدون کارت به این معنا نیست که در ابزار پذیرش با حضور کارت هیچ چالش فنی امنیتی وجود ندارد، بلکه مواردی چون کپی کارت و گاهی باگهای سختافزاری یا نرمافزاری در این ابزارها نیز ممکن است خسارات جبرانناپذیری بر صنعت وارد کنند.
بهعنوان مثال در بحث کپی کارت یا در اصطلاح فنی، «اسکیمینگ» مسئله به این شکل است که متخلف کارت مشتری را هنگام انجام تراکنش علاوه بر ابزار پرداخت روی یک دستگاه دیگر نیز کشیده و به این شکل اطلاعات کارت علاوه بر اینکه روی پایانه فروش یا ابزار پرداخت خوانده میشود، توسط دستگاه دیگری نیز ذخیره میشود. حال از آنجا که پرداخت با حضور کارت با استفاده از همین اطلاعات و رمز ثابت انجام میشود، با ارائه رمز توسط مشتری به شخص متخلف تمامی اطلاعات لازم جهت انجام تراکنشهای غیرمجاز بعدی داده شده و همچنین او میتواند یک کپی از کارت داشته باشد.
مدیر امنیت پرداخت الکترونیک پاسارگاد در خاتمه بیان میکند: «به عقیده من باورهای قدیمی در این خصوص که مقوله امنیت، تحمیلکننده هزینه اضافه به سازمانهاست، کمرنگ شده و رویکردهای جدید مدیران ارشد سازمانهای مختلف از جمله پرداخت الکترونیک پاسارگاد نهتنها نگاه هزینهمحور به مقوله امنیت نیست، بلکه توجه به آن را نوعی پسانداز برای آینده به حساب میآورند، چراکه معتقد هستند که این سیاستها و تصمیمگیریها نجاتدهنده کسبوکارها هستند. در نتیجه تصور من این است که آینده مقوله امنیت در صنایع مختلف، از جمله صنعت پرداخت کشور روشن است و نسل جدید و تازهنفسی که در سالهای آینده وارد بازار کار میشود، با پشتوانه علمی و فنی خوبی که دارد، اتفاقات خوبی را برای آينده صنایع در بحث امنیت رقم میزند.»
کلام آخر
صنعت بانکی و پرداخت کشور یکی از مهمترین صنایع کشور است که در تلاقی با سایر صنایع و مردم قرار دارد و به آنها خدمات میدهد. در نتیجه حفظ امنیت سایبری آن بیشتر از سایر صنایع مورد توجه رگولاتور و اکوسیستم بانکی و پرداخت کشور بوده است. با این وجود مدیران امنیت شبکه در این دو صنعت بر این باورند که هنوز آنطور که باید و شاید به وضعیتی نرسیدهایم که بتوانیم از توسعهیافته شدن مقوله امنیت در شبکه بانکی و پرداخت کشور صحبت کنیم و هنوز در برخی سازمانها ارتقای امنیت سایبری در اولویت قرار ندارد. برخی به خلأهای قانونی در این زمینه اشاره میکنند و برخی دیگر هم بر این باورند که تحریم، مهاجرت نیروی انسانی، عدم وجود فرهنگ استفاده از کلاهسفیدها، نداشتن کرسی رسمی بخش خصوصی در نهادهای بالادستی و تصمیمگیرنده و عدم تبادل دانش فنی میان ایران و سرزمینهای دیگر از جمله عواملی هستند که توسعه امنیت در صنایع مختلف، از جمله صنعت بانکی و پرداخت کشور را به تعویق میاندازند. با این وجود آنها میگویند که نسل جدید مدیرانی که روی کار آمدهاند، معتقدند هزینهکردن روی مقوله امنیت به معنای جلوگیری از بحرانهای امنیتی و ملی است که ممکن است از این طریق بر بدنه صنعت و کشور تحمیل شود. در نتیجه به آینده توسعه این مفهوم در صنایع مختلف خوشبین هستند و امید دارند که رفتهرفته به وضعیت مطلوبی برسیم که در آن همگان با خیال راحت از خدمات بانکی و پرداخت استفاده کنند.
