CCW News - SEcurity in Banking Systems

مشکل امنيتی سيستم های بانکی

موضوع امنيت، يکی از اصول مهم در ايجاد و گسترش شبکه‌های کامپيوتری است، و امروزه با توسعه روزافزون استفاده از شبکه در امور مختلف زندگی، توجه و به کارگيری آن به ويژه پس از خطرات و حملات فراوان به شبکه‌ها، اهميت خود بيش از پيش نشان می‌دهد.
متاسفانه در کشور ما، با وجود زمينه و علاقه فراوان به گسترش شبکه‌ها و استفاده از آن، هنوز آنچنانکه بايد به موضوع امنيت توجه نمی‌شود، و طبيعی است در زمينه‌های حساس و مهم مانند بانکداری (که هنوز در ابتدای راه به کارگيری آن هستيم) نيز اين مشکل وجود دارد.
به بهانه خبری که اخيرا در باره حمله به يک سيستم شبکه بانکی در کشور، و نتيجتا بروز خسارات فراوان منتشر شد، با مهندس بهرنگ فولادی کارشناس شبکه‌های کامپيوتری که به ويژه در زمینه امنيت شبکه‌ها فعاليت دارد گفت‌وگويی کرده‌ايم که نظراتش را در اين خصوص می خوانيد.

س: قبل از هر چيز، اصولا فكر می‌كنيد در كشور ما پيشرفتی در زمينه بانكداری الكترونيك به وجود آمده است؟

ج: از چند سال پيش با پيشرفت شبکه‌های رايانه‌ای در سيستم‌های بانکی کشور، شکل‌های محدودی از خدمات بانکداری الکترونيک در اختيار مشتريان بانک‌ها قرار داده می‌شود. عمده اين خدمات شامل حساب‌های سراسری و کارت‌های خودپرداز (به شکل Debit Card) قابل استفاده در ماشين‌های خودپرداز(ATM) می‌شوند و هنوز خدماتی به شکل Credit-card , Merchant account به علت وجود مشکلات قانونی و فنی عرضه نمی‌شود.

س: اين سرويس‌ها و خدمات مورد ارزيابی هم قرار گرفته‌اند؟

ج: تا اين زمان مشتريان و افراد زيادی از مشکلات زياد اين سرويس‌ها مانند وقفه‌های پياپی در سرويس و کندی آن اظهار نارضايتی داشته‌اند.

س: در خصوص اين مشكلات، معمولاً چه توضيحاتی ارائه می‌شود؟

ج: مشکلات مربوط به وقفه‌هايی كه مشتريان غالباً با آنها موجه می‌شوند، عمدتاً به عواملی مانند پارازيت و عوامل جوی نسبت داده می‌شود، در صورتی که افراد آشنا به مسائل ارتباطات ماهواره‌ای (که در بيشتر اين سيستم‌ها بکار گرفته شده) اطلاع دارند که علت اين مشکلات در نوع سرويس ارتباطی و پهنای باند خريداری شده است. مطرح‌ترين اين سيستم‌ها از روش TDMA درسرويس ارتباطی خود استفاده می‌کند که بر اساس اشتراک زمانی در استفاده از پهنای باند عمل می‌کند. اين روش با وجود ارزان بودن دارای نواقصی چون کندی شبکه و ناپايداری ارتباط در پهنای باند کم و تعداد node زياداست (کارکرد اين نوع شبکه‌ها مشابه شبکه‌های حلقه‌ای Ring است). پهنای باند کلی خريداری شده برای يکی از مطرح‌ترين اين سيستم‌ها 1Mbps/s است که در مواقعی جوابگوی حجم بالای داده‌ها نيست.

س: با توجه به تخصص شما در زمينه امنيت شبكه، بيشتر منظور ما ارزيابی امنيت موجود در اين خدمات است...

ج: متاسفانه ضعف‌های امنيتی اين سيستم‌ها كم نيست، ولی خيلی كم به آنها توجه شده است. در باره ضعف‌های امنيتی اين نوع سيستم‌ها، انتظار می‌رفت که طراحان و مجريان سرويس‌ها از تجربيات و روشهای امنيتی بکار گرفته شده در سيستم‌های بانکی کشورهای پيشرفته که حداقل 10 سال جلوتر از ما اين سرويس‌ها را پياده‌سازی کرده و در محيط پر خطر از نظر ميزان نفوذ و حمله‌ها، تجربه عملی کسب کرده‌اند، استفاده می‌کردند. اما متاسفانه در مواردی به علت عدم آگاهی و دانش کافی مجری سيستم و نيز عدم رقابتی بودن اجرای چنين پروژه هايی نکات امنيتی و حفاظتی ناديده گرفته شده اند.

س: با توجه به اهميت امنيت در سيستم‌های بانكی به دليل تاثيرات مستقيم مالی بر مردم و دولت، منشاء بيشتر اين ضعف‌های امنيتی از نگاه شما چيست؟

ج: در کل فرهنگ استفاده از مشاوره‌های امنيتی و تست‌های امنيتی (Penetration Test) در جامعه IT کشور و متوليان اجرای پروژه‌های IT ضعيف است. از طرفی در اين مورد خاص انحصاری نمودن اجرای پروژه‌های بانکی به يک مجموعه يا شرکت خاص باعث شده که مجال ارائه مشاوره و پيشنهادات در مورد امنيت سيستم از گروههای فعال و متخصص در اين زمينه گرفته شود. به عنوان مثال مواردی وجود داشته است که گزارش يک ضعف امنيتی داده شده و برای ارائه راهکار اعلام آمادگی شده است اما عموما با موضعگيری مجموعه مقابل يا پيمانکاران آنان مواجه شده‌ايم و عملا از پيگيری موضوع دلسرد شده‌ايم. متاسفانه اين ديد در بسياری از شرکت‌های متخصص اجرای طرح‌های نرم‌افزاری يا سيستم‌های رايانه‌ای وجود دارد که کد يا سيستم طراحی شده توسط آنان هيچ ايراد يا ضعف امنيتی ندارد در صورتی که متخصصان آنان شايد در زمينه برنامه‌نويسی ، توليد نرم‌افزار يا پياده‌سازی شبکه‌های رايانه‌ای خبره باشند اما نمی‌توان ادعا کرد که در زمينه‌های امنيتی نيز که خارج از تخصص شرکت است، احاطه کامل دارند. به قول معروف همه چيز را همگان دانند.
در صورت ادامه چنين روندی، متاسفانه می‌توان پيش‌بينی کرد که در آينده‌ای نزديک در سيستم‌های رايانه‌ای عمومی ديگر شاهد بروز چنين وضعی باشيم.

س: با توجه به خبر منتشره در يكی از سايت‌ها در باره خسارت مالی زياد يك بانك به دليل نقائص امنيتی، از آنجا كه جزئيات زيادی از آن منتشر نشده، شما در اين زمينه چيزی شنيده‌ايد؟ و نقص مورد نظر از ديد شما چه بوده است؟

ج: در مورد نام بانک و شرکت مجری سيستم آن به علت تبعات احتمالی آن نمی‌توانم اظهار نظر کنم. سيستم‌های بانکی فعلی يک سری ضعف‌های امنيتی مشترک و کلی در بستر ارتباطی خود دارند که البته در اين مورد خاص بعيد می‌دانم که از اين ضعف برای نفوذ استفاده شده باشد. بيشتر احتمال روی نفوذ به شبکه شرکت مجری طرح که وظيفه مونيتورينگ سيستم را داشته از طريق يک اتصال اينترنتی محافت نشده مانند Gateway خريد Online بانک يا خطوط Dial-up است.

س: آيا از وجود برنامه و ساختار فنی مناسب برای بررسی امنيتی سرويس‌های مختلف در بانك‌ها اطلاعی داريد؟

ج: مسلما مجری اين طرح‌ها که تابحال يک شرکت خاص بوده است، در اين زمينه ادعا دارد که البته قابل توجه و بررسی است. اما چيزی که واضح است اين است که امور امنيتی چنين طرح‌های حساسی بايد به شرکت‌ها و مجموعه‌های متخصص در زمينه امنيت رايانه‌ای سپرده شود.

س: آيا برنامه و نگاه كلان در مديران و نيز تمهيدات لازم در سيستم بانكی برای توجه به موضوع امنيت در شبكه‌های بانكی وجود دارد؟

ج: خوشبختانه از چند ماه پيش طبق خبری که در مطبوعات اعلام شد، بانک‌ها در اجرای چنين پروژه‌هايی ملزم به استفاده از خدمات يک مجموعه خاص نيستند. به اين ترتيب در صورت اثبات ضعف يا عدم توانايی يک مجموعه، امکان استفاده از توانايی‌ها و استعدادهای داخلی برای اصلاح يا اجرای اين سيستم‌هايی وجود دارد.، که طبيعتا اين می‌تواند گامی در بهبود امنيت اين سيستم‌ها باشد.

بازگشت