خطر بزرگ تبدیل کارت ملی هوشمند به کارت بانکی!
مدیر اداره نظام پرداخت بانک مرکزی اعلام کرد صاحبین حساب در بانک ملی، میتوانند در شعب یا دستگاههای خودپرداز این بانک از کارت ملی هوشمند خود استفاده کنند؛ اتفاقی که کارشناسان امنیت باور دارند با حمله سایبری به سامانه ثبت احوال، خطری جدی حساب کاربری افراد را تهدید میکند.
مدیر اداره نظام پرداخت بانک مرکزی اعلام کرد صاحبین حساب در بانک ملی، میتوانند در شعب یا دستگاههای خودپرداز این بانک از کارت ملی هوشمند خود استفاده کنند؛ اتفاقی که کارشناسان امنیت باور دارند با حمله سایبری به سامانه ثبت احوال، خطری جدی حساب کاربری افراد را تهدید میکند.
«محمدرضا مانی یکتا»، مدیر اداره نظام پرداخت بانک مرکزی، در یک گفتوگوی خبری اظهار داشت با امضای تفاهمنامه همکاری مشترک میان سازمان ثبت احوال کشور و بانک ملی، تجمیع کارتهای خدماتی در کارت ملی هوشمند کلید خورد و از این طریق، شهروندان میتوانند از کارت ملی خود بهعنوان کارت بانکی نیز استفاده کنند.
به گفته وی، افرادی که در بانک ملی حساب دارند، میتوانند در شعب بانک ملی و دستگاههای خودپرداز این بانک از کارت ملی هوشمند خود استفاده کنند: «استفاده از کارت ملی اکنون در یک بانک امکانپذیر است، اما استفاده از آن در دستگاههای شتاب امکانپذیر نیست.»
مانی یکتا با بیان اینکه بیش از ۴۰۰ میلیون کارت بانکی در اختیار مردم است، گفت بهصورت میانگین، ماهانه حدود ۱۲۰ میلیون از این تعداد کارت فعال هستند:
«هزینه صدور کارت بانکی در کشورهای دیگر بسیار بالاست، اما در ایران، صدور کارت هزینه ناچیزی دارد؛ البته از بُعد سیاستگذاری، این مسئله یک آسیب تلقی میشود.»
بحث تجمیع کارت بانکی در کارت ملی هوشمند درحالی مطرح میشود که مجلس با این موضوع مخالفت کرده است. نمایندگان روز سهشنبه، چهارم مهرماه، در جریان بررسی جزئیات لایحه برنامه هفتم توسعه با پیشنهاد حذف بند مربوط به تجمیع کارت ملی موافقت کردند. در بند الحاقی ۱ ماده ۵ لایحه هفتم توسعه آمده است:
«بهمنظور پیادهسازی قابلیتهای کارت هوشمند ملی، کاهش هزینهها، ارتقای بهرهوری، جلوگیری از تعدد صدور کارتهای گوناگون در خدمات عمومی دولت، سازمان ثبت احوال کشور مکلف است با ایجاد بستر لازم و تعامل با دستگاههای اجرایی، نهادهای عمومی و سایر اشخاص حقوقی متولی ارائه خدمات، نسبت به تجمیع کارکردها روی کارت هوشمند ملی اقدام کند، به نحوی که تمامی گواهیها، مجوزها و مالکیتهای متناظر با هر شخص حقیقی از طریق کارت هوشمند ملی یا خدمات الکترونیکی متناظر آن قابل اجرا و احراز باشد.»
تجمیع کارت بانکی در کارت ملی چه خطراتی دارد؟
اواخر شهریورماه نشانههایی از نشست اطلاعات سامانه ثبت احوال مشاهده شد، بااینحال این نهاد هکشدن را تکذیب کرد. اما اگر این هک واقعاً رخ داده باشد یا در حملات سایبری احتمالی بعدی بهوقوع بپیوندد، حساب بانکی افراد با چه خطری روبهرو خواهد شد؟
«محمدرضا مستمع»، مدیرعامل شرکت امنیت «راسپینا نت پارس»، در پاسخ به این سؤال گفت:
«با توجه به خبر هک ثبت احوال و اینکه هیچ گزارشی درباره آن بیرون نیامده که این نفوذ تا چه حدی انجام شده است، امکان اینکه این سطح از دسترسی در حدی باشد که هویت دیجیتالی افراد را جعل کنند، وجود دارد.»
حال باید با این جعل هویت چهکار کرد؟ به گفته مستمع، میتوان کارت ملی هرکسی را کاملاً جعل کرد و اطلاعات چیپست آن را دوباره روی کارت دیگر ریخت، سپس با کارت جعلی به بانک ملی مراجعه نموده و اطلاعات حساب فرد را دریافت کرد.
فرض کنید براساس اطلاعاتی که از هکهای مختلف بهدست آمده است، فردی با سرمایه هزار میلیاردی شناسایی شده باشد. در این حالت میتوان اطلاعات هویتی او را بهطور کامل جعل کرد و تمام داراییاش در بانک، مسکن و... را تصاحب نمود. هک سازمان ثبت احوال میتواند ما را با چنین ریسک بزرگی مواجه کند.
اما با وجود چنین خطراتی، مردم میتوانند چه اقدامات پیشگیرانهای انجام دهند؟ مدیرعامل شرکت امنیت راسپینا نت پارس اعتقاد دارد آب رفته به جوی بازنمیگردد:
«اگر من در یک خانهای زندگی کنم که هر لحظه امکان اصابت موشک به آن وجود داشته باشد، کاری نمیتوانم برای آن انجام دهم و صددرصد آسیب میبینم. تنها راهحل این است که در کشوری زندگی کنم که اهمیت امنیت اطلاعات را درک کند و امنیت را فقط در فیلترینگ نبیند. امنیت را بهمعنای واقعی کلمه امنیت فناوری اطلاعات ببیند و نسبت به افشای اطلاعات یا اصالت اطلاعات دغدغه داشته باشد.»
او همچنین به یکی دیگر از اثرات سوء هک سازمان ثبت احوال اشاره کرد و گفت: «علاوه بر افشا، ممکن است اصالت اطلاعات با اختلال مواجه شده باشد؛ مثلاً دیتای کد ملی و اطلاعات شخص من تغییر کرده باشد و دیتای درستی نباشد. این اختلال میتواند ما را نابود کند. هکرها میتوانند اصالت اطلاعات را از بین ببرند و دیگر اطمینانی به آن دادهها وجود نداشته باشد.»
تحقق چنین چیزی میتواند تبدیل به یک هرجومرج واقعی شود و کشور را با چالشهای بسیار جدی روبهرو سازد.
نگاه دولت به حوزه امنیت بایستی تغییر کند
مستمع در بخش دیگری از سخنان خود بر لزوم تغییر نگاه دولت به حوزه امنیت تأکید کرد و گفت: «فرایندی که حاکمیت برای انتخاب یک پیمانکار امنیت اطلاعات دارد، مثل فرایندی است که میخواهد پنیر بخرد. امنیت اطلاعات باید متناسب با ارزش دارایی، ارزشگذاری شود. بهطور مثال، سازمان ثبت احوال درصورتیکه بخواهد یک پیمانکار برای مسائل امنیتی بگیرد، در سامانه ستاد ایران مناقصه برگزار میکند. عدد مناقصات در معاملات متوسط روی یک میلیارد و ۴۰۰ میلیون تومان است که نسبت به ارزشی که دیتا دارد، با این عدد اصلاً قابل قیاس نیست.»
او اعتقاد دارد در فرایند انتخاب یک پیمانکار در حوزه امنیت، اگرچه قیمت یک پارامتر مهم است، اما نباید تنها به آن توجه کرد و بایستی به کیفیت نیز اهمیت داده شود.
آنطور که در پایگاه قراردادهای کشور آمده است، فروردینماه سال گذشته قراردادی تحت عنوان «خدمات مهندسی مشاوره و ارزیابی امنیتی و آزمون نفوذ سامانها» از سوی ثبت احوال کشور به ثبت رسیده که مبلغ آن ۲۷۰ میلیون تومان برای یک سال بوده است.
به باور وی، دولت پس از هک و نشت اطلاعات، تنها کاری که میتواند انجام دهد، شفافسازی و انتقال تجربه است تا بهاصطلاح از یک سوراخ دو بار گزیده نشویم. این درحالی است که عکس آن رخ داده و معمولاً شاهد برخورد امنیتی، لاپوشانی و تکذیب هستیم.
مستمع تأکید دارد که دولت بایستی قیمتهای جهانی برای پروژههای امنیتی درنظر بگیرد تا متخصصین بمانند و ارزش واقعی کار خود را به نمایش بگذارند: «پروژههای امنیتی بیرون از ایران ساعتی ۶۰ تا ۷۰ دلار است. در چنین حالتی نیرو یا مهاجرت میکند یا پروژه داخلی انجام نمیدهد و به سراغ پروژه بینالمللی میرود. در این حالت علاوه بر پرداخت ارزی، خبری از دغدغههای بیمهای، مالیاتی و ارزش افزوده نیست.»
ارائه خدمات نو و تسهیل زندگی برای مردم بسیار حائز اهمیت است، اما این مهم نباید به قیمت ازدسترفتن امنیت افراد باشد. بنابراین بهنظر میرسد دولت و بانک مرکزی باید مجدداً درزمینه واحدسازی کارتهای بانکی تجدیدنظر کنند، پیش از آنکه اثرات سوء آن گریبانگیر میلیونها ایرانی و حاکمیت شود.
عرشه