نزدیک به هفت روز از ماجرای افشاگری مدیر ستادی اسبق یک شرکت ارایه دهنده خدمات بانکداری الکترونیک مبنی بر وجود نقص امنیتی در دستگاهها و پایانه های فروش این شرکت سپری می شود و این در حالی است که افکار عمومی جامعه نسبت به منتفی شدن پیامد های احتمالی این موضوع همچنان با دیده تردید و نگرانی می نگرد.

به گزارش بورس نیوز، نگاهی به چهره شهر و صف کشیدن های وقت و بی وقت مقابل عابر بانک ها که نه به دریافت یارانه نقدی ربطی دارد و نه به برداشت حقوق ماهانه، از یک اتفاق جدید دیگری حکایت دارد که می توان از عمق نگرانی مردم نسبت به آن پی برد.

این روزها در هر گوشه ای و مکانی، از خانه و مدرسه گرفته تا رسمی ترین مجامع دولتی و غیر دولتی بخشی از گفتگوی روزمره مردم به لو رفتن اطلاعات دارندگان میلیون ها کارت الکترونیکی بانکی اختصاص دارد.

هنوز یکسال از کشف فساد بزرگ سه هزار میلیارد تومانی در شبکه بانکی کشور سپری نشده، از درز اطلاعات 123 میلیون کارت الکترونیکی بانکی به بیرون سخن گفته می شود که البته با صحبت های ضد و نقیض برخی مسئولان در این باره به گسترش دامنه بی اعتمادی مردم به بانک ها افزوده است.

وضعیتی که اگر همچنان به آن با دیده تسامح و پاک کردن صورت اصلی مسئله نگریسته شود می تواند به بحرانی غیر قابل جبران در نظام بانکی کشور بیانجامد.

برای بررسی ابعاد و چالش های احتمالی میان مردم و شبکه بانکی کشور در زمینه رخداد اخیر با احمد رضا فتوّت، دکترای روان شناسی صنعتی سازمانی و مشاور منابع انسانی در بانک ها به گفتگو نشسته ایم.

بورس نیوز، از منظر روانشناختی، پی بردن مردم به موضوع افشاء شدن اطلاعات دارندگان کارت های بانکی چه تبعاتی می تواند در پی داشته باشد؟

با اتفاقی که طی هفته گذشته رخ داد می توان گفت بر اعتماد مردم بیش از پیش نسبت به بانک ها خدشه وارد شده است.

مضاف بر آنکه در اواسط سال گذشته نیز با کشف تاریخی فساد بزرگ بانکی، ضریب اعتماد پذیری صاحبان نقدینگی به بانک ها تا حدودی تضعیف شده بود.

با توجه به اهمیت اعتماد سازی در اقتصاد، چنانچه اطمینانی به زیر ساخت های بانکی کشور وجود نداشته باشد در نهایت کلیت اقتصاد جامعه دچار بحران و مشکل می شود.

بورس نیوز؛ فکر می کنید مقصر ایجاد چنین حادثه ای کدام فرد ویا سازمان است؟

مقصر اصلی در این زمینه بانک مرکزی است چراکه مردم با اعتماد به رویه های نظارتی این مقام ناظر بازار پولی کشور و اطمینان از مجوز هایی که به شرکت های ارایه دهنده خدمات بانکداری الکترونیک (PSP) می دهد، وجوه پولی خود را به بانک ها می سپارند و یا به گردش در می آورند.

در حال حاضر 15 شرکت ارایه دهنده خدمات (PSP) وجود دارد که مجوز فعالیت خود را از بانک مرکزی دریافت و بطور مستقل و یا وابسته به یک بانک (بطور مثال تجارت الکترونیک پارسیان) عمل می کنند.با اتفاقی که رخ داده چقدر می توان اطمینان داشت که این شرکت ها بر خلاف انیاک، در سوییچ های دستگاههای (POS)، حفره های امنیتی را مسدود کرده و تحت نظارت بانک مرکزی از هیچ گونه نقص انفورماتیکی برخوردار نیستند؟!

بورس نیوز؛ بانک مرکزی که نسبت به این موضوع واکنش فوری نشان داده و نسبت به تغییر رمزها هشدار داده،آیا فکر می کنید این اقدام کافی نبوده است؟

متاسفانه صحبت هایی که تاکنون عنوان شده بیشتر ناشی از نادیده گرفتن صورت مسئله و از سر خود باز کردن آنها با مقصر نمودن این و آن بوده است.

در حالیکه بانک مرکزی به عنوان مقام ناظر باید این شجاعت را به خرج دهد و پاسخگو باشد.

در یک جامعه وقتی کودکی سر ناسازگاری با هم سالان خود می گذارد این والدین هستند که باید در قبال رفتار او پاسخگو باشند.

از منظر فرهنگی در سطح کلان وقتی مجلس و دولت به یکدیگر نمی توانند پاسخگو باشند چه بسا بانک مرکزی نیز در برابر فساد بزرگ بانکی اخیر و سستی در نظارت بر ارایه دهندگان خدمات (PSP)، خود را مسئول نداند.

حال آنکه اگر چنین حوادثی در سایر کشورهای حتی بدون دموکراسی رخ می داد براحتی مدیر مربوطه از مقام خود استعفاء می کرد. (نمونه بارز آن استعفای وزیر راه آهن کشور بنگلادش هست که به خاطر رشوه گرفتن منشی اش استعفا داده است)

در قضیه افشاء اطلاعات کارت های بانکی ،به روشنی تقصیربانک مرکزی محرز بوده چراکه وظیفه نظارت و ارایه مجوز به شرکت های (PSP) بر عهده بانک مرکزی است.

اکنون بانک مرکزی باید پاسخ دهد که چرا بر حوزه فنی و امنیتی شرکت انیاک نظارت و مدیریت نداشته است؟این میان ،چرا مدیران فنی لایقی را برای مسند پست های انفورماتیکی انتخاب نکرده اند تا امکان تشخیص شرکت های برخوردار از توانمندی های لازم وجود داشته باشد؟

نقش مدیران انفورماتیک بانک ها در این زمینه چیست؟آیا گناه آنها در عدم تشخیص به موقع نقص امنیتی دستگاههای (POS)، کمتر از بانک مرکزی نیست؟

بخش انفورماتیک بانک های دولتی عموماً مستقل و در اغلب بانک های خصوصی بطور مستقیم زیر نظر مدیر عامل فعال هستند.

اکنون این ابهام وجود دارد بانک هایی که با چنین شرکت هایی قرار داد منعقد می کنند و نیز مدیران انفورماتیک آنها ،آیا از دانش فنی کافی برخوردار نیستند تا بتوانند چنین نقیصه هایی را شناسایی کنند و یا به هر دلیلی از توجه به آن چشم پوشی کرده اند؟

چه بسا با اظهارات زارع فرید در وبلاگ خود مبنی بر وجود رشوه در مدیریت میانی یک بانک شبه دولتی ،احتمال تکرار این موضوع برای برخی افراد نیز صدق کند که در هر صورت آنها نیز در مظان اتهام قرار دارند.

اساساً باید به این پرسش پاسخ داده شود که عقد قرار داد با شرکت های ارایه دهنده خدمات (PSP) با چه ضوابطی صورت می گیرد؟ آیا این ضوابط از سوی بانک ها تعیین و براساس مقررات و ساختارهای فنی است؟

بورس نیوز؛ برخی معتقدند صنعت خدمات بانکداری الکترونیک در ایران بسیار جوان بوده و ضعف در اصول فنی باعث درز اطلاعات از سوی یک فرد شده است.

معتقد نیستم که به لحاظ فنی، کشور در این مورد ضعیف است.ببینید فردی که می توانسته از اطلاعات میلیون ها کارت بانکی سوء استفاده کند، با خطر کردن و در معرض تهدید قرار دادن زندگی و حیثیت خود،صرفاً برای اطلاع رسانی و هشدار به مردم مجبور به جلای وطن شده و این در حالی است که فرد مذکور به عنوان یک متخصص بر لزوم ایجاد سوییچ امنیتی HSM و کدینگ شدن اطلاعات بانکی افراد آگاهی داشته است.

وقتی یک متخصص پردازش اطلاعات الکترونیکی متوجه فقدان این سوییچ می شود باید پرسید در بانک مرکزی متخصصانی که بتوانند نسبت به این ضعف پی ببرند اکنون کجا هستند؟!

بنابراین ضعف اصلی در ساختار سازمانی بانک مرکزی و نبود متخصصان مورد نیاز در زمینه امنیت داده های الکترونیکی بوده و حال آنکه خسرو زارع فرید به عنوان یک قهرمان ملی اینک در مظان اتهام قرار گرفته و تحت تعقیب قضایی است.

در کشور ما وقتی فردی خلافی را آشکار می کند قبل از آنکه خاطی مجازات شود،خود او در مظان اتهام قرار می گیرد کما اینکه در ماجرای فساد بانکی اخیر، جهرمی مدیر عامل وقت بانک صادرات آنرا آشکار می کند ولی با نشانه رفتن انگشت اتهام به سوی وی فرصت فرار به خاوری مدیر عامل اسبق بانک ملی داده می شود.

اکنون نیز زارع فرید با وجود هشدار دادن این موضوع به مدیر عامل انیاک و نیز مدیران برخی بانک ها،خود در مظان اتهام قرار گرفته و چه بسا با این رویه آنقدر فرصت ایجاد شود که مقصر اصلی از کشور خارج شود کما اینکه شنیده ها حاکی از آن است که مدیر عامل شرکت مذکور به اسپانیا گریخته است.

بورس نیوز؛ چه دلیلی وجود دارد که زارع فرید را از عنوان یک فرد خاطی و یا دارای انگیزه سوء استفاده در این ماجرا مبرا کرد؟

به دلیل ضعف موجود در دستگاههای الکترونیکی شرکت انیاک،کلیه اطلاعات به محض تماس کارت ها با این دستگاهها از جمله رمز اول، رمز دوم، تاریخ انقضاء ورمز CVV2 کارتهایی که توسط شرکت انیاک صادر شده است، ثبت شده و اتفاقاً چنانچه انگیزه ای برای سوءاستفاده از این اطلاعات وجود داشت این فرد می توانست بی سروصدا و براحتی، روزانه با برداشت تنها 100 تومان از حساب همین سه میلیون کارت افشاء شده از 123 میلیون کارت بانکی موجود، روزانه 300 میلیون تومان پول باد آورده را به جیب زده و حال آنکه در چند تراکنش این رقم به میلیاردها تومان بالغ می گردید. مردم نیز با ناچیز بودن مبلغ برداشتی مذکور آنرا به حساب کسر کارمزد می گذاشتند و اهمیتی برای آن قایل نمی شدند.

بنابراین زارع فرید نه به عنوان یک هکر و یا سوء استفاده کننده بلکه به عنوان فردی مسئول و نگران از به خطر افتادن اطلاعات بانکی مردم اقدام به اطلاع رسانی کرده و حال آنکه به او برچسب دزدی می زنند.

بورس نیوز؛ برخی مقامات می گویند زارع فرید خیانت در امانت کرده و افشاگری او بخاطر اختلاف با مدیران خود در انیاک است.نظر شما چیست؟

از منظر اخلاقی و حرفه ای شاید بتوان به نحوه عملکرد زارع فرید خرده گرفت اما از نگاه صادقانه؛ آیا اغوا کننده نیست که با وجود دسترسی به اطلاعات سه میلیون کارت بانکی و امکان برداشت از آنها بتوان چشم پوشی کرد؟

به فرض قبول اخلاقی نبودن رفتار این فرد در افشاگری، از منظر مدیریت اعتماد وقتی وی به عنوان کارمند؛ فضایی برای اظهار نظر و اعاده حق اولیه خود نداشته باشد طبیعی است که با جستجو راهکارهایی به دنبال برآورده کردن آنها باشد. وقتی همیشه حق با کارفرما بوده و جایی نیست که اثبات شود حقوق و دستمزد مناسبی در برابر کارکرد افراد وجود ندارد و یا اینکه شفاهی و به لحاظ روابط دوستانه فعالیتی آغاز شود و وقتی به منافعی می رسد تمام قول و قرار ها فراموش شود ،آنوقت شما بهترین روش برای اعتراض را چه می دانید؟ شاید استمداد از فضای مجازی.

در هر حال فارغ از نوع رفتار صورت گرفته ،رخداد اخیر چند پیام مهم برای کشور دارد.

از جمله برای وزارت تعاون، کار و امور اجتماعی که صیانت از حقوق کارگر، کارمند و قوانین کار باید به گونه ای باشد که حقوق افراد اجحاف و ضایع نگردد و بتوانند فریاد خود را به جایی برسانند ،نه اینکه همواره وزنه قراردادها به سمت کارفرما باشد و از طرفی کارمند نیز خود را محق در زیان رساندن به سازمان و کارفرما بداند.

یک پیام نیز برای نظام بانکی و زیر ساخت های الکترونیکی آن دارد که بخشی از آن مربوط به مخابرات و دیگری موکداً به بانک مرکزی اختصاص دارد. آنجا که قرار است تبادلات مالی بواسطه شرکت های ارایه دهنده خدمات الکترونیکی داده پردازی شوند.

بورس نیوز؛ بانک مرکزی اعلام کرده که مردم می توانند با تغییر رمز کارت خود نسبت به رفع نگرانی ها اقدام کنند اما برخی دیگر می گویند مشکل اصلی با این کار برطرف نمی شود.اصل موضوع از چه قرار است؟

با اطلاعیه ای که بانک مرکزی صادر کرد عده ای از مردم نسبت به تغییر رمز کارت بانکی خود واکنش نشان دادند اما در واقع این اقدام یک تسکین دهنده موقتی است.چراکه هر پایانه فروش بانکی (POS) که متعلق به شرکت انیاک باشد می تواند اطلاعات این کارت ها را در معرض خطر قرار دهد.

در اینجا باید برای مردم گفته شود که آیا واقعاً 15 شرکت دیگری که خدمات (PSP) به بانک ها ارایه می کنند از نقص سیستم فنی و امنیتی برخوردار هستند یا خیر؟

بانک هایی که از چنین شرکت های فاقد مسایل امنیتی خدمات می گیرند با خطر ثبت اطلاعات مشتریان مواجه هستند.از اینرو سرمایه گذاری بانک ها برای ایجاد واحد (PSP) جداگانه و تلاش برای افزایش اعتماد سازی مشتریان از بابت امنیت اطلاعات و تراکنش های بانکی ضروری است.

بورس نیوز؛ در بحث امنیت داده در تراکنش های بانکی ،چه سرمایه گذاری هایی مورد نیاز است؟

بانک ها می توانند برای این بخش بطور مستقل و تحت نظارت خود عمل کنند.بطور مثال شرکت پیشگامان یزد با هزینه کردن یک میلیارد دلار،سیستم امنیتی بسیار قوی از مالزی خریداری و بطور خصوصی از آن استفاده می کند.

از سویی دیگر بانک مرکزی با الزامی کردن پروتکل ها و استانداردهای بین المللی از جمله SSL و PCIDSS برای همه شرکت های (PSP)، نظارت کیفی بر رعایت آنها را توسعه دهد.

شاید بهتر باشد در این زمینه بانک مرکزی با ایجاد یک واحد (PSP) جداگانه ،از خدمات شرکت های خصوصی در بخش های امنیتی صرفه نظر کند.

بورس نیوز؛ اقدام های صورت گرفته از سوی بانک مرکزی تاکنون چقدر مفید بوده است؟

بعد از کشف فساد بزرگ بانکی در سال گذشته، اینک جامعه اقتصادی کشور با موضوع احتمال سوء استفاده از اطلاعات بانکی که تنها برای دارنده کارت قابل رویت است مواجه می باشد.

از اینرو با توجه به افت اعتماد پذیری مردم نسبت به نظام بانکی و نگرانی از بابت اینکه تا صبح فردا چه اتفاقی برای سپرده های بانکی رخ می دهد، باید مدیریت ارشد بانک مرکزی برای یکبار هم که شده راجع به آن با مردم صحبت کرده و خود را مسئول بداند.

لفظ شایعه در اطلاعیه بانک مرکزی در حالیکه شرکت خاطی به وجود نقص در سیستم های خود اذعان دارد حاکی از آن است که نهاد ناظر بازار پولی کشورمردم را از خود نمی داند و با ملت صادق نیست.

باید در این رابطه بلافاصله شرکت های ارایه دهنده خدمات (PSP) مورد ارزیابی قرار گرفته و نسبت به جمع آوری و عدم فعالیت دستگاههای کارت خوان بانکی مربوط به شرکت انیاک اقدام شود.

تغییر رمز کارت اقدامی موقتی است چراکه با توجه به عدم سوییچ امنیتی در دستگاههای (POS) و کدینگ نشدن اطلاعات، امکان ذخیره و ثبت کلیه رمزها وجود داشته و قابل دسترسی است.

بورس نیوز؛ در صحبت های خود اشاره کردید که این اتفاق اگر در کشورهای غربی و حتی آسیایی رخ می داد،منجر به استعفاء برخی مقامات می شد. چرا اینجا راجع به موضوع در خطر افتادن سرمایه های مردم ابتدا سکوت می کنند؟

از منظرروانشناختی و رفتار شناسی مدیران اقتصادی کشور از وزارت اقتصاد گرفته تا بانک مرکزی شهامت استعفاء را در صورت وقوع سوء مدیریت ها ندارند.

به لحاظ فرهنگی هنوز پذیرش اشتباه از سوی مدیران ایرانی با مشکل مواجه است.

اخیراً رییس جمهور آلمان بخاطر دروغ همسر خود در زمینه دریافت وام ،از مقام خود کناره گیری کرد.

نباید مراجع حقوقی و قانونی با این قضیه آنقدر با مسامحه رفتار کنند که امکان گریختن مقصران اصلی آن به خارج از کشور همچون خاوری فراهم شود.

بستر نظام اقتصادی کشور متکی بر اعتماد مردم به نظام بانکی است.در شرایط کنونی اقتصاد کشور که جذب نقدینگی سرگردان از اهمیت بالایی برای بانک ها برخوردار است نباید بیش از این به بدتر شدن اوضاع و بی اعتمادی دامن زد.

بانک مرکزی صادقانه برای یکبار هم که شده از مردم نه از برای به زحمت افتادن آنها برای تغییر رمز کارت بلکه بخاطر کوتاهی در نظارت خود عذر خواهی کند.

بورس نیوز؛ برای آنکه این اتفاق مجدد تکرار نشود چه راهکاریی پیشنهاد می کنید؟

پیش از همه بانک مرکزی باید از مدیران بانک ها و نیز متخصصان فنی خود توضیح بخواهد.

مدیران بانک ها نیز از مدیران انفورماتیک خود سوال کنند که چرا با شرکتی قرار داد بسته اند که به عنوان یک متخصص متوجه فقدان این سوییچ امنیتی نشده اند.

این نگرانی شامل حال مشترکان همراه اول نیز شده چراکه بواسطه همکاری جیرینگ با انیاک امکان لو رفتن اطلاعات شخصی و بانکی در صورت استفاده از خدمات جیرینگ وجود دارد.

بورس نیوز؛ فکر می کنید وظیفه مدیران و مسئولان کشور برای پیشگیری از وقوع چنین رخداد هایی چیست؟

سال 91 با شعار حمایت از تولید ملی ،کار و سرمایه ایرانی در حالی آغاز شده که با اتفاق اخیر بخشی از سرمایه کشور که همانا اعتماد مردم بوده از دست رفته و این با منویات مقام معظم رهبری کاملاً مغایر است.

به خطر افتادن منابع بانک ها و از همه مهمتر تهدید اعتماد مردم به نظام بانکی امری است که مسولان باید برای آن فکر جدی و عاجلی کنند.هرچند که بازگرداندن آن نیازمند هزینه بسیاری است.

در حال حاضر هرچه بانک مرکزی اطلاعیه صادر کند و از مقررات سختگیرانه خبر دهد،،آیا اذهان عمومی می توانند مطمئن باشند که در ارایه مجوزها لابی وجود نداشته است؟

چگونه شرکت انیاک حمایت می شده که عملیات pos تعداد 10 بانک از 25 بانک موجود در کشور بطور مستقیم به آن سپرده شده است؟ آیا پشتیبانی خاصی وجود نداشته و اساساً چه روابطی وجود داشته که با وجود ضعف فنی و امنیتی،هیچ یک از مدیران انفورماتیک آنها به آن پی نبرده اند؟

آیا سیستم های بانکی در زمینه نشت اطلاعات آنقدر ضعف دارد که مردم بیش از 3 ماه نمی توانند به آن اعتماد کنند و باید رمز خود را تغییر دهند؟

به نظر می رسد در برابر اتفاق اخیر بعضی از بانک ها اقدام سریع، بعضی ها در شوک، برخی در ناباوری و البته عده ای نیز هنوز در خواب هستند.

بورس نیوز؛ این نگرانی ها بعضاً به بورس هم کشیده شد.آیا کاهش اعتماد در نظام پولی ،نظام مالی را نیز به مخاطره می اندازد؟

از منظر روانشناسی اقتصاد و رفتار بازار کارشناسان معتقدند با وجود یک مدل و تئوری مشخص گاهی اوقات نتیجه ای معکوس از جامعه دریافت می شود.با اتفاقی که افتاد قطعاً انتظار می رفت که بورس با افت قیمت سهام بویژه در صنایع وابسته به نظام بانکی و انفورماتیکی مواجه شود.

در حالیکه شاید ارتباط مستقیم به اصل موضوع نداشته باشد.بنابراین با کاهش اعتماد در نظام بانکی ،در یک سیکل منفی بر بازار مالی نیز اثر گذاشته و افت تقاضا را در سهام شرکت ها منجر می شود.

بورس نیوز؛ به نظر شما وقوع اتفاقات اینچنینی ناشی از این نیست که مدیران نهاد های ناظر بر بازار پولی و مالی همچنان از سوی دولت تعیین می شوند؟

در اغلب کشور های جهان بانک های مرکزی کاملاًمستقل از ساختارهای دولتی بوده و یا حداقل یک ناظر مستقل برای انتخاب رییس بانک مرکزی وجود دارد.

روندی که در ایران نیز قرار بود انتخاب رییس کل بانک مرکزی با تایید نمایندگان مجلس صورت گیرد اما هیچ گاه این امر میسر نشده است.

بورس نیوز؛ چه پیشنهادی به مردم و مسئولان دارید؟

بانک ها باید از این پس کارت های مغناطیسی را حذف کرده و همچون سایر کشور ها تکنولوژی EMV و یا کارت های هوشمند را جایگزین کنند.

در این نوع کارت های اعتباری فروشنده،بانک و مصرف کننده دارای مسئولیت بوده در حالیکه در کارت های فعلی بار مسئولیت فقط بر دوش مصرف کننده است.

مردم نیز باید توجه داشته باشند فقط در صورت وجود فیزیکی کارت بانکی ،امکان برداشت از حساب با رمز اول وجود دارد.

در غیر اینصورت شماره 16 رقمی کارت،رمز دوم،تاریخ انقضاء ورمز CVV2 برای برداشت از حساب نیاز بوده که با توجه به امکان ثبت یکجای پکیج اطلاعاتی کارت های بانکی از طریق سامانه های POS شرکت انیاک،براحتی احتمال سرقت وجود داشته و اگر فردی اکنون توانسته به این اطلاعات دست یابد بطور حتم افراد دیگری نیز قادر به رویت و یا سوء استفاده خواهند بود.

از اینرو تغییر رمز کارت راهگشا نبوده و تنها با تهیه زیر ساخت های مورد نیاز و نصب سوییچ امنیتی در دستگاههای POS مشکلات بر طرف می شوند.

بخاطر زمانبر بودن این عملیات بهترین راه توجه به برچسب شرکت انیاک در پشت دستگاههای POS و صرفه نظر از تماس کارت بانکی با آنها است.

مراجع حقوقی و قضایی نیز با نگاهی به تابعیت مدیران شرکت خاطی و داراییهای این شرکت که گفته می شود تنها یک ساختمان 4 طبقه واقع در بلوار دریا شهرک غرب تهران دراختیار دارد ،نسبت به جلوگیری از خروج احتمالی و سوء مدیریت های صورت گرفته در اعطای مجوز فعالیت و نیز کنترل داده های امنیتی بانکی داراییهای اشخاص حقیقی و حقوقی اقدام عاجل نماید.