همراه ما باشید
هفته نامه عصر ارتباط
اولیـن و پرتیـراژتـرین هفتـه نـامه ICT کشـور

رفتار فراقانونی ارتباط فردا برای جا انداختن سرویس‌ها

چالش امنیت اپلیکیشن کیلید بانک آینده برای کاربران

حتما تاکنون برای شما هم پیش آمده است که در صف پشت دستگاه خودپرداز باشید و یک فرد مسن کارتش را در اختیار شما قرار دهد و از شما بخواهد که تراکنشی را برایش انجام دهید و پول نقد دریافت کنید. همیشه این سوال وجود دارد که دیجیتالی کردن فرایندهای سنتی چقدر در جامعه کشش دارد و مردم چقدر می‌توانند از ابزارهای فناورانه برای انجام تراکنش‌های مالی که به شیوه سنتی برایشان جا افتاده است، استفاده کنند؟ یا اصلا چقدر لازم است که ما همه‌چیز را دیجیتالی کنیم و دراختیار مردم قرار دهیم؟ می‌دانیم که به‌طور کلی فناوری از کشورهای جهان اول به کشور ما منتقل می‌شود و مانند یک ساطور تیز عمل مي‌كند که اگر کار با آن را بلد باشیم می‌توانیم از آن استفاده‌های خوبی کنیم اما در غیر این‌صورت هزینه‌های زیادتری را به ما تحميل می‌کند. شهوت فناورانه در برخی از بانک‌ها و به‌خصوص شرکت‌های پیرامون آنها بدون توجه به این واقعیت، باعث شده تا سرویس‌هایی را ارایه کنند که به نظر نوین و نوآور ولی در عین حال خطرناک است. شرکت ارتباط فردا به‌تازگي محصولی با عنوان کیلید (keylead) برای بانک آینده ارایه کرده که امکان امضای دیجیتال و صدور چک به‌صورت دیجیتالی را به مشتریان حقیقی و حقوقی می‌دهد. شاید در نگاه اول سرویس فناورانه و خلاقانه‌ای به نظر برسد، ولی باید همه ابعاد این نوآوری‌ها را در نظر گرفت و اينكه میزان امنیتی كه این سرویس برای مشتری فراهم می‌آورد، چقدر است؟

این در حالی است که ظاهرا هنوز قوانین مربوط به امضای دیجیتالی در بانک مرکزی در هاله‌ای از ابهام است. در این شرایط چطور بانک آینده ایده‌های نوآورانه شرکت ارتباط فردا را به مشتریان عرضه می‌کند؟ هدف از نگارش این یادداشت، بررسی ابعاد مختلف سرویس امضای دیجیتالی در اپلیکیشن کیلید و روشن کردن اذهان مردم در مورد آن و یادآوری نکات مهم امنیتی و خطرهاي بالقوه چنین سرویس‌هایی است.

سامانه کیلید بانک آینده، یک محصول جدید در حوزه بانکداری دیجیتال و قابل اجرا در بستر تلفن همراه است که از طریق اینترنت مجموعه‌ای از خدمات مختلف بانکی را به کاربران حقیقی، حقوقی و امضای مشترک ارایه می‌دهد. این سامانه که هم بر بستر وب و هم موبایل به‌صورت اپلیکیشن برای مشتری قابل دسترسی است، سرویس امضای دیجیتال را اصلی‌ترین امکان خود معرفی کرده، غیر از این، ديگر سرویس‌ها در همراه بانک آینده قبلا ارایه شده بود.

بنابراین تمرکز این بحث روي امضای دیجیتال است که بر مبنای اثر انگشت مشتری انجام می‌شود. مشتری پس از نصب اپلیکیشن برای احراز هویت باید به شعبه مراجعه کند و پس از آن کد فعال‌سازی برایش ارسال می‌شود. در این خصوص سوالاتی وجود دارد که می‌بایست مطرح شود و ابهامات موجود شفاف شود.

نخست آنکه در این سرویس تمام امکانات برای دسترسی و تغییر در حساب تا سقف یک میلیارد تومان در روز در بانک آینده و 500 میلیارد تومان بین بانکی کاملا مبتنی بر گوشی تلفن همراه است و درsecure element گوشی ذخیره و توسط سیستم‌عامل گوشی محافظت می‌شود. حال اگر کسی بتواند سیستم‌عامل گوشی (به‌خصوص اندروید) را هک کند، به‌راحتی به کيلید خصوصی کاربر دسترسی داشته و در واقع دارای امضای دیجیتال مشتری خواهد بود و می‌تواند حجم گسترده‌ای از پول را از حساب کاربر جابه‌جا کند.

حال در نظر بگیرید که به‌خصوص در گوشی‌های اندروید که  open source بوده و هر برنامه‌نویسی با هر نیتی اپلیکیشن خود را در اپ‌استورها ارایه کرده است، اپلیکیشن‌های زیادی هستند که غیر‌استاندارد بوده و با هدف هک اطلاعات مشتریان در اینترنت عرضه شده‌اند. **همه مشتریان اطلاعات کافی در مورد مسایل سایبری ندارند، لذا احتمال آنکه اپلیکیشنی را نصب کنند که بتواند اطلاعات امضای دیجیتال آنها را سرقت و از این طریق حسابشان را خالی کند، زیاد است. در این صورت از نظر حقوقی تکلیف چیست و کاربر باید به کجا شکایت ببرد؟ پلیس فتا چگونه قادر خواهد بود رد چنین اتفاقات پیچیده‌ای را بگیرد؟**

از طرف دیگر، مکانیزم گوشی‌های اندرویدی به‌گونه‌ای است که با تغییر یا غیرفعال کردن الگو (pattern) یا رمز قفل گوشی، امکان ریکاور کردن اطلاعات رمزنگاری‌شده و امضای دیجیتال وجود نخواهد داشت! بنابراین مشتری باید دوباره به شعبه مراجعه کرده و اپلیکیشن خود را بار ديگر فعال‌سازی کند. این مساله کاربری را برای مشتریان سخت و پیچیده خواهد کرد. همچنین اگر گوشی دزدیده یا فروخته شود، نیاز است تمام اطلاعات بار ديگر در شعبه بانک بارگذاری شود. بنابراین منتقل کردن اطلاعاتی با این درجه اهمیت بر بستر تلفن همراه به نظر کاری شیک و سرویسی جذاب است، ولی در عمل خطرات بالقوه زیادی دارد.

**آیا اساسا ارایه سرویسی که خطر هک شدن دارد و در عین حال امکان جابه‌جایی یک میلیارد تومان را فراهم می‌آورد، صحیح است؟ یا آنکه باید گوشی موبایل را صرفا برای ابزاری برای پرداخت‌های خرد به‌کار برد؟ در پروژه‌های شهری که پرداخت با NFC موبایل همیشه مساله‌ای داغ و مورد توجه بوده، تبدیل شدن گوشی موبایل به ابزار کیف پول با سقف مبلغ 200 هزار تومان همواره به دلایل امنیتی بسیار پر‌ریسک و حساس بوده است. حال چگونه در‌حالي‌که بانک مرکزی توجهی به اين اپليكيشن ندارد، کیلید اجازه دارد موبایل را به درگاهی برای جابه‌جایی حجم‌های عظیمی از پول تبدیل کند؟**

جمع‌بندی

بانک مرکزی بايد نظارت کافی و جامع و رصد تیزبینانه‌ای نسبت به سرویس‌هایی که به‌خصوص بر بستر فناوری ارایه می‌شود، داشته باشد. یک بانک در حوزه عمومی خدمتی را با امضای دیجیتال راه‌اندازی کرده که از هیچ مرجعی قابلیت استعلام و تایید ندارد و حتی براساس اطلاعات ما به ریشه بانک مرکزی نیز متصل نیست، در صورت بروز تخلف قانون‌گذار به دلیل نبود ساختار اعتباردهی به امضای دیجیتال که یکی از وظایف بانک مرکزی و وزارت صمت بوده در این شرایط چه برخوردی خواهد کرد و در صورت وارد شدن زیان احتمالی به کاربران این سرویس، چه کسی مسوولیت آن را به گردن خواهد گرفت؟

فناوری لبه تیز و برنده‌ای دارد که اگر درست از آن استفاده نشود ممکن است نتیجه عکس به همراه داشته باشد؛ اتفاقی که در فضای بانکداری و پرداخت الکترونیکی ایران سال‌ها است تکرار شده و مثال آن را می‌توان در ابزارهای شاپرک، پایا و شتاب دید. لذا در مورد امضای دیجیتال نیز باید مراقبت‌های هوشمندانه‌ای اعمال شود تا شرکت‌های فعال در حوزه فناوری، سرویس‌های خود را بر رگولاتوری تحمیل نکنند.

 

درج دیدگاه

بررسی بازی