گاف امنیتی در سیستم فناوری اطلاعات بانک مرکزی؟!

تاریخ انتشار : ۰۵ ارديبهشت ۱۳۹۵

حالا از آنجایی در شرکت شاپرک کلیه اطلاعات فعالان اقتصادی کشور از جمله شرکت ها و سازمان های گرفته تا افراد حقیقی با جزئیاتش وجود دارد، حفظ امنیت این اطلاعات مهم است. امنیتی که ممکن است با ورود نرم افزار امریکایی به مخاطره بیفتد. برای همین اساس به سراغ محسن قادری مدیرعامل شاپرک رفتیم که پاسخگو نبودند.

به گزارش گرداب، قرارداد شرکت شاپرک برای کشف تخلفات و افزایش ضریب امنیتی شبکه بانکی با یک شرکت امریکایی موجب انتقاد کارشناسان سایبری و پدافند غیرعامل شده است.

 شرکت شبکه الکترونیکی پرداخت کارت یا همان شاپرک برای کشف تخلفات در سیستم بانکداری الکترونیک با یک شرکت امریکایی قراردادی برای خرید یک نرم افزار حیاتی بسته است.

حالا از آنجایی در شرکت شاپرک کلیه اطلاعات فعالان اقتصادی کشور از جمله شرکت ها و سازمان های گرفته تا افراد حقیقی با جزئیاتش وجود دارد، حفظ امنیت این اطلاعات مهم است. امنیتی که ممکن است با ورود نرم افزار امریکایی به مخاطره بیفتد.
 
برنامه رادیویی پیک بامدادی به همین منظور به سراغ مسئولین امر رفته و در این باره سئوالاتی پرسیده که مطالعه آن خالی از لطف نیست.
 
متن زیر گزارش این قسمت از برنامه پیک بامدادی است که از نظر می گذرانید:
 
در ابتدا به سراغ محسن قادری مدیرعامل شاپرک رفتیم که پاسخگو نبود.
 
براساس گزارش به سراغ یکی دیگر از شاپرکی ها رفتیم و همکار آقای قادری اول از اینکه ما از این موضوع با خبر شدیم تعجب کرد و بعد هم با تایید اهمیت این نرم افزار قول همکاری داد. وی گفت:
از آنجا که این پروژه هنوز استارت نخورده، هنوز اجرایی نشده است؛ برای همین دوستان تمایل ندارند که خبری شود. این چیزی که هست این است که سورس اطلاعات را که به آنها نمی دهند. در حال تست هستند. این نرم افزارها و شرکت ها سیستم های امنیتی خیلی قوی ای دارند و اینگونه نیست که این اطلاعات را به آن ها بدهند و بعد داستان های امنیتی رخ دهد.

با پیگیری بیشتر بالاخره شاپرک ها البته این بار با این استدلال که این نرم افزار خیلی هم چیز مهمی نیست توپ سوال ما را به زمین بانک مرکزی انداختند.

آقای کریمی مدیر روابط عمومی بانک مرکزی گفته با شما صحبت می کند. البته این نرم افزار خاصی نیست. همه دارند از آن استفاده می کنند. از مخابرات گرفته تا جاهای مختلف در حال استفاده از آن هستند.

خوب پس چرا ما می خواهیم آن را وارد کنیم در حالیکه این نرم افزار موجود است.

نه. جاهای مختلف در حال استفاده اند ولی این نرم افزار ما مقداری پیشرفته تر است.

پس از پاس سوال ما از شاپرکی ها به مدیر روابط عمومی بانک مرکزی؛ آقای کریمی هم با پاس گلش ما را به ناصر حکیمی مدیرکل فناوری اطلاعات و ارتباطات بانک مرکزی رساند تا سوالاتمان را از ایشان بپرسیم.

ما هم از چرایی تا چگونگی این نرم افزار از آقای حکیمی پرسیدیم.
این نرم افزار در کنار خیلی از نرم افزارهای دیگه ای که تایید میشود صرفا برای این است که شما مهندسی معکوسش بکنید و بتوانید یک نرم افزار بومی بنویسید که بتواند بحث تشخیص تقلب را در داخل کشور انجام بدهید و قرار هم نیست که این نرم افزار بعنوان یک نرم افزار امنیتی بر روی سیستم های حاکمیتی نصب شود. روی سیستم ایزوله نصب می شود. بنابراین نرم افزارهایی که خریداری می شود روی داده های و سیستم های واقعی کار نمی کند.

برای بررسی استدلال های آقای حکیمی به سراغ یکی از کارشناسان امنیت در فضای سایبری و نرم افزاری هم رفتیم. این کارشناس که از بردن نامش معذوریم معتقد است که توضیحات بانک مرکزی برای امن بودن و بومی کردن نرم افزارهای امریکایی برای سیستم بانکی منطقی نیست.

موضوعی که مطرح می شود در حوزه مهندسی معکوس امکان پذیر نیست. چرا که این نوع نرم افزارها نوعا اپن سورس (Open Source) نیستند و ما به سورس این ها دسترسی نداریم و به این راحتی هم نیست که ما بتوانیم الگوریتم های هوش مصنوعی این نوع نرم افزارها را بیرون بکشیم.

تفاوت بانک های معتبر دنیا با دیگر بانک نه در سودهای کلان است و نه در جوایز آنچنانی. بلکه در حفظ اسرار و اطلاعات حساب های مشتریانشان است. حالا اگر در یک سیستم بانکی اخلالی در امنیت این اسرار و اطلاعات ایجاد شود اعتبار و اعتماد به آن سیستم بانکی هم از بین می رود.
منبع: رجانیوز