نفوذ آمریکا به شبکه پروانه؛

پاسخ متهم به جای نهادهای امنیتی!

تاریخ انتشار : ۱۴ ارديبهشت ۱۳۹۵

قریب به 10 روز پس از افشای خبر تکان‌دهنده برون‌سپاری تهیه نرم‌افزارهای حیاتی و زیرساختی نظارت و کنترل گردش مالی و شناسایی تقلب (Fraud Detection) در شبکه پرداخت الکترونیکی کشور توسط زیرمجموعه بانک مرکزی به شرکت آمریکاییSAS، سرانجام توضیحی کوتاه در این باره از سوی شرکت شاپرک برای روزنامه «وطن امروز» ارسال شد.

به گزارش گرداب، شرکت شاپرک (شبکه الکترونیکی پرداخت کارت) در این توضیح اظهار داشته است: «نرم‌افزار SAS یک نرم‌افزار تحلیل آماری و مدل‌سازی عمومی است که داده‌های آزمایشی و غیرحساس را تحلیل کرده و امکان مدل‌سازی فرآیندهای تشخیص را در محیط ایزوله به کارشناسان مربوط می‌دهد. این نرم‌افزار روی سامانه‌های برخط و داده‌های اصلی نصب نشده و تهدیدی امنیتی را متوجه سامانه‌های حساس بانکی نمی‌کند».

در ادامه آمده است: «در ضمن، قرارداد موصوف با شرکت آمریکایی منعقد نشده و این قرارداد با یکی از نمایندگان رسمی این شرکت که مدیریت و مالکیت صددرصد ‌ایرانی دارد، بسته شده است». «وطن امروز» پاسخگویی هرچند دیرهنگام شاپرک به نگرانی‌های جدی ایجاد شده میان متخصصان، سازمان‌ها، نهادها، رسانه‌ها و عامه مردم به علت خطر نقض جدی «حریم خصوصی» و «امنیت ملی» را به فال نیک می‌گیرد اما آنچه از توضیحات کوتاه و خلاصه یادشده به دست می‌آید متاسفانه موید اطلاعات تخصصی ارائه شده به جامعه مخاطبان در مجموعه گزارش‌های منتشرشده است. علاوه بر آن انتظار این است که نهادهای امنیتی هر چه سریع‌تر گزارشی را پیرامون تخلف و خطای مهم بانک مرکزی به مردم ارائه داده و مسیر بروز ناامنی سایبری را قانونا با «ممنوعیت عقد قرارداد با شرکت‌های آمریکایی» در حوزه‌های حساس مسدود کنند. بسیار مهم است که شرکت شاپرک ضمن تایید اصل قرارداد منعقد شده با شرکت آمریکایی «SAS»، تصریح می‌کند قرارداد با شعبه منطقه‌ای مرکز مذکور منعقد شده و علاوه بر تایید گزارش اولیه «وطن امروز» مبنی بر حضور سریع و بدون فوت وقت نمایندگان دفتر دوبی و پاکستان شرکت آمریکایی در تهران صرفا به «ایرانی‌تبار» بودن مدیریت شعبه استناد می‌کند. در حالی که «ایرانی» یا «غیرایرانی» بودن مدیریت شعبه خاورمیانه شرکت آمریکایی هیچ تفاوتی در اصل ماجرا ایجاد نمی‌کند، چرا که مدیران و کارمندان شعبه مذکور طبیعتا مستقل از دفتر مرکزی نبوده و مستقل از سیاست‌گذاری‌ها و اهداف و برنامه‌های آن نمی‌توانند باشند!
تخصص شرکت آمریکایی SAS مطابق اعلام رسمی در تارنمای شناخته شده آن، تجزیه و تحلیل هوشمند اطلاعات تجاری و مدیریت داده‌هاست. علم «داده‌کاوی» حاصل کنار هم گذاشتن و مدلسازی اطلاعات جزئی و حتی غیرمحرمانه برای رسیدن به نقشه‌ای هوشمند برای تحلیل هدفمند جامعه مبدأ است. با این احتساب دقیقا مشخص نیست منظور شرکت شاپرک از در اختیار گذاشتن «داده‌های آزمایشی و غیرحساس» برای شناسایی عملیات تقلب در شبکه بانکی کشور چیست؟! اصولا همه اطلاعات بانکی موجود در سرورها و بانک‌های اطلاعاتی شرکت شاپرک حیاتی و حساس و ملی است و نه‌تنها شرکت آمریکایی SAS بلکه هیچ شرکت دیگری با تخصص در همین زمینه بدون دریافت سناریوهای قدیمی سیستم قادر به طراحی و ارائه نرم‌افزار اختصاصی نیست! روند مذکور پروسه‌ای کاملا علمی و معین در حوزه مهندسی داده است و هیچ بخشی از آن بر متخصصان داخلی فعال در این زمینه پنهان نیست. کما اینکه شرکت آمریکایی نیز در اطلاعات ارائه شده به مشتریان به انجام عملیات «DATA MINING» برای ارائه نسخه اختصاصی کشف تقلب به صراحت معترف است. بنابراین بدون ارائه اطلاعات مرتبط نیز نمی‌تواند براساس فرضیات تخیلی و توهمی مدلی کارآمد و موثر ارائه دهد.
مشکل مهم بعدی که متاسفانه در پاسخ شاپرک به آن کوچک‌ترین اشاره‌ای نشده، نسبت قرارداد با شرکت «آمریکایی» و فرمان رهبر انقلاب در نفی وابستگی کشور به محصولات «آمریکایی» مطابق با اصول اقتصاد مقاومتی و امنیت ملی است. در شرایطی که به سادگی می‌توان نام چند  شرکت دانش‌بنیان ایرانی و امن فعال در حوزه «داده‌کاوی» با تخصص بر موضوع «کشف تقلب» را در مرور روابط دیگر نهادها و مراکز حساس کشور برای رفع نیازها به دست آورد، به چه علت شرکت زیرمجموعه بانک مرکزی جمهوری اسلامی ایران با شرکت «آمریکایی» SAS در حوزه‌ای صد در صد مرتبط با امنیت ملی قرارداد امضا کرده است؟ آیا علت حساسیت مضاعف نهادهای امنیتی کشور در موضوع مورد بحث و آغاز تحقیق و تفحص پیرامون اهداف و نیات امضاکنندگان این قرارداد عجیب و غیرقابل توجیه، توجه به همین نکات مهم اما بی‌پاسخ مانده نیست؟
گفتنی است مقامات مسؤول بانک مرکزی در شرایطی خبر انعقاد قرارداد کمپانی آمریکایی SAS با شرکت شبکه الکترونیکی شاپرک را تایید کرده‌اند که چندی پیش نیز خبر اتصال شرکت آمریکایی پیمنت وال (Payment wall) به شبکه شتاب ایران تکذیب شد.
هشدار دستگاه‌های ناظر
شایان ذکر است هنوز تحریم‌های دلاری ایران از طریق دولت آمریکا پابرجاست و بسیاری از مراودات بانکی و بین‌المللی ایران با بانک‌های دنیا و حتی برقراری سوئیفت به صورت ارز دلار امکان‌پذیر نیست. در چنین شرایطی طمع شرکت‌های آمریکایی برای دسترسی به شبکه داده بانک مرکزی و شرکت شبکه الکترونیکی پرداخت کارت (شاپرک) قابل تامل است.
سردار غلامرضا جلالی، رئیس سازمان پدافند غیرعامل کشور با تعریف یک پرونده جاسوسی در همین رابطه گفت: آمریکایی‌ها اخیرا اشاره کرده‌اند در عملیات «نیترو زئوس» در زیرساخت‌های سایبری ایران دستگاه‌های الکترونیکی کاشته‌اند که هم می‌توانند جاسوسی و هم در مواقع لزوم تخریب ایجاد کنند، لذا ما در زمینه‌های بانکی به دوستان بانک مرکزی گوشزدهای لازم را داده‌ایم. اگر نرم‌افزارهای داخلی وجود دارد که باید از داخل تهیه شود، اگر نه باید ما آن‌ را ارزیابی دقیق کنیم. سردار جلالی خاطرنشان کرد: در وضع موجود اگر تحریم جدید به وجود‌ آید، حتی امکان یک جابه‌جایی پولی ممکن نخواهد بود از این رو مسؤولان باید به توسعه شبکه‌های زیرساخت ملی سرعت دهند که اگر تحت تأثیر تحریم قرار گرفتیم، مشکل و خللی پیش نیاید.