رفتار فراقانونی ارتباط فردا برای جا انداختن سرویس‌ها!

چالش امنیت اپلیکیشن کیلید بانک آینده برای کاربران

نود فناوری – حتما تاکنون برای شما هم پیش آمده است که در صف پشت دستگاه خودپرداز باشید و یک فرد مسن کارتش را در اختیار شما قرار دهد و از شما بخواهد که تراکنشی را برایش انجام دهید و پول نقد دریافت کنید. همیشه این سوال وجود دارد که دیجیتال کردن فرایندهای سنتی چقدر در جامعه کشش دارد و مردم چقدر می توانند از ابزارهای فناورانه برای انجام تراکنش های مالی که به شیوه سنتی برایشان جا افتاده است استفاده کنند؟ یا اصلا چقدر لازم است که ما همه چیز را دیجیتال کنیم و دراختیار مردم قرار دهیم؟ می‌دانیم که به طور کلی فناوری از کشورهای جهان اول به کشور ما منتقل می‌شود و مانند یک ساطور تیز می‌ماند که اگر کار با آن را بلد باشیم می‌توانیم استفاده‌های خوبی از آن کنیم و درغیر این صورت هزینه‌های زیادتری را به ما وارد می‌کند. شهوت فناورانه در برخی از بانک ها و علی الخصوص شرکت های پیرامون آنها بدون توجه به این واقعیات، باعث شده تا سرویس‌هایی را ارایه کنند که به نظر نوین و نوآور ولی در عین حال خطرناک است. شرکت ارتباط فردا جدیدا محصولی تحت عنوان کیلید keylead برای بانک آینده ارایه کرده که امکان امضای دیجیتال و صدور چک به صورت دیجیتال را به مشتریان حقیقی و حقوقی می‌دهد. شاید در نگاه اول سرویس فناورانه و خلاقانه ای به نظر برسد ولی باید همه ابعاد این نوآوری‌ها را در نظر گرفت و باید دید میزان امنیتی این سرویس برای مشتری فراهم می‌آورد چقدر است؟

این در حالی است که ظاهرا هنوز قوانین مربوط به امضای دیجیتال در بانک مرکزی در هاله‌ای از ابهام است. در این شرایط چه طور بانک آینده ایده‌های نوآورانه شرکت ارتباط فردا را به مشتریان عرضه می‌کند؟ هدف از نگارش این یادداشت بررسی ابعاد مختلف سرویس امضای دیجیتال در اپلیکیشن کیلید و روشن کردن اذهان مردم در خصوص آن و یادآوری نکات مهم امنیتی و خطرات بالقوه چنین سرویس‌هایی است.

سامانه” کیلید “بانک آینده، یک محصول جدید در حوزه بانکداری دیجیتال و قابل اجرا در بستر تلفن همراه است که از طریق اینترنت مجموعه‌ای از خدمات مختلف بانکی را به کاربران حقیقی، حقوقی و امضاء مشترک ارائه می‌دهد. این سامانه که هم بر بستر وب و هم موبایل به صورت اپلیکیشن برای مشتری قابل دسترسی است سرویس امضای دیجیتال را اصلی‌ترین امکان خود معرفی کرده، غیر از این بقیه سرویس‌ها در همراه بانک آینده قبلا ارایه شده بود.

بنابراین تمرکز این بحث بر روی امضای دیجیتال است که بر مبنای اثر انگشت مشتری انجام می‌شود. مشتری پس از نصب اپلیکیشن برای احراز هویت باید به شعبه مراجعه کند و پس از آن کد فعالسازی برایش ارسال می‌شود. در این خصوص سوالاتی وجود دارد که می بایست مطرح شود و ابهامات موجود شفاف شود.

نخست آنکه در این سرویس تمام امکانات برای دسترسی و تغییر در حساب تا سقف یک میلیارد تومان در روز در بانک آینده و ۵۰۰ میلیارد تومان بین بانکی کاملا مبتنی بر گوشی تلفن همراه است و در secure element گوشی ذخیره می‌شود و توسط سیستم عامل گوشی محافظت می‌شود. حال اگر کسی بتواند سیستم عامل گوشی (مخصوصا اندروید) را هک کند به راحتی به کلید خصوصی کاربر دسترسی داشته و در واقع دارای امضای دیجیتال مشتری خواهد بود و می تواند حجم گسترده‌ای از پول را از حساب کاربر جابجا کند.

حال در نظر بگیرید که مخصوصا در گوشی‌های اندروید که به صورت open source است و هر برنامه نویسی با هر نیتی اپلیکیشن خود را در اپ استورها ارایه کرده است، اپلیکیشن‌های زیادی هستند که غیر استاندارد بوده و با هدف هک اطلاعات مشتریان در اینترنت عرضه شده‌اند. همه مشتریان هم که اطلاعات کافی در مورد مسایل سایبری ندارند. لذا احتمال آن که اپلیکیشنی را نصب کنند که بتواند اطلاعات امضای دیجیتال آن ها را سرقت کند و از این طریق حسابشان را خالی کند زیاد است. در این صورت از نظر حقوقی تکلیف چیست و کاربر باید به کجا شکایت ببرد؟ پلیس فتا چگونه قادر خواهد بود رد همچین اتفاقات پیچیده ای را بگیرد؟

از طرف دیگر مکانیزم گوشی‌های اندرویدی به گونه‌ای است که با تغییر یا غیرفعال کردن الگو (pattern) یا رمز قفل گوشی، امکان ریکاور کردن اطلاعات رمزنگاری شده و امضای دیجیتال وجود نخواهد داشت! بنابراین مشتری باید مجددا به شعبه مراجعه کرده و اپلیکیشن خود را مجددا فعالسازی کند. این مساله کاربری را برای مشتریان سخت و پیچیده خواهد کرد. همچنین اگر گوشی دزدیده شود و یا فروخته شود نیاز است تمام اطلاعات مجددا در شعبه بانک بارگذاری شود. بنابراین منتقل کردن اطلاعاتی با این درجه اهمیت بر بستر تلفن همراه به نظر کاری شیک و سرویسی جذاب است ولی در عمل خطرات بالقوه زیادی دارد.

آیا اساسا ارایه سرویسی که خطر هک شدن دارد و در عین حال امکان جابجایی یک میلیارد تومان را فراهم می آورد، صحیح است؟ یا آنکه باید گوشی موبایل را صرفا برای ابزاری برای پرداخت های خرد بکار برد؟ در پروژه‌های شهری که پرداخت با NFC موبایل همیشه مساله‌ای داغ و مورد توجه بوده است، تبدیل شدن گوشی موبایل به ابزار کیف پول با سقف مبلغ ۲۰۰ هزار تومان همواره به دلایل امنیتی بسیار پر ریسک و حساس بوده است. حال چه طور شده که بانک مرکزی توجهی به کیلید ندارد و اجازه آن برای کیلید وجود دارد که موبایل را به درگاهی برای جابجایی حجم های عظیمی از پول کند؟

جمع بندی

بانک مرکزی می‌بایست نظارت کافی و جامع و رصد تیزبینانه‌ای نسبت به سرویس‌هایی که مخصوصا بر بستر فناوری ارایه می‌شود داشته باشد. اینکه یک بانک در حوزه عمومی خدمتی را با امضای دیجیتال راه‌اندازی کرده که از هیچ مرجعی قابلیت استعلام و تایید ندارد و حتی براساس اطلاعات ما به ریشه بانک مرکزی نیز متصل نیست، از منظر حقوقی در صورت بروز تخلف قانون‌گذار به دلیل نبود ساختار اعتباردهی به امضای دیجیتال که یکی از وظایف بانک مرکزی و وزارت صمت بوده در این شرایط چه برخوردی خواهد کرد و زیانی احتمالی که می‌تواند به کاربران این سرویس وارد شود در این وضعیت چه کسی گردن خواهد گرفت.

فناوری لبه تیز و برنده‌ای دارد که اگر درست از آن استفاده نشود ممکن است نتیجه عکس به همراه داشته باشد. اتفاقی که در فضای بانکداری و پرداخت الکترونیکی ایران سال هاست تکرار شده است و مثال آن را می‌توان در ابزارهای شاپرک، پایا و شتاب دید. لذا در مورد امضای دیجیتال نیز باید مراقبت‌های هوشمندانه‌ای اعمال شود تا شرکت‌های فعال در حوزه فناوری، سرویس‌های خود را بر رگولاتوری تحمیل نکنند.

منبع: هفته نامه عصر ارتباط