سرقت‌هاى كامپيوترى و راه‌هاى مقابله شبكه‌هاى بانكى با آن

خبرگزارى فارس- اخيراً رسانه‌هاى خبرى كشور ، خبرى از وقوع يك سرقت كامپيوترى در بانك ملّى ايران انتشار دادند. انتشار اين خبر ، بازتاب‌هاى متفاوت و گاه متضادى در پى داشت. در اين ميان آنچه كه كمتر مورد توجه قرار گرفت و به عبارتى ديگر اصلاً مورد توجه قرار نگرفت ، برخورد با موضوع از زاويه دقيق علمى‌و ارايه اطلاعاتى مستند از چند و چون واقعيت سرقت‌هاى كامپيوترى مالى در سطح كشورهاى گوناگون جهان است .
اين بازتاب‌ها به گونه اى بود كه شمارى وقوع چنين سرقتى را در دنياى پر از رمز و از تجارت الكترونيك عادى و رقم آن را در مقايسه با وقوع سرقت از بانك‌ها به شيوه سنتى ، ناچيز و در مقايسه با كل داد و ستد پول در شبكه بانك ملى ايران بسيار ناچيزتر قلمداد كردند و گروهى ديگر اين سرقت را بهانه اى براى انتقاد از ضعف تدابير ايمنى در شبكه بانكدارى الكترونيك كشور ، قرار دادند .
روابط عمومى‌بانك ملى ايران با انتشار گزارشى در اين باره به اطلاع رسانى اقدام كرده است :
به اين موضوع بايد توجه كرد كه رسانه‌هاى همگانى تأثيرگذارى مهمى‌روى افكار عمومى‌دارند . اين تأثيرگذارى در كشورى مانند ما كه سطح آگاهى‌هاى علمى‌آنها نسبت به اين قبيل موضوعات چندان بالا نيست ، اهميتى مضاعف پيدا مى‌كند .
بنابراين اگر قرار باشد با چنين مسائل حساسى برخوردى سطحى صورت گيرد و همه در حد كلى گويى با آن برخورد و روزنامه نگاران در قالب انشاء نويسى به آن بپردازند ، نمى‌توان اميدوار بود كه در راه اقناع افكار عمومى‌، گام موثرى برداشته شده است .
نوشتار زير با استفاده از منابع به روز و دست اول بين المللى كوشش مى‌كند تا اطلاعاتى مستند پيرامون موضوع ارائه دهد .

تلاش در دو بعد فنى و حقوقى :
در كل سرقت‌هاى مالى كامپيوترى انواع گوناگونى دارند و به شيوه‌هاى متفاوتى هم صورت مى‌گيرد ، ضمن آن كه با پيشرفت تكنولوژى، روز به روز، هم برپيچيدگى و هم بر تنوع آنها افزوده مى‌شود .
به همين دليل در كشورهاى صنعتى تلاش بسيار زيادى در حال انجام است تا از يك سو تدابير سخت افزارى و نرم افزارى ايمنى بيشترى براى مقابله با اين نوع سرقت‌ها اتخاذ شود و از سوى ديگر قوانين و مقررات جديدترى در راستاى برخورد با سارقان كامپيوترى به ميان آيد .

عدم وجود ايمنى صددرصد تحت هر شرايطى در هر كجاى دنيا :
با اين همه و به رغم تمامى‌اين تمهيدات ، همه متخصصان اين رشته ترديدى ندارند كه هرگز نمى‌توان شبكه‌هاى مالى كامپيوترى را در بانك‌ها و ديگر مؤسساتى كه با پول سرو كار دارند ، در هيچ كجاى دنيا و تحت هر شرايطى ، صددرصد ايمن دانست .
مصداق اين نكته ، گزارش يك مرجع بين المللى است كه صريحاً ذكر مى‌كند نفوذ به داخل شبكه‌هاى مالى كامپيوترى كه با سيستم‌هايى نظير «مايكروسافت» ، «سان» ، «آى بى ام » و «اوراكل» اداره مى‌شوند ، كاملاً امكان پذير است

. ماه‌ها براى كشف و سال‌ها براى رفع مشكل :
يك بررسى انجام شده در آمريكا كه در ماه آوريل 2003 ( ارديبهشت 1382) توسط شركتى به نام «STAR SYSTEMS » صورت گرفت ، نشان مى‌دهد 12 ميليون نفر از جمعيت آمريكا تنها قربانى يك گونه از سرقت‌هاى مالى كامپيوترى به نام «سرقت هويت » بوده‌اند .
گزارش شركت « STAR SYSTEMS » روى اين نكته تأكيد مى‌كند كه آمار فوق چندان هم دقيق نيست ، زيرا بخشى از اين جرايم ماهها ناشناخته مى‌ماند ، ضمن آن كه تازه زمانى كه وقوع اين سرقت‌ها كشف شد ، سال‌ها به طول مى‌انجامد تا بتوان مشكل را حل كرد !
در همين زمينه ، گزارش مى‌شود كه كميسيون فدرال آمريكا در سال 2002 ، 161819 مورد ، شكايت مربوط به سرقت هويت را ثبت كرد كه 17 درصد آن به تقلب در امور بانكى مربوط مى‌شده است .

خسارت 24 ميليارد دلارى در آمريكا و قوانين جديد :
موضوع فوق كه طبق يك آمار خسارتى نزديك به 24 ميليارد دلار در سال وارد مى‌كند ، سبب شده تا از سال 1998 به بعد قوانين جديدى در اين زمينه در آمريكا مطرح شود كه از جمله آنها قانون « PATRIOT » است كه از مر ماه گذشته به مورد اجرا در آمده است .
همچنين قانون ديگرى به نام «BASELII » در رابطه با ريسك عملياتى بانك‌ها مطرح است كه از سال 2006 بايد اجرا شود .

40 پليس متخصص در انگلستان و20 نفر در برزيل :
موضوع جرايم اينترنتى و سرقت از بانك‌ها از طريق شبكه‌هاى كامپيوترى آنقدر جديد است كه در كشورى مانند انگلستان ، تنها 40پليس متخصص اين رشته در سال 2001 آموزش ديده اند و فعلاً هم فقط در لندن مستقر هستند . تنها قرار است به اين تعداد تا سال 2004 ، 40 نفر ديگر اضافه و در سطح شهرهاى ديگر انگلستان ، عملياتى شوند .
پليس انگلستان تا سال 2004 ، 25 ميليون پوند براى مقابله با اين نوع جرايم هزينه خواهد كرد .
در كشور برزيل نيز تنها 20 افسر در دايره جرائم اينترنتى فعاليت مى‌كنند و فعلاً فقط در « سائوپولو» پايتخت اقتصادى آن كشور استقرار پيدا كرده‌اند .
در برزيل ماهى 20 مجرم اينترنتى دستگير مى‌شوند .

سه نوع اخلالگر :
بد نيست روى اين نكته تأكيد شود كه در كل سه نوع اخلالگر به داخل شبكه‌هاى مالى كامپيوترى نفوذ مى‌كند.
كسانى كه براى تفريح اين كار را مى‌كنند.
مجرمينى كه با قصد ارتكاب جرم و سرقت به اين كار روى مى‌آورند
فعالان سياسى كه در راه نيل به اهداف خاص خود ، در اين زمينه گام بر مى‌دارند .
هدف : شركت‌هاى متصدى پردازش صورت حساب‌ها نه خود بانك‌ها:
در مورد شيوه اعمال سرقت‌هاى اينترنتى از بانك‌ها گفتنى است كه ساده ترين نوع آن ، آن نيست كه به طور مستقيم خود بانك هدف قرار گيرد ، بلكه كافى است تا هدف يكى از شركت‌هايى باشد كه از سوى بانك‌ها متصدى پردازش صورت حساب‌ها و اطلاعات مى‌شوند ، چه در بسيارى اوقات ، بانك‌ها اين اجازه را به اين قبيل شركت‌ها مى‌دهند تا كل شبكه‌ها را اداره كنند .
تشكيل تيمى‌متشكل از شخصى از درون ، يك گام ضرورى :
شرايط فوق در حالى است كه در اغلب اوقات ، تشكيل تيمى‌متشكل از شخصى از درون سازمان يك گام ضرورى براى نفوذ به داخل شبكه‌هاى مالى كامپيوترى به شمار مى‌رود .
يك تحليلگر وزارت خزانه دارى آمريكا در اين زمينه عقيده دارد ، بيش از 60 درصد نفوذهاى گزارش شده به داخل شبكه‌هاى مالى كامپيوترى ، در برگيرنده همكارى يك فرد يا افرادى از درون بوده است .

زمان متفاوت براى سرقت مبالغ متفاوت :
به عقيده كارشناسان امور ايمنى شبكه‌هاى مالى كامپيوترى ، سرقت 5000 تا 10000 دلار از طريق نفوذ به داخل شبكه‌هاى كامپيوترى ظرف چند هفته صورت مى‌گيرد ، ولى سرقت مبالغ بالاى يك ميليون دلار به چهار تا شش ماه وقت لازم دارد .

آمارهاى مربوط به اين گونه سرقت‌ها :
در مورد حوادث مربوط به سرقت‌هاى اينترنتى از بانك‌ها و موسسات مالى در كشورهاى گوناگون جهان آمارهاى گوناگونى ارايه شده است .
به عنوان مثال ، يك كارشناس نفوذگرى (HACK) از شركت «PREDICTIVE SYSTEMS » كه شركت وى متخصص مقابله و بهينه سازى سيستم‌ها در برابر نفوذ است ، اظهارنظر مى‌كند كه حدود دومرتبه در ماه ، از اين شركت براى انجام كار دعوت به عمل مى‌آيد . همچنين گزارش شده است كه در سال 2000 بيش از 20بانك استراليا ، مورد حمله نفوذگران قرار گرفت .
طبق گزارشى كه در ماه مه 2003 انتشار يافت ، بيش از يك سوم بانك‌ها و شركت‌هاى ارايه كننده خدمات مالى در سال 2002 ، موردى از نفوذ به داخل شبكه‌هاى كامپيوترى خود را داشتند .
شركتى به نام « (DELOITTE TOUCHE TOHAMATSUDTT) » كه گزارش فوق ر تهيه كرده ، مى‌گويد از 39 درصد مجموع شركت‌هاى خدمات مالى يا بانك‌هايى كه وقوع چنين حوادثى را پذيرفتند ، 16 درصد آنها با حملات بيرونى ، 10درصد نفوذ داخلى و 13 درصد با هردو عامل مرتبط بوده‌اند .

آسيب ديدن همزمان 300 بانك در آمريكا :
در اين ميان ، يكى از قابل توجه ترين حملات نفوذى به شبكه‌هاى كامپيوترى بانك‌ها و موسسات مالى در سال 2002 روى داد.
در اين حادثه ، يك شركت ارايه دهنده خدمات به صنايع مالى در آمريكا به نام «S1 CORP» مورد حمله قرار گرفت و باعث شد تا بيش از 300 بانك ، اتحاديه اعتبارى ، بيمه و شركت‌هاى سرمايه گذارى به طور همزمان تحت تأثير قرار گرفته و به گونه ا آسيب ببينند .
در انگلستان نيز در دو ماه پيش (سپتامبر 2003) ، بانك مشهور « BARCLAYS » قربانى حملات نفوذى شد ، ضمن آن كه در همان زمان به دو بانك كانادايى به نام «BMO» و «MOUVEMENT DES CAISSE DES JARDINS » در مونترال نيز حمله شد .

حكايت جنگجويان چچن !
در ميان حملات نفوذى اينترنتى به بانك‌ها دو مورد متفاوت و جالب نيز وجود دارد. يكى از اين موارد آن گونه كه روزنامه ايزوستيا چاپ مسكو در سپتامبر 2002 گزارش مي‏كند، به سال قبل از آن يعنى 2001 برمى‌گردد. در آن زمان جنگجويان چچن چند بار تلاش كردند تا به 10 بانك بزرگ اروپايى حمله نفوذى انجام دهند.
بر اساس نوشته « ايزوستيا» ، شيوه نفوذ در اين زينه منحصر به فرد بود و حكايت از توانمندى علمى‌بالاى نفوذگران داشت .
YIHAT براى نفوذ به حساب‌هاى اثامه بن‌لادن !
مورد ديگر به تشكيل گروهى موسوم به « YIHAT» به سرپرستى يك بازرگان آلمانى در سال 2002 مربوط مي‏شود كه نوعى جنگ اينترنتى ضد ترور راه انداختند.
اين گروه متشكل از 34 نفر در 10 كشور جهان به بانك‌هايى نفوذ كردند كه تصور مي‏شد اثامه بن لادن و گروه القاعده در آنجا حساب بانكى دارند. در مورد اين گزارش ، « FBI» حاضر نشد به اظهار نظر بپردازد.
سواى آنچه كه گفته شد بد نيست به موارد جالب ديگرى در مورد نفوذ به سيستم‌هاى كامپيوترى نيز اشاره شود:

پنتاگون سالى 15 مييون حمله به خود را ثبت مي‏كند!
يك آمار انتشار يافته حكايت از آن دارد كه در نيمه اول سال 2002 ، بيش از 400000 حمله نفوذى تنها در يك بخش و در آمريكا صورت گرفته است .
گفته مي‏شود وزارت دفاع آمريكا ( پنتاگون ) به تنهايى 5/1 ميليون حمله نفوذى به سيستم‌هاى خود در سال را به ثبت مي‏رساند.
كشور برزيل را ابر آزمايشگاه جرايم اينترنتى در دنيا به حساب مي‏آورند . در اين كشور ماهنامه‏اى به نام ” H4CK3R” درباره دنياى زيرزمينى ديجيتال منتشر مي‏شود كه 20000 نسخه از آن از طريق دكه‌هاى روزنامه فروشى ، به فروش مي‏رسد.
در سال 2003 تاكنون 96000 حمله اينترنتى در اين كشور گزارش شده است كه در مقايسه با شمار حملات صورت گرفته در كشور تركيه ، شش برابر افزايش پيدا مي‏كند.
در آمريكا چنانچه نفوذگرى در دادگاه محكوم شود تا 5 سال زندان در انتظار وى خواهد بود.
بيشترين هزينه بانك‌ها ، هزينه‌هاى مرمت و تقويت سيستم‌ها :
در مورد حملات نفوذى كامپيوترى به شبكه‌هاى بانكى ،‌به اين نكته مهم بايد توجه داشت كه بيشترين خسارت بانك‌ها در اين ارتباط، فقدان پول سرقت شده نيست ، بلكه هزينه‌هايى است كه بايد صرف مرمت و تقويت سيستم‌ها شود تا از تكرار اين قبيل حملات ، جلوگيرى به عمل آيد.رقمى‌كه در اين زمينه برآورد مي‏شود آن است كه هر حمله نفوذى تا يك ميليون دلار براى مرمت، تقويت سيستم ها و مشاوره هزينه برمي‏دارد.

سالى 11 ميليارد دلار خسارت مصرف كنندگان آمريكايى :
علاوه بر اين تخمين زده مي‏شود كه جرايم اينترنتى 11 ميليارد دلار در سال براى شركت‌ها و مصرف كنندگان تنها در آمريكا هزينه بر‏مي‏دارد كه سهم روبه رشدى از اين رقم ، به بانك‌ها و مؤسسات مالى تعلق مي‏گيرد.
بر اساس گزارشى كه اداره پليس فدرال آمريكا ( FBI) و گروهى به نام « COMPUTER SECURITYINSTITUTE» در ماه آوريل 2002 انتشار دادند، به 223شركت از 503 شركتى كه به پرسش نامه‌هاى آنها پاسخ دادند تا 455 ميليون دلار بابت سرقت‌هاى اينترنتى خسارت وارد آمد .
تحقيقات شركت ديگرى به نام «GARTNER» در سال 2002 نشان مى‌دهد كه ارايه دهندگان خدمات مالى در جهان 381 ميليارد دلار روى بهينه سازى تكنولوژى مربوط به كار خود خرج كردند كه از اين رقم 163 ميليارد دلار سهم آمريكا ، 127 ميليارد دلار سهم اروپاى غربى و 54 ميليارد ريال سهم ژاپن بود .
اين هزينه ها درحالى است كه بسيارى از بانك‌ها و موسسات مالى به رغم ركود حاكم بر اقتصاد جهان در صدد برآمده اند تا ظرف دو سال آينده پست جديدى به نام « رياست بخش امنيت سيستم‌ها » يا «امنيت اطلاعات» را درون دستگاه‌هاى متبوع خود به وجود آورند .

اين اقدام هزينه‌ها را باز هم افزايش مى‌دهد .
عدم گزارش 80درصد جرايم به نيروى انتظامى‌:
ناگفته نماند ارقام و اعداد فوق در حالى گزارش مى‌شود كه طبق يك گزارش بانك جهانى ، 80 درصد جرايم اينترنتى در بخش مالى به نيروى انتظامى‌گزارش نمى‌شود ، ضمن آن كه كاركنان بخش تكنولوژى اطلاعات در بسيارى از بانك‌ها و موسسات مالى ، وقوع بسيارى از اين حوادث را از ترس اخراج و از دست دادن شغل ، به مقامات ارشد خود ، اطلاع نمى‌دهند .

عدم تمايل بانك‌ها به ارايه اطلاعات :
همچنين نه بانك‌ها و نه دستگاه‌هايى كه مسئول نظارت بر آنها هستند ، به ندرت حاضر مى‌شوند تا اطلاعاتى مربوط به نفوذ به سيستم‌هاى خود را علنى كنند . در اين زمينه ، « JOHN CARLSON» مشاور ارشد امور تكنولوژى انكدارى در « اداره ذيحسابى پول » وابسته به وزارت خزانه دارى آمريكا صراحتاً اظهار نظر مى‌كند كه ما واقعاً تمايلى نداريم تا اين گونه اطلاعات را علنى كنيم ؛زيرا اگر چنين اطلاعاتى علنى شوند ، در آن صورت بانك‌ها به نوبه خود از گزارش چنين مواردى خوددارى خواهند كرد .
وى اضافه مى‌كند : «اصولاً علنى كردن چنين اطلاعاتى ، نوعى قضاوت زودهنگام درباره موضوع را سبب خواهد شد و اين قضاوت در مورد كسانى است كه هيچگونه اتهام رسمى‌عليه آنها اقامه نشده است.»

نتيجه گيرى :
با يد توجه داشت ، شيوه‌هاى گوناگون حملات اينترنتى به بانك‌ها ، يكى از جرايم معمول در دنياى مجازى محسوب مى‌شود . جرايمى‌از اين دست براى كشورهايى كه تجارت الكترونيك و بانكدارى الكترونيك در آنها پياده سازى شده ، به نوعى عموميت يافته است . هرچند ميزان نسبتاً بالاى آمار مربوط به اين نوع جرايم ، نوعى بى اطمينانى نسبت به خريد و فروش « ON – LINE» را باعث مى‌شود ، ولى اولاً دايره اين جرايم نسبت به جرايم بانكى و مالى كه در دنياى واقعى روى مى‌دهد ، به مراتب كمتر است و ثانياً تبادلات مالى در آن به مراتب ايمن‌تر صورت مى‌گيرد. از طرف ديگر استفاده از خدمات الكترونيكى در بسيارى از كشورهاى دنيا ، امروزه تجربه شده و به جهت مزيت‌ها و بهره‌‌ورى‌هاى آن به سرعت درسطح جهان درحال گسترش است . مصداق اين امر پيش‏بينى شركت «FINANCIAL INSITE » ناشر خبرنامه «ON -LINE BANKING REPORT» است كه بر طبق آن ، شمار خانوارهاى استفاده كننده از بانكدارى ON – LINE از 22 ميليون در سال 2002 به 34 ميليون در سال 2005 افزايش پيدا خواهد كرد .
منابع و مآخذ اين گزارش نزد خبرگزارى فارس موجود است .