هیچ بانکی هک نشده ‌است

نام نویسنده: مهرک محمودی- فاطمه عبدالعلی‌پور

روند هماهنگ کردن گفتگو با مدیر اداره نظام‌های پرداخت بانک مرکزی روندی بسیار طولانی بود، چرا که ناصر حکیمی معتقد بود پروژه‌های در دستور کار بانک مرکزی باید به نتیجه‌ای برسد تا بتوان آن را با مطبوعات و رسانه‌ها در میان گذاشت، اما بعد از یک سال بالاخره پروژه‌ها به سرانجام رسیدند و او نیز به وعده خود عمل کرد.

بیشتر مدت زمان مصاحبه به دو موضوع اختصاص دات؛ شبکه یکپارچه پرداخت و گواهی الکترونیکی. در این بخش از گفتگو تمرکز روی چگونگی اجرایی شدن امضای دیجیتال برای بانک‌هاست، هرچند بحث امنیت شبکه بانکی و امکان هک شدن بانک‌ها نیز مطرح شد.

وقتی پس از یک ساعت اتاق وی را به دلیل پایان زمان اختصاص داده ترک می‌کردیم هنوز بخشی از سوال‌های ما باقی مانده بود که ما مطرح کردن آن را به زمانی دیگر سپردیم.

صدور گواهی الکترونیکی برای بخش بانکی بالاخره به کجا رسید؟بعد از گذشت این مدت آیا شبکه بانکی صاحب امضای دیجیتال می‌شود؟

CA که بحث جدیدی برای مجموعه بانکی نیست. به‌عنوان یک زیرساخت بسیار مهم از دو جهت برای شبکه بانکی اهمیت دارد، یکی ارتقای امنیت در بانکداری مجازی و دیگری هم به‌منظور موضوع ایجاد هویت دیجیتالی برای مشتریان بانکی و فراهم کردن زمینه‌ای برای ایجاد پایگاه جامع مشتریان بانک‌ها. طراحی‌هایش در این چند سال انجام شد و با توجه به تغییراتی هم که اتفاق افتاد ما دوباره در طراحی‌هایش بازنگری کردیم.

چه تغییراتی اتفاق افتاد؟ منظورتان تغییر در تصمیم‌گیری برای راه‌اندازی مرکز میانی به جای مرکز ریشه است؟

بیشتر مربوط به مباحث بانکی است. رویه‌ای که شاید پنج سال پیش در نظر داشتیم مکانیزمی با یک CA بانکی بود که زیرمجموعه‌اش CA بانک‌ها قرار داشتند، اما در طراحی جدید با توجه به زیرساخت‌های موجود طراحی کاملا متمرکز است. دو CA خواهیم داشت یکی برای مشتریان و دیگری برای بانکداران. طراحی به این صورت تغییراتی کرد و با توجه به تصمیماتی که قبل از سال گرفته شد و هماهنگی‌هایی که لازم است با جاهای دیگر انجام دهیم امیدواریم پروژه اجرا شود.

یعنی الان مرکز ریشه یکی خواهد بود؟ بانک مرکزی میانی اصلی می‌شود؟

در صلاحیت من نیست که بگویم مرکز ریشه یکی خواهد بود چون جاهای مختلفی دارند این موضوع را بررسی می‌کنند.

براساس مصوبه شورای پول و اعتبار…

شورای پول و اعتبار گفته با استفاده از مرکز ریشه مستقر در وزارت بازرگانی این کار را انجام دهیم، بنابراین ما با آن تکه بالایش به لحاظ فنی کاری نداریم. چه ریشه باشد چه نباشد تاثیری در کار ما نخواهد داشت.

به هر حال باید به یک جایی وصل شوید!

ریشه الزامات مربوط به یکسان‌سازی مقررات را انجام می‌دهد و با توجه به اینکه استانداردهای مورد استفاده، استانداردهای کاملا مشترکی است و زبان مشترکی داریم بنابراین هر تصمیمی درباره ریشه گرفته شود تاثیری در زیرمجموعه‌اش نخواهد داشت.

اصلا کار ریشه سیاستگذاری کلان است. کار اجرایی انجام نمی‌دهد.

به هیچ عنوان وارد کار اجرایی نمی‌شود. بحث سیاستگذاری کلان و یکسان‌سازی مقررات است برای اینکه گواهی‌ها همیگر را راحت‌تر بخوانند که یک موضوع قانونی مقرراتی است. من از جنبه تکنیکال عرض می‌کنم، آن چیزی که مهم هم هست بحث تکنیکالش است که حل شده و نکته خاصی هم ندارد. اما گواهی بانکی دو کاربرد اساسی دارد یکی اینکه امضاهایی که داخل شبکه بانکی توسط متصدیان بانک‌ها انجام می‌شود به آنها هویت دیجیتالی می‌دهد به دلیل اینکه اسنادی که داخل بانک ایجاد می‌شود و به گردش می‌افتد کاملا با هویت دیجیتالی کارکنان رد و بدل شود.

یعنی کارکنان بانک‌ها یک هویت مجازی داشته باشند.

تمام کارکنان و سیستم‌های بانک‌ها یک امضای دیجیتالی خواهند داشت بنابراین تمام اسناد در داخل خود بانکها به‌صورت دیجیتالی امضا می‌شود و به گردش می‌افتد. هدف اصلی ما هم این است که مراودات کاغذی داخل بانک‌ها را حذف کنیم و سندیت اصلی را به مراودات دیجیتالی بدهیم تا جاییکه حتی مکاتبات بانک‌ها با بانک مرکزی و بین خودشان هم از طریق شبکه انجام شود. این قسمت CA بانکداران ماست. بنابراین می‌خواهیم خیالمان راحت باشد که اسناد بانکی و مکاتباتی که بین بانک‌ها انجام می‌شود اعم از مراودات مربوط به خدمات بانکی یا مکاتبات اداری در یک بستر امن و مطمئنی صورت گیرد که بانک مرکزی این اشخاص را تایید کرده است. نکته مهم بعدی این است که همه اشخاصی که در این سیستم واحد قرار می‌گیرند شناسنامه‌دار می‌شوند. یعنی هر کسی که در هر بانکی امضای مجازی دارد در داخل سیستم بانکی شناسنامه‌دار است، بنابراین می‌شود صلاحیت فرد را برای امضای اسناد احراز کرد. این کار به معنای ارتقای سطح خدمات از لحاظ امنیتی در داخل بانک‌ها است. اما قسمت بزرگ‌تری داریم که متعلق به مشتریان بانک‌ها است.

درواقع شما مشتریان و بانکداران را از یکدیگر جدا کرده‌اید.

در شرایط کنونی خدمات بانکداری اینترنتی ما نفوذ محدودی دارد، دلیل آن نیز محدودیت ارایه سرویس‌های مهم بانکی از نظر بسترهای امنیتی است بسیاری از این سرویس‌ها را نمی‌توان در این فضا ارایه داد. عمدتا بانک‌ها از دو روش برای اعتبارسنجی و ورود مشتریانشان استفاده می‌کنند؛ یکی‌ رمز عبور استاتیک که درواقع نام کاربری و رمز عبور عادی است و دیگری نام کاربری و OTP (one time password) است. رمز عبور استاتیک واقعا به لحاظ امنیتی، هم مشتری و هم بانک را دچار ریسک می‌کند. بنابراین هر چه زودتر باید برای کنار گذاشتن این رمز عبور در خدمات بانکی فکر اساسی کرد. اخیرا هم موارد زیادی پیش می‌آید که روی کنار گذاشتن این رمز بیش از پیش تاکید می‌کند، مثل فیشینگ که به‌تدریج در حال افزایش است، پس راهکار اصلی استفاده از مکانیزمی است که مجوز ورود توسط سخت‌افزاری که در اختیار مشتری قرار دارد داده شود.

درواقع استفاده از رمزهای یک‌بار مصرف.

روشی که در حال حاضر وجود دارد OTP یا رمزهای یک‌بار مصرف است؛ این رمزها حاشیه امنیتی مناسبی به لحاظ حملات فیشینگ یا جعل هویتی که ممکن است اتفاق بیفتد و یا سرقت اطلاعات مشتری ایجاد می‌کنند اما ایراد اصلی‌شان سلیقه‌ای بودن آنهاست. یعنی شما اگر از خدمات یک بانکی بخواهید استفاده کنید OTP آن بانک را می‌گیرید و از بانک دوم هم باید OTP آن بانک را بگیرید که این کار هم برای مشتریان و هم برای بانک‌ها هزینه‌زا است. نکته بعدی این است که هیچ زیرساخت مشترکی را نمی‌شود برای OTP فراهم کرد، بنابراین استاندارد مشخصی وجود ندارد و درنتیجه عدم وجود زیرساخت هم هزینه‌ها و هم اختلاف سلیقه بالا می‌رود.

شما در نظر دارید که امضای دیجیتال را جایگزین انواع رمزها کنید؟

هدف ما این است که برای مشتریان بانک‌ها یک زیرساخت مشترکی ایجاد کنیم که هرکدام از مشتریان براساس اینکه حقیقی باشند یا مخصوصا حقوقی با یک کد مشخصی شناخته شوند و بنا به درخواست خودشان برایشان توکن یا گواهی امضای دیجیتال صادر شود. از طرف دیگر با توجه به اینکه یک سیستم مرکزی آنها را ثبت‌نام و برایشان گواهی صادر می‌کند بنابراین اگر مشتری از نظام بانکی یک گواهی بگیرد در تمام بانک‌ها قابل استفاده خواهد بود. به‌طور آرمانی اگر مشتری یک بار به یک شعبه مراجعه کند تا وضعیت فیزیکی او را احراز و چک کند تا مدت زمانیکه گواهی‌اش اعتبار دارد عملا نیازی به مراجعه به هیچ شعبه‌ای برای انجام عملیات بانکی‌اش نخواهد داشت.

چرا شما روی مشتری حقوقی تاکید کردید؟ در این خصوص چه تفاوتی میان مشتری حقیقی و حقوقی شما وجود دارد؟

نکته بسیار مهمی که درصدد انجامش هستیم این است که بیشتر مشتری حقوقی جذب کنیم که از خدمات بانکداری اینترنتی بانک‌ها برای پرداخت‌های تجاری یا گرفتن خدمات بانکداری تجاری استفاده کنند. در حال حاضر به دلیل اینکه هم OTP و هم رمز عبور استاتیک محدودیت‌های خاصی دارند و بیشتر به شخص حقیقی متصل می‌شوند ان امکانات توسط بانک‌ها برای اشخاص حقوقی فراهم نشده اما امیدوار هستیم با امکاناتی که در بحث ایجاد هویت دیجیتالی برای مشتریان فراهم می‌شود بتوانیم راحت‌تر مشتریان حقوقی را پوشش دهیم.

این مراکزی که شما از آنها نام بردید مراکز بانکداران و مشتریان مراکز ثبت نام هستند یا مراکز میانی؟

فقط دو مرکز میانی خواهیم داشت. برای بانکداران که امضاهای مجاز بانکی را تایید می‌کند و برای مشتریان که مشتریان مجاز بانک‌ها را تایید می‌کند.

اینها مراکز ثبت‌نام (RA) می‌شوند؟

دو CA داریم که مراکز ثبت‌نام‌شان هم همراه آنها است. شعب منتخب بانک‌ها می‌توانند به عنوان دفتر برای احراز هویت مشتری و کسب مدارک آنها کار کنند. البته مدارک هویتی‌مان متفاوت است. بیشتر می‌خواهیم مشتریانی که سوءپیشینه یا سابقه بدی در نظام بانکی دارند را به‌راحتی در این مسیر شناسایی و کنترل کنیم، بنابراین ماهیت گواهی‌هایی که صادر می‌شود درواقع یک مقداری اعتبار و خوش نامی مشتری را هم در خود می‌گنجاند.

اما اینها باید به یک جایی متصل شوند. در بسته سیاستی نظارتی امسال آمده بود که بانک مرکزی با استفاده از مرکز ریشه‌ای که مستقر در وزارت بازرگانی است اقدام به صدور گواهی الکترونیکی کند.

مرکز ریشه مربوط به مباحث سیاستگذاری است درباره اینکه مشخصات گواهی چه باید باشد.

اما مرکز ریشه گواهی اولیه را باید امضا کند.

این کار برای آن است که دو CA بتوانند فعال باشند. بنابراین ارتباطی با کار اجرایی و RA و CAهای دیگر ندارد. موضوعی که روی آن کار شده و ریشه هر جایی باشد همینطور خواهد بود این است که دو CA مرکزی خواهیم داشت که شعب بانک‌ها به عنوان مراکز ثبت‌نام محلی‌شان طبق ضوابطی که مشخص خواهد شد از مشتری مدارک دریافت می‌کنند.

احتمال می‌دهید این پروژه چه زمانی به جریان بیفتد؟

ما حداکثر تلاش‌مان را می‌کنیم که امسال این کار انجام شود.

چون بانک‌های مجازی هم دارند می‌آیند و بدون امضای دیجیتال نمی‌توانند کار نند.

از نظر ما هیچ فرقی بین بانک‌های واقعی و بانک‌های مجازی برای استفاده از این خدمات نیست. یعنی بانک‌های واقعی هم باید حداکثر تلاش‌شان را بکنند تا بیشتر خدماتشان را از درون شعبه به اینترنت‌بانک‌ منتقل کنند. طبیعتا بانک‌ها با استفاده از دو روش قدیمی که گفتم محدودیت‌های زیادی داشتند به خصوص برای ارایه سرویس به مشتریان حقوقی. با ایجاد این زیرساخت زمینه فراهم می‌شود اما این کار بستگی به خود بانک‌ها دارد که سریع‌تر حرکت کنند. طبیعتا بانک‌هایی که تمام الکترونیکی‌اند نیاز بیشتری به گواهی امضای دیجیتال دارند و باید نسبت به بانک‌هایی که شعبه دارند سریع‌تر حرکت کنند.

الان زیرساخت‌های فنی‌اش نهایی شده است؟

زیرساخت‌های فنی تا حد زیادی نهایی شده و یک مقدار تنظیمات دیگری می‌خواهد.

فرآیندهای حقوقی‌اش باقی ‌مانده‌است؟

بالاخره در این چند سال قانون و آیین‌نامه داشتیم و فرآیندهای حقوقی ضوابط خاص خودش را داشته منتها گیر اصلی ما آموزش است. 20 هزار شعبه داریم و حالا اگر آموزش را از تمام شعب هم شروع نکنیم دست‌کم پنج هزار شعبه درگیر پروژه خواهند شد یعنی به 50 هزار نفر باید آموزش داد. این یک مشکل اساسی است و در حال انجام هماهنگی‌هایی هستیم تا آموزش سریع و به‌صورت مناسب ارایه شود. موضوع بعدی به مباحث اجرایی مربوط می‌شود که زمانبر است. با توجه به اینکه شبکه بانکی هنگام راه‌اندازی CAهایش در مقابل صحت و درستی عملکرد سیستم متعهد است این کار باید با طمانینه و سنجش تمامی جوانب انجام شود. چون پروژه‌ای است که ابعاد فرهنگی، حقوقی، اجرایی و فنی دارد و از نظر ما هم ابعاد فنی‌اش ساده‌ترین قسمت کار است، مابقی ابعاد هم باید خودشان را برسانند تا بتوان پروژه را کلید زد.

داده‌پردازی پیمانکار بخش فنی پروژه است؟

من نمی‌دانم داستان به چه صورت است. بستگی به این دارد که شرکت ملی انفورماتیک چه تصمیمی می‌خواهد بگیرد چون ما مستقیما با داده‌پردازی قراردادی نداریم و این در صلاح‌دید شرکت ملی انفورماتیک است که پیمانکار برای پروژه انتخاب بکند یا اینکه خودش این کار را انجام دهد.

یعنی طرف شما شرکت ملی انفورماتیک است؟

بله و این شرکت بازوی اجرایی ما برای پیشبرد این پروژه است.

آیا برای اجرای این پروژه پایلوتی خواهید داشت؟ چون گفتید با 5 هزار شعبه کار را شروع می‌کنید.

همه اعدادی که به شما گفتم اعداد تمثیلی بود. برنامه اجرایی‌اش در حال تنظیم است که اگر نهایی شد اعلام می‌کنم.

این برنامه اجرایی کی درمی‌آید؟

سعی می‌کنیم تا یکی دو ماه آینده برنامه‌اش را مشخص کنیم.

با مرکز توسعه تجارت الکترونیکی که صحبت می‌کردیم، می‌گفتن نماینده بانک مرکزی چند وقت است که در جلسات شورای سیاستگذاری گواهی الکترونیکی حاضر نمی‌شود.

من نمی‌دانم نماینده از کجا باید معرفی شود.

یک مدت خودتان بودید.

آخرین باری که در این جلسات بودم بیش از یک سال و نیم پیش بود. عضو شورای سیاستگذاری یکی از اعضای هیات عامل بانک مرکزی است و من در جریان نیستم که الان این وضعیت به چه صورت است.

بحثی که همیشه مطرح می‌شود مربوط به وضعیت شتاب است. قرار بود بانک مرکزی شبکه دیگری طراحی کند تا امکان دیدن تراکنش‌هایی که ارسال می‌شوند و بانک‌ها می‌گویند آنها را نمی‌بینند به وجود بیاید.

این مربوط به بحث سیستم‌های نظارتی ما است. ما از سال 87 سیستم نظارتی راه‌اندازی کردیم که بحث صادرکنندگی‌ بانک‌ها را مانیتور می‌کند. سیستم بعدی‌مان که نامش سپاک (سامانه پایش الکترونیکی کارت) است درواقع اطلاعات را از سمت پذیرندگی بانک‌ها اخذ می‌کند و سمت پذیرندگی را هم می‌بیند. حجم سپاک نسبت به سیستم فعلی‌مان فوق‌العاده بالاست. احتیاج به زیرساخت پردازشی بسیار قدرتمندی داشت که ما امکانات فنی سایت را تقریبا یک ماه پیش تجهیز کردیم و الان هم در حال انتقال نرم‌افزارها به آن هستیم.

چون چیزی که بانک‌ها می‌گویند با آنچه که شرکت خدمات یا بانک مرکزی می‌گوید فرق می‌کند.

کاملا درست است. حاا ما از دو منظر نگاه می‌کنیم و از تلفیق این دو خود شتاب را هم می‌شود نگاه کرد. یعنی بانک‌ها چقدر پذیرندگی فرستادند و چقدرش تبدیل به صادرکنندگی شده و این وسط برای بقیه تراکنش‌ها چه اتفاقی افتاده، اینها سوالاتی است که به‌صورت نظارتی مطرح می‌شود.

این سیستم چه زمانی راه می‌افتد؟

نیمه دوم سال 90 سپاک عملیاتی می‌شود.

آنوقت معلوم می‌شود که چقدر بانک‌ها و چقدر شتاب مشکل دارند؟

سپاک یک پایگاه داده بسیار بزرگ و گسترده است و خیلی هم پیچیده است. این موارد را گام به گام معلوم می‌کنیم و توسعه می‌دهیم.

موضوع دیگری که این روزها مطرح می‌شود مربوط به ارای خدمات پرداخت از طریق تلفن همراه است. تقریبا دو هفته پیش سازمان تنظیم مقررات و ارتباطات رادیویی اطلاعیه‌ای صادر کرد مبنی بر اینکه هیچ اپراتوری حق ندارد تا قبل از تدوین و تصویب مقررات مربوط به خدمات پرداخت با استفاده از تلفن همراه اقدام به ارایه این سرویس بکند و گفتند از بانک مرکزی هم برای تهیه این قوانین مشاوره خواهند گرفت. آیا با رگولاتوری مذاکره‌ای داشتید؟ همانطور هم که می‌دانید جیرینگ در حال حاضر این خدمات را ارایه می‌دهد و بانک مرکزی هم هیچ‌وقت واکنش صریحی نسبت به این موضوع نشان نداده است.

ابزار با ماهیت بحثی است که اگر خلط شود اتفاقات بدی می‌افتد. د صحبتی که شده بود به‌طور اساسی نظرمان این بود که ما کشوری هستیم که تمام مردمش با بانک سر و کار دارند. یعنی بعد از اجرای طرح هدفمندسازی یارانه‌ها تمام سرپرستان خانوار حتی در دورترین روستاها هم حساب بانکی دارند. دست‌کم مطمئنیم 74 میلیون نفر به‌صورت مستقیم یا غیرمستقیم با بحث یارانه‌ها مرتبط‌اند و طبیعتا با حساب بانکی سروکار دارند چون یارانه را طور دیگری نمی‌شود پرداخت کرد. بنابراین کشور ما کشوری است که مردمش با بانکداری اخت شده‌اند و از بانک‌ها استفاده می‌کنند. ایران، کشور بسیار پیشرفته‌ای از نظر نفوذ بانکداری است، همه آدم‌ها تقریبا حساب بانکی دارند، بناراین پیشنهاد ما به برخی از دوستان این بود که ما را با کشورهایی که به لحاظ زیرساختی، امنیتی و درآمد بخش اعظمی از مردمشان دسترسی به خدمات بانکی ندارند مقایسه نکنند.

یعنی استفاده از این سرویس‌ها برای ایران مفید نیست؟

لزوما راه‌حل‌هایی که آنجا موثر بوده اینجا پاسخ نمی‌دهد. به سه شکل می‌توان با بحث پرداخت همراه برخورد کرد. بحث اول این است که آن قسمتی که بانک وظیفه‌اش را انجام نمی‌دهد یا نمی‌تواند بدهد بخشی از خدمات بانکی برای پرداخت‌های خرد را از طریق اپراتورهای تلفن همراه که نفوذشان بیشتر است ارایه کنیم و این اتفاقی است که در کشورهای شرق آسیا زیاد رخ داده است. بحث دوم وجود تعاملی بین سیستم بانکی و اپراتورها است.

یعنی از اپراتورها به عنوان یک ابزار استفاده کنید.

درواقع بله، خدمات ویژه‌ای از طریق اپراتورها داده شود.

به عنوان یک کانال پرداخت…

اسمش را کانال پرداخت نمی‌گذارم؛ ابزارهای ارتباطی امن یا سرویس‌های مخابراتی ویژه‌ای که چه به لحاظ امنیت و چه به لحاظ ماهیت به درد تراکنش‌های بانکی می‌خورند. مثلا تراکنش‌های مخابراتی استرو فوروارد به جای استرو فوروارد. این راه‌حل دوم است. راه‌حل سوم این است که این دو را دو جزیره کاملا متفاوت از هم ببینیم که هیچکدام با یکدیگر کاری نداشته باشند و به هم سرویس ندهند. مثل حالتی که در حال حاضر وجود دارد. درواقع یکی از محدودیت‌های بزرگ بانک‌ها در ارایه خدمات بانکداری و پرداخت همراه این است که تنها سرویسی که از اپراتورها می‌توانند بگیرند سرویس‌های استرو فوروارد است و این سرویس‌ها ذاتا به درد تراکنش‌های بانکی نمی‌خورند، چون معلوم نیست درخواستی که فرستاده می‌شود بالاخره جوابش می‌آید یا نه. آنچه که بانک‌ها دارند روی پیامک سوار می‌کنند به درد تراکنش بانکی نمی‌خورد. تراکنش بانکی بالاخره باید جواب بدهد که انجام شد یا نشد و انجامش زمان محدودی دارد. این پدیده کاملا قابل قبولی است که خدمات مخابراتی استر و فوروارد به درد کار بانکی نمی‌خورد و اگر هم بانک‌ها در حال حاضر از آن استفاده می‌کنند از روی ناچاری است. ما خدمات section base می‌خواهیم که انواع مختلف دارد.

Section Base چه نوع خدماتی است؟

خدماتی است که از یک نقطه‌ای آغاز و در جایی تمام می‌شود و اگر بخشی از آن انجام نشود کل عملیات لغو می‌شود. اگر می‌خواهند روی GPRS سرویس بدهند که شبیه بانکداری اینترنتی ما می‌شود. معمولا خدماتی که از این طریق برای بانک‌ها روی نسل دو جذاب است و به درد کار بانکی می‌خورد خدماتی است که روی ussd می‌دهند. کاملا section base است و می‌توان از این خدمات استفاده کرد.

با توجه به این شرایط شما استفاده از چه روی را پیشنهاد می‌دهید؟

با توجه به مختصات‌مان احساس می‌کنیم که راه حل اول اصلا با مختصات بومی کشور ما تطابقی ندارد. ما یک سیستم اقتصادی بانک‌محور داریم که همه مردم دسترسی به حساب‌های بانکی دارند. 20 هزار شعبه و 200 هزار کارمند بانکی داریم، اما راه‌حل سوم هم مردم را از گرفتن خدمات محروم می‌کند. راه‌حل بعدی این است که ما با اپراتورها صحبت کنیم و سرویس مطلوب بگیریم. طبیعتا از افزایش تراکنش‌هایی که در آن ناحیه دارند درآمد کسب کنند و بانک‌ها هم بتوانند از آن سرویس‌ها برای خدمات بانکی استفاده کنند. کار بانک را بانک انجام بدهد و کار اپراتور را اپراتور.

تا به حال با آنها صحبتی در این زمینه داشته‌اید؟

ما جلساتی داشتیم امیدواریم نتیجه مطلوب بدهد.

الان بحث امنیت هم مطرح است. اخیرا هک شدن بانک‌ها خیلی زیاد شده است.

خواهش من این است که این اصطلاحات خلط نشود. هیچ بانکی هک نشده است. تمامی ادعاهای مبنی بر هک شدن سایت بانک‌ها را من تکذیب می‌کنم. کسی بانکی را هک نکرده، حالا ممکن است access denied را از سایتی گرفته باشید یا با وارد کردن آدرس بانک، سایتش بالا نیامده باشد اما مشکل از جای دیگری بوده است.

حساب‌های مشتریان چطور؟

به هیچ عنوان دسترسی غیر مجاز به حساب هیچ مشتری تا الان اتفاق نیفتاده است. یک مرحله پیچیده‌ای ات. ما سایت اطلاع‌رسانی بانک را داریم که پشتش لینک است به درگاه‌های پرداخت و بانکداری الکترونیکی،‌ پشت آنها هم کربنکینگ است و پشت آن حساب مشتری. من اطمینان کامل می‌دهم که حتی کوچک‌ترین دسترسی به سایت‌های مربوط به درگاه و بانکداری اینترنتی بانک‌ها هم اتفاق نیفتاده است. ممکن است اختلالاتی روی سایت اطلاع‌رسانی بانک‌ها رخ دهد و حملاتی صورت بگیرد که برای هر سایتی عادی است، اما این حملات بلافاصله توسط مراکز ما شناسایی و IPهایشان مسدود می‌شود و دوباره سایت به وضعیت عادی برمی‌گردد. آقای رییس کل هم چندین بار گفتند که حملاتی اتفاق می‌افتد ولی هیچکدام از اینها منجر به اختلال در شبکه بانکی نشده است و حتی درگاه پرداخت و بانکداری اینترنتی هم اصلا دچار حمله نشده‌اند به‌خاطر اینکه در همان فاز اول که مربوط به سایت اطلاع‌رسانی بانک‌ها است حملات شناسایی شده و اصلا کار به آنجاها نرسیده است.

بانک مرکزی برنامه‌ ویژه‌ای برای تقویت این بخش دارد؟

برنامه‌ ویژه‌ای نه تنها دارد بلکه داشته و خواهد داشت. بحث امنیت همیشه دغدغه ما بوده است.

اخیرا اتحادیه اروپا بنابر مصوبه‌ای اعلام کرده که بانک‌ها باید هک شدن حساب‌های مشتریانشان را به آنها اطلاع دهند. آیا زمان آن رسیده است که بانک مرکزی وارد این مباحث شود یا خیر؟

در نظر دشته باشید شما پول‌تان را در یک بانک می‌گذارید. اطلاع‌رسانی نباید منجر به این شود که مردم فکر کنند چیزی اتفاق افتاده است. وقتی اتفاقی نیفتاده من می‌گویم چیزی اتفاق نیفتاده است، اگر بگویم در صورت هک شدن حساب، شما را در جریان قرار می‌دهیم یعنی به مردم می‌گوییم امکان هک شدن هم وجود دارد و این موضوع ایجاد عدم اطمینان در مردم می‌کند. اینکه اتحادیه اروپا چرا این کار را کرده باید گفت شاید هک در آن کشورها زیاد اتفاق افتاده است. بنابراین جاییکه هک شدن زیاد اتفاق افتاده شما باید یک اجباری بگذارید که به مشتریتان موضوع را اطلاع ده

منبع : عصر ارتباط