امروزه با گسترش استفاده از خدمات الکترونیکی گوناگون که مهمترین آنها، خدمات بانکی بوده استفاده از نرم افزارهای بانکی موبایلی در زندگی روزمره مردم واقعیتی اجتناب ناپذیر می باشد. مهمترین مبحث در این حوزه که دارای اهمیت ویژه می باشد، مسئله امنیت است که در بانک های کشور با چالش هایی روبرو است.
برخی از چالش های امنیت در بانک های کشور شامل موارد زیر می باشد:
• هزینه های بالای تأمین امنیت
• وجود تحریم ها و مشکلات در تأمین تجهیزات امنیتی خارجی و به روز رسانی سیستم ها
• حفظ اطلاعات با ظهور فین تک ها و بانکداری دیجیتال
•عدم رعایت کامل پروتکل امنیتی و احراز هویت توسط پرداخت یارها و فین تک ها
•عدم وجود زیرساخت های مخابراتی لازم و ...
نرم افزارهای بانکی موبایلی که برای تراکنش های مالی، بیشتر مورد استفاده قرار می گیرد بارها توسط بانک ها مورد بررسی قرار می گیرد. مبحث اعتماد شاید در هیچ صنعت دیگری آنقدر اهمیت نداشته باشد. ممکن است هک یک کارت ضرر مالی چندانی به بار نیاورد اما جنبه اعتماد عمومی آن خیلی ارزش دارد. سایر عوامل با اهمیت در این زمینه به ترتیب مباحث مالی، الزامات قانونی و
تقاضای مشتریان است. متأسفانه ابعاد امنیتی و پوشش مخاطرات کمتر از قابلیت های عملیاتی برنامه مورد توجه قرار می گیرد.
چه مواردی می تواند باعث افزایش اعتماد کاربران برای استفاده از بانک الکترونیکی تأثیرگذار باشد؟
•احراز هویت و حفاظت از مالکیت معنوی
•حفاظت از اطلاعات دارنده کارت
•وضوح آدرس وب سایت تأیید شده مؤسسه پولی و مالی در نشریات بانک
•حفاظت پین و رمز عبور
•حفاظت در برابر ویروس ها
•پیاده سازی Firewall (دیواره آتش)
•رمزگذاری حداقل 128 بیتی
•قرار دادن محدودیت برای مشتریانی که در وب سایت شناسایی نشده اند و محدودیت در دسترسی به کدها
•کنترل دسترسی و امنیت فیزیکی
•مدیریت رخداد و مدیریت مخاطرات
•آموزش و آگاهی رسانی در خصوص استانداردهای امنیتی
•تطابق با الزامات قانونی
•تأیید: اطمینان دادن به مشتری از این جهت که تراکنش از طریق بانک مورد نظرش انجام شده است.
•تصدیق : گارانتی فعالیت، به این معنی که گروه سوم گواهی دهد که تراکنش بین چه افرادی صورت گرفته است.
تمامی موارد امنیتی این اپلیکیشن ها، طبق قوانین بانک مرکزی جمهوری اسلامی ایران، ازجمله الزام به وارد کردن رمز عبور یا سنسور اثر انگشت برای ورود به نرم افزار ، همچنین رمز دوم کارت بانکی و CVV2 در هر بار استفاده ، برای جلوگیری از خطر امنیتی، در دیتابیس ذخیره نمی شود. امنیت این نرم افزارها به صورت سالیانه توسط بانک ها مورد بررسی قرار می گیرد.
بکار گیری دو استاندارد امنیت داده بین المللی در صنعت کارت های پرداخت الکترونیکی از جمله PCI و EMV که موفق ترین مدل آزمایش شده در دنیاست، می تواند از نگرانی های امنیتی بکاهد. اطلاعات ، دارایی یک سازمان محسوب می شود و محافظت از این دارایی های محرمانه نیازمند متدهای پیشرفته امنیت اطلاعات می باشد. یکی از ابعاد استانداردهای امنیت ، استفاده از رمز نگار مناسب و به روز است. به صورتی که کل مراحل تراکنش از ابتدا تا انتها تحت کنترل سخت افزار رمزنگار باشد. اگر هر کدام از این زنجیرها ازجمله نگهداری، دریافت، حفظ و انتقال اطلاعات کارت با مشکل امنیت روبرو باشد، نظام بانکی به مشکل خورده و ضربه ای به شبکه وارد می شود. متأسفانه مشکلی که در ایران وجود دارد، این است که شرکت های ارائه دهنده معتبر بین المللی PCIDSS هنوز به دلایلی به ایران سرویس نمی دهد و مؤسسات جایگزین PCIDSS می توانند امنیت لازم را تأمین کنند و این تأییدیه به مؤسسات داده شود و هر چند وقت یکبار تمدید شود.
منظور از امن سازی، دشوار کردن کار یک هکر جهت دسترسی به کد برنامه و تغییر آن است. تکنیک های مختلف امن سازی را می توان به :
•امن سازی کد (درهم سازی کد) : پیشگیری از لو رفتن اطلاعات حساس مانند آدرس IP سرور میزبان و همچنین مهندسی معکوس برنامه.
•ممانعت از تغییر برنامه : این روش ها بیشتر به تهدیدات و حملات پویای اپلیکیشن و مخاطراتی که در حین اجرای برنامه آن را تهدید می کند، اشاره دارد و به روش های خود ایمنی برنامه در زمان اجرا یا همان RASP معروف است. این تکنیک ها در کنار روش های محافظت ایستا از کد برنامه، از تحلیل و تغییر برنامه در زمان اجرا توسط نفوذگران جلوگیری می کند.
حوزه های پرداخت و همچنین کیف پول ها بیشترین استفاده از ابزارهای امن ساز را دارند. ابزار ProGuard بیشترین سهم را برای امن سازی در برابر آسیب پذیری های ایستا به خود اختصاص داده است که محصول غیر تجاری شرکت گارداسکوئر است و DexGuard ابزار تخصصی امنیتی برای اپلیکیشن های اندرویدی ، سطح امنیت بالاتری را برای کاربران به ارمغان آورده است.
در واقع DexGuard نه تنها کد برنامه را با استفاده از تکنیک های مبهم سازی و رمزنگاری پیچیده تر و ایمن می کند، بلکه یک سری از مکانیزم های امنیتی زمان اجرا را نیز در آن ادغام می کند و به صورت یکپارچه در می آورد. این مکانیزم ها، یکپارچگی برنامه و محیطی را که در آن اجرا می شود، بررسی می کنند و برنامه را قادر می سازند تا هر زمانی که فعالیت مشکوکی شناسایی شد، از خود واکنش نشان دهد. علاوه بر این، این ابزار تجاری، رشته ها (String) و کلاس ها را رمز نموده و دسترسی به API های حساس را بسیار دشوار و پیچیده می سازد. در نتیجه خروجی بدست آمده با توجه به استفاده از لایه های مختلف امنیتی یک محافظت شده و ایمنتر خواهد بود.
زمانی که موضوع حفاظت از اطلاعات مطرح باشد، نیاز به استفاده مناسب از کاربردهای مختلف رمزنگاری مورد توجه قرار میگیرد.
برنامه های پرداخت در حال حاضر از رمزنگاری در موارد بسیاری استفاده میکنند، با این حال همیشه در امن ترین روش مورد استفاده قرار نمیگیرند.
یکی از کاربردهای قابل توجه رمزنگاری امضای دیجیتالی میباشد. امضای دیجیتالی امکان احراز هویت نویسنده انواع داده های دیجیتالی مانند اسناد، پیامها و کدهای نرم افزار را در اختیار ما قرار میدهد که یک ویژگی خیلی مهم در کار کردن با برنامه های پرداخت و تراکنش های مالی به حساب می آید. امروزه، برنامه های پرداخت از کتابخانه رمزنگاری استفاده می کنند که چندین سال پیش تنها توسط متخصصان رمزنگاری مورد استفاده قرار میگرفت.
دو وظیفه بسیار مهم برای سخت افزار رمزنگاری برنامه های پرداخت وجود دارد :
•انجام عملیات های رمزنگاری سنگین واحد پردازش مرکزی (رمزگذاری، رمزگشایی و مدیریت کلید)
•ایجاد مانع، بین شبکه ای که در دسترس هکرها بوده و شامل کامپیوترهای نا امن می باشد و منطقه ایمن داخل سخت افزار که از طریق کنترل های فیزیکی و منطقی از محیط های خطرناک جدا شده است.
TRSM و HSM نمونه هایی از سخت افزار رمزنگاری است که اغلب در راهکارهای برنامه های پرداخت مورد استفاده قرار میگیرد. رمزگذاری ها شامل :
رمزنگاری محموله
رمزنگاری انتقال
استفاده از SSL
رمزگذاری نقطه به نقطه
کلیدهای رمزگذاری باید با استفاده از فرآیندهای امن خاص و امکاناتی که از افشای آنها جلوگیری میکند، مدیریت شوند.
دو دلیل بیشتر شدن سوء استفاده از اطلاعات بانکی مردم، تعطیلات اخیر بوده، یعنی زمانی که مردم دسترسی لازم برای پیگیری ندارند. و متأسفانه تحریم و به روز نشدن اپلیکیشن های پرداخت، در فضای مجازی به عنوان یکی از دلایل ناامنی و عامل سوء استفاده از اطلاعات بانکی افراد شده است. امید است با توجه به فعال شدن رمز دوم بانکی، هکرها دیگر امکان سوء استفاده از اطلاعات را نداشته باشند.