چالش‌های حریم خصوصی در بانکداری

,
چالش‌های حریم خصوصی در بانکداری

چالش‌های حریم خصوصی در بانکداری از موضوعاتی است که همیشه پیش روی توسعه رویکردهای فناورانه در ارائه خدمات بانکی قرار داشته است. حریم خصوصی، به عنوان یکی از نیازهای اساسی بشر است که کرامت انسانی را برای او به ارمغان می‌آورد؛ قلمرویی از زندگی افراد است، که انتظار می‌رود دیگران بدون رضایت فرد به آن قلمرو وارد نشوند یا به اطلاعات آن قلمرو دسترسی نداشته باشند.

امروزه فناوری‌ها و به‌خصوص فناوری اطلاعات به جزء لاینفک ابعاد مختلف زندگی و به‌ویژه در حوزه‌های تجارت و بانکداری تبدیل شده است. این وابستگی به فناوری به حدی با فرآیندهای بانکداری عجین شده است که دیگر حتی نمی‌توان بانکداری بدون بهره‌مندی از فناوری را تصور نمود. از طرفی با افزایش استفاده از بانکداری الکترونیکی که انجام فرایندهای بانکی را از راه دور میسر می‌سازد، تهدیدات امنیتی در این بخش، با نرخ بسیار بالایی در حال افزایش است.

دسته‌بندی چالش امنیت برای بانک‌ها

چالش امنیت برای بانک‌ها را می‌توان به دو دسته «چالش امنیتی بانک» و «چالش امنیتی مشتریان» تقسیم نمود. خطر نشت اطلاعات مشتری و عدم توجه کافی و مناسب به حفظ حریم خصوصی مشتریان از نمونه چالش‌های امنیت اطلاعات در بانکداری به‌شمار می‌رود.

رمز پویا و احراز هویت الکترونیکی

افراد سودجو و متقلب همواره در پی شناسایی و دسترسی به اطلاعات حساب مشتریان بانکی برای کلاهبرداری و سرقت دارایی مردم و دیگر فعالیت‌های غیرقانونی هستند و برای رسیدن به اهداف پلید خود از هر ابزاری استفاده می‌کنند. سرقت اطلاعات هویتی مشتریان بانکی، موجودی حساب، تراکنش‌های کارت اعتباری و دیگر جزئیات اطلاعات مالی افراد از جمله مواردی است که این افراد به دنبال آن هستند.

بنابراین می‌توان اذعان نمود صنعت بانکداری یکی از پر مخاطره‌ترین حوزه‌ها در ارتباط با حریم خصوصی است که در معرض تعداد زیادی از حملات سایبری به حریم خصوصی و امنیت، مانند کلاهبرداری در پرداخت‌های آنلاین، دستگاه‌های خودپرداز، کارت‌های الکترونیکی و سایر تراکنش‌های بانکی قرار دارد.

از جمله موارد نقض حریم خصوصی افراد در بخش بانکی می‌توان به مواردی همچون، به اشتراک گذاشتن اطلاعات شخصی افراد با اشخاص ثالث، اجازه دسترسی به اطلاعات شخصی افراد برای اهداف بازاریابی بدون تأیید آن‌ها، عدم اطلاع‌رسانی کافی به فرد درباره رویه‌های انجام‌شده بر روی اطلاعات و داده‌های شخصی او، جمع‌آوری اطلاعات شخصی افراد بیش از مقدار مورد نیاز، امتناع از تهیه سوابق مالی در صورت درخواست مشتری، ثبت نادرست اطلاعات شخصی و از بین رفتن اطلاعات شخصی مشتریان به دلیل اقدامات نادرست اشاره نمود.

امنیت در بانکداری

به‌عنوان نمونه در گزارشی از شبکه Utility Consumers’ Action، نقض حریم خصوصی مشتریان توسط یک بانک در آمریکا اعلام شده است که در آن اطلاعات شخصی (شماره حساب بانکی، شماره تأمین اجتماعی و …) متعلق به 35 میلیون نفر از مشتریان بانک، بدون اطلاع آن‌ها به بازاریاب‌ها و اشخاص ثالث فروخته شده است.

حریم خصوصی در بانکداری

به منظور حفظ حریم خصوصی، نیاز به مجموعه‌ای از الزامات قانونی و رویه­‌های مناسب در ارتباط با بکار بردن داده‌­های خصوصی مشتریان است.

این قوانین و الزامات با عنوان مدیریت هویت و دسترسی، بانک‌­ها را متعهد به حفظ و نگهداری اطلاعات مشتریان خود کرده و آن‌ها را ملزم می‌­نماید که از اطلاعات مشتریان خود فقط در موارد خاص و مورد نیاز و آن هم به صورت محدود استفاده نمایند.

مطابق با این دسته از قوانین و مقررات، حفظ امنیت داده‌­های مشتریان، حق آن‌ها به­شمار می­رود و افراد، خود صاحب داده‌­هایشان بوده و حق کنترل آن‌ها را نیز بر عهده دارند. به بیان دیگر، خود مشتریان مشخص می­‌کنند که چه کسی می­‌تواند به داده‌­های آن‌ها دسترسی داشته و از آن‌ها استفاده کند.

بر اساس الزامات مدیریت هویت و دسترسی، اطمینان حاصل می­شود که اطلاعات شخصی در کمترین حد، متناسب با نیاز و دقیقا مرتبط با هدفی که به اطلاع کاربر رسیده است جمع‌­آوری می­‌شود. همچنین این اطلاعات بیش از آنچه مورد نیاز است و در هدف بیان می­‌شود نگهداری نمی­شوند.

سازوکارهای کنترل دسترسی به منظور حصول اطمینان از دسترسی افراد مجاز به اطلاعات شخصی و مالی مشتریان به­کارگیری شده و کنترل و مدیریت دسترسی سلسله­مراتبی بر اساس الزامات و سطح خدمات ارائه شده به افراد اعمال می­‌گردد. همچنین از فناوری­‌های رمزنگاری نیز برای حصول اطمینان از محرمانگی داده‌­ها در زمان انتقال استفاده می­‌شود.

بیشتر بخوانید: تفاوت احراز هویت با مجوزدهی

چالش‌های به‌کارگیری روش رمز پویا در بانکداری ایران: از فیشینگ تا رمز دوم پویا

امنیت یکی از چالش‌های اصلی استفاده از فناوری اطلاعات در بانک‌ها است که روز به روز بر اهمیت آن افزوده می‌شود. یکی از حوزه‌های امنیت که کاربرد فراوانی در بانکداری الکترونیکی دارد فناوری‌های احراز هویت است.

از آنجا که عملیات بانکی (مانند تراکنش‌های مالی و پولی، افتتاح حساب و گزارش‌گیری از تراکنش‌ها) باید توسط افراد مجاز (مانند صاحبان حساب‌های بانکی یا کسانی که از آن‌ها وکالت دارند و یا توسط کاربران و کارمندان بانک‌ها)، قابل‌انجام باشد، احراز هویت درخواست‌کننده عملیات بانکی از مسائل مهم امنیتی در حوزه بانکداری الکترونیکی به‌شمار می‌رود.

امروزه در نظام بانکداری الکترونیکی اطمینان به کاربرانی که از اینترنت بانک استفاده می‌کنند امری پیچیده و دشوار است. در واقع بانک‌ها در فرایند احراز هویت کاربران اینترنتی به دنبال این هستند تا مطمئن شوند فردی که در حال استفاده از عملیات بانکی در اینترنت است دقیقا همان فردی است که ادعا می‌نماید.

یکی از مشکلات عدم احراز هویت درست کاربران اینترنتی، وجود حملات فیشینگ است. رمزگیری یا فیشینگ، به تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و مانند آن‌ها از طریق جعل یک وب‌گاه، آدرس ایمیل و مانند آن گفته می‌شود.

افزایش نگران‌کننده آمار فیشینگ، مهم‌ترین دلیل برای بهره‌مندی از احراز هویت مبتنی بر OTP (گذرواژه یک بار مصرف) یا همان رمز دوم پویا است. رمز دوم پویا یک روش احرازهویت دو عاملی است که در آن، هر زمان که کاربران نیاز به تأیید اعتبار داشته باشند گذرواژه ایجاد می‌شود و پس از استفاده از آن، این رمز عبور غیر قابل استفاده شده و اعتبار آن از بین می‌رود.

در طرح اولیه اجرای رمز دوم پویا، قرار بود بانک‌ها زیرساخت لازم برای تولید رمز دوم یک بار مصرف را در قالب برنامه‌های موبایلی یا نرم‌افزارهای تحت ویندوز فراهم کنند؛ اما از جمله مشکلات موجود این طرح این است که تمام کاربران دارای گوشی هوشمند نیستند.

از طرفی بسیاری از افرادی هم که دارای گوشی هوشمند هستند، علاقه‌ای به نصب برنامه رمزساز روی گوشی خود ندارند، یا حداقل معتقدند این کار از راحتی آن‌ها در دسترسی به سامانه‌های پرداخت بانکی می‌کاهد. همچنین به‌دلیل اینکه بسیاری از بانک‌ها زیرساخت لازم برای راه‌اندازی این طرح را در اختیار نداشتند، به منظور تسهیل تجربه کاربری، سامانه هدایت رمز یک بار مصرف با عنوان «هریم» برای دریافت پیامک رمز دوم پویا فعال شد.

رمز ورود پویا

استفاده از رمز دوم پویا مشکلات دیگری نیز به همراه دارد. تهیه‌ی رمز پویا از طریق پیامک یا اپلیکیشن­‌های رمزساز، زمانی بین ۶۰ تا ۱۲۰ ثانیه از کاربران می‌گیرد که احتمالا هزینه ارسال‌ پیامک را نیز به کاربران تحمیل می‌کند و حتی در غیر این‌صورت، این هزینه به بانک­‌ها منتقل می­‌شود.

از سوی دیگر، در کنار مشکلات بیان شده یک مزیت نسبی درباره آن وجود دارد که مدت اعتبار رمز دوم پویا بین ۶۰ تا ۱۲۰ ثانیه و طول آن حداقل شش رقم است و همین ویژگی‌­ها موجب می­‌گردد تا کشف این رمز از طریق برنامه‌های مهاجم هک و کشف رمز، زمان‌بر شده و در نتیجه دسترسی به رمز در این بازه زمانی کوتاه، مشکل شود.

بیشتر بخوانید: احراز هویت مبتنی بر ریسک در بانکداری دیجیتال

البته قابل ذکر است که هنگام نصب برخی برنامه‌های مختلف بر روی گوشی، دسترسی به خواندن پیامک برای انجام کارهای بعدی به آن‌­ها داده می‌شود و این کار ممکن است یکی از روش‌های سوءاستفاده برای هکرها و مجرمان قرار گیرد تا با استفاده از این برنامه‌ها به پیامک‌­های کاربران و در ادامه به رمز ارسالی توسط سامانه‌های بانکی دسترسی داشته باشند.

با وجود فعال شدن رمز دوم پویا، باز هم سوءاستفاده‌های مالی و کلاهبرداری از تراکنش کارت‌ به ‌کارت اتفاق می‌­افتد. کلاهبرداران با تماس تلفنی و به بهانه واریز وجه، شماره کارت قربانی را گرفته و اعلام می­‌کنند برای تأیید پرداخت از طرف بانک، کدی که برای آن‌ها پیامک شده را بخوانند. در نتیجه حساب قربانی با کدی که از سوی خود او در اختیار کلاهبردار قرار می‌گیرد، مورد سوءاستفاده قرار می‌گیرد.

یکی دیگر از مشکلات در زمانی اتفاق می‌­افتد که گوشی و کارت­‌های فردی، به سرقت رفته یا گم شده باشد. در این صورت دسترسی به حساب­‌ها و دارایی‌­های وی به راحتی امکان­پذیر خواهد بود.

مشکل دیگر این است که کاربران بر روی گوشی خود اپلیکیشن رمزساز نداشته باشند و بخواهند سیم­‌کارت خود را در زمان غیراداری تعویض کنند، در نتیجه تا صبح فردا نمی­‌توانند تراکنشی انجام دهند زیرا رمز دوم پویا به شماره قبلی آن‌ها پیامک می­‌شود و چالش‌های حریم خصوصی در بانکداری به قوت خود باقی می‌مانند.

حریم خصوصی

بنابراین می‌توان اذعان نمود با توجه به روش‌های دستیابی به رمز دوم پویا و مشکلات آن، استفاده از این فناوری یا سامانه نیز نمی­‌تواند احراز هویت کاربران اینترنتی را بدون نقص انجام دهد و به‌طور کامل باعث از بین رفتن حملات فیشینگ و چالش‌های حریم خصوصی در بانکداری شود. به‌همین منظور باید به دنبال روش‌های جایگزین برای احراز هویت قوی‌­تر کاربران و کاهش این مشکلات بود. یک راهکار جایگزین استفاده از کیف پول الکترونیکی و روش­‌های احراز هویت دو مرحله­‌ای بیومتریک است که از ریسک کمتری برخوردارند.

روش‌­هایی که در آن‌ها، از مشخصات هویتی شخصی افراد در کنار مشخصات حساب آن­‌ها برای احراز هویت استفاده می‌شود و به ضرس قاطع می توان اذعان نمود که روش‌های احراز هویت دو یا چند عاملی و به ویژه بهره‌مندی از شیوه‌ای که مبتنی بر احراز هویت بیومتریک یا زیست‌سنجی باشد، از اعتبار بالاتری برخوردار است.

نویسنده: دکتر شیوا جلالی