چالشهای حریم خصوصی در بانکداری
چالشهای حریم خصوصی در بانکداری از موضوعاتی است که همیشه پیش روی توسعه رویکردهای فناورانه در ارائه خدمات بانکی قرار داشته است. حریم خصوصی، به عنوان یکی از نیازهای اساسی بشر است که کرامت انسانی را برای او به ارمغان میآورد؛ قلمرویی از زندگی افراد است، که انتظار میرود دیگران بدون رضایت فرد به آن قلمرو وارد نشوند یا به اطلاعات آن قلمرو دسترسی نداشته باشند.
امروزه فناوریها و بهخصوص فناوری اطلاعات به جزء لاینفک ابعاد مختلف زندگی و بهویژه در حوزههای تجارت و بانکداری تبدیل شده است. این وابستگی به فناوری به حدی با فرآیندهای بانکداری عجین شده است که دیگر حتی نمیتوان بانکداری بدون بهرهمندی از فناوری را تصور نمود. از طرفی با افزایش استفاده از بانکداری الکترونیکی که انجام فرایندهای بانکی را از راه دور میسر میسازد، تهدیدات امنیتی در این بخش، با نرخ بسیار بالایی در حال افزایش است.
دستهبندی چالش امنیت برای بانکها
چالش امنیت برای بانکها را میتوان به دو دسته «چالش امنیتی بانک» و «چالش امنیتی مشتریان» تقسیم نمود. خطر نشت اطلاعات مشتری و عدم توجه کافی و مناسب به حفظ حریم خصوصی مشتریان از نمونه چالشهای امنیت اطلاعات در بانکداری بهشمار میرود.
افراد سودجو و متقلب همواره در پی شناسایی و دسترسی به اطلاعات حساب مشتریان بانکی برای کلاهبرداری و سرقت دارایی مردم و دیگر فعالیتهای غیرقانونی هستند و برای رسیدن به اهداف پلید خود از هر ابزاری استفاده میکنند. سرقت اطلاعات هویتی مشتریان بانکی، موجودی حساب، تراکنشهای کارت اعتباری و دیگر جزئیات اطلاعات مالی افراد از جمله مواردی است که این افراد به دنبال آن هستند.
بنابراین میتوان اذعان نمود صنعت بانکداری یکی از پر مخاطرهترین حوزهها در ارتباط با حریم خصوصی است که در معرض تعداد زیادی از حملات سایبری به حریم خصوصی و امنیت، مانند کلاهبرداری در پرداختهای آنلاین، دستگاههای خودپرداز، کارتهای الکترونیکی و سایر تراکنشهای بانکی قرار دارد.
از جمله موارد نقض حریم خصوصی افراد در بخش بانکی میتوان به مواردی همچون، به اشتراک گذاشتن اطلاعات شخصی افراد با اشخاص ثالث، اجازه دسترسی به اطلاعات شخصی افراد برای اهداف بازاریابی بدون تأیید آنها، عدم اطلاعرسانی کافی به فرد درباره رویههای انجامشده بر روی اطلاعات و دادههای شخصی او، جمعآوری اطلاعات شخصی افراد بیش از مقدار مورد نیاز، امتناع از تهیه سوابق مالی در صورت درخواست مشتری، ثبت نادرست اطلاعات شخصی و از بین رفتن اطلاعات شخصی مشتریان به دلیل اقدامات نادرست اشاره نمود.
بهعنوان نمونه در گزارشی از شبکه Utility Consumers’ Action، نقض حریم خصوصی مشتریان توسط یک بانک در آمریکا اعلام شده است که در آن اطلاعات شخصی (شماره حساب بانکی، شماره تأمین اجتماعی و …) متعلق به 35 میلیون نفر از مشتریان بانک، بدون اطلاع آنها به بازاریابها و اشخاص ثالث فروخته شده است.
حریم خصوصی در بانکداری
به منظور حفظ حریم خصوصی، نیاز به مجموعهای از الزامات قانونی و رویههای مناسب در ارتباط با بکار بردن دادههای خصوصی مشتریان است.
این قوانین و الزامات با عنوان مدیریت هویت و دسترسی، بانکها را متعهد به حفظ و نگهداری اطلاعات مشتریان خود کرده و آنها را ملزم مینماید که از اطلاعات مشتریان خود فقط در موارد خاص و مورد نیاز و آن هم به صورت محدود استفاده نمایند.
مطابق با این دسته از قوانین و مقررات، حفظ امنیت دادههای مشتریان، حق آنها بهشمار میرود و افراد، خود صاحب دادههایشان بوده و حق کنترل آنها را نیز بر عهده دارند. به بیان دیگر، خود مشتریان مشخص میکنند که چه کسی میتواند به دادههای آنها دسترسی داشته و از آنها استفاده کند.
بر اساس الزامات مدیریت هویت و دسترسی، اطمینان حاصل میشود که اطلاعات شخصی در کمترین حد، متناسب با نیاز و دقیقا مرتبط با هدفی که به اطلاع کاربر رسیده است جمعآوری میشود. همچنین این اطلاعات بیش از آنچه مورد نیاز است و در هدف بیان میشود نگهداری نمیشوند.
سازوکارهای کنترل دسترسی به منظور حصول اطمینان از دسترسی افراد مجاز به اطلاعات شخصی و مالی مشتریان بهکارگیری شده و کنترل و مدیریت دسترسی سلسلهمراتبی بر اساس الزامات و سطح خدمات ارائه شده به افراد اعمال میگردد. همچنین از فناوریهای رمزنگاری نیز برای حصول اطمینان از محرمانگی دادهها در زمان انتقال استفاده میشود.
بیشتر بخوانید: تفاوت احراز هویت با مجوزدهی
چالشهای بهکارگیری روش رمز پویا در بانکداری ایران: از فیشینگ تا رمز دوم پویا
امنیت یکی از چالشهای اصلی استفاده از فناوری اطلاعات در بانکها است که روز به روز بر اهمیت آن افزوده میشود. یکی از حوزههای امنیت که کاربرد فراوانی در بانکداری الکترونیکی دارد فناوریهای احراز هویت است.
از آنجا که عملیات بانکی (مانند تراکنشهای مالی و پولی، افتتاح حساب و گزارشگیری از تراکنشها) باید توسط افراد مجاز (مانند صاحبان حسابهای بانکی یا کسانی که از آنها وکالت دارند و یا توسط کاربران و کارمندان بانکها)، قابلانجام باشد، احراز هویت درخواستکننده عملیات بانکی از مسائل مهم امنیتی در حوزه بانکداری الکترونیکی بهشمار میرود.
امروزه در نظام بانکداری الکترونیکی اطمینان به کاربرانی که از اینترنت بانک استفاده میکنند امری پیچیده و دشوار است. در واقع بانکها در فرایند احراز هویت کاربران اینترنتی به دنبال این هستند تا مطمئن شوند فردی که در حال استفاده از عملیات بانکی در اینترنت است دقیقا همان فردی است که ادعا مینماید.
یکی از مشکلات عدم احراز هویت درست کاربران اینترنتی، وجود حملات فیشینگ است. رمزگیری یا فیشینگ، به تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و مانند آنها از طریق جعل یک وبگاه، آدرس ایمیل و مانند آن گفته میشود.
افزایش نگرانکننده آمار فیشینگ، مهمترین دلیل برای بهرهمندی از احراز هویت مبتنی بر OTP (گذرواژه یک بار مصرف) یا همان رمز دوم پویا است. رمز دوم پویا یک روش احرازهویت دو عاملی است که در آن، هر زمان که کاربران نیاز به تأیید اعتبار داشته باشند گذرواژه ایجاد میشود و پس از استفاده از آن، این رمز عبور غیر قابل استفاده شده و اعتبار آن از بین میرود.
در طرح اولیه اجرای رمز دوم پویا، قرار بود بانکها زیرساخت لازم برای تولید رمز دوم یک بار مصرف را در قالب برنامههای موبایلی یا نرمافزارهای تحت ویندوز فراهم کنند؛ اما از جمله مشکلات موجود این طرح این است که تمام کاربران دارای گوشی هوشمند نیستند.
از طرفی بسیاری از افرادی هم که دارای گوشی هوشمند هستند، علاقهای به نصب برنامه رمزساز روی گوشی خود ندارند، یا حداقل معتقدند این کار از راحتی آنها در دسترسی به سامانههای پرداخت بانکی میکاهد. همچنین بهدلیل اینکه بسیاری از بانکها زیرساخت لازم برای راهاندازی این طرح را در اختیار نداشتند، به منظور تسهیل تجربه کاربری، سامانه هدایت رمز یک بار مصرف با عنوان «هریم» برای دریافت پیامک رمز دوم پویا فعال شد.
استفاده از رمز دوم پویا مشکلات دیگری نیز به همراه دارد. تهیهی رمز پویا از طریق پیامک یا اپلیکیشنهای رمزساز، زمانی بین ۶۰ تا ۱۲۰ ثانیه از کاربران میگیرد که احتمالا هزینه ارسال پیامک را نیز به کاربران تحمیل میکند و حتی در غیر اینصورت، این هزینه به بانکها منتقل میشود.
از سوی دیگر، در کنار مشکلات بیان شده یک مزیت نسبی درباره آن وجود دارد که مدت اعتبار رمز دوم پویا بین ۶۰ تا ۱۲۰ ثانیه و طول آن حداقل شش رقم است و همین ویژگیها موجب میگردد تا کشف این رمز از طریق برنامههای مهاجم هک و کشف رمز، زمانبر شده و در نتیجه دسترسی به رمز در این بازه زمانی کوتاه، مشکل شود.
بیشتر بخوانید: احراز هویت مبتنی بر ریسک در بانکداری دیجیتال
البته قابل ذکر است که هنگام نصب برخی برنامههای مختلف بر روی گوشی، دسترسی به خواندن پیامک برای انجام کارهای بعدی به آنها داده میشود و این کار ممکن است یکی از روشهای سوءاستفاده برای هکرها و مجرمان قرار گیرد تا با استفاده از این برنامهها به پیامکهای کاربران و در ادامه به رمز ارسالی توسط سامانههای بانکی دسترسی داشته باشند.
با وجود فعال شدن رمز دوم پویا، باز هم سوءاستفادههای مالی و کلاهبرداری از تراکنش کارت به کارت اتفاق میافتد. کلاهبرداران با تماس تلفنی و به بهانه واریز وجه، شماره کارت قربانی را گرفته و اعلام میکنند برای تأیید پرداخت از طرف بانک، کدی که برای آنها پیامک شده را بخوانند. در نتیجه حساب قربانی با کدی که از سوی خود او در اختیار کلاهبردار قرار میگیرد، مورد سوءاستفاده قرار میگیرد.
یکی دیگر از مشکلات در زمانی اتفاق میافتد که گوشی و کارتهای فردی، به سرقت رفته یا گم شده باشد. در این صورت دسترسی به حسابها و داراییهای وی به راحتی امکانپذیر خواهد بود.
مشکل دیگر این است که کاربران بر روی گوشی خود اپلیکیشن رمزساز نداشته باشند و بخواهند سیمکارت خود را در زمان غیراداری تعویض کنند، در نتیجه تا صبح فردا نمیتوانند تراکنشی انجام دهند زیرا رمز دوم پویا به شماره قبلی آنها پیامک میشود و چالشهای حریم خصوصی در بانکداری به قوت خود باقی میمانند.
بنابراین میتوان اذعان نمود با توجه به روشهای دستیابی به رمز دوم پویا و مشکلات آن، استفاده از این فناوری یا سامانه نیز نمیتواند احراز هویت کاربران اینترنتی را بدون نقص انجام دهد و بهطور کامل باعث از بین رفتن حملات فیشینگ و چالشهای حریم خصوصی در بانکداری شود. بههمین منظور باید به دنبال روشهای جایگزین برای احراز هویت قویتر کاربران و کاهش این مشکلات بود. یک راهکار جایگزین استفاده از کیف پول الکترونیکی و روشهای احراز هویت دو مرحلهای بیومتریک است که از ریسک کمتری برخوردارند.
روشهایی که در آنها، از مشخصات هویتی شخصی افراد در کنار مشخصات حساب آنها برای احراز هویت استفاده میشود و به ضرس قاطع می توان اذعان نمود که روشهای احراز هویت دو یا چند عاملی و به ویژه بهرهمندی از شیوهای که مبتنی بر احراز هویت بیومتریک یا زیستسنجی باشد، از اعتبار بالاتری برخوردار است.
نویسنده: دکتر شیوا جلالی