خرید نرم افزار امنیتی از آمریكا، گاف بانك مركزی، اعتماد بیهوده، یا تایید ادعای جان كری؟

به گزارش نما به نقل از اتاق خبر 24: خذ قرارداد شرکت شاپرک با یک شرکت آمریکایی برای خرید نرم افزاری جهت کشف تخلفات در سیستم بانکداری موجی از نگرانی ها را در راستای واگذاری یکی از حوزه های مهم امنیتی به دولت متخاصم راه انداخت.

ماجرا از این قرار است که شرکت شبکه الکترونیکی پرداخت کارت‌های بانکی کشور (شاپرک)، برای کشف تخلفات در سیستم بانکداری با یک شرکت آمریکایی برای خرید یک نرم‌افزار قرارداد بسته است.

شبکه الکترونیکی پرداخت کارت یا شاپرک چیست؟

شبکه الکترونیکی پرداخت کارت یا شاپرک وظیفه انتقال امن اطلاعات و داده های مربوط به تراکنشهای مالی و غیر مالی به بانکهای صادر کننده کارت را دارد. این مرکز با استفاده از سخت افزارها‌،‌ ‌نرم‌افزارها و شبکه ارتباطاتی خود ، پیامها و داده های اخذ شده از شرکتهای ارائه دهنده خدمات پرداخت (‌PSP‌) را پذیرش کرده ، آنها را کنترل ، مسیریابی و سپس نسبت به ارسال آنها به بانکهای صادرکننده (‌از طریق سامانه شتاب ) اقدام می‌نماید. همچنین ‌ شاپرک وظیفه تسویه اقلام مربوط به تراکنشهای موفق پذیرندگان و تعیین و اعلام کارمزدهای مربوطه را بر عهده دارد. این کار به صورت دوره های زمانی سیکلی در طول یک روز کاری و همچنین پایان روز انجام می‌گیرد (‌از طریق سامانه پایا )تسویه حسابها ، ارسال گزارشهای مربوطه و همچنین تعیین ،‌اعلام و ارسال گزارشهای کارمزدهای دریافتی و پرداختی در پایان هر روز کاری به هریک از PSP ها از دیگر وظایف شاپرک به حساب می آید.

شاپرک به عنوان شرکت فعال در بخش تراکنش‌های بانکی و کارتی در کشورمان، وابسته به بانک مرکزی ایران است و تمامی اطلاعات زیرساختی کشور در این بخش در اختیار این شرکت با نظارت بانک مرکزی قرار دارد و در واقع بانک مرکزی تراکنش‌های بانکی را به این شاپرک برون سپاری کرده و این شرکت تمامی نرم افزارها و اطلاعات سیستم بانکی شتاب، کارت‌های بانکی، خرید و فروش‌ها از طرق دستگاه‌های کارت خوان، نقل و انتقالات از طریق خودپردازها، پرداخت‌های قبوض و غیره را در اختیار دارد.

هرچند که شرکت شاپرک اطلاعات کلیه فعالان اقتصادی کشور را در اختیار دارد و با اخذ قرارداد یک شرکت خارجی، در صدد استفاده از فن آوری این شرکت جهت کشف تخلفات سیستم بانکداری بوده است اما از آنجایی که بیشترین حد معاملات پولی به وسیله کارت های پولی انجام می شود، امنیت زیر ساخت های این شبکه بیش از پیش زیر سوال رفت.

نگاه کارشناسان اقتصادی به اخذ قرارداد شاپرک با شرکت آمریکایی

با این تفاسیر بود که کارشناسان اقتصادی نگرانی خود از خطرات اخذ قرارداد با این شرکت آمریکایی را برای اقتصاد و نظام بانکی کشور تشریح کردند و به دنبال این مهم یکی از مقام‌های مسئول در شاپرک با اشاره به این‌که اصلا قرار نبود این موضوع رسانه‌ای شود، گفت: قبل از این‌که درباره این خرید اظهار نظر کنم، متعجبم که این خبر رسانه‌ای شده است و پس از آن باید بگویم چون هنوز این طرح استارت نخورده و خبری از اجرایی شدن آن نیست، نمی‌توان درباره آن اظهار نظر کرد.

همچنین بعد از بالا گرفتن انتقادات نیز شاپرک اطلاعیه ای با این مضمون صادر کرد که نرم‌افزار SAS یک نرم‌افزار تحلیل آماری و مدل‌سازی عمومی است که داده‌های آزمایشی و غیر حساس را تحلیل کرده و امکان مدلسازی فرآیندهای تشخیص را در محیطی ایزوله به کارشناسان مربوط می‌دهد. این نرم‌افزار روی سامانه‌‌های برخط و داده‌های اصلی نصب نشده و تهدیدی امنیتی را متوجه سامانه‌های حساس بانکی نمی‌کند.

این شرکت در توجیه امضای این قرارداد مطرح کرد که در ضمن اینکه قرارداد موصوف با شرکت آمریکایی منعقد نشده، این قرارداد با یکی از نمایندگان رسمی این شرکت که مدیریت و مالکیت صد در صد ایرانی دارد، بسته شده است.

وقتی مسئولین بانک مرکزی نرم افزار را بی اهمیت توصیف کردند

از سوی دیگر مسئولین بانک مرکزی نیز این نرم افزار را بی اهمیت توصیف کرده و گفتند: همه دارند از آن استفاده می کنند. از مخابرات گرفته تا جاهای مختلف در حال استفاده از آن هستند.

پس از این ناصر حکیمی، مدیرکل فناوری اطلاعات و ارتباطات بانک مرکزی درباره چند و چون قرارداد خرید این گفت: این نرم‌افزار در کنار خیلی از نرم‌افزارهای دیگر که از سوی سازمان‌ها و نهادها خریداری می‌شود، صرفا برای این است که بتوان آن را مهندسی معکوس کرد تا بتوانیم براساس داده‌های آن، نرم‌افزاری بومی متناسب با نیازهای خودمان با استانداردهای بین‌المللی بنویسیم که این نرم‌افزار قرار است بحث تقلب و سوءاستفاده‌های احتمالی در سیستم‌های بانکی را شناسایی کند.

واکنش رئیس سازمان پدافند غیرعامل کشور

اما اظهارات غیر حرفه ای مسئولین تا جایی بود که نه تنها برخی دیگر از کارشناسان توضیحات مربوطه را منطقی نداستند بلکه سردار سرتیپ پاسدار غلامرضا جلالی رئیس سازمان پدافند غیرعامل کشور با اشاره به خرید نرم‌افزار آمریکایی نظارت بر تراکنش‌های مالی از سوی شرکت شاپرک عنوان داشت: «شرکت شاپرک مجوز خرید نرم‌افزار آمریکایی را از سازمان پدافند غیرعامل کشور ندارد و ما این موضوع را با جدیت دنبال می‌کنیم.»

اما با این حال بسیاری از متخصصان امنیت ملی نیز تن دادن به هرگونه اختلالات و مشکلات را مقدم بر در اختیار گذاشتن سناریوهای معمول تبادلات پولی- مالی و بانک‌های اطلاعات حساس کشور به آمریکایی ها دانستند.

این در حالی است که یکی از مدیران پروژه یادشده، در دیدار با هیأت SAS تاکید بر «آنلاین بودن» سیستم کرده که خود ریسک حملات سایبری و خرابکاری را بالاتر می‌برد و بر شک متخصصان ناظر بر این پروژه مشکوک افزود.

به جرئت می توان گفت قرارداده مذکور، به سادگی همه آنچه در حوزه زیر ساخت اقتصادی کشور است را در اختیار دشمن قرار می دهد وحیاتی ترین ابزار «برتری اطلاعاتی» را در جنگی نابرابر با نقض قطعی «حریم خصوصی شهروندان ایرانی» و «حاکمیت»، به آمریکا واگذار می‌کند.

وزیر امور خارجه آمریکا مدعی تغییر در سیستم بانکداری ایران شد

این همان «ابزار اطلاعاتی تهاجمی» است که با تهدید یک کشور به استفاده از آن می‌توان «بازدارندگی» لازم در حوزه «قدرت» را ایجاد کرده و زمینه تسلیم و فرمانبری هر حاکمیتی را به واسطه تسلط بر آن فراهم آورد و این فرضیه وقتی تایید می شود که ابتدای اردیبهشت ماه محمدجواد ظریف وزیر امور خارجه ایران که برای شرکت در مراسم امضای موافقتنامه تغییرات آب و هوایی به نیویورک سفر کرده بود با جان کری همتای آمریکایی خود در خصوص روند اجرای برجام دیدار و گفتگو کرد و در این دیدار وزیر امور خارجه آمریکا مدعی تغییر در سیستم بانکداری ایران شد و گفت:

"اکنون ما معتقدیم برای شرکت‌ها زمانی نیاز است که برای تعامل مجدد با ایران احساس اطمینان کنند و منصفانه است که بگوییم این امر به واسطه تحریم‌ها نیست؛ بلکه این امر به واسطه نگرانی‌ها است و همان گونه که ما در مذاکرات صراحتا اعلام کردیم، ایران نیز نیازمند زمان برای بروز کردن سیستم بانکداری خود برای انجام امور (مربوط به برداشتن تحریم‌ها) است. اقدامی که ظرف سال‌های تحریم انجام نشده است و این امر (بروز رسانی سیستم بانکداری) روند را تسهیل خواهد کرد."

هر چند که شاپرک به ترفندهای مختلف این اقدام را توجیه کرد و مسئولین بانک مرکزی نیز جواب قانع کننده ای در این زمینه ندادند اما شاید به گفته همان کارشناسان، منطق حکم می کند که مسئولین اختلالات و مشکلات را بر مقدم بر در اختیار گذاشتن اطلاعات سیستم بانکی به کشورهای متخاصمی چون آمریکا بدانند.

کما اینکه پر واضح است که در همه جای دنیا، امنیت سایبری مانع از خرید هرگونه نرم افزار و آنتی ویروس از سایر کشورها می شود اما متاسفانه مسئولین داخلی کشور ما به جای تاکید بر خودکفایی در این زمینه و پیش بینی خطرات احتمالی، اقدام به اخذ چنین قرارداد مهمی کرده اند که مشخص نیست در نهایت با چه توجیهی، سایرین را قانع خواهند کرد و آیا اصلا در نهایت خسارات احتمالی این اقدام جبران پذیر خواهد بود و اساسا کسی مسئولیت آن را به عهده خواهد گرفت یا باز هم در سالهای آینده و بعد از ضررهای فراوان، تازه باید پرتقال فروش را پیدا کنیم؟!