چرا كارت‌هاي اعتباري، پيوسته و انبوه هك مي‌شوند؟قسمت اول

مقاله‌ پيشِ روي شما، نوشته(Charlie Demerjian)، با به انتقاد گرفتن سيستم حاكم بر صنعت كارت‌هاي اعتباري، ادعا كرده‌است كه برندهاي كارت اعتباري به‌طور خودخواسته و با لابي‌گري، قوانين را به‌گونه‌اي وضع كرده‌اند كه در صورت هك شدن كارت‌ها، نه تنها مسئوليتي متوجه‌شان نباشد بلكه از اين‌راه و با دريافت مبالغ گوناگون از جمله به‌عنوان جبران خسارت، سالانه درآمد كلاني كسب كنند. باتوجه به ماهيت نسبتا پيچيده سازوكارهاي مالي و به‌ويژه روابط و قوانين حاكم بر عرصه كارت‌هاي اعتباري، در نوشتار زير ضمن ترجمه اصل مقاله، هرگاه كه لازم مي‌نمود توضيح‌هاي كوتاهي نيز درون پرانتز و به‌صورت پانويس به‌آن افزوده شده‌است تا مطلب گوياتر باشد. علاوه بر اين، بخش جداگانه‌اي نيز با عنوان «نهادهاي موجود در صنعت كارت‌هاي اعتباري و ارتباط ميان آن‌ها» در نظر گرفته شده‌است كه درباره نهادهاي مرتبط در اين صنعت توضيح‌هاي كوتاه اما مفيدي را ارائه داده‌است و به‌خوانندگان گرامي پيشنهاد مي‌شود حتماً پيش از خواندن اصل مقاله آن‌را مطالعه كنند.

چرا شمار بسيار زيادي از شركت‌هاي بزرگ «هك» مي‌شوند و فهرست اطلاعات كارت‌هاي اعتباري‌ آن‌ها به‌سرقت مي‌رود؟ معلوم است، زيرا صنعت كارت‌هاي اعتباري از هر سرقتي كه روي مي‌دهد پول به جيب مي‌زند و براي پيش‌گيري از اين هك‌ها هيچ كاري انجام نمي‌دهد. مي‌دانم مسخره به‌نظر مي‌رسد، اما اين دقيقاً همان چيزي است كه اتفاق مي‌افتد.سرقت‌هاي گسترده از كارت‌هاي اعتباري به‌وسيله رخنه‌گري، هك، كارشكني خودي‌ها، يا موارد ديگر براي برندهاي كارت اعتباري عوايد مالي خيلي خوبي دارد. به‌همين علت، آن‌ها با لابي‌گري قوانيني را وضع كرده‌اند كه آن‌ها را از هرگونه مسئوليتي مصون مي‌دارد و در اين ميان، همه سختي‌ها را صادركننده كارت، فروشنده يا مشتري به‌جان مي‌خرد. اين سيستم نقص دارد.

نخست بياييد به ريشه اين ماجرا، يعني همان مجموعه استانداردهايي كه آن‌را پي‌سي‌آي PCI، (سرنام Payment Card Industry) مي‌نامند، نگاهي بياندازيم. پي‌سي‌آي توسط شبكه‌ها يا همان برندهاي بزرگ كارت اعتباري توسعه داده‌ شده ‌است و بيشتر مردم فكر مي‌كنند اين قوانين وضع شده‌اند تا اطمينان دهند يك فروشنده در عمل امنيت را جدي مي‌گيرد. اين شبيه همان ترفندهايي است كه حزب‌ها به‌كار مي‌بندند تا مردم باورشان كنند. متاسفانه پي‌سي‌آي درباره امنيت واقعاً كاري انجام نمي‌دهد يا دست‌كم فقط به‌صورت جزيي به‌آن مي‌پردازد.
اگر در اين‌باره وب‌سايت‌ها و ديگر مطالب مرتبط را مطالعه كنيد، مي‌بينيد نوشته‌اند كه پي‌سي‌آي با برقراري صحيح امنيت سروكار دارد؛ اين استانداردها شامل گزارش‌ كار‌ها، كنش‌هاي پيشنهادي و چيزهايي است كه مي‌توانيد انجام دهيد تا عمليات پردازش كارت اعتباري خود را «امن» كنيد. به‌طور خلاصه چيزي در مايه‌هاي بهترين رهنمودهاي صنعتي كه در شكل ابتدايي‌اش اين‌گونه است. ريشه مشكل همين است.
آن‌چه كه رهنمودها يا دستورهاي مندرج در پي‌سي‌آي انجام مي‌دهد اين است كه از هر كسي كه با كارت‌هاي اعتباري سروكار دارد، مي‌خواهد تا يك‌سري راه‌كارهاي پيشنهادي را رعايت كند. اين رهنمودها بسته به وسعت كار، مشكلات پيشين و بسياري موارد ديگر مي‌تواند به‌صورت گسترده‌تري طبقه‌بندي شود و هرچه كسب‌وكارتان بزرگ‌تر باشد، بايد كارهاي بيش‌تري انجام دهيد (موارد بيش‌تري را رعايت كنيد). اين چيزها تا وقتي كه روي كاغذ هستند عالي به‌نظر مي‌رسند، هر چه ميزان ريسك بالاتر باشد، شما هم بايد كارهاي بيش‌تري انجام دهيد، و آن‌ها حتي يك چك‌ليست هم به‌شما مي‌دهند تا طبق آن سازوكارهاي خود را تنظيم و كنترل كنيد.
اما متأسفانه اين فهرست راهنما چنان گنگ و سست است كه شركت‌ها مي‌توانند تقريباً هر كاري انجام دهند و همچنان از آن‌ها تأييد بگيرند. ما چندين نفر را مي‌شناسيم كه مدت‌ها براساس استانداردهاي پي‌سي‌آي كارهاي خود را اداره مي‌كرده‌اند و همه آن‌ها فرآيند يادشده را، دست‌كم تا جايي كه به امنيت واقعي مربوط مي‌شود، يك شوخي دانسته‌اند. تنها كاري كه پي‌سي‌آي انجام مي‌دهد اين است كه يك چك‌ليست در اختيار شركت‌ها مي‌گذارد. شركت‌ها نيز مي‌توانند آن‌را مدنظر قرار دهند و سپس ادعا كنند قوانين، يعني همان «بهترين رهنمودهاي صنعتي»، را رعايت كرده‌اند. يعني مجموعه رهنمودهاي پي‌سي‌آي به امنيت واقعي تقريباً هيچ ربطي ندارد.

     در اين صنعت قدرت در يك‌جا متمركز شده‌است و آن برندها يا همان شبكه‌هاي كارت اعتباري و شركت‌هاي مربوطه‌شان است. آن‌ها مي‌توانند قوانين يك‌سويه و دلخواه خودشان را وضع كنند تا در برابر هيچ‌چيز پاسخ‌گو نباشند.

اگر موضوع تا اين اندازه مسخره است، پس چرا صنعت كارت‌هاي اعتباري هنوز آن‌را دنبال مي‌كند؟ اگر پي‌سي‌آي هيچ كاري انجام نمي‌دهد، پس چرا اصلاً به‌آن اهميت مي‌دهند؟ پاسخ اين پرسش نخستين كليد تمام اين داستان است. پي‌سي‌آي براي كساني كه از آن پيروي كنند خيلي‌ كارها انجام مي‌دهد، اما آن‌چه انجام مي‌دهد به امنيت هيچ ارتباطي ندارد. مزيت پي‌سي‌آي اين است كه يك‌سري مقررات ارائه مي‌كند، چيزي‌كه ارزش آن در جهان مدرن خيلي بيشتر از امنيت واقعي است.
اين مجموعه مقررات، به زبان ساده راهي را فراروي شركت‌ها قرار مي‌دهند تا آن‌ها با به‌كار بردن اصطلاح‌هاي حقوقي بگويند: «هرآن‌چه مي‌توانستيم، انجام داديم تا امنيت را تضمين كنيم»، درحالي‌كه شايد تمام كاري كه انجام داده‌اند، رعايت حداقل‌هاي لازم براي گذر از تست‌ها و گرفتن تاييديه ‌باشد. گفتني است، كسي كه وضعيت پي‌سي‌آي اين شركت‌ها را تست مي‌كند، يك نهاد حسابرس طرف سوم (third party) است كه هزينه و دستمزدش از جيب فروشندگان پرداخت مي‌شود (منظور از فروشندگان، همان فروشگاه‌هاي كوچك و بزرگي است كه پول كالاها و سرويس‌هاي فروخته‌شده به مشتريان را توسط كارت‌هاي اعتباري دريافت مي‌كنند). يك لحظه درباره‌اش فكر كنيد، حدس مي‌زنيد پولي كه بايد به اين حسابرس‌ها داده‌شود كجا است؟ ضمن اين‌كه اين تاييدها فقط رعايت يا عدم رعايت مقررات گفته‌شده را بررسي مي‌كنند و نه امنيت واقعي را.
پس پي‌سي‌آي چيزي جز يك سپر قانوني (براي شبكه‌هاي كارت اعتباري) نيست؛ گواهي‌‌نامه‌اي در قاب طلايي كه (به‌آن‌ها) مي‌گويد اگر كلاه‌برداري رخ داد، مي‌توانيد خودتان را كنار بكشيد. به‌طور خلاصه، مهر تأييدي است كه اين صنعت قبولش دارد و با اتكا به‌آن خود را در برابر دادخواست‌هايي كه ممكن است پس از حمله‌هاي هك مطرح شوند، مصون نگاه مي‌دارد. پي‌سي‌آي راه گريز اين شركت‌ها از دادخواهي‌هاي پس از وقوع هك است. در مواردي هم كه نتوانند از زير بار مسئوليت شانه خالي كنند، كاري مي‌كنند كه اين دادخواست‌ها ارزش مطرح شدن پيدا نكنند. پي‌سي‌آي براي امنيت كاري انجام نمي‌دهد. مگر اين‌كه سود خالص شركت‌هاي بي‌عرضه و بي‌مبالات را امنيت واقعي قلمداد كنيد. البته كه اين رويه، برنامه‌ريزي‌شده است و هدفش اين است كه چاره‌جويي‌هاي قانوني مشتريان را خنثي كند و اين كار را خيلي هم خوب انجام مي‌دهد.
اگر چنين است، چرا شركت‌هاي كارت اعتباري اقدامي نمي‌كنند تا سازوكارها واقعاً امن شود؟ اين‌همان مشكل بعدي است و بستگي دارد منظورتان از شركت‌هاي كارت اعتباري چه كسي باشد؟ عبارت «شركت كارت اعتباري» ممكن است به چند نهاد متفاوت اشاره داشته‌باشد. ممكن است منظور يك نفر از شركت كارت اعتباري، برند كارت مانند ويزا و امريكن اكسپرس باشد، يا منظورش بانك صادركننده‌اي باشد كه در واقع مي‌توانيد كارت را از آن‌ دريافت ‌كنيد، يا منظور آن فروشندگاني باشد كه آن كارت‌ها را دريافت مي‌كنند. در پايين‌ترين سطح اين تل نيز مشتري قرار دارد كه كارتي را كه برايش صادر شده‌است مي‌گيرد. (پيكان اين مقاله، مورد نخست را نشانه رفته‌است؛ يعني برندهاي كارت اعتباري مانند ويزا، مستركارد و...)
 در اين صنعت قدرت در يك‌جا متمركز شده‌است و آن برندها يا همان شبكه‌هاي كارت اعتباري و شركت‌هاي مربوطه‌شان است. آن‌ها مي‌توانند قوانين يك‌سويه و دلخواه خودشان را وضع كنند تا در برابر هيچ‌چيز پاسخ‌گو نباشند. مي‌توانند هرگاه كه خواستند دوشاخه را از پريز شركت‌هاي صادركننده كارت بكشند و اين بخش بزرگي از كسب‌وكار آن‌ها است. فروشنده‌اي كه عضو اين زنجيره باشد و بخواهد با شبكه‌هاي كارت اعتباري مبارزه كند، بايد خيلي خوش‌شانس باشد كه بتواند پيروز شود، او هيچ شانسي ندارد. و مشتريان؟ خب، آن‌ها مثل قربانيان جاده‌اي اين ماجرا هستند. آن‌ها جز در چند ايالت معدود كه قوانين نصفه و نيمه‌اي به‌تصويب رسيده ‌است، هيچ حق و حقوقي ندارند. تازه لابي‌گران آن قوانين نصفه و نيمه را هم تا اندازه زيادي بي‌اثر كرده‌اند و درنتيجه آن‌ قوانين هم بي‌ارزش هستند. در اين زنجيره فقط حلقه بالانشين است كه قدرت را در دست دارد.