بخشنامه استفاده ازOTP ‌، 200 میلیارد برای بانک‌ها هزینه دارد

• 31 شهریور 1397 07:4 ق.ظ

رمز‌هاي پويا يا به عبارت دقيق‌تر رمز‌هاي يك‌بار مصرف (OTP[1]) گذرواژه‌هايي هستند كه در هر بار اتصال كاربر براي انجام يك عمليات تراكنشي، مانند افتتاح حساب كاربري، تراكنش مالي و... توليد و به مدت معلومي داراي اعتبار هستند. رمز يك‌بار مصرف براي ايمن‌سازي دسترسي كاربران به سيستم‌هاي الكترونيكي ارايه‌شده كه در آن از قابليت‌هاي رمزنگاري براي توليد رمز تصادفي يك‌بار مصرف استفاده مي‌شود. مهم‌ترين مزيت استفاده از  OTP‌يا رمز يك‌بار مصرف اين است كه سرقت اطلاعات با دانستن رمز عبور غير‌ممكن مي‌شود. آشنايي كاربران ايراني با رمز‌هاي يك‌بار مصرف به‌صورت گسترده در نصب اپليكيشن‌هاي پيام‌رسان صورت گرفت؛ وقتي كه اپليكيشن براي ورود كاربر از وي شماره تلفن يا آدرس ايميل درخواست كرده و يك كد عبور چهار يا پنج رقمي براي كاربر ارسال مي‌كند تا به اين صورت احراز هويت تكميل شود. يكي از كاربرد‌هاي مهم اين تكنولوژي، ايمن‌سازي تراكنش‌هاي بانكي، به‌خصوص تراكنش‌هاي بستر اينترنت و درگاه‌هاي پرداخت است. آمار‌هاي منتشر‌شده، از حجم عظيم برداشت‌هاي غير‌مجاز و مجرمانه از حساب كاربران شبكه بانكي حكايت دارد، به طوري كه رييس پليس فتا در سال 95 اعلام كرد: بيش از ۳۴ درصد پرونده‌هاي متشكله از بدو تاسيس پليس فتا تا‌كنون مربوط به برداشت‌هاي بانكي است كه برخي از اين پرونده‌ها تا ۲۵۰۰ نفرمالباخته (‌تنها در يك پرونده‌) داشته‌اند و اين آمار بالاي تشكيل پرونده، ضرورت حساس شدن بانك‌ها به افزايش سطح استاندارد‌هاي امنيتي و ارتقاي سطح تعامل و همكاري با پليس فتا را نشان مي‌دهد كه در اين راستا همچنين افزايش ضريب دقت مردم در حفظ اطلاعات بانكي خود نيز مورد تاكيد است.

در همين راستا و با توجه به وظايف بانك مركزي بر تنظيم مقررات حوزه امنيت تراكنش‌هاي بانكي، اين بانك بخشنامه «الزامات رمزهاي پويا بر تراكنش‌هاي مبتني بر كارت» را منتشر و به بانك‌ها و موسسات مالي كشور ابلاغ كرد. در اين بخشنامه كه به كمك شركت كاشف تهيه شده، زمان‌بندي و مراحل مختلف اجرا به بانك‌ها تكليف شده است. همچنين در پيوست اين بخشنامه جزیيات و الزامات فني به بانك‌ها و صادركنندگان كارت ابلاغ شده است. در اين يادداشت زواياي مختلف اين ابلاغيه مورد بررسي قرار گرفته است.

حجم و ابعاد تراكنش‌هاي OTP

ايران كشوري با 85 ميليون جمعيت است كه كمي بيش از 30 درصد آن بين 15 تا 60 سال سن دارند. سرويس بانكداري و پرداخت الكترونيكی براي اين جامعه به‌گونه‌اي گسترش يافته كه شبكه ملي شتاب به يكي از بزرگ‌ترين شبكه‌هاي ملي بانكداري الكترونيكی در غرب آسيا و شمال آفريقا تبديل شده است. اين شبكه شامل 34 سوييچ بانكي، 50 هزار خودپرداز، بيش از 5/6 ميليون دستگاه كارت‌خوان بانكي است. بيش از 350 ميليون كارت در كشور صادر شده است و آمار‌ها نشان‌دهنده فعال بودن 90 ميليون كارت در ايران است. حجم تراكنش‌هاي الكترونيكي در شبكه شتاب بالغ بر 30 ميليارد در سال است كه حدود 17 ميليارد تراكنش به پرداخت الكترونيكی اختصاص دارد؛ يعني هر ايراني بالغ به طور متوسط سالانه بيش از 650 تراكنش پرداخت انجام مي‌دهد. اين آمار مربوط به سال 95 است و تعداد تراكنش‌ها سالانه بين 25 تا 30 درصد رشد با خود به همراه دارد. حجم تراكنش‌هاي پرداخت الكترونيكی از لحاظ مبلغ نيز قابل توجه است و به 1600 هزار ميليارد تومان در سال مي‌رسد كه معادل با حجم نقدينگي كل كشور است. تراكنش‌هايي كه بر بستر درگاه‌هاي امني مانند كارت‌خوان و خودپرداز انجام مي‌شوند دو‌ عاملي هستند، يعني براي انجام تراكنش داشتن دو فاكتور شماره كارت و رمز اول كافي است. البته غير از رمز اول، بقيه اطلاعات تراكنش، مانند نام و نام خانوادگي، شماره كارت، CVV2 در قسمت مگنت كارت‌ها ذخيره شده كه دستگاه پذيرنده اطلاعات را از آن واكشي مي‌كند. در تراكنش‌هايي كه اصطلاحا CNP[2] نام دارند، چهار فاكتور براي انجام تراكنش لازم است كه شامل شماره كارت، رمز دوم (4 تا 8 رقم)، CVV2 و تاريخ انقضاي كارت است. از بين اين چهار پارامتر، تنها پارامتري كه روي كارت حك نشده و تنها در حافظه مشتري ذخيره شده، رمز دوم كارت است. منشا بسياري از سرقت‌ها و سوءاستفاده‌ها، ناشي از لو رفتن رمز دوم كارت مشتريان است؛ بنابراين چنانچه در تراكنش‌هاي CNP بتوان رمز دوم را به‌صورت OTP توليد كرد، امنيت اين نوع تراكنش‌ها تا حد قابل توجهي افزايش مي‌يابد.

دو میلیارد پیامک برای استفاده از OTP

آمار‌هاي منتشر‌شده در گزارش اقتصادي شركت شاپرك نشان مي‌دهد كه در سال 96، حدود 3 درصد از تراكنش‌ها بر بستر اينترنت و 8 درصد بر بستر موبايل انجام شده است، بنابراين به صورت بالقوه 11 درصد از تراكنش‌هاي شبكه پرداخت را كه بدون حضور كارت و با چهار فاكتور انجام مي‌شوند مي‌توان با ابزار OTP ايمن کرد. رمز دوم پويا مي‌تواند بر بستر كارت، پيامك، ايميل يا دستگاه‌هاي چاپ رمز توليد شود. در اين ميان فراگيرترين روش استفاده از پيامك و همچنين نمايش رمز به‌صورت ديجيتال روي كارت است. با توجه به سهم 11 درصدي تراكنش‌هاي CNP، حدود دو ميليارد تراكنش نياز به ارسال پيامك خواهند داشت که با توجه به هزینه حداقل 10 تومانی برای هر پیامک مبلغی نزدیک به 200 میلیارد ریال به بانک‌ها برای اجرای این بخشنامه تحمیل خواهد شد. البته اين تعداد پيامك در حال حاضر نيز بازار قابل اعتنايي براي اپراتورهاي موبايل است. از طرف ديگر با توجه به جنجال‌هاي پيش آمده در سال‌هاي گذشته پيرامون هزينه ارسال پيامك‌ها، بايد ديد بانك‌ها به چه صورت مي‌توانند اين هزينه را از مشتري اخذ كنند. در هر صورت، روش ارسال OTP بر بستر پيامك ابعاد كسب‌وكاري مختلفي دارد كه از نتايج اين بخشنامه است. هرچند چنان‌كه پيداست، استفاده از OTP و گره زدن بخشي از تراكنش‌هاي شبكه بانكي به زيرساخت‌هاي مخابراتي، زمينه‌ساز منازعات احتمالي ميان اين دو صنعت خواهد بود.

البته بانک ملی ایران با رونمایی از نرم‌افزار پیام‌رسان بله، سعی در جایگزین کردن پیامک با ارسال پیام در این شبکه اجتماعی دارد که به نظر می‌رسد تا حدود زیادی هم در این امر موفق بوده است. از همین رو چنانچه سایر بانک‌ها نیز بتوانند از بسترهای مشابهی استفاده کنند قطعا در کاهش هزینه پیامک‌های آنها بی‌تاثیر نخواهد بود.

زمان كوتاه تا جراحي بزرگ

در اين بخشنامه زمان اجراي اين طرح آذر‌ماه 97 در نظر گرفته شده است. از آذر‌ماه به بعد استفاده از رمز ايستا و پويا توامان خواهد بود و تمامي خسارات ناشي از لو رفتن رمزهاي دوم مشتريان بر عهده بانك‌ها گذاشته شده است. اين زمان‌بندي به نظر بسيار فوري و غيرمنتظره مي‌‌آيد و شايد بهتر مي‌بود بانك مركزي زمان بيشتري را صرف فرهنگ‌سازي براي مردم از يك‌سو و همچنين آمادگي فني و اجرايي بانك‌ها از سوي ديگر مي‌كرد. به هر حال در خصوص استفاده از كارت‌هاي نسل جديد براي نمايش رمز پويا نيز بايد ديد تعويض كارت‌هاي قديمي با كارت‌هاي جديد چه تحليل هزينه-فايده و برآورد زماني خواهد داشت. طبق زمان‌بندي ابلاغ‌شده، تا خرداد 98 هيچ رمز دوم ايستايي در شبكه بانكي پذيرفته نيست. آخرين مهلت مهاجرت بانك‌ها به رمز دوم پويا، تنها 9 ماه ديگر خواهد بود!