یک سال از فراخوان شاپرک گذشت

سامانه کشف تقلب آنلاین؛ شاید وقتی دیگر

تابستان به نیمه خود نزدیک می‌شود و مدتی است که از سالگرد انتشار فراخوان شرکت شاپرک برای شناسایی توانمندی شرکت‌های داخلی براي دستیابی به سامانه‌های پیشگیری و کشف تقلب گذشته،‌ اما همچنان خبری از محصولی بومی که پاسخگوی نیازهای شبکه پرداخت کشور باشد،‌ نیست.

شاپرک پیش‌تر در سال 95 با خرید نرم‌افزار SAS از نماینده ایرانی یک شرکت آمریکایی با هجمه داخلی مواجه شده و در نهایت انعقاد نهایی قرارداد خرید نرم‌افزار SAS را منتفی کرد، سپس با اعلام برخی شرکت‌ها که مدعی بودند امکان تولید داخلی این نرم‌افزار در سطح کلان وجود دارد مواجه شد؛‌ ادعایی که ظاهرا تاکنون و با گذشت نزدیک به سه سال به اثبات نرسیده است.

سامانه کشف تقلب چیست؟

سازمان‌ها و سایت‌های زیادی هستند که از پرداخت اینترنتی پشتیبانی می‌کنند. این سازمان‌ها و شرکت‌ها از سامانه کشف تقلب برای ایمن‌سازی تراکنش‌های خود استفاده می‌کنند.

این سامانه‌ها روی ایجاد حساب کاربری، اعمال کنترل روی اکانت و تقلب در پرداخت تمرکز می‌کنند. با کشف تقلب، اعمال کنترل روی حساب کاربری و ایجاد حساب کاربری، شرکت‌ها سعی می‌کنند تا کاربرانی که خود را به‌جای کاربران حقیقی نشان می‌دهند را از سامانه خارج کنند.

برای مثال یکی از کارهایی که سامانه ضد تقلب انجام می‌دهد این است که بررسی می‌کند پرداخت‌های اینترنتی با کارت‌های اعتباری مسروقه انجام می‌شود یا خیر؟ برخی از شرکت‌های ارایه‌کننده این سامانه‌ها خدمات «هوش تقلب»، «تایید هویت»، «تشخیص بدافزار» و تامین امنیت مشتریان را ارایه می‌کنند. همچنین در کنار این موارد شرکت ارایه‌کننده باید هنگام تشخیص تقلب اقدامات لازم و ضروری را نیز انجام دهد. گفته می‌شود سامانه ضد تقلب نمی‌تواند همه تقلب‌ها را شناسایی کرده و جلوی آنها را بگیرد، اما تا حدود زیادی امکان سرقت و کلاهبرداری را کاهش می‌دهد.

به گفته مدیران شاپرک، سامانه کشف تقلب مطلوب این شرکت باید بتواند از مجموعه وسیعی از داده‌های ناهمگون اما مرتبط مثل داده‌های تراکنش‌ها، پذیرندگان، دارندگان کارت، ابزارهای پذیرش، توپولوژی و ترافیک شبکه پرداخت، خروجی SOC شاپرک و ... تغذیه شود. اما یک سری ویژگی‌ها مانند تجربه پیاده‌سازی در محیط‌های مشابه، پویایی، قابلیت توسعه بر اساس تغییرات شبکه شاپرک و مقیاس‌پذیر بودن جزو نیازمندی‌های عمومی است. سامانه باید بتواند طیف وسیعی از سناریوهای تقلب را با کم‌ترین دخالت کاربر یا کم‌ترین نیاز به تغییرات توسعه‌ای، پوشش دهد و قابلیت سازگاری و یادگیری را هم بر اساس دیتای گذشته و حال شاپرک با عملکرد بالا و در کم‌ترین زمان داشته باشد. هرقدر قابلیت‌های این سامانه سریع‌تر بتواند تحویل شاپرک شود و سامانه‌ای نباشد که شاپرک را به صورت روزمره به تیم توسعه وابسته کند، مطلوب‌تر است.

شاپرک به دنبال سامانه کشف تقلب

تیرماه سال 97 شرکت شاپرک برای به‌کارگیری سامانه کشف تقلب بومی، اطلاعیه‌ای صادر کرد و از شرکت‌های داخلی خواست در صورتی که محصولی برای ارایه دارند هر چه زودتر مستندات خود را به این شرکت ارایه دهند.

در اطلاعیه شاپرک آمده بود: استفاده و پیاده‌سازی از سامانه‌ای برای پیشگیری و کشف تقلب‌های احتمالی در شبکه پرداخت الکترونیک، مساله‌ای کلیدی است که ضرورت آن از سال‌ها قبل مشخص بود گرچه همزمان با افزایش چشمگیر تعداد و مبلغ تراکنش‌ها طی سال‌های اخیر، این ضرورت و اهمیت بیش از پیش آشکار شده‌ است. شرکت شاپرک نیز ناظر بر همین اهمیت و حساسیت و به عنوان نهاد ناظر به شبکه پرداخت الکترونیک، تمهیدات و اقدامات مختلفی در راستای به حداقل رساندن موارد احتمالی تقلب در شبکه پرداخت انجام داده‌ است. این اقدامات در دو حوزه مقررات و الزامات و همچنین تجهیزات و زیرساخت‌های فنی انجام گرفته ‌است و همچنان نیز ادامه‌ دارد.

شاپرک تاکید کرده بود: از سوی دیگر به‌طور همزمان شرکت شاپرک نیز برای رصد دقیق‌تر و جامع شبکه پرداخت کشور به منظور تشخیص و پیشگیری از تقلب‌های احتمالی، تلاش‌هایی را برای دستیابی به سامانه‌های به‌روز دنیا در حوزه پیشگیری و کشف تقلب انجام داد ولی در نهایت جمع‌بندی بر این قرار گرفت که علی‌رغم تفاوت‌هایی که از نظر قابلیت‌ها و سرعت دسترسی وجود دارد، استفاده از توان و ظرفیت داخلی در دستور کار قرار بگیرد. در همین راستا نیز تا کنون مواردی از سامانه‌هایی که در این حوزه طراحی شده‌اند مورد بررسی قرار گرفته تا بهترین نمونه داخلی انتخاب و سفارش‌های لازم برای تکمیل آن داده ‌شود. این تلاش‌ها و پیگیری‌ها همچنان ادامه دارد و امیدواریم در آینده نزدیک متخصصان داخلی بتوانند با استفاده از ظرفیت‌ها و دانش بومی، نیاز شبکه پرداخت کشور را برطرف کنند.

اطلاعیه شاپرک و پیگیری برای سامانه کشف تقلب بومی نشان می‌دهد که در ظاهر، عزمی جدی برای جمع کردن بساط تقلب و به ویژه مقوله قمار از شبکه پرداخت الکترونیکی کشور وجود دارد، زيرا با افزایش سایت‌های قمار و فعالیت درگاه‌های بانکی در این سایت‌ها ضرورت وجود این سامانه در نظام پرداخت کشور بیش از پیش مطرح است اما حالا پس از گذشت یک سال هنوز خبری از تولید این سامانه توسط متخصصان داخلی منتشر نشده است.

کشف تقلب نیازمند سامانه‌ای قدرتمند

بررسی سوابق اخبار نشان می‌دهد، آخرین خبر و اظهارنظر در خصوص سامانه کشف تقلب بومی به دی ماه 97 باز می‌گردد که افشین لامعی، مدیر امنیت شرکت شاپرک در مصاحبه‌ای در مورد آخرین اقدامات ناظر شبکه پرداخت کشور در خصوص سامانه کشف تقلب بومی توضیح داده بود: ما در تابستان فراخوانی برای شناسایی توانمندی شرکت‌های داخلی منتشر کردیم و پیشنهادهایی بر همین اساس ارسال شده که در حال بررسی آنها هستیم. تعدادی شرکت اعلام آمادگی کرده‌اند که همکاران ما در حال بررسی توانمندی آنها هستند. در صورتی که شاپرک به این نتیجه برسد که توان داخلی پاسخگوی این نیاز است، متعاقبا از مجاری قانونی مثل هر پروژه‌ای برای مراحل بعدی انتخاب پیمانکار و تهیه و استقرار این سامانه اقدام خواهد کرد.

لامعی در خصوص بازه زمانی پیاده‌سازی کامل سامانه گفته بود: این بستگی به میزان آمادگی و عملیاتی بودن آن سامانه منتخب دارد. شاپرک آمادگی کامل دارد و قبلا بسترها را فراهم کرده است. هرقدر یک سامانه کشف تقلب، برای استقرار در شبکه شاپرک آماده‌تر باشد، یعنی آن قواعد و الگوهای مناسب این شبکه را تا بالاترین سطح ممکن از پیش آماده داشته باشد و بتواند از دیتا و بستر شاپرک استفاده کرده و قابلیت یادگیری و استخراج الگوهای دیگر را هم با بالاترین عملکرد داشته باشد، پروژه سریع‌تر پیش می‌رود. اما اگر مثل بعضی شرکت‌های داخلی، تازه بعد از عقد قرارداد بخواهند سیستم را برای مشتری توسعه بدهند و مناسب‌سازی کنند، قطعا به مشکل بر خواهیم خورد. پیاده‌سازی چنین سیستمی قاعدتا زمانبر خواهد بود و یکباره اتفاق نمی‌افتد. سیستم باید مستقر شده و بخشی از قلمرو را رصد کند و به تدریج گسترش یافته و راهبری شود؛ نکات مثبت و منفی آن مشخص شده و بازخوردهای لازم گرفته شود اما این معادل آن نیست که آنچه بیشتر در سطح دانش است بخواهند به محصول تبدیل کنند.

اما در نبود سامانه کشف تقلب، به گفته لامعی دغدغه کشف تقلب و مدیریت تخلفات همیشه برای شاپرک به عنوان رگولاتور شبکه پرداخت وجود داشته و یکی از الزامات شاپرک برای همه شرکت‌های PSP نیز بحث کنترل و تشخیص تقلب بوده است.

لامعی می‌گوید: بسیاری از الزامات فنی و اجرایی شاپرک هم در جهت پیشگیری از رخداد انواع سناریوهای تقلب اجرایی شده‌اند اما چون در یک سامانه یکپارچه نیستند ممکن است برای همگان قابل تشخیص نباشند. همه‌PSP ها موظف هستند در محدوده عملکرد خودشان، فرایندهای مدیریت تقلب را اجرا کنند. فرایندهای پیشگیری و کشف تقلب در معاونت نظارت شاپرک با استفاده از ابزارهای موجود و دانشی که در سال‌های اخیر به دست آمده در حال اجرا است. با توجه به داده‌های شاپرک و دید آن نسبت به شبکه پرداخت و الزامات مکتوب، سناریوهای متفاوتی از تخلف را پیگیری و بهبود دادیم.

در خصوص نوع تراکنش، تعداد و عدد تراکنش‌های پذیرنده، فواصل تراکنش‌ها و مطابقت آنها با صنف خود، زمان و مکان تراکنش، هویت پذیرنده و مشخصات آن، الگوهایی تعریف شده است و چک می‌شود و بعضا ابزارهایی هم برای بررسی اتوماتیک الگوها توسعه داده شده است. ما نه فقط روی داده‌های کسب‌وکاری شاپرک یعنی داده‌های تراکنشی و سامانه جامع پذیرندگان تمرکز کردیم بلکه در حوزه SOC به خصوص در حوزه پذیرندگان اینترنتی نيز اقداماتی انجام دادیم و در حال گسترش آن هستیم و پذیرندگان مشکوک اینترنتی را شناسایی می‌کنیم.

لامعی معتقد است که تمام این امور اما به معنای کامل بودن این پروسه نیست و کشف تقلب در مقیاس شاپرک بدون بهره‌گیری از سامانه یکپارچه، قدرتمند و تخصص مناسب برای این شبکه کمبودهای فراوانی دارد و در بسیاری از سناریوها نیز نمی‌توان تقلب را پیشگیری یا کشف کرد. با این وجود که شاپرک خود بر این موضوع واقف بوده و از سال‌های قبل برای رفع این نقیصه اقدام کرده است اما ظاهرا هنوز به نتیجه مطلوب برای شبکه پرداخت کشور نرسیده است.

در همین حال اگرچه چند سالی می‌شود برخی شرکت‌های فعال حوزه بانکی، با انجام مصاحبه‌های یکطرفه با رسانه‌های نزدیک به خود، مدعی هستند که سامانه کشف تقلب را ساخته‌اند و حتی در حال استفاده از آن نیز هستند!

موضوعی که بیشتر جنبه تبلیغاتی و نمایشی دارد. اگرچه برخی این خبرسازی‌ها را نوعی فشار غیرمستقیم برای شانتاژ و مقدمه‌سازی برای تحمیل محصول این شرکت‌ها به شاپرک می‌دانند.

اما آخرین شنیده‌های خبرنگار ما ادعاهایی از این دست را رد می‌کند و ظاهرا تاکنون هیچ محصولی استانداردهای لازم و مورد پذیرش شاپرک را نداشته است. از سوی دیگر شنیده‌ها حاکی است به علت حساسیت بالای این موضوع و لزوم کارایی واقعی سامانه‌ کشف تقلب آنلاین، این حوزه جای هیچ‌گونه فشار برای پذیرش محصولی ناکارآمد را نداشته و این تبلیغات و تلاش‌های کاذب، به علت عواقب و تبعاتی که می‌تواند ایجاد کند، راه به جایی نخواهد برد.

و در نهایت اینکه آخرین شنیده‌های تایید نشده حاکی است که حدود 12 شرکت به درخواست RFI شاپرک پاسخ داده و اطلاعات خود را به این شرکت ارایه داده‌اند و شاپرک همچنان در حال بررسی اطلاعات و جمع‌بندی آنها است و تاکنون به جمع‌بندی و نتیجه‌ای در این خصوص نرسیده است.

به این ترتیب همچنان خبری از سامانه آنلاین کشف تقلب بومی در کشور نیست.