در گفت و گو با موافقان و مخالفان اجباری کردن رمز دوم پویا مطرح شد

افزایش امنیت تراکنش های بدون کارت به چه قیمتی!

اجباری شدن رمزهای دوم پویا از سوی شبکه بانکی کشور در حالی از ابتدای دی ماه کلید خواهد خورد که این فرایند هنوز و همچنان ابعاد قابل بررسی زیادی دارد و موافقان و مخالفان این طرح همچنان بر نظرات خود در خصوص منافع و تبعات این طرح پافشاری می‌کنند.

اجرای رمزهای دوم یک‌بار مصرف که زمزمه‌های اجباری شدن آن از نیمه دوم سال گذشته جدی‌تر از همیشه به گوش مي‌رسيد، با طی کردن فراز و نشیب‌هایی طولانی، سرانجام با عزم جزم بانک مرکزی از ابتدای دی ماه به صورت اجباری و هماهنگ در شبکه بانکی کشور به اجرا در خواهد آمد و از این تاریخ به بعد، تمام رمزهای دوم بانکی ایستا ابطال و همه تراکنش‌های غیرحضوری مبتنی بر اینترنت، نیازمند استفاده از رمزهای یک‌بار مصرف بانکی است. اما موضوع قابل تامل این است که موضوع اجباری شدن رمزهای پویا در حالی همچنان مورد تاکید مقامات بانک مرکزی است که هنوز پیچیدگی‌ها و چالش‌هایی در این خصوص، هم برای بانک‌ها و هم برای مشتریان شبکه بانکی مفروض است.

عموم کارشناسان حوزه بانکداری و فناوری اطلاعات بانکی معتقدند در شرایط فعلی، عمده مشکل در زمینه کاربری استفاده اجباری از رمزهای پویا است. استفاده از این تکنولوژی به لحاظ نوع کاربری برای افراد با سطوح مختلف سواد دیجیتال قطعا دشواری‌هایی به همراه خواهد داشت و این اصلی‌ترین نگرانی بانک‌ها از اجرای این موضوع است. همچنین به اعتقاد بسیاری، این روش نمی‌تواند به اندازه هزینه‌هایی که ایجاد می‌‌کند در پیشگیری از فیشینگ و سوءاستفاده های مالی تاثیر بسزایی داشته باشد.

اما در سوی دیگر، موافقان به موضوع اهمیت حیاتی تضمین امنیت در تراکنش‌های غیرحضوری استناد می‌کنند و اینکه این امر خطیر، واجد شرایطی است که بایستی سختی‌هایی نیز در اجرای رمز پویا متحمل شده و این تغییر ذائقه را در میان مشتریان شبکه بانکی ایجاد کنیم. در ادامه این موضوع را از دیدگاه مخالفان و موافقان این طرح بررسی کرده‌ایم.

 

چاره‌ای جز حرکت به سمت رمزهای پویا نداریم

محمد گرکانی‌نژاد کارشناس ارشد بانکداری و پرداخت الکترونیک که از موافقان اجرای فعال‌سازی رمزهای پویا در شبکه بانکی است در پاسخ به این پرسش که چرا با وجود اینکه این روش تضمین صددرصدی برای جلوگیری از فیشینگ محسوب نمی‌شود باز هم برای تامین امنیت در تراکنش‌های اینترنتی از سوی بانک مرکزی در حال پیگیری است، گفت: البته که اصولا این روش جلوی همه فیشینگ‌ها و همه سو‌ءاستفاده‌ها را نمی‌گیرد، اصولا هیچ روشی وجود ندارد که با استفاده از آن بتوان از همه سوءاستفاده‌ها جلوگیری کرد، بلکه هر روش مانعی برای بخشی از سوءاستفاده‌ها است و طبیعتا ممکن است همچنان روش‌های جدیدی متصور باشند که سوءاستفاده‌کنندگان بتوانند از آن برای فیشینگ استفاده کنند.

این کارشناس بانکداری و پرداخت الکترونیک با تاکید بر اینکه اصطلاحا امنیت صددرصدی، وجود خارجی ندارد و همیشه درصدی از ریسک متصور است، افزود: در موضوع امنیت باید مدیریت ریسک انجام دهیم، به هرحال الزام حرکت به سمت رمزهای پویا یک واقعیت است که با آن مواجهیم و قطعا می‌تواند از بخشی از سوءاستفاده‌ها جلوگیری کند، محدودیت زمان استفاده از این رمزها و ذات یک‌بار مصرف بودن آن باعث خواهد شد امنیت حساب و موجودی افراد با ریسک کمتری مواجه باشد و دینامیک شدن رمز پویا می‌تواند ابعاد این سوءاستفاده را مدیریت کند.

گرکانی‌نژاد در خصوص این بحث که چرا به جای رمز دوم بانکی از داینامیک کردن عنصر CVV2 با توجه به سهولت کاربری استفاده نمی‌شود، معتقد است که پرداختن به این موضوع تاکید بر عنصر رمز دوم یا CVV2 بحث گمراه‌کننده‌ای است؛ «اصولا بحث بر سر استفاده از یک عنصر پویا یا یک‌بار مصرف است، اسمش را هرچه می‌خواهیم بگذاریم به گمان من این خیلی اشکال واردی نیست، اگرچه دیده شده که صرفا در برخی از مدل‌ها CVV2 متغیر شده اما اولا به گمان و براساس بررسی‌های من، تعداد بسیار محدودی این تجربه را پیاده کردند و نکته مهم‌تر اینکه ما از یک Dynamic element سخن می‌گوییم با هر عنوان، عنصر متغیری از کارت که به هر طریقی در اختیار دارنده کارت قرار می‌گیرد. فقط نکته این است که این عنصر پویا اگر رمز دوم باشد به یک روش پیاده‌سازی می‌شود و اگر یک پارامتر مستقل باشد به روشی دیگر».

وی افزود: در بسیاری از کشورهای منطقه ما شاهد CVV2 ثابت هستیم و از همین روش OTP استفاده می‌شود، با وجود اینکه رمز دوم به‌طور معمول در دنیا وجود ندارد اما در این الگوها  OTPرا در بسیاری از پرداخت‌های CNP وارد کرده‌اند و این اتفاق مرسومی است.

گرکانی در بخش دیگر به چرایی این موضوع پرداخت که بانک‌ها چرا باید راسا هزینه این سرویس را بر عهده بگیرند و این خدمت را رایگان برای مشتریان خود ارايه کنند. به اعتقاد وی «بحث امنیت بحثی است که بسیار بسیار ضروری است و اصولا در بسیاری از کشورهای دنیا هزینه‌هایی از این جنس را خود بانک‌ها برعهده می‌گیرند، اما به هر ترتیب بانک یک بنگاه تجاری است و اگر چه ممکن است هزینه‌های تامین امنیت را راسا بر عهده بگیرد نهایتا باید بتواند از طریق سایر کانال‌های خدماتی برای بانک و سهامداران سود ايجاد کند».

وی همچنين گفت: به هرحال من به عنوان یک تجربه در دنیا فکر نمی‌کنم خیلی غیرمرسوم باشد که هزینه تامین امنیت را خود بانك متقبل شود چون آثار ناامنی سبب می‌شود اولین ضربه را خود آن بانك متحمل شود، حتی اگر با یک دید صرفا تجاری هم به موضوع نگاه کنیم، می‌توان تصور کرد مردمی که از امنیت حساب و موجودی خود در یک بانک به‌طور ذهنی مطمئن نباشند، چه رفتاری خواهند کرد و بانک چه صدمه‌ای خواهد خورد، پس خیلی موضوع عجیب و غیرمترقبه‌ای نیست که بانک راسا برای تحقق این موضوع هزینه کند.

گرکانی در ادامه با تايید این مطلب که اجرایی و فراگیر شدن کیف پول الکترونیک از الزاماتی است که بانک مرکزی باید به آن بپردازد، می‌گوید: واقعیت این است که به هرحال باید برای پرداخت‌های خرد راهکارهای مناسب‌تری از اینکه وارد فضای پرداخت آنلاین شویم داشته باشیم، بدیهی است که این مورد توافق همه فعالان صنعت است و جای بحث چندانی ندارد، اما فراموش نکنیم که موضوع به این اندازه كه صحبت كردن از آن راحت است، ساده نیست، اجرا و الزام چنین روشی علاوه بر داشتن یک مدل تجاری، نیازمند یک مدل تکنیکی و اجرایی نیز هست که البته این مهم، تا حدودی هم در حال اجرا است و شما در بسیاری از موارد شاهد استفاده از کیف پول الکترونیکي حتی به صورت محدود هستید و موضوع فراگیر شدنش شاید اندکی به تاخیر افتاده است.

این کارشناس ارشد صنعت پرداخت گفت: من تصور می‌کنم که ما با شرایطی مواجه نیستیم که خیلی اقدامی در این زمینه صورت نگرفته باشد و ما از کاری که باید انجام شود دور باشیم، اما معتقدم باید فراگیری کیف پول زودتر محقق شود و بانک مرکزی اقدامات لازم را در خصوص دستورالعمل‌ها و الزامات این موضوع هرچه سریع‌تر نهایی کند.

او در پاسخ به اين سوال كه آیا بهتر نبود برای این اقدام بانک مرکزی بدون اعمال سیاست اجبار، از بستر فرهنگ‌سازی و در یک فرایند همه‌جانبه این موضوع را محقق می‌کرد، گفت: باید پذیرفت که ایجاد یک سطوح حداقلی از اطمینان و به حداقل رساندن ریسکی که کل سیستم را تحت تاثیر قرار می‌دهد موضوعی است که باید توسط رگولاتور به عنوان حداقل موضوع تامین امنیت مورد توجه قرار گیرد و به نظر من اگر بپذیریم که بانک مرکزی در حال مدیریت حداقل امنیت قابل تحمل برای کنترل ریسک است طبیعتا با یک تحلیل و آنالیزی به این جمع‌بندی رسیده‌اند که این سطح حداقلی از امنیت را برقرار کنند و این چیزی است که همه رگولاتورها در دنیا انجام می‌دهند.

گرکانی با اشاره به اینکه مباحثی مطرح است که می‌شد با ایجاد یک رده‌بندی از سطح مبلغی مشخص به پایین، این ابزار احراز هویت را مستثنا کرد، گفت: این‌ها موضوعات قابل بحثی است اما بانک مرکزی به گمان من بر اساس بررسی‌های تحلیلی و مدیریت ریسک به این نتیجه رسیده که در حال حاضر چنین شرایطی را اعمال کند و قطعا در آینده و شرایط پیش رو شاید لازم باشد تغییراتی را در آن اعمال کند که خیلی دور از ذهن نیست، به هرحال باید صبر کرد چون رگولاتور هم با یک موضوع پویا مواجه است که در تلاش است این موضوع را مدیریت کند.

 

در رمز پویا به تکنولوژی و استانداردها توجه نشد

یک کارشناس ارشد بانکداری و پرداخت الکترونیک که نخواست نامش فاش شود، در خصوص فعال‌سازی رمزهای پویا معتقد است که شیوه فعلی در خصوص اجرای اجباری کردن رمزهای دوم یک‌بارمصرف، تبعات جدی به همراه خواهد داشت.

او می گوید: واقعیت این است که بحث رمزهای پویا از حدود یک سال پیش مطرح شده و در ابتدا قرار بود از اردیبهشت امسال نهایی شود، بانک‌ها نیز به انحای مختلف، برای این موضوع راه‌حل‌هایی طراحی کرده بودند، اما به نظر می‌رسد بانک مرکزی و شرکت‌های تابعه به دلیل اینکه در اتفاقی که در حال وقوع است، سهم‌شان مشخص نبود و در راس امر قرار نداشتند، اجرای این موضوع را به تعویق انداختند تا در نهایت سهمی در این پروسه داشته باشند.

این منتقد عنوان کرد: مساله اینجاست که حتی اگر قرار بود شیوه رمزدوم پویا اجرا شود، بانک‌ها می‌توانستند آن را به صورت توزیع شده انجام دهند و لزومی نداشت که همه مسیر، از یک نقطه متمرکز عبور کند. در حال حاضر تمرکزی که در این معماری برای شاپرک و شرکت خدمات تعریف شده بی‌شک در آینده آسیب‌زا است. انحصارگرایی از این منظر است که تجربه نشان داده، در آینده کارمزد متمرکز نیز از سوی شرکت‌های تابعه بانک مرکزی اخذ خواهد شد، ضمن اینکه قدرت و نفوذی که معماری فعلی ایجاد کرده در آینده راه را برای اعمال نفوذ و نقش‌های جدید باز می‌کند.

وی افزود: مساله اینجاست که ما اصلا به تکنولوژی و روش‌های استاندارد انجام فرایند، منطق بازار یا مشتری نگاه نمی‌کنیم، بلکه به نظر من اول به منافع برخی شرکت‌های خاص و نیز معماری و تمامیت‌خواهی آنها توجه می‌کنیم.

این کارشناس در خصوص اینکه چرا بانک مرکزی به جای داینامیک کردن رمز دوم با وجود سختی‌هایی که دارد، از روش داینامیک کردن cvv2 استفاده نکرده، می‌گوید: با وجود اشراف و آگاهی به مسايل فنی و همچنین مسايل تجاری بانک‌ها و فضای بانکداری ایران، تاکید می‌کنم، در معماری کاری که انجام شده توجه چندانی به یک‌بار مصرف کردن cvv2 یا رمز دوم نبوده است و به نظر می‌رسد توجه زیادی در خصوص اینکه یک مرکز خاص به صورت انحصاری این موضوع را در اختیار بگیرد پررنگ‌تر از اصل ماجرا بوده است.

وی گفت: نکته دوم این است که توجه کنیم اساسا رمز دوم، مفهومی است که ما در ایران تعریف کرده‌ایم و این مفهوم بدین شکلی که در ایران مورد استفاده است، نمونه مشابهی در صنعت بانکداری دنیا ندارد. البته وقتی می‌گوییم «رمز»، از مفهومی صحبت می‌کنیم که در ذهن آدمهاست و البته من شخصا استفاده از cvv2 پویا را در هیچ جای دنیا ندیده‌ام.

وی ادامه داد: به هرحال این را بپذیریم که چه رمز دوم پویا چه cvv2 پویا خودشان خیلی مفاهیم استانداردی نیستند و آن چیزی که در دنیا استاندارد است بحث تیکت است، یعنی در لحظه انجام تراکنش اگر مشتری بخواهد، برای او یک تیکت به صورت آنلاین یا آفلاین ارسال شود که به نوعی در حال حاضر می‌خواهند رمز دوم را به این سمت ببرند، اما در حال حاضر مشکلی که وجود دارد این است که اگر قرار بود این فرایند به صورت تیکت باشد، این همه معماری متمرکز معنا نداشت.

این کارشناس با اشاره به اینکه اجباری کردن رمز پویا توجیه فنی و حتی کاربری ندارد، تصریح كرد: به عنوان مثال من به عنوان دارنده حساب بانکی می‌توانم یک کارت داشته باشم و آن را با یک سقف مبلغ محدود در اختیار والدین سالمندم قرار بدهم، آنها هم حداکثر کاری که با این کارت انجام می‌دادند پرداخت قبوض با یک اپلیکیشن ساده بود و مراجعه‌ای هم به هیچ سایت فیشینگی نداشته و اتفاقی هم نمی‌افتاد، اما مشکل اینجاست که ما خیلی تکنوکرات و تکنوکراسی و آن هم بر اساس منافع برخی شرکت‌ها یک روش را تحمیل کنیم و راه‌حلی برای عموم تجویز کنیم و با استفاده از قدرت بانک مرکزی همه را مجبور کنیم تا این روش را انجام دهند.

این فعال صنعت بانکداری با اشاره به چالش‌های اجرایی این طرح گفت: باید توجه کرد که وب سرویس کال هریم باید به‌طور متوسط روزانه حداقل 50 میلیون بار انجام شود و این خود یعنی یک مشکل اجرایی، یعنی خطا. به عبارتی حداقل روزی 50 میلیون پیامک باید ارسال شود، سوال اینجاست که آیا اپراتورها می‌توانند این پیامک‌ها را درست و به موقع ارسال کنند و آیا مشکل امنیتی ایجاد نمی‌شود؟

وی افزود: با وجود همه این مسايل، بانک مرکزی و شرکت‌های زیرمجموعه، بانک‌ها و مردم را مجبور کرده‌اند که صرفا از یک روش تحمیلی برای اجرا و فعال‌سازی رمزهای پویا استفاده کنند، در حالی که شیوه درست این بود که روش‌های مختلف ممکن ارایه شود، از جمله به مشتری اجازه داده مي‌شد با مسوولیت خودش رمز دوم ایستا را برگزیند، یا سقف پویا را با پذیرش مسوولیت موضوع در دامنه مبلغی خاص انتخاب کند. روش دیگر اینکه مشتری رمز پویا را به صورت آفلاین بر موبایل اپلیکیشن انتخاب کند یا به صورت تیکت از آن بهره‌مند شود يا  در نهایت رمز پویا به صورت آنلاین برگزیند و بانک‌ها با توجه به شرایط رقابت بازار و امکانات IT و سایر موارد، گزینه‌های مختلف با کارمزدهای متغیر به مشتری ارایه می‌کردند و مشتری بنابر نیاز خود راه‌حل موردنظر را انتخاب می‌کرد و مسوولیت آن هم در نهایت با خود مشتری بود.

این کارشناس صنعت بانکداری با اشاره به این نکته که در دنیا بر خلاف ایران، قرارداد بیمه کارت بانکی شیوه مرسومی است، گفت: مشتری باید نگران مسايل امنیت یا مسايل مرتبط با فیشینگ باشد، نه بدون اطلاع مشتری تصمیمی الزامی و اجباری برای مبادلات و تراکنش‌های بانکی وی اتخاذ شود. من معتقدم اتفاقا با این شیوه مردم را دچار تهدیدهای امنیتی جدید می‌کنیم که کاملا از کنترل‌شان خارج است.

وی با مروری بر تبعات ارسال رمزهای پویا به صورت پیامک تاکید كرد: به عنوان مثال بر اساس آخرین اعلام مقامات رسمی همراه‌اول، ما در روز تنها در این اپراتور، 10 هزار سوآپ سیم‌کارت داریم، با در نظر گرفتن شبکه در حدود 26هزار نفری پرسنل دفاتر همراه‌اول و مجموعه‌های آن، آسیب‌پذیری این شیوه کاملا مشهود است. این مشكلي است كه در حال حاضر همراه‌اول با آن دست به گريبان است و بی‌تردید در بستر غیر امن پیامک، بستر به شدت توزیع شده و غیرکنترل شده اپراتورها و مسايلی از این دست، در موضوع مورد بحث نیز وجود خواهد داشت.

این کارشناس در ادامه با اشاره به الزام بانک مرکزی به بانک‌ها نسبت به عدم دریافت کارمزد برای این سرویس، این اقدام را تحمیل هزینه مازاد دیگری به شبکه بانکی دانسته و گفت: این فرضیه که با وجود 300 میلیون کارت بانکی در کشور، درآمد نجومی برای بانک‌ها ایجاد می‌شود، تصور غلطی است که همین گزارش‌های مغرضانه به رییس کل بانک مرکزی نیز منشا این تصمیم‌گیری نادرست بوده است، اتفاقا به اعتقاد من اگر برای این سرویس هزینه و کارمزد متناسب دریافت می‌شد این فرایند به شدت اصولی‌تر و دقیق‌تر اجرا می‌شد، باید در نظر داشت که هر ایرانی چندین و چند کارت بانکی دارد که در صورت پرداخت هزینه ابدا نیازی به فعال‌سازی رمز پویا برای همه این کارت‌ها وجود نداشت، بار مالی و فنی مازاد به بانک‌ها تحمیل نمی‌شد و از تکرار و تطویل یک فرایند غیرموثر نیز جلوگیری می‌شد.

وی در ادامه به مدل تجاری غلط فعلی در صنعت پرداخت و بانکداری اشاره کرده و افزود: مثال این قضیه در نظام بانکی کم نیست، مثل کارمزد شاپرک، کارمزد خرید و خیلی مسايل دیگر که به ضرر بانک‌هاست، متاسفانه بانک‌های ما با مدیرانی که صرفا به فکر حفظ صندلی خود هستند، به قدری ضعیف شده‌اند که هیچ واکنشی نسبت به مسايل پیش رو ندارند، شاهد آن هم این است که شما تمام اعتراضات به موضوع رمز دوم پویا را از بیرون نظام بانکی می‌شنوید.

این کارشناس بانکداری تصریح كرد: در صورتی که همه این مسايل از سوی بانک‌ها در شورای رقابت قابل طرح و قابل پیگیری است. بانک مرکزی طبق قانون عملیات بانکداری بدون ربا موظف است کارمزد عملیات بانکی را به شکلی که در واقع صرفا هزینه‌های سرویس را تامین کند و منجر به سود یا ربا نشود، مشخص کند، حالا چطور بانک مرکزی نسبت به هریم که هزینه دارد و بانک‌ها باید بپردازند کارمزدی تعیین نمی‌کند، اما در خصوص عملیات کارت به کارت یا خرید که سود چند هزار میلیاردی برای شرکت شاپرک و خدمات انفورماتیک تامین می‌کند، با جدیت ایستاده و کارمزد تعیین می‌کند، به هر حال واقعیت این است که این‌ها همه تخلف است ولی متاسفانه مطرح و پیگیری نمی‌شود.

 

رمز دوم پویا برای USSD مشکلی ایجاد نمی‌کند

اینکه آیا سرویس‌های USSD با توجه به تغییر و محدود شدن زمان براي دریافت و استفاده از رمزهای دوم یک‌بارمصرف همچنان قابل ارایه به کاربران خواهد بود یا نه باید گفت که هنوز اعلام رسمی در این زمینه صورت نگرفته اما شنیده‌ها حاکی از آن است که در این فضا روال کاملا متفاوت و اساسا رویکرد نسبت به USSD و تجربه مشتری در استفاده از آن به نوعی متفاوت خواهد بود و باید اطلاعات لازم در این خصوص برای مشتریان تشریح شود.

روند فنی خرید شارژ یا پرداخت قبوض بر بستر USSD با فعال‌سازی رمزهای دوم پویا احتمالا این‌طور خواهد بود که مشتری وقتی درخواست سرویس می‌دهد این درخواست از سوی شرکت پرداخت الکترونیک موردنظر، دریافت خواهد شد و بعد از دریافت شماره کارت و سایر اطلاعات، در این مرحله فرایند USSD به اتمام می‌رسد، یعنی عملا سرویس USSD بسته می‌شود. بعد به مشتری اعلام می‌شود که به محض دریافت رمز پویا با شماره‌گیری # رمزپویا USSD تراکنش مورد نظر را انجام دهد. به عبارتی این تراکنش برای آن بازه 120 ثانیه منتظر می‌ماند تا اینکه رمز پویا شماره‌گیری شود.

به اعتقاد کارشناسان افزوده شدن رمزهای پویا به فرایند دریافت سرویس بر بستر کدهای دستوری، سازوکار خیلی پیچیده‌ای نخواهد بود و شاید حداکثر یک زمان 30 ثانیه‌ای به شیوه قبلی افزوده شود، البته کیفیت این فرایند، بر عهده اپراتورهاست که در مواردی که لازم است رمز پویا را از طریق پیامک ارسال کنند و باید بتوانند این اقدام را به موقع صورت دهند. البته در حال حاضر نیز به نظر می‌رسد زمان ارسال و دریافت این پیامک‌ها در کوتاه‌ترین زمان ممکن است، به عنوان مثال پیامک‌های فعال‌سازی که ما رصد کرده‌ایم، بلافاصله به دست مشتری می‌رسد.

افزون بر این احتمالا در ابتدای اجرای این طرح به دلایل مختلف از جمله ثبت نشدن دقیق شماره همراه مشتری در بانک، ممکن است درصدی از ریزش در تراکنش‌های USSD اتفاق بیفتد، ولی به هرحال این گام، خود به نوعی موجب افزایش امنیت در شبکه پرداخت‌های USSD خواهد شد.