علی رضا اطهری فرد در گفت وگو با خبرنگار ایبِنا در خصوص چشم انداز بخش نامه الزام بهره گیری از رمز دوم پویا، گفت: همانگونه که مستحضرید ما در ابتدای مسیری قرار داریم که در این مسیر قرار است وضعیت احراز هویت مشتریان شبکه بانکی در پرداختهای غیرحضوری ارتقاء یافته و تقویت شود.
وی خاطر نشان کرد: درواقع طرح فعلی که بهعنوان پویا سازی رمز دوم کارتهای بانکی مطرح است، اولین گام در این مسیر بوده و بهطورقطع در گامهای بعدی باید درصدد تکمیل گام اول برآییم به نحوی که ضمن ایجاد تجربه کاربری بهتر برای مشتریان، سطح محافظت از ایشان را در برابر فعالیت های متقلبانه افزایش داده و کسب و کارهای موجود را نیز از مزایای محیط امن ایجاد شده بهره مند نماییم.
اطهری فرد اذعان داشت: در این گام رمزهای دوم کارت های بانکی دارای دو ویژگی یکبار مصرف بودن و طول عمر کوتاه خواهند شد و در اقدامی مشترک، شبکه صادرکنندگی و پذیرندگی رمزهای دوم کارت های بانکی، از ۱۰دیماه بهصورت مرحلهای این طرح را عملیاتی خواهند کرد، به نحوی که در هر مرحله بانک ها و موسسات اعتباری بیشتری به این طرح اضافه خواهند شد.
وی هدف از اجرای مرحلهای طرح را آشنایی تدریجی مشتریان با روند تغییرات و جلوگیری از مواجهه یکباره دارندگان کارت های بانکی با تغییرات ایجاد شده در ابزارهای پذیرنده رمزدوم دانست و گفت: تا پایان دیماه صادرکنندگان کارت های بانکی میتوانند رمزهای ثابت و پویا را همزمان بپذیرند؛ لذا با توجه به اینکه بسیاری از مشتریان از چندین کارت بانکی در پرداخت های روزمره خود استفاده میکنند، اجرای مرحلهای طرح، فرصت انطباق تدریجی مشتریان با تغییرات اعمال شده را فراهم می کند.
تا پایان دیماه رفتار تمام بانکها در رمز پویا یکسان می شود
اطهری فرد افزود: مرحلهای شدن این طرح میتواند ریسک اجرایی شدن آن را کاهش دهد و بر اساس برنامه ریزی فعلی، درنهایت تا پایان دیماه رفتار تمام بانکها در این بخش یکسان خواهد شد.
وی در پاسخ به این پرسش که چرا این طرح برای تمامی تراکنش های اجرایی شده، اظهار داشت: این تصمیم از یک سو مبتنی بر میزان آمادگی صادرکنندگان کارت های بانکی و از سوی دیگر با توجه به رشد روز افزون سوء استفاده از ثابت بودن رمز های دوم در انواع تراکنش ها و حتی تراکنش های کم مقدار اخذ شده است.
چرا در طرح رمز پویا معافیت برای انواع تراکنش و یا سقف در نظر گرفته نشد؟
اطهری فرد ادامه داد: از ابتدا پیشنهاداتی مبنی بر اعمال معافیت برای برخی از انواع تراکنش ها و یا سقفی از مبالغ وجود داشت، اما فراهم سازی امکان اعمال این معافیت ها برای برخی از بانک ها نمی توانست به سرعت انجام پذیرد و البته ایجاد هرگونه استثنا نیز می توانست ریسک هایی را باقی گذارد. بعلاوه باید توجه داشت که از منظر کاربری نیز اعمال استثنائات می تواند تا حدی سردرگمی مشتریان را به همراه داشته باشد.
این کارشناس ارشد حوزه امنیت یادآور شد: با این وجود کماکان احتمال اعمال برخی معافیت ها در اینخصوص وجود دارد ولی تا امروز تصمیم بر این بوده که تمامی انواع تراکنشهای بدون حضور کارت مشمول این طرح باشند.
چرا CVV۲ پویا نشده است؟
این کارشناس امنیت در پاسخ به این پرسش که چرا CVV۲ در این روند پویا نشده است، اظهار داشت: به هر حال برای مواجهه با روند رو به رشد جرایم مرتبط با برداشت های اینترنتی غیر مجاز در حداقل زمان ممکن، لازم بود که یکی از پارامترهای احراز هویت مشتریان در تراکنش های غیر حضوری پویا شود.
اظهری فرد عنوان کرد: در این بین بانک ها از مدت ها پیش در برخی از خدمات اینترنتی خود از رمزها یا گذرواژه های پویا استفاده می کردند و همزمان مشتریان نیز با نحوه به کارگیری این نوع از رمزها یا کدهایی که برای ایشان از طریق پیامک ارسال می شد، آشنا شده بودند. ازاینرو با توجه به اینکه هم مردم آمادگی پذیرش بیشتری داشتند و هم بانکها آمادگی اجرای این طرح را برای رمز های دوم بیشتر از CVV۲ داشتند لذا رمز دوم برای پویا سازی انتخاب شد.
اطهری فرد در پاسخ به این نقد که چرا چیزی که مشتری میدانسته حذفشده است، خاطر نشان کرد: با وجود پویا سازی رمز دوم کارت های بانکی هنوز اقلام اطلاعاتی ثابتی از کارت وجود دارند که می توانند به عنوان عوامل دانستی از آنها استفاده کرد مثل CVV۲ یا همان کد اعتبارسنجی کارت و تاریخ انقضاء آن. بعلاوه برنامک های رمز ساز نیز دارای گذرواژه های ثابتی هستند که به عنوان یک عامل دانستنی قبل از دستیابی به رمز دوم پویا باید مورد استفاده قرار گیرند.
وی یادآور شد: آنچه به عنوان یک عامل داشتنی به فرایند احراز هویت مشتریان اضافه شده شماره تلفن همراه ایشان می باشد که احراز مالکیت آن برای بانک صادر کننده کارت امکان پذیر بوده و البته تلفن های همراه نیز به خصوص در انواع هوشمند آن از قابلیت های امنیتی متنوعی برخوردار هستند.
اطهری فرد افزود: درمجموع به نظر میرسد شرایط جدید از حیث محافظت از مشتریان در برابر شگردهایی که در حال حاضر مورد استفاده کلاهبرداران سایبری است، میتواند در مقایسه با معایب آن، مزایای بیشتری را ایجاد نماید.
وی در پاسخ به این پرسش که چرا از google authenticator برای ارسال کد رمز دوم پویا استفادهنشده، اظهار داشت: روشن است که وابسته کردن خدمات داخلی به زیرساخت هایی که کنترل آنها در اختیار ما نیست و در هر زمان ممکن است در دسترسی به آنها اختلال ایجاد شود، به معنای به خطر انداختن منافع مشتریان بانکی و کسب و کارها است.
ایجاد اپلیکشین جامع رمز پویا توسط بانک مرکزی به معنای انتقال برخی از مسولیت های بانک ها بود
اطهری فرد در خصوص این که چرا بانک مرکزی یک سیستم متمرکز برای ایجاد یک اپلیکیشن جامع برای ارائه رمز دوم یکبارمصرف در شبکه بانکی ایجاد نکرده گفت: ایجاد سازوکاری متمرکز برای ارایه رمز دوم پویا توسط بانک مرکزی می تواند به معنای انتقال بخشی از مسئولیت بانک ها در حوزه امنیت خدمات بانکی به بانک مرکزی تلقی شده و پاسخگویی و مسولیت پذیری بانک ها را در برابر امنیت مشتریانشان خدشه دار می کند.
وی خاطر نشان کرد: این موضوع با جایگاه بانک مرکزی به عنوان رگولاتور در تعارض بوده و به نوعی برون سپاری وظایف بانک ها در حوزه احراز هویت مشتریان به بانک مرکزی تلقی می شود که البته منطقی نبوده و به نظر نمی رسد که در سایر نظام های بانکی بلوغ یافته نیز چنین تجربه ای وجود داشته باشد.
اطهری فرد اذعان داشت: بانک مرکزی به عنوان رگولاتور، تنظیم مقررات و نظارت مستمر بر حسن اجرای آن را بر عهده دارد و احراز هویت مشتریان و اصالت سنجی تراکنش ها بر عهده بانک ها و موسسات اعتباری صادر کننده کارت است که بیشترین شناخت و اطلاعات را از مشتریان خود در اختیار داشته و میتوانند با دقت بیشتری مشتریان خود را در تراکنش های مالی احراز هویت کنند.
وی خاطر نشان کرد: از سوی دیگر بانک ها باید این آزادی عمل را داشته باشند که بین امنیت و سایر نیازمندی های کسب و کاری خود توازن ایجاد کرده و این نیازمندی های را بایکدیگر همراستا نکنند. لذا مجبور کردن آنها به استفاده از یک راه حل نرم افزاری یا سخت افزاری متمرکز، می تواند با منافع آنها و مشتریانشان در تعارض قرار گیرد.
این کارشناس ارشد حوزه امنیت افزود: با این حال تاکنون ممنوعیتی از طرف بانک مرکزی برای مشارکت بانک ها با یکدیگر به منظور ایجاد ساز و کاری متمرکز و مشترک برای ارایه رمز های دوم پویا اعلام نشده است.
رشد حدود ۴۰۰ درصدی جرایم در حوزه برداشت های اینترنتی غیر مجاز در سال ۹۷ نسبت به سال ۹۸
اطهری فرد در خصوص مقیاس پذیری هریم در الزام بهرهگیری از رمز دوم پویا اظهار داشت: بیش از یک سال از ابلاغ الزامات رمز های پویا در تراکنش های مبتنی بر کارت می گذرد و از آن زمان تاکنون شاهد رشد قابل توجهی در سوء استفاده از رمزهای ایستا هستیم. رشد حدود ۴۰۰ درصدی جرایم در حوزه برداشت های اینترنتی غیر مجاز در سال ۹۷ نسبت به سال ۹۸ موید این موضوع است.
وی تاکید کرد: شرایط فعلی نیازمند واکنشی سریع و تاثیر گذار است و در یک سال گذشته این موضوع به کرات توسط سایر نهادهای امنیتی، انتظامی و قضایی مورد مطالبه بوده است. امروز افرادی که خودشان یا عزیزانشان قربانی اینگونه سو استفاده ها بوده اند بیشتر از سایرین مطالبه گر این تغییر هستند.
اطهری فرد در پایان گفت: در این میان اگرچه موضوع رمزهای دوم ثابت تنها عامل تاثیر گذار بر فضای جرم خیز فعلی نیست اما به هر حال نظام بانکی نیز باید در اینخصوص به مسولیت اجتماعی خود پایبند باشد.