به گزارش ایبِنا، اجرای بخشنامه الزام بهرهگیری از رمز دوم پویا در پرداختهای غیرحضوری این روزها به مهمترین مسئله در شبکه بانکی و پرداخت تبدیلشده و تمام بازیگران این حوزه بهمنظور کاهش جرائم و تخلفات در فضای سایبری بهصورت منسجم برای اجرای این الزامات در تلاش هستند؛ به دلیل اهمیت موضوع و بررسی ابعاد آن میزگردی با عنوان "رمز دوم پویا، بیمها و امیدها" با حضور علیرضا اطهری فرد؛ کارشناس ارشد حوزه امنیت، سید جعفری صدری؛ مدیر فناوری اطلاعات بانک صادرات، پیمان طبری؛ مدیرعامل شرکت ایران کیش، مهدی عبادی؛ دبیر انجمن فین تک و به مدیرتوری محمد گرکانی نژاد؛ عضو هیات مدیره شاپرک برگزار شد که بخش دوم آن را میتوانید در زیر مطالعه کنید.
در بخش اول این میزگرد انتقاداتی از سوی مهدی عبادی دبیر انجمن فین تک در خصوص کمکاری بانکها در خصوص عدم راهاندازی سیستمهای فراد و عدم بهرهگیری از ۳D SECURE در بانکها، عدم حرکت بانکها به سمت بهرهگیری از استاندارد EMV، عدم تحلیل متن پیامکهای حاوی رمز دوم پویا بهمنظور ارائه تجربه کاربری بهتر به مشتریان، بهرهگیری از رمزهای یکسان و ساده در اپلیکیشن های رمز ساز بانکها و عدم فرهنگسازی و اطلاعرسانی مناسب در خصوص الزامات رمز دوم پویا بهمنظور آشنایی مردم با این تغییر مطرح شد که در ادامه پاسخ اعضای میزگرد به این انتقادات تشریح شده است.
کارشناسان در این میزگرد معتقدند: عدم حرکت بانکها به سمت استانداردهای EMV به این دلیل است که برخی تغییرات بهتنهایی نمیتواند شکل بگیرد و زیرساخت شبکه بانکی باید پذیرنده آن باشد و استاندارد EMV نیز از آن دست تغییراتی است که یک بانک بهتنهایی نمیتواند آن را اجرایی کند. همچنین بانک مرکزی با مشارکت بانکها سندی در خصوص احراز هویت قوی مشتریان تدوین و آن را به بانکها ارسال کرده که در آن دیدگاه و چشمانداز این نهاد ناظر در این خصوص اعلامشده که کاملاً فراد محور است. البته گام بعدی بانک مرکزی در این روند بدون تقویت بانکها در حوزه مدیریت فراد امکانپذیر نیست؛ ازاینرو بهطور حتم باید زیرساختها و قابلیتها برای برداشتن گام بعدی در این مسیر در شبکه بانکی تقویت شود. افزون بر این نقدی که در خصوص اینکه بانکها هیچ کاری در حوزه مدیریت فراد انجام ندادهاند، قبول نیست زیرا در نمایشگاههای مختلف محصولات متعددی در این بخش عرضهشده است اما اینکه چقدر از این محصولات در راستای حافظت از اطلاعات مشتریان استفاده میشود جای سؤال دارد. در طرح اقدام مشترک شبکه بانکی و پرداخت در خصوص رمز دوم پویا فعالیتهای منسجم خوبی شکلگرفته که تداوم این روند میتواند منجر به برداشت گامهای بزرگتری در این مسیر بشود.
در خصوص ارسال رمز دوم یکبارمصرف در قالب پیامک برخی انتقادها مطرح میشود که شیوه فعلی با توجه به اینکه بهصورت Dynamic Linking نیست و مبلغ تراکنش و کد پذیرنده به آن لینک نشده و ممکن است از امنیت کافی برخوردار نباشد. ذکر این نکته ضروری است که مسیر انجام تراکنش با مسیر درخواست و دریافت رمز دوم پویا دو مسیر متفاوت است و این امکان که رقم تراکنش در این روند تغییر کند بسیار ضعیف است. در سند الزامات رمز دوم پویا یکی از مواردی که مطرحشده Dynamic Linking است ولی این امر برای بانکها اجباری نشده ولی بهمنظور بهبود بستر آن در بانکها در حال ایجاد است؛ بدین معنا که در حال حاضر در سمت پذیرنده، اطلاعات تراکنش قبل از انجام تراکنش برای بانک ارسال میشود که این مهم یکی از پیشنیازهای Dynamic Linking است که بهراحتی بانکها در مراحل بعدی میتوانند کدهای تولیدی را به اطلاعات تراکنش لینک کنند تا دیگر این کد برای تراکنش دیگری قابلاستفاده نباشد. افرادی که در طرح الزامی شدن بهرهگیری از رمز دوم پویا از بستر پیامک استفاده میکنند باید در خصوص استفاده امن از گوشی همراه خودآگاه باشند و بدانند الزامی است که روی گوشی رمز گذاشته و بهمنظور امنیت خود هر اپلیکیشنی را روی تلفن همراه خود نصب نکنند.
گرکانی نژاد: بانک مرکزی با توجه به سهولت در تجربه کاربری سامانه هریم را راهاندازی کرده است که بعد از اتصال بانکها به این سامانه رمز دوم پویا با فشردن آیکون درخواست این کد در درگاههای پرداخت غیرحضوری برای مشتریان شبکه بانکی در قالب پیامک ارسال میشود. بهرهگیری از پیامک ضمن اینکه تجربه کاربری را تسهیل میکند احتمال فیشینگ را نیز در این روند کاهش میدهد؛ زیرا درگاههای پرداخت جعلی به سامانه هریم دسترسی ندارند و حتی اگر آیکون درخواست رمز دوم پویا را نیز شبیهسازی کنند کدی که قابلیت انجام تراکنش داشته باشد برای کاربر ارسال نمیشود. البته بدافزارهای موبایلی میتوانند با سرقت دیتای کارت و رمز دوم پویا در ۱۲۰ ثانیه از این بستر سوءاستفاده کنند؛ اما باز یک گام در امنیت به جلو برداشتهشده است زیرا این سوءاستفاده تنها میتواند یکبار و در زمان ۱۲۰ ثانیه انجام شود. الزامی شدن بهرهگیری از رمز دوم پویا گام اول از مجموعه اتفاقاتی است که یکی از مراحل آن الزامی شدن Dynamic Linking است که منجر به رسیدن به مراحل بالایی تری از امنیت خواهد شد.
افزوده شدن آیکون درخواست رمز یکبار مصرف پویا در درگاههای پرداخت غیرحضوری میتواند یک وجه مشخصه برای تشخیص سایت جعلی از اصلی باشد؟
گرکانی نژاد: خیر؛ اگر درگاه پرداخت غیرحضوری غیرواقعی و جعلی باشد به سامانه هریم دسترسی ندارد، اما ممکن است در درگاه واقعی پرداخت غیرحضوری نیز با فشردن دکمه درخواست رمز دوم پویا بنا بر هر دلایلی پیامک حاوی کد رمز دوم یکبار مصرف در راهگیر کند و در مدتزمان مقتضی به دست کاربر نرسد و قابلاستفاده نباشد؛ ازاینرو نمیتوان حکم کلی در این بخش صادر کرد.
عبادی: هکر در ارسال رمز دوم پویا بهصورت پیامکی باید سه عامل را همزمان هک کند که امکان آن بهصورت عملی در ۱۲۰ ثانیه بسیار ضعیف است.
طبری: به نظر اینجانب وقتی سامانه هریم از سوی بانک مرکزی راهاندازی شده است بهطور حتم با تسهیل تجربه کاربری که ایجاد میکند؛ مورد استقبال همگان قرار میگیرد و بهتبع برای شرکتهای PSP نیز بهتر است که از سامانه هریم استفاده کنند و با توجه به زمان کم برای اجرای این طرح راحتترین مسیر برای ارسال رمز دوم یکبار مصرف از طریق هریم، پیامک است. در فاز اول برای ارسال رمز دوم یکبار مصرف به کاربران به پیامک محدود میشویم. تنها دغدغه من این است که افراد تنها ۱۲۰ ثانیه برای انجام تراکنش مهلتدارند و زمانی که با حجم انبوهی از پیامک مواجه هستیم و ممکن است پیامک دیر به دست کاربر برسد که رمز منقضی شده باشد و اگر این طرح که من آن را خوب ارزیابی میکنم بهصورت بد اجرایی شود، میتواند آثار بدی در جامعه داشته باشد. ازاینرو باید تمام جوانب و زوایای آن بررسی شود تا با اجرای مرحلهای آن بتوان بهرهگیری از این ابزار امنیتی را در کشور رواج داد و میزان نارضایتی مشتریان را کاهش داد. همچنین بهتر است بهمنظور اجرای بهتر این طرح و جلوگیری از بروز برخی از مشکلات همچنان تراکنشهای زیر ۱۰۰ هزار تومان با رمز ایستا انجام شود و اپراتورها بهمنظور اجرای بهتر در این روند درگیر شوند تا همکاری مؤثری در کاهش هزینه ارسال پیامکها از سوی شبکه بانکی صورت گیرد؛ زیرا این حرکت ملی که در راستای ارتقا امنیت تراکنشهای غیرحضوری شکلگرفته نیازمند همکاری تمام دستاندرکاران این حوزه است. آنچه مسلم است باید SLA ارسال پیامک بالا رود. هماکنون بانکها و PSP ها از شرکتهای زیرمجموعه اپراتورها برای ارسال پیامک بهره میبرند و این سؤال جدی مطرح است که این شرکتها ارسال درست پیامک را تضمین میکنند و چقدر سرورهای آنها امن است. شاید وقت آن باشد که خود اپراتورها با هزینه کمتر به بانکها و PSP ها سرویس مستقیم ارسال پیامک بدهند.
گرکانی نژاد: بانک مرکزی با اپراتورها در حال مذاکره و صحبت بهمنظور ارائه راهکار برای تمام دغدغهها در این بخش است.
طبری: اپراتورها امکان Push Notification روی USSD را تاکنون در اختیار بانکها و شرکتهای پرداخت قرار ندادهاند که اگر قرار دهند میتواند بهعنوان یکی از خروجیهای هریم در ارسال رمز دوم یکبار مصرف مورداستفاده قرار گیرد تا هریم تنها به پیامک محدود نشود.
صدری: به عقیده من شاخص تعداد گوشی هوشمند در کشور نمیتواند شاخص مصرف باشد زیرا بهطور متوسط USSD بانک صادرات روزانه در حدود ۸۰۰ تا یکمیلیون تراکنش دارد که بیانگر این است که هنوز قشر عظیمی از مردم از گوشی هوشمند برخوردار نیستند یا اگر برخوردار هستند؛ بهرهگیری از درگاه USSD را ترجیح میدهند که خیلی بعید است. همچنین بانکهای بزرگ که در مناطق دورافتاده نیز شعبه دارند در این مکانها بهطور عملی بحث گوشی هوشمند در ارائه خدمات مطرح نیست و برای این قشر که از گوشی هوشمند برخوردار نیستند باید راهکار در این روند اندیشیده میشد که با راهاندازی سامانه هریم و بهرهگیری از پیامک این مشکل حلشده است ضمن اینکه درگاه USSD هم کانال خوبی برای پوشش این قشر است. همچنین در اپلیکیشن های بانکهای بزرگ تا جایی که من اطلاع دارم امکان در اختیار گذاشتن رمز ساده برای اپ رمز ساز به کاربر داده نشده است.
افزون بر این، معتقدم که هزینه کارمزدی که بهصورت سالانه در حدود ۱۳ تا ۱۵ هزار میلیارد تومان به شبکه بانکی تحمیل میشد، نبود شاید هیچ استارتاپی در کشور نمیتوانست شکل بگیرد. در کشور تنها در حوزه استفاده از زیرساختهای بانکی مقدار بلوغ دیده میشود و در سطح خدماترسانی سایر دستگاهها در دولت الکترونیک با پیشرفت چندانی مواجه نبودهایم و اگر پیشرفتی هم صورت گرفته است؛ هزینه آن چند برابر از مردم گرفتهشده است. بانکها سیستم مدیریت فراد دارند و انجام تراکنشهای فیک از سوی استارتاپ ها در بانکها مشخص میشود اما در بعضی جاها از آن چشمپوشی میشود تا برخی کسبوکارها در کشور شکل بگیرد. البته این هزینه را بانک درنهایت روی هزینه تسهیلات میکشد و این منابع از مردم گرفته میشود و سؤال اصلی این است که بانک چگونه باید این هزینه را تأمین کنند؟
جواب این سؤال که چرا بلوغی که باید در بخش فناوری در شبکه بانکی شکل میگرفت؛ ایجاد نشده این است که بخش فناوری در بانکها اینقدر تحتفشار قیمتها و هزینههایی است که انجامشده که حتی در بعضی مواقع به فکر حذف برخی از درگاههای خود بهمنظور کاهش هزینه است و بانکها در این بخش نمیتوانند خیلی برنامههای توسعهای داشته باشد چون درآمدی در قبال این هزینهها ایجاد نشده است. شبکه بانکی بهطور میانگین روزانه بین ۱۶ تا ۲۰ میلیون تراکنش و پیامک تنها برای رمز دوم پویا باید ارسال کند و بهرهگیری از این ابزار امنیتی سالانه چند میلیارد تومان هزینه مجدد را به شبکه بانکی تحمیل میکند که پوشش این هزینه برای بانکها واقعاً کار سادهای نیست و این بیانگر این مهم است که این مدل باید کمی تغییر کند. در جوامع توسعهیافته تمامی روندها از ابتدا درست چیده شده است درصورتیکه در ایران تمامی روندها یکسویه است؛ بدین معنا که بانکها تنها هزینه میکنند و مردم و سایر نهادها تنها استفاده کننده هستند و اگر استارتاپی در کشور شکلگرفته است از محل درآمدهایی است که از جیب بانکها شده است.
گرکانی نژاد: ممکن است در بانکها در بخش امنیت و سیستمهای مدیریت فراد کارهای زیادی انجامشده باشد؛ اما متأسفانه نمود بیرونی آن قابلمشاهده نیست. اما چرا سیستم بانکی با توجه به اینکه سطحی از سیستمهای مدیریت فراد را دارا است ولی بروز بیرونی آن بهگونهای است که قابللمس نیست؟
صدری: متأسفانه در این سالها رقابت ناسالم بانکها برای ارائه سرویس منجر به این شده یکسری از کارهایی که باید انجام بگیرد اجرایی نشود. در بحث رمز پویا هماهنگیهای خوبی بین بانکها چه در بخش خصوصی و دولتی شکلگرفته است که اگر این هماهنگیها در حوزه کارمزدی و ارائه سرویس وجود داشت، میتوانست بسیاری از حرکتهای مثبت در این بخش را رقم بزند تا سرویسهای بهینهتری بهصورت برد- برد شکلگرفته شود. فعالیت تمام پذیرندگان کارتخوانهای فروشگاهی با زیرساختی که بانکها و شرکتهای PSP در اختیار آنها قرار دادهشده اکنون تسهیل شده است ولی بهجای پرداخت کارمزد خدمات این قشر سودای سهم خواهی نیز دارند که این روند غلطی است که در شبکه بانکی و پرداخت شکلگرفته که باید اصلاح شود.
عبادی: در بخش اطلاعرسانی و فرهنگسازی در خصوص الزامات رمز دوم پویا این مهم که هنوز بسیاری از فعالان این حوزه با سامانه هریم و جزئیات روند کار آشنا نیستند؛ بدین معنا است که نقشه راه در این بخش بهدرستی ترسیم نشده و اطلاعرسانی از سمت بانک مرکزی مناسب نبوده است. اینکه شرکتهای بزرگ دیجیتالی از جزئیات رمز دوم پویا، سامانه هریم و نحوه کار با آن آشنایی ندارند که اگر مطلع شوند بسیاری از دغدغههای آنها رفع میشود؛ بیانگر این است اگر نقشه راه مناسبتری در این بخش ترسیم میشد و مدیریت پروژه بهتری صورت میگرفت شاید فضای مجازی اینقدر نسبت به این موضوع منفی نبود. معتقدم این گام بهمنظور ارتقای امنیت در تراکنشهای غیرحضوری باید با پلن بهبود همراه باشد و بانکها باید به این نتیجه برسند که پیادهسازی ۳D SECURE راهکار بهتری در این بخش است. بانک مرکزی هم آییننامه و محدودیتی در این حوزه ندارد و بانکها هم اکنون هم میتوانند بهجای اجرای رمز دوم پویا به این سمت حرکت کنند که بهتبع رویکرد بهتری را دنبال میکند.