لزوم توجه به استاندارد فنی 3D Secure در کنار پیاده‌سازی رمز پویا

سعید احمدی پویا در گفتگو با خبرنگار ایبِنا با اشاره به ضرورت مبارزه با فیشینگ گفت: دغدغه­ی مبارزه با فیشینگ و کلاه­برداری­های آنلاین، یکی از مهمترین مسائلی است که صنعت بانکداری و پرداخت الکترونیک کشور به ویژه رگولاتور پولی و بانکی کشور را درگیر خود کرده است و پیدا کردن راهکار برای آن در دستور کار بانک مرکزی و مراجع انتظامی و قضایی قرار گرفته است. این موضوع فقط دغدغه­ی صنعت بانکداری و پرداخت الکترونیک ایران نیست؛ از روزی که اولین تراکنش کارتی در محیط بدون حضور کارت (Card Not Present- CNP) زده شد، دغدغه تمامی بازیگران صنعت، ایجاد محیط امن، انجام فرایند احراز هویت کامل و جلوگیری از تراکنش­های تقلبی بوده است. لذا بهتر است ابتدا بپردازیم به این که اکوسیستم­‌های کارتی بین­‌المللی چه اقداماتی را برای کاهش این موضوع در دستورکار قرار داده‌­اند.

این کارشناس ارشد صنعت پرداخت الکترونیکی ادامه داد:  در سال ۲۰۰۰ شرکت VISA  برای استفاده از کارت‌­های اعتباری در اینترنت روشی ابداع کرد که با نام تجاری "Verified by VISA "  عرضه شد. دلیل این که شرکت ویزا به دنبال این روش رفت، این بود که استفاده از رمزهای عبور استاتیک دارای ریسک امنیتی بالایی می‌­باشد و در صورت بهره­گیری از روش­‌های مهندسی اجتماعی و  ایجاد فضایی غیرواقعی، دستیابی شخص ثالث به اطلاعات کارت بسیار ساده خواهد بود و از در همین فضا سایت‌­ها فیشینگ بیشترین کلاهبرداری را انجام دادند، لذا ویزا به دنبال روش­‌های داینامیک رفت که ضریب ریسک را پایین بیاورد و نه این که کامل ریسک حذف گردد. به عنوان مثال، یک پیام متنی یا توکن با یک کد امن، مطابق رویه های رمزنگاری تولید شود که فقط برای محدوده زمانی خاص و فقط برای یک پرداخت خاص قابل استفاده  باشد.

وی افزود: این روش بعد در قالب استاندارد فنی ۳D Secure که توسط ویزا کارت  و مستر کارت برای تأمین امنیت بیشتر معاملات CNP عرضه شد. این استاندارد خریداران را قادر می سازد با درخواست کد شخصی که معمولاً به صورت توکن یک بار مصرف به تلفن همراه یا آدرس ایمیل خریدار ارسال می­شود، معاملات خود را از طریق اینترنت ایمن سازند. به عبارت دیگر، علاوه بر خریدار و پذیرنده کارت، صادرکننده کارت هم در فرایند خرید با کارت در فضای CNP مشارکت داده شد تا یک فضای امن با حضور ۳ بازیگر اکوسیستم پرداخت ساخته شود.

احمدی پویا خاطر نشان کرد: بهتر است به جای پیاده­ سازی روش‌­های غیراستاندارد، به دنبال پیاده­‌ سازی استاندارد فنی ۳D Secure که در اکوسیستم پرداخت الکترونیکی بین‌­المللی تجربه شده است، در دستورکار قرار بگیرد. البته لازم به ذکر است با اصلاحاتی که بانک مرکزی بر روی مدل اولیه رمز دوم پویا داد، تقریبا به استاندارد فنی 3D Secure نزدیک شد و این امیدواری ایجاد شد که در فازهای آتی، این استاندارد به صورت کامل در اکوسیستم پرداخت الکترونیکی ایران عملیاتی گردد.

این کارشناس ارشد در حوزه صنعت پرداخت در خصوص میزان کاهش جرایم سایبری و فیشینگ با رمز پویا خاطر نشان کرد: مهمترین نکته در موفقیت این پروژه، خلق یک تجربه کاربری لذت­بخش و آسان برای مشتری است. شما باید در نظر بگیرید محدوده مخاطبان این پروژه، فقط جوانان آشنا به مباحث بانکی و فعال در شبکه‌­های اجتماعی نیستند، بلکه تمامی مشتریان حوزه بانکی با سن و تحصیلات و میزان آگاهی کاملا متفاوت، مخاطب رمز دوم پویا هستند. برای همین است که باید راهکار عرضه شده، برای تمامی این دسته­‌های گوناگون مخاطبان ساده و قابل فهم باشد. در صورت هرگونه پیچیدگی، همین موضوع سبب خلق فیشینگ‌­ها و کلاه­برداری­‌های جدید خواهد شد.

وی افزود: اقدام بانک مرکزی مبنی بر اصلاح مدل رمز دوم پویا به صورت تعبیه یک دکمه ساده در صفحات پرداخت، به جای بهره‌گیری از اپلیکیشن‌­های متعدد بانکی، شایسته تقدیر است و این که معاونت فناوری‌های نوین بانک مرکزی، جناب محرمیان، در توییتر به صراحت بر اهمیت تجربه کاربری تاکید کردند، سیگنال بسیار مهمی برای فعالان حوزه بانکی و پرداخت بود که در بالاترین سطوح مدیریت رگولاتور پولی و بانکی کشور، هنوز فضایی برای شنیدن دغدغه­‌های فعالان حوزه وجود دارد و می­‌توان با ارائه نظرات کارشناسی و فنی، رگولاتور را در طراحی مدل­‌های استاندارد برای امن­سازی فضای پرداخت الکترونیک کشور یاری نمود.

احمدی پویا درباره اقدامات لازم از سوی بانک مرکزی، شاپرک و شرکت‌های پرداخت برای کاهش فیشینگ در کشور اظهار داشت: حذف یک عامل ایستا از چرخه احراز هویت مشتری، سبب کاهش ریسک می‌شود اما سبب حذف ریسک نمی‌­گردد. این نکته بسیار مهمی است. تا وقتی که آگاهی عمومی نسبت به ریسک‌­های موجود در فرایند پرداخت الکترونیکی ایجاد نگردد، احتمال طراحی هرگونه فیشینگی وجود دارد؛ بدون شک، رمز دوم پویا در مقطع زمانی کوتاه، آمار تعداد کلاه­برداری­‌های ناشی از فیشینگ را کاهش می­‌دهد اما به تدریج کلاه­برداران روش­‌هایی مبتنی بر مهندسی اجتماعی ابداع می­‌کنند که در همان زمان اندک عمر رمز دوم پویا، حساب دارندگان کارت را خالی کنند، لذا لازم است در کنار پروژه رمز دوم پویا، پروژه افزایش آگاهی عمومی آغاز شود تا ضریب آگاهی عمومی آحاد جامعه از ریسک‌­های مرتبط بر عملیات بانکی و پرداخت الکترونیکی، افزایش یابد.

وی ادامه داد: این پروژه باید با همکاری تمامی ذینفعان اکوسیستم پرداخت کشور انجام شود و همه بازیگران از شرکت‌­های PSP تا پرداخت­یارها و فینتک‌­ها، باید نقش پررنگی در این حوزه ایفا کنند. حتی پیشنهاد می­کنم در همایش آتی "بانکداری الکترونیک و نظام‌ های پرداخت" که بانک مرکزی به همراه پژوهشکده پولی و بانکی برگزار می­‌کند، بخشی برای این موضوع در نظر گرفته شود و از راهکارهای خلاقانه "آگاه­سازی عمومی نسبت به ریسک‌­های حوزه پرداخت الکترونیک" که موفق شدند توجه بسیاری را به خود جلب کنند و به عبارت دیگر، ضریب نفوذ بالا در جامعه داشته­‌اند، تقدیر شود.

این کارشناس ارشد صنعت پرداخت با تاکید کرد که باید تراکنش‌های با مبلغ یک میلیون ریال از طریق پرداخت خرد انجام شوند، گفت: بانک مرکزی و شرکت شاپرک باید اصلاح سند پرداخت­بانی را در دستور کار قرار بدهند و با حمایت از کسب و کار کیف ­پول الکترونیکی، سبب راه­‌اندازی نظام جامع پرداخت خرد در کشور شوند. تراکنش‌­های با مبلغ یک میلیون ریال باید از طریق شبکه پرداخت خرد انجام شود و نه از طریق شبکه پرداخت کارتی کشور. این رویکرد سبب می­شود بخش اعظم تراکنش­های شبکه کارتی با هزینه اندک و با کنترل پارامترهای ریسک، به شبکه پرداخت خرد منتقل شوند و هزینه عملیاتی بانک کاسته شود و سامانه‌­های اپراتورهای مخابراتی هم زیر فشار تعداد انبوه پیامک‌­های رمز دوم پویا قرار نگیرد. همچنین اگر دارنده کارت اصرار داشت که تراکش خرد خود را از طریق شبکه کارتی انجام دهد، هزینه تراکنش را بدهد و این رویکرد، گام نخست در اصلاح نظام کارمزدی تراکنش‌های پرداخت الکترونیکی خواهد بود.  

احمدی پویا در خصوص عملیات کارت به کارتن تاکید کرد:  یک نکته بسیار مهم در این موضوع، ایجاد فرایند احراز هویت کامل قبل از انجام تراکنش‌­های مالی می‌باشد. به عنوان نمونه اطمینان حاصل گردد که شخص دارنده کارت، تراکنش مالی را ایجاد کرده است و احراز هویت کامل انجام شده است؛ استاندارد فنی ۳D Secure می­تواند این محیط امن را ایجاد نماید و در صورت پیاده‌­سازی کامل می­تواند بخشی از نگرانی­‌های ایجاد شده را کاهش دهد.

وی ادامه داد: از سوی دیگر، مراجع انتظامی و قضایی، تاکید بسیار در به‌­کارگیری سامانه‌های شاهکار و نهاب برای احراز هویت کامل و حصول اطمینان از یکی بودن کد ملی صاحب کارت بانکی با کدملی صاحب خط تلفن بستر تراکنش دارند. اگر چه بهره‌­گیری از سامانه‌های مذکور، به تجربه کاربری لطمه می­زند و سبب ریزش مشتری در اپلیکیشن‌­ها می‌شود، با این حال قدم اول ایجاد امکان بهره‌­برداری از سامانه­‌های مذکور برای پرداخت­یارها و فینتک‌­ها می‌­باشد؛ در شرایط کنونی، فینتک­‌ها متقاضی دسترسی به این سامانه‌­ها هستند و بعد از پیگیری­‌های فراوان، به آنها این امکان و دسترسی به سامانه­‌های مذکور داده نمی‌شود و از سوی دیگر توسط مراجع قضایی و انتظامی به خاطر عدم بهره‌­گیری از این سامانه­‌ها مورد مواخذه قرار می­‌گیرند و این موضوع شرایط ارائه خدمات را برای فینتک‌ها، بسیار دشوار کرده است.  

این کارشناس ارشد صنعت پرداخت در پاسخ به این سوال که  فینتک‌­ها به خصوص شرکت­‌های پرداخت­یاربه منظور اجرای بهترطرح رمز دوم پویا و اطلاع و آموزش به مردم چه اقداماتی انجام داده­‌اند، گفت: نکته ظریفی در این میان وجود دارد و آن اهمیت دادن به جایگاه تمامی ذینفعان اکوسیستم پرداخت الکترونیک برای اجرای بهتر پروژه­های حاکمیتی و رگولاتوری است. وقتی یک فینتک برای به دست آوردن مستندات هریم و نحوه پیاده­سازی رمز دوم پویا، باید تلاش بسیار انجام دهد و حتی رگولاتور جلسه­ای برای تشریح موضوع برای پرداخت­یارها و فینتک‌­ها برگزار نمی­کند، نمی‌­توان از آنها انتظار داشت که در اجرای پروژه، پیشتاز باشند؛ پیشنهاد بنده این است که بانک مرکزی و شاپرک با ایجاد کارگروه‌­های تخصصی و ایجاد جلسات منظم فنی و کسب­ و کاری با پرداخت­یارها و فینتک‌­­ها، به مانند جلسات منظمی که ماهانه شاپرک با مدیران عامل شرکت­های PSP برگزار می‌­کند، فینتک­ها در جریان پروژه­‌ها و دغدغه­‌های رگولاتور بگذارد تا آنها بتوانند با تمام توان، حامی رگولاتور در انجام پروژه­‌های حاکمیتی و رگولاتوری باشند. بدون شک این ارتباط منظم، سبب درگیر شدن تمام سطوح کارشناسی اکوسیستم، در پیشبرد پروژه­های رگولاتوری خواهد شد.

احمدی پویا با تاکید بر اهمیت موضوع استاندارد فنی ۳D Secure گفت: در صورتی که در کنار پیاده­‌سازی رمز دوم پویا به استاندارد سازی مدل و نزدیک شدن به مدل استاندارد فنی 3D Secure بی‌اعتنا باشیم، اگر پروژه افزایش سطح آگاه­سازی عمومی را یک کار ساده و پیش­پا افتاده بدانیم، اگر تمامی ذینغعان را در طراحی و پیاده­سازی پروژه‌­ها درگیر نکنیم،   اگر از نخبگان صنعت بازخوردهای کارشناسی نگیریم، بعید می‌دانم بتوانیم به اهداف مورد انتظار پیاده­ سازی رمز دوم پویا برسیم. البته با توجه به نگاه جامعی که بانک مرکزی به تمامی پیش شرط‌هایی ذکر شده وجود دارد، این امید هست که تمامی این پیش‌ ­شرط­‌ها به تدریج مهیا شود و در بازه زمانی مناسب و با یک کارگروهی همه‌­جانبه، بتوان محیط امن مطابق با استانداردهای بین المللی در کنار تجربه کاربری لذت ­بخش و آسان برای کاربران شبکه پرداخت الکترونیک فراهم گردد.