سعید احمدی پویا در گفتگو با خبرنگار ایبِنا با اشاره به ضرورت مبارزه با فیشینگ گفت: دغدغهی مبارزه با فیشینگ و کلاهبرداریهای آنلاین، یکی از مهمترین مسائلی است که صنعت بانکداری و پرداخت الکترونیک کشور به ویژه رگولاتور پولی و بانکی کشور را درگیر خود کرده است و پیدا کردن راهکار برای آن در دستور کار بانک مرکزی و مراجع انتظامی و قضایی قرار گرفته است. این موضوع فقط دغدغهی صنعت بانکداری و پرداخت الکترونیک ایران نیست؛ از روزی که اولین تراکنش کارتی در محیط بدون حضور کارت (Card Not Present- CNP) زده شد، دغدغه تمامی بازیگران صنعت، ایجاد محیط امن، انجام فرایند احراز هویت کامل و جلوگیری از تراکنشهای تقلبی بوده است. لذا بهتر است ابتدا بپردازیم به این که اکوسیستمهای کارتی بینالمللی چه اقداماتی را برای کاهش این موضوع در دستورکار قرار دادهاند.
این کارشناس ارشد صنعت پرداخت الکترونیکی ادامه داد: در سال ۲۰۰۰ شرکت VISA برای استفاده از کارتهای اعتباری در اینترنت روشی ابداع کرد که با نام تجاری "Verified by VISA " عرضه شد. دلیل این که شرکت ویزا به دنبال این روش رفت، این بود که استفاده از رمزهای عبور استاتیک دارای ریسک امنیتی بالایی میباشد و در صورت بهرهگیری از روشهای مهندسی اجتماعی و ایجاد فضایی غیرواقعی، دستیابی شخص ثالث به اطلاعات کارت بسیار ساده خواهد بود و از در همین فضا سایتها فیشینگ بیشترین کلاهبرداری را انجام دادند، لذا ویزا به دنبال روشهای داینامیک رفت که ضریب ریسک را پایین بیاورد و نه این که کامل ریسک حذف گردد. به عنوان مثال، یک پیام متنی یا توکن با یک کد امن، مطابق رویه های رمزنگاری تولید شود که فقط برای محدوده زمانی خاص و فقط برای یک پرداخت خاص قابل استفاده باشد.
وی افزود: این روش بعد در قالب استاندارد فنی ۳D Secure که توسط ویزا کارت و مستر کارت برای تأمین امنیت بیشتر معاملات CNP عرضه شد. این استاندارد خریداران را قادر می سازد با درخواست کد شخصی که معمولاً به صورت توکن یک بار مصرف به تلفن همراه یا آدرس ایمیل خریدار ارسال میشود، معاملات خود را از طریق اینترنت ایمن سازند. به عبارت دیگر، علاوه بر خریدار و پذیرنده کارت، صادرکننده کارت هم در فرایند خرید با کارت در فضای CNP مشارکت داده شد تا یک فضای امن با حضور ۳ بازیگر اکوسیستم پرداخت ساخته شود.
احمدی پویا خاطر نشان کرد: بهتر است به جای پیاده سازی روشهای غیراستاندارد، به دنبال پیاده سازی استاندارد فنی ۳D Secure که در اکوسیستم پرداخت الکترونیکی بینالمللی تجربه شده است، در دستورکار قرار بگیرد. البته لازم به ذکر است با اصلاحاتی که بانک مرکزی بر روی مدل اولیه رمز دوم پویا داد، تقریبا به استاندارد فنی 3D Secure نزدیک شد و این امیدواری ایجاد شد که در فازهای آتی، این استاندارد به صورت کامل در اکوسیستم پرداخت الکترونیکی ایران عملیاتی گردد.
این کارشناس ارشد در حوزه صنعت پرداخت در خصوص میزان کاهش جرایم سایبری و فیشینگ با رمز پویا خاطر نشان کرد: مهمترین نکته در موفقیت این پروژه، خلق یک تجربه کاربری لذتبخش و آسان برای مشتری است. شما باید در نظر بگیرید محدوده مخاطبان این پروژه، فقط جوانان آشنا به مباحث بانکی و فعال در شبکههای اجتماعی نیستند، بلکه تمامی مشتریان حوزه بانکی با سن و تحصیلات و میزان آگاهی کاملا متفاوت، مخاطب رمز دوم پویا هستند. برای همین است که باید راهکار عرضه شده، برای تمامی این دستههای گوناگون مخاطبان ساده و قابل فهم باشد. در صورت هرگونه پیچیدگی، همین موضوع سبب خلق فیشینگها و کلاهبرداریهای جدید خواهد شد.
وی افزود: اقدام بانک مرکزی مبنی بر اصلاح مدل رمز دوم پویا به صورت تعبیه یک دکمه ساده در صفحات پرداخت، به جای بهرهگیری از اپلیکیشنهای متعدد بانکی، شایسته تقدیر است و این که معاونت فناوریهای نوین بانک مرکزی، جناب محرمیان، در توییتر به صراحت بر اهمیت تجربه کاربری تاکید کردند، سیگنال بسیار مهمی برای فعالان حوزه بانکی و پرداخت بود که در بالاترین سطوح مدیریت رگولاتور پولی و بانکی کشور، هنوز فضایی برای شنیدن دغدغههای فعالان حوزه وجود دارد و میتوان با ارائه نظرات کارشناسی و فنی، رگولاتور را در طراحی مدلهای استاندارد برای امنسازی فضای پرداخت الکترونیک کشور یاری نمود.
احمدی پویا درباره اقدامات لازم از سوی بانک مرکزی، شاپرک و شرکتهای پرداخت برای کاهش فیشینگ در کشور اظهار داشت: حذف یک عامل ایستا از چرخه احراز هویت مشتری، سبب کاهش ریسک میشود اما سبب حذف ریسک نمیگردد. این نکته بسیار مهمی است. تا وقتی که آگاهی عمومی نسبت به ریسکهای موجود در فرایند پرداخت الکترونیکی ایجاد نگردد، احتمال طراحی هرگونه فیشینگی وجود دارد؛ بدون شک، رمز دوم پویا در مقطع زمانی کوتاه، آمار تعداد کلاهبرداریهای ناشی از فیشینگ را کاهش میدهد اما به تدریج کلاهبرداران روشهایی مبتنی بر مهندسی اجتماعی ابداع میکنند که در همان زمان اندک عمر رمز دوم پویا، حساب دارندگان کارت را خالی کنند، لذا لازم است در کنار پروژه رمز دوم پویا، پروژه افزایش آگاهی عمومی آغاز شود تا ضریب آگاهی عمومی آحاد جامعه از ریسکهای مرتبط بر عملیات بانکی و پرداخت الکترونیکی، افزایش یابد.
وی ادامه داد: این پروژه باید با همکاری تمامی ذینفعان اکوسیستم پرداخت کشور انجام شود و همه بازیگران از شرکتهای PSP تا پرداختیارها و فینتکها، باید نقش پررنگی در این حوزه ایفا کنند. حتی پیشنهاد میکنم در همایش آتی "بانکداری الکترونیک و نظام های پرداخت" که بانک مرکزی به همراه پژوهشکده پولی و بانکی برگزار میکند، بخشی برای این موضوع در نظر گرفته شود و از راهکارهای خلاقانه "آگاهسازی عمومی نسبت به ریسکهای حوزه پرداخت الکترونیک" که موفق شدند توجه بسیاری را به خود جلب کنند و به عبارت دیگر، ضریب نفوذ بالا در جامعه داشتهاند، تقدیر شود.
این کارشناس ارشد صنعت پرداخت با تاکید کرد که باید تراکنشهای با مبلغ یک میلیون ریال از طریق پرداخت خرد انجام شوند، گفت: بانک مرکزی و شرکت شاپرک باید اصلاح سند پرداختبانی را در دستور کار قرار بدهند و با حمایت از کسب و کار کیف پول الکترونیکی، سبب راهاندازی نظام جامع پرداخت خرد در کشور شوند. تراکنشهای با مبلغ یک میلیون ریال باید از طریق شبکه پرداخت خرد انجام شود و نه از طریق شبکه پرداخت کارتی کشور. این رویکرد سبب میشود بخش اعظم تراکنشهای شبکه کارتی با هزینه اندک و با کنترل پارامترهای ریسک، به شبکه پرداخت خرد منتقل شوند و هزینه عملیاتی بانک کاسته شود و سامانههای اپراتورهای مخابراتی هم زیر فشار تعداد انبوه پیامکهای رمز دوم پویا قرار نگیرد. همچنین اگر دارنده کارت اصرار داشت که تراکش خرد خود را از طریق شبکه کارتی انجام دهد، هزینه تراکنش را بدهد و این رویکرد، گام نخست در اصلاح نظام کارمزدی تراکنشهای پرداخت الکترونیکی خواهد بود.
احمدی پویا در خصوص عملیات کارت به کارتن تاکید کرد: یک نکته بسیار مهم در این موضوع، ایجاد فرایند احراز هویت کامل قبل از انجام تراکنشهای مالی میباشد. به عنوان نمونه اطمینان حاصل گردد که شخص دارنده کارت، تراکنش مالی را ایجاد کرده است و احراز هویت کامل انجام شده است؛ استاندارد فنی ۳D Secure میتواند این محیط امن را ایجاد نماید و در صورت پیادهسازی کامل میتواند بخشی از نگرانیهای ایجاد شده را کاهش دهد.
وی ادامه داد: از سوی دیگر، مراجع انتظامی و قضایی، تاکید بسیار در بهکارگیری سامانههای شاهکار و نهاب برای احراز هویت کامل و حصول اطمینان از یکی بودن کد ملی صاحب کارت بانکی با کدملی صاحب خط تلفن بستر تراکنش دارند. اگر چه بهرهگیری از سامانههای مذکور، به تجربه کاربری لطمه میزند و سبب ریزش مشتری در اپلیکیشنها میشود، با این حال قدم اول ایجاد امکان بهرهبرداری از سامانههای مذکور برای پرداختیارها و فینتکها میباشد؛ در شرایط کنونی، فینتکها متقاضی دسترسی به این سامانهها هستند و بعد از پیگیریهای فراوان، به آنها این امکان و دسترسی به سامانههای مذکور داده نمیشود و از سوی دیگر توسط مراجع قضایی و انتظامی به خاطر عدم بهرهگیری از این سامانهها مورد مواخذه قرار میگیرند و این موضوع شرایط ارائه خدمات را برای فینتکها، بسیار دشوار کرده است.
این کارشناس ارشد صنعت پرداخت در پاسخ به این سوال که فینتکها به خصوص شرکتهای پرداختیاربه منظور اجرای بهترطرح رمز دوم پویا و اطلاع و آموزش به مردم چه اقداماتی انجام دادهاند، گفت: نکته ظریفی در این میان وجود دارد و آن اهمیت دادن به جایگاه تمامی ذینفعان اکوسیستم پرداخت الکترونیک برای اجرای بهتر پروژههای حاکمیتی و رگولاتوری است. وقتی یک فینتک برای به دست آوردن مستندات هریم و نحوه پیادهسازی رمز دوم پویا، باید تلاش بسیار انجام دهد و حتی رگولاتور جلسهای برای تشریح موضوع برای پرداختیارها و فینتکها برگزار نمیکند، نمیتوان از آنها انتظار داشت که در اجرای پروژه، پیشتاز باشند؛ پیشنهاد بنده این است که بانک مرکزی و شاپرک با ایجاد کارگروههای تخصصی و ایجاد جلسات منظم فنی و کسب و کاری با پرداختیارها و فینتکها، به مانند جلسات منظمی که ماهانه شاپرک با مدیران عامل شرکتهای PSP برگزار میکند، فینتکها در جریان پروژهها و دغدغههای رگولاتور بگذارد تا آنها بتوانند با تمام توان، حامی رگولاتور در انجام پروژههای حاکمیتی و رگولاتوری باشند. بدون شک این ارتباط منظم، سبب درگیر شدن تمام سطوح کارشناسی اکوسیستم، در پیشبرد پروژههای رگولاتوری خواهد شد.
احمدی پویا با تاکید بر اهمیت موضوع استاندارد فنی ۳D Secure گفت: در صورتی که در کنار پیادهسازی رمز دوم پویا به استاندارد سازی مدل و نزدیک شدن به مدل استاندارد فنی 3D Secure بیاعتنا باشیم، اگر پروژه افزایش سطح آگاهسازی عمومی را یک کار ساده و پیشپا افتاده بدانیم، اگر تمامی ذینغعان را در طراحی و پیادهسازی پروژهها درگیر نکنیم، اگر از نخبگان صنعت بازخوردهای کارشناسی نگیریم، بعید میدانم بتوانیم به اهداف مورد انتظار پیاده سازی رمز دوم پویا برسیم. البته با توجه به نگاه جامعی که بانک مرکزی به تمامی پیش شرطهایی ذکر شده وجود دارد، این امید هست که تمامی این پیش شرطها به تدریج مهیا شود و در بازه زمانی مناسب و با یک کارگروهی همهجانبه، بتوان محیط امن مطابق با استانداردهای بین المللی در کنار تجربه کاربری لذت بخش و آسان برای کاربران شبکه پرداخت الکترونیک فراهم گردد.