منبع: هفته نامه بازار امروز –
تنها چند روز به مهلت ۹ ماهه بانک مرکزی برای الزام بانکها به استفاده از رمز دوم یک بار مصرف باقی مانده است. در حالی که بیش از نیمی از بانکها هنوز راه حل خود برای ارائه رمزهای پویا را معرفی نکردهاند. توجه مردم و مشتریان بانکها نیز از یک سو با تبلیغات رسانهای به این موضوع جلب شده است و از سوی دیگر دچار سردرگمی برای استفاده از این سرویس جدید هستند. راه اندازی رمزهای یک بار مصرف برای ارتقای سطح امنیت تراکنشهای بانکی از سوی بانک مرکزی به بانکها تکلیف شده است. ولی آیا این روش در سایر سیستمهای پرداخت جهان مرسوم است؟ آیا بانکهای ما روش صحیحی برای پیادهسازی امنیت تراکنشها اتخاذ کردهاند؟ هزینه تامین این سطح از امنیت چه مقدار خواهد بود؟ اینها سوالاتی است که در این یادداشت سعی شده پاسخی برای آن ارائه شود.
چرا رمزهای یک بار مصرف؟
رمزهای پویا یا به عبارت دقیقتر رمزهای یک بار مصرف (OTP[۱]) گذرواژههایی هستند که در هر بار اتصال کاربر برای انجام یک عملیات تراکنشی، مانند افتتاح حساب کاربری، تراکنش مالی و غیره تولید و به مدت معلومی دارای اعتبار هستند. رمز یکبار مصرف برای ایمن سازی دسترسی کاربران به سیستمهای الکترونیکی ارائه شده که در آن از قابلیتهای رمزنگاری برای تولید رمز تصادفی یک بار مصرف استفاده میشود. مهمترین مزیت استفاده از OTP و یا رمز یک بار مصرف این است، که سرقت اطلاعات با دانستن رمز عبور غیر ممکن میگردد. آشنایی کاربران ایرانی با رمزهای یک بار مصرف به صورت گسترده در نصب اپلیکیشنهای پیام رسان صورت گرفت.
وقتی که اپلیکیشن برای ورود کاربر از وی شماره تلفن و یا آدرس ایمیل درخواست کرده و یک کد عبور چهار یا پنج رقمی برای کاربر ارسال میکند تا بدین صورت احراز هویت تکمیل شود. یکی از کاربردهای مهم این تکنولوژی، ایمن سازی تراکنشهای بانکی، مخصوصا تراکنشهای بستر اینترنت و درگاههای پرداخت است. آمارهای منتشر شده حاکی از حجم عظیم برداشتهای غیر مجاز و مجرمانه از حساب کاربران شبکه بانکی است. به طوری که رییس پلیس فتا در سال ۹۵ اعلام کرد: “بیش از ۳۴ درصد پرونده های متشکله از بدو تاسیس پلیس فتا تاکنون مربوط به برداشتهای بانکی است که برخی از این پروندهها تا ۲۵۰۰ نفر مالباخته ( تنها در یک پرونده )داشتهاند و این آمار بالای تشکیل پرونده، نشان از ضرورت حساس شدن بانکها به افزایش سطح استانداردهای امنیتی و ارتقاء سطح تعامل و همکاری با پلیس فتا را دارد.
در این راستا همچنین افزایش ضریب دقت مردم در حفظ اطلاعات بانکی خود نیز مورد تاکید است. در همین جهت و با توجه به وظایف بانک مرکزی بر تنظیم مقررات حوزه امنیت تراکنشهای بانکی، این بانک بخشنامه ” الزامات رمزهای پویا بر تراکنشهای مبتنی بر کارت” را منتشر و به بانکها و موسسات مالی کشور ابلاغ کرد. در این بخشنامه که به کمک شرکت کاشف تهیه شده است، زمان بندی و مراحل مختلف اجرا به بانکها تکلیف شده است. هم چنین در پیوست این بخشنامه جزییات و الزامات فنی به بانکها و صادرکنندگان کارت ابلاغ شده است. در این یادداشت زوایای مختلف این ابلاغیه مورد بررسی قرار گرفته است.
حجم و ابعاد تراکنش های OTP
ایران کشوری با ۸۵ میلیون جمعیت است که کمی بیش از ۳۰ درصد آن بین ۱۵ تا ۶۰ سال سن دارند. سرویس بانکداری و پرداخت الکترونیک برای این جامعه به گونهای گسترش یافته که شبکه ملی شتاب به یکی از بزرگترین شبکههای ملی بانکداری الکترونیک در غرب آسیا و شمال آفریقا تبدیل شده است. این شبکه شامل ۳۴ سوییچ بانکی، ۵۵ هزار خودپرداز، بیش از ۷ میلیون دستگاه کارتخوان بانکی است. حدود ۴۰۰ میلیون کارت در کشور صادر شده است و آمارها نشان دهنده فعال بودن ۹۰ میلیون کارت در ایران است. حجم تراکنشهای الکترونیکی در شبکه شتاب حدود ۴۰ میلیارد در سال ۹۷ بوده است که ۲۱ میلیارد تراکنش به پرداخت الکترونیک اختصاص دارد. یعنی هر ایرانی بالغ به طور متوسط سالانه بیش از ۸۲۰ تراکنش پرداخت انجام میدهد. این آمار مربوط به سال ۹۷ است و تعداد تراکنشها سالانه بین ۲۵ الی ۳۰ درصد رشد با خود به همراه دارد. حجم تراکنشهای پرداخت الکترونیک از لحاظ مبلغ نیز قابل توجه است و به ۲۵۰۰ هزار میلیارد تومان در سال میرسد که حتی بیش از حجم نقدینگی کل کشور است. تراکنشهایی که بر بستر درگاههای امنی مانند کارتخوان و خودپرداز انجام میشوند ۲-عاملی هستند. یعنی برای انجام تراکنش داشتن ۲ فاکتور شماره کارت و رمز اول کافی است. البته غیر از رمز اول مابقی اطلاعات تراکنش، مانند نام و نام خانوادگی، شماره کارت، CVV2 در قسمت مگنت کارتها ذخیره شده که دستگاه پذیرنده اطلاعات را از آن واکشی میکند. البته باید اذعان کرد که تکنولوژی کارتهای مغناطیسی از امنیت کافی برخوردار نیست و یک نوع از تقلب که در ایران شاهدش هستیم، سرقت اطلاعات ضبط شده در مگنت کارتها است. در تراکنشهایی که اصطلاحا CNP[۲] نام دارند، ۴ فاکتور برای انجام تراکنش لازم است که شامل شماره کارت، رمز دوم (۴ تا ۸ رقم)، CVV2 و تاریخ انقضای کارت است. از بین این ۴ پارامتر، تنها پارامتری که روی کارت حک نشده و تنها در حافظه مشتری ذخیره شده است، رمز دوم کارت است. منشا بسیاری از سرقتها و سو استفادهها، ناشی از لو رفتن رمز دوم کارت مشتریان است. بنابراین چنانچه در تراکنشهای CNP بتوان رمز دوم را به صورت OTP تولید کرد، امنیت این نوع تراکنش ها تا حد قابل توجهی افزایش مییابد. آمارهای منتشر شده در گزارش اقتصادی شرکت شاپرک نشان میدهد که در سال ۹۷، حدود ۶ درصد از تراکنشها بر بستر اینترنت و ۶ درصد بر بستر موبایل انجام شده است. بنابراین به صورت بالقوه ۱۲درصد از تراکنشهای شبکه پرداخت یعنی ۲٫۵ میلیارد تراکنش سالانه که بدون حضور کارت و با ۴ فاکتور انجام شدهاند را میتوان با ابزار OTP ایمن کرد.
بانک مرکزی و رمز دوم
بانک مرکزی به بانکها تا ابتدای خرداد مهلت داده است که زیرساختهای لازم برای تولید و ارائه رمزهای دوم پویا را به مشتریان خود ارائه دهند. برای ارائه این خدمت ابهاماتی مطرح بود که مهمترین آن هزینه اجرای طرح و امکان اخذ کارمزد از مشتریان برای ایجاد این خدمت مطرح بود. تا جایی که برخی از بانکها از عددهایی مانند ۲۰ تومان به ازای هر رمزدوم پویا و یا اخذ کارمزد ماهانه مانند سرویس پیامک بانک را طرح کرده بودند. ولی این شبهات با پاسخ رییس کل بانک مرکزی از بین رفت.
عبدالناصر همتی رییس کل بانک مرکزی نیز در میان کش و قوس مسایل سیاسی و ارزی نیز گوشه چشمی به فناوری اطلاعات داشته و در مورد رمزهای دوم یکبار مصرف اظهار نظر کرده است. رییس کل گفته تغییر رمزهای ایستا به پویا باید به گونهای صورت گیرد که اولا به کسب و کارهای نوپا آسیبی وارد نشود و ثانیا هزینهای متوجه مشتریان نشود. با این اظهارات تکلیف اخذ کارمزد برای رمزهای یک بار مصرف مشخص شد.
معاون فناوریهای نوین بانک مرکزی نیز برای رفع هرگونه شبههای در تاریخ ۲۱ اردیبهشت ۹۸ طی ابلاغیهای شامل ۶ بند به شرح زیر، الزاماتی را در خصوص رمزهای دوم پویا عنوان کرد:
۱- به منظور حمایت از کسب و کارهای نوپا و نیز تسهیل فرایند پرداخت غیر حضوری قبوض، بانکها میتوانند با قبول مسئولیت هرگونه سوء استفاده از مسایل امنیتی و جبران خسارات احتمالی وارد شده به مشتریان، برای تراکنشهای کمتر از پنج میلیون ریال در روز و همچنین تراکنشهایی که ذینفع آن دستگاههای عمومی–نظیرصادرکنندگان قبض–باشند، استفاده از رمزهای ایستا را مجاز تلقی کنند.
۲- از ابتدای خرداد ماه تامین امنیت مشتریان نظام بانکی در تراکنشهای بدون حضور کارت بر عهده بانکها بوده و هرگونه مسئولیت سوءاستفاده از حسابهای مشتریان به دلیل آسیبپذیریهای امنیتی در سرویسهای بانکی مستقیما به عهده بانک است و در این موارد تایید مرجع قضایی برای جبران خسارت مشتریان کفایت میکند.
۳- جایگزینی رمزهای دوم پویا به جای رمزهای دوم ایستا به عنوان یکی از برنامههای ارتقای سطح امنیتی نظام بانکی مطرح بوده و با توجه به اینکه «امنیت»، بخش لاینفک هر خدمتی است، نباید هیچ هزینهای از دارندگان کارت و مشتریان بانکی اخذ شود.
۴- در صورتی که بانک بتواند راه حل مطمئن دیگری را، که با تایید بانک مرکزی متضمن تایید هویت قوی مشتری پیش از برداشت از حساب مشتری باشد را اجرایی کند، میتواند از این راهکار به عنوان جایگزین رمز پویا استفاده کند.
۵- هرگونه فرآیند تامین امنیت پرداختهای بدون حضور کارت باید با انجام هزینههای منطقی و معقول و مطابقِ قیمت تمام شده فنی در آن بانک به صورت یک زیرساخت دایمی صورت گرفته و صرفه و صلاح بانک به طور کامل در آن مد نظر قرار گیرد.
۶- به منظور پشتیبانی حداکثری از مشتریان ضرورت دارد امکانات ارائه رمز محدود به استفاده از برنامههای کاربردی گوشیهای هوشمند نشده و ارائه آن از طریق سایر ابزارها نظیر پیامک، پیامرسانهای داخلی مجاز و نظایر آن برای مشتریان بانکها نیز حسب تشخیص بانک فعال شود.
میدانیم که نسبت درآمدهای غیر مشاع بانکها به کل درآمدهایشان بسیار پایین است. درآمدهای مشاع نیز در عمل روی نرخ بهره و در نهایت تورم تاثیر میگذارد. در دنیا نیز بانکها عمده درآمد خود را از کارمزد خدمات حصول میکنند و بانکهای ایرانی سالهاست که تاکید زیادی بر کسب درآمدهای کارمزدی و غیرمشاع دارند. در این شرایط چرا رییس کل بانک مرکزی و معاونت فناوری اطلاعات آن ارائه خدمتی جدید را رایگان اعلام میکنند؟ به نظر میرسد که مدیران فعلی بانک مرکزی نیز مانند مدیران قبلی آن، برای دریافت کارمزد از مردم و توسعه منابع درآمدی غیرمشاع بانکها با ترس از اعتراض مشتریان مواجهاند.
به همین دلیل، خدمتی جدید که به راحتی میتواند محل درآمد برای سیستم بانکی باشد را به هزینه برای بانکها تبدیل کرده است. هزینهای که وقتی مردم عادت به پرداخت آن نکنند، بعدها خارج کردن آن از حالت رایگان بسیار دشوار خواهد بود.
هزینه اجرای این طرح چقدر است؟
در دنیا، رمزهای پویا میتواند بر بستر کارت، پیامک، ایمیل و یا اپلیکیشن موبایل تولید شود. البته لازم به ذکر است که چیزی به عنوان رمز دوم در سیستمهای پرداخت بین المللی وجود ندارد. در واقع آن چیزی که به صورت پویا تولید میشود، کد CVV2 یک بار مصرف است نه رمز! زیرا رمز اساسا باید توسط مشتری محفوظ مانده و یا امکان تغییر آن وجود داشته باشد و صدور رمز توسط یک سامانه و ثابت بودن CVV2 کارتها از ابداعات سیستم بانکی ایران است! فراگیرترین روش در بین مردم استفاده از پیامک و همچنین تولید و نمایش رمز در اپلیکیشن موبایل است. با توجه به سهم ۱۲ درصدی تراکنشهای CNP، حدودا ۲ میلیارد تراکنش نیاز به ارسال پیامک خواهند داشت. البته این تعداد پیامک در حال حاضر نیز بازار قابل اعتنایی برای اپراتورهای موبایل است. از طرف دیگر با توجه به جنجالهای پیش آمده در سال های گذشته پیرامون هزینه ارسال پیامکها، باید دید بانک ها به چه صورت میتوانند این هزینه را از مشتری اخذ کنند. در هر صورت، روش ارسال OTP بر بستر پیامک ابعاد کسب و کاری مختلفی دارد که از نتایج این بخشنامه است.
در ابلاغیه اخیر بانک مرکزی اعلام شده در صورتی که بانکها میتوانند با قبول مسئولیت هرگونه سوء استفاده از مسایل امنیتی و جبران خسارات احتمالی وارد شده به مشتریان، برای تراکنشهای کمتر از پنج میلیون ریال در روز استفاده از رمزهای ایستا را مجاز تلقی کنند. آمارها نشان میدهد که تنها ۳درصد از تراکنشهای پرداخت مبلغی بالاتر از ۵۰۰ هزار تومان دارند. یعنی حدودا ۷۵ میلیون تراکنش در سال ملزم به استفاده از رمز دوم یک بار مصرف هستند. نکته اصلی این است که ریسک مابقی تراکنشها بر عهده بانکها گذاشته شده است و ریسک معنا و ارتباط مستقیمی با هزینه دارد! ابتدا باید بررسی کرد که برای تعیین کف ۵۰۰ هزار تومان، چه کار کارشناسی انجام شده است؟ در صورتی که رمز دوم ایستای یک فرد لو برود، شخص سارق امکان آن را دارد که ۴۹۹ هزار تومان از حساب لو رفته، برداشت کند! آیا این عدد در بانک مرکزی توجیه و دلیل کارشناسانهای داشته است؟ سوال دیگر آن است که چرا هزینه امنیت برای تراکنشهای کمتر از ۵۰۰ هزار تومان باید بر عهده بانک قرار گیرد؟ اساسا مکانیزم دقیقی برای حل و فصل این مساله از طرف بانک مرکزی مشخص نشده است. آیا این عدد کف ۵۰۰ هزار تومان به مشتری اجازه میدهد که رمز دوم ایستا و پویا را در کنار هم داشته باشد؟ آیا در تراکنشهای کمتر از ۵۰۰ هزار تومان مشتری حق انتخاب رمز ایستا را دارد؟ یا اگر بانک نتواند مسوولیت را بپذیرد، مشتری را مجبور به استفاده از رمز پویا میکند؟ و یا آنکه بانکها خود باید تحلیل هزینه-فایده بین مخارج تولید و ارسال رمز دوم برای مشتریان از یک سو و هزینه ریسک لو رفتن رمز ایستا از سوی دیگر را انجام داده و هر بانک بنا به صلاحدید خود در این مورد تصمیم بگیرد.
هزینههایی که اجرای این طرح دارد شامل چند ردیف خواهد بود: نخست هزینه تغییر در زیرساختهای سوییچ کارت و سامانههای متمرکز (corebanking) بانکهاست به نحوی که بتوانند دربازه زمانی کوتاهی در یک سامانه یکپارچه رمزدوم مورد درخواست را تولید کرده و پس از انجام تراکنش، رمز وارد شده توسط مشتری را با رمز صادر شده تطبیق دهند. در این مورد برآورد دقیقی نمیتوان داشت ولی به نظر میرسد صورتحساب شرکتهای پیمانکار برای بانکها میلیاردی باشد. ثانیا بانکها میبایست اپلیکیشن رمزساز را تولید کنند و یا این ماژول نرمافزاری را در اپلیکیشنهای موجود خود بگنجانند. با توجه به این که حداقل ۹۰ تا ۱۰۰ میلیون کارت فعال در کشور وجود دارد، ارائه اپلیکیشن برای این حجم از کاربر نه تنها ارزان نیست بلکه استفاده از مسیرهای دیگری همچون ارسال پیامک هزینههای دیگری به بانک ها تحمیل میکند. حال باید به این موضوع فکر کرد که کل حجم خساراتی که ناشی از لو رفتن رمز دوم ایستا به با بانکها وارد میشود قابل مقایسه با این هزینهها است یا خیر؟
بانکها چه اقداماتی کردهاند؟
عملکرد بانکها در این زمینه متفاوت بوده است. بانکهای بزرگ به دلیل تعداد کارت صادر شده و حجم تراکنشهایشان، زودتر از بقیه نسبت به تغییرات زیرساختی خود اقدام کردند. آمارها نشان میدهد که بیش از ۵۰درصد تراکنشها مربوط به ۳ بانک بزرگ کشور است. بنابراین لازم است بانکهای بزرگ ابتدا پوشش کامل را برای کارتهای خود فراهم آورند. البته با مشاهده دقیق نحوه پیاده سازی به این نتیجه میرسیم که هر بانک مسیر و روش خود را طی کرده است. مثلا طول رمز دوم پویا در اپلیکیشنهایی که ارائه شده از ۶ تا ۸ کاراکتر متفاوت است. یا زمان معتبر بودن رمز نیز در برخی از اپلیکیشنها ۳۰ ثانیه و در برخی ۶۰ ثانیه است و بعد از این زمان رمز دیگری تولید میشود.
مشتری نیز برای فعالسازی اپلیکیشن خود باید به شعب بانک مراجعه کرده و ضمن احراز هویت، کد فعالسازی را دریافت کند. البته نکته جالب اینجاست که در یک بانک، این احراز هویت به صورت چهره به چهره صورت نمیگیرد و مشتری با مراجعه به خودپرداز بانک خود و ارائه رمز اول کارت، میتواند کد فعالسازی رادریافت کند که همه این مسایل نشان دهنده چندگانگی در نحوه پیاده سازی توسط بانکها است.
ادامه مسیر ابهام آلود
بنابراین اگر بخواهیم در جمع بندی این یادداشت، از نقطه نظر کسب و کار بانکها به مساله رمز دوم یک بار مصرف بنگریم، با توجه به این که تمام هزینه و ریسک آن بر عهده بانکهای کشور قرار گرفته است، سوالات زیادی بی پاسخ میماند. مثلا چرا بانک مرکزی که سالهاست از سامانههای مانا (مراکز ارائه نشانههای الکترونیکی) و سهند (سامانه هدایت نشانههای دیجیتال) صحبت میکند، را برای اجرای این پروژه از آنها استفاده نکرده است؟
البته سال گذشته شرکت خدمات انفورماتیک طراحی و تولید رمز اپلیکیشنی زمان دار – SOTP با نام «راز» را اجرایی کرد و اینکه با وجود آمادگی این شرکت برای ارایه خدمات یکپارچه از طریق این اپلیکیشن به تمامی بانکها این پروژه پیادهسازی نشد سوالی است که مدیران بانک مرکزی باید به آن پاسخ دهند.
چرا رمزهای دوم پویا در یک سامانه متمرکز تولید نمیشوند تا حداقل مردم مجبور نباشند برای هر کدام از کارتهای خود اپلیکیشن رمزساز مجزایی نصب کنند؟ از طرف دیگر باید اذعان کرد که جای بسی تعجب است که اخیرا وزارت اقتصاد و دارایی سندی در راستای توسعه بانکداری دیجیتال برای بانکهای کشور ارائه و ابلاغ کرده است. وقتی دلیل چنین دخالتی را از وزارت اقتصاد جویا میشویم، در پاسخ میشنویم که بانکداری باید به سمت گسترش درآمدهای غیرمشاع و کارمزدی حرکت کند. با این وجود چرا رییس کل بانک مرکزی و معاون فناری اطلاعات آن بر خلاف این ایده در وزارت اقتصاد و دارایی عمل میکنند؟ چرا در عمل شاهد آن هستیم که ارائه رمز دوم یک بار مصرف که یک سرویس امنیتی است را برای مردم رایگان اعلام کرده و بانکها را از محل درآمد آن محروم میکنند؟
در این بین، برخی از شنیدهها حاکی از آن است که ظاهرا کانال USSD هم یکی از کانالهایی است که برای درخواست و ارسال رمز دوم یک بار مصرف مورد استفاده قرار میگیرد. هرچند پیاده سازی بر بستر USSD بسیار ساده است و تنها هزینه اجاره آن بر عهده بانک خواهد بود ولی با توجه آن که کانال USSD از منظر بانک مرکزی امنیت کافی ندارد، آیا ارسال رمزی که ۶۰ ثانیه معتبر است بر بستر آن، منطقی خواهد بود؟
ضمن آنکه این تصمیم اساسا مخالف با عدالت محوری است به این تعبیر که هر شخصی که تعداد کارت بیشتر و تراکنشهای اینترنتی بیشتری دارد، از این امکانات رایگان بیشتر بهره میبرد در حالی که هزینه این خدمت را بانکها از محل درآمدهای مشاع و فشار بر همه مردم تامین میکنند.
[۱] One Time Password(PIN)
[۲] Card Not Present
ارسال یک نظر