عبداله افتاده – حدودا یک سال است که بانک مرکزی در پی یک بار مصرف کردن رمز دوم کارتهای بانکی است. ولی تاکنون موفق نشده و به رغم مهلتی که تا اول خرداد ۹۸ برای بانکها تعیین کرده بود، آن چه از نقطه دید کاربران شبکه بانکی دیده میشود، پیشرفت اندک این پروژه و اجرایی نشدن آن است. آیا واقعاً موانع فنی جلوی پای بانک مرکزی و شبکه بانکی است؟ یا منافع کسب و کاری برای بانک مرکزی و شرکتهای اقماریاش مطرح است؟ شنیدهها حاکی از آن است که اخیراً شرکتهای پرداخت PSP و شاپرک، در جلساتی به دعوت بانک مرکزی شرکت کرده و سناریوهایی برای اجرای پروژه OTP[۱] را طی میکنند که حتی بانکها هم در آن حضور ندارند. اطلاعاتی که از این جلسات به دست آمده نشان میدهد که بانک مرکزی در تدارک یک سامانه متمرکز دیگر برای رد و بدل کردن رمزهای یک بار مصرف است، راه حلی عجیب و غیرمنطقی که حدسهایی در مورد انگیزه منفعت طلبانه این بانک از پیادهسازی این راهکار را پررنگتر میکند. در این یادداشت، ضمن تحلیلی از وضعیت موجود و تخمینی از بازار تراکنشهای OTP، مدل معماری پیشنهاد شده توسط بانک مرکزی ارائه شده است، تا ضمن بحث و بررسی دقیق، آگاهی لازم برای مخاطبان عام و اختصاصی حاصل شود.
اندازه بازار چقدر است و لزوم رمز دوم یک بار مصرف چیست؟
حدود ۴۰۰ میلیون کارت در کشور صادر شده است و آمارها نشان دهنده فعال بودن ۹۰ میلیون کارت در ایران است. حجم تراکنشهای الکترونیکی در شبکه شتاب حدود ۴۰ میلیارد در سال ۹۷ بوده است که ۲۱ میلیارد تراکنش به پرداخت الکترونیک اختصاص دارد. یعنی هر ایرانی بالغ به طور متوسط سالانه بیش از ۸۲۰ تراکنش پرداخت انجام میدهد. این آمار مربوط به سال ۹۷ است و تعداد تراکنشها سالانه بین ۲۵ الی ۳۰ درصد رشد با خود به همراه دارد. حجم تراکنشهای پرداخت الکترونیک از لحاظ مبلغ نیز قابل توجه است و به ۲۵۰۰ هزار میلیارد تومان در سال میرسد که حتی بیش از حجم نقدینگی کل کشور است. تراکنشهایی که بر بستر درگاههای امن مانند کارتخوان و خودپرداز انجام میشوند ۲-عاملی هستند. یعنی برای انجام تراکنش داشتن ۲ فاکتور شماره کارت و رمز اول کافی است. البته غیر از رمز اول مابقی اطلاعات تراکنش، مانند نام و نام خانوادگی، شماره کارت، CVV2 در قسمت مگنت کارتها ذخیره شده که دستگاه پذیرنده اطلاعات را از آن واکشی میکند. البته باید اذعان کرد که تکنولوژی کارتهای مغناطیسی از امنیت کافی برخوردار نیست و یک نوع از تقلب که در ایران شاهدش هستیم، سرقت اطلاعات ضبط شده در مگنت کارتها است. در تراکنشهایی که اصطلاحاً CNP[۲] نام دارند، ۴ فاکتور برای انجام تراکنش لازم است که شامل شماره کارت، رمز دوم (۴ تا ۸ رقم)، CVV2 و تاریخ انقضای کارت است. از بین این ۴ پارامتر، تنها پارامتری که روی کارت حک نشده و تنها در حافظه مشتری ذخیره شده است، رمز دوم کارت است. منشا بسیاری از سرقتها و سو استفادهها، ناشی از لو رفتن رمز دوم کارت مشتریان است. بنابراین چنانچه در تراکنشهای CNP بتوان رمز دوم را به صورت OTP تولید کرد، امنیت این نوع تراکنشها تا حد قابل توجهی افزایش مییابد.
آمارهای منتشر شده در گزارش اقتصادی شرکت شاپرک نشان میدهد که در سال ۹۷، حدود ۶ درصد از تراکنشها بر بستر اینترنت و ۶ درصد بر بستر موبایل انجام شده است. بنابراین به صورت بالقوه ۱۲ درصد از تراکنشهای شبکه پرداخت یعنی ۲٫۵ میلیارد تراکنش سالانه که بدون حضور کارت و با ۴ فاکتور انجام شدهاند را میتوان با ابزار OTP ایمن کرد. البته شنیدهها حاکی از آن است که فاز نخست OTP ناظر بر تراکنشهای بدون حضور کارت و در واقع تراکنشهایی است که با رمز دوم انجام میشوند.
در دنیا چه کردهاند؟
در دنیا، رمزهای پویا میتواند بر بستر کارت، پیامک، ایمیل و یا اپلیکیشن موبایل تولید شود. البته لازم به ذکر است که چیزی به عنوان رمز دوم در سیستمهای پرداخت بین المللی وجود ندارد. در واقع آن چیزی که به صورت پویا تولید میشود، کد CVV2 یک بار مصرف است نه رمز! زیرا رمز اساسا باید توسط مشتری محفوظ مانده و یا امکان تغییر آن وجود داشته باشد و صدور رمز توسط یک سامانه و ثابت بودن CVV2 کارتها از ابداعات سیستم بانکی ایران است! فراگیرترین روش در بین مردم استفاده از پیامک و همچنین تولید و نمایش رمز در اپلیکیشن موبایل است.
بانک مرکزی چه مسیری را میرود؟
آنچه مورد انتظار برای پیادهسازی پروژه OTP بود، اجرای این پروژه در سمت بانکها بوده است. بانک صادرکننده میتواند در لحظه انجام تراکنش، در پاسخ به درخواست رمز دوم را که مشتری از طریق اپلیکیشن به بانک ارسال میکند، رمز دوم یک بار مصرف را به طرقی که بالاتر گفته شد، برای مشتری ارسال کرده و مشتری این رمز را در درگاه پذیرش تراکنش وارد کرده و تراکنش با موفقیت انجام شود. در واقع این مکانیزم مشابه آن چیزی است که در OTP اپلیکیشنهایی مانند گوگل، واتساپ و تلگرام نیز پیاده شده است. بنابراین مشتریان نیز تجربه کاربری خوبی از کار کردن با این گونه رمزها دارند و برایشان آشناست. حال آنکه شنیدهها از فعالان صنعت پرداخت، حاکی از مسیری دیگری است که بانک مرکزی ابداع کرده است و پیگیر پیادهسازی آن در سمت PSP هاست.
بانک مرکزی در جلساتی که با شرکتهای پرداخت برگزار کرده، مدلی را که توسط شرکت خدمات انفورماتیک پیشنهاد شده است را معرفی کرده و شرکتهای PSP در حال اجرای این پروژه هستند. در این مدل، مشتری درخواست رمز یک بار مصرفش را از طریق درگاه پرداخت، به سمت شرکت PSP فرستاده و سوییچ شرکت پرداخت این درخواست را همراه با اطلاعات پذیرنده و مبلغ تراکنش به سمت سوییچی به نام SHETAB VAS ارسال میکند. این سوییچ مبهم احتمالاً توسط شرکت خدمات برای بانک مرکزی توسعه داده خواهد شد یا به نوعی از سرویسهای شتاب برای ارسال تراکنش به سوییچهای بانکهای صادرکننده استفاده میشود. بانک نیز با یک الگوریتم مشخص که برای تولید رمز استفاده میکند و در آن با توجه به مبلغ تراکنش، رمز یکتایی برای مشتری ایجاد میشود. این رمز از طریق کانالهایی مانند SMS، Email و Call center برای مشتری ارسال و مشتری در درگاه پرداخت وارد میکند. دیاگرام شکل زیر، جز مستنداتی است که بانک مرکزی در جلسات خود برای شرکتهای PSP ارائه کرده و به وضوح مسیر ارسال و دریافت پیام در مدل پیشنهاد شده را نشان میدهد.
بانک مرکزی به دنبال چیست؟
این طرح از منظر فنی مشکلاتی دارد که باید به آن توجه شود. هرچند از جزییات فنی و پیادهسازی آن اطلاع دقیقی در دست نیست ولی همان طور که در معماری مشخص است، یک سیستم متمرکز به تمام سیستمهای متمرکز بانک مرکزی اضافه شده و اشکالات همه سیستمهای متمرکز را دارد. من جمله، ریسکهای عملیاتی که متوجه آن است. تمام تراکنشهای رمز یک بار مصرف کشور باید از یک سامانه جدید عبور کنند و چنانچه اختلالی در این سیستم رخ دهد، خطر جدی کسب و کاری، عملیاتی و امنیتی را متوجه مشتریان میکند. ضمن آنکه، فعلاً تراکنشهایی که مشمول این طرح هستند، درصد بالایی از تراکنشهای کشور نیست ولی با توجه به برنامههای بانک مرکزی، برای یک بار مصرف کردن تمام رمزهای شبکه کارت، سربار عملیاتی زیادی متوجه سامانههای متمرکز موجود در بانک مرکزی خواهد شد. زیرا به ازای هر تراکنش، یک پیام اضافه باید رد و بدل شود و این به معنای ۲ برابر شدن ترافیک شبکه است.
اما واقعاً بانک مرکزی و شرکت پیمانکارش به دنبال چه هستند؟ تجربه سالهای اخیر نشان میدهد که بانک مرکزی برای سرویسهای جدید، اقدام به تولید و راه اندازی یک سامانه متمرکز کرده و تمام شبکه بانکی و پرداخت را عموما به بهانههای تأمین امنیت، وادار به استفاده از آن کرده است. سپس درآمدهای کارمزدی روی این سامانهها تعریف کرده است. خاطره تلخی که از طراحی مدل کسب و کار شتاب و شاپرک در ذهن فعالان شبکه بانکداری و پرداخت کشور باقی مانده، ناشی از پیاده کردن همین سناریو است. بنابراین مبتنی بر این تجربهها، انتظار میرود بانک مرکزی برای سیستم در شرف تولد، SHETAB VAS، همین سناریو را پیاده کند.
تمام انتقاداتی که به شتاب و مدل متمرکز آن وارد است، توسط بانک مرکزی نادیده گرفته شده و این نهاد رگولاتوری، در پروژه OTP هم درصدد پررنگ کردن نقش شتاب است. سامانهای که درآمدهای چند هزار میلیاردی برای این بانک به همراه داشته و در عمل به یک ریسک جدی عملیاتی و امنیتی برای سیستم مالی کشور تبدیل شده است. ضمن آنکه در پیادهسازی این سیستم، از شبکه پرداخت و قدرت حاکمیتی شاپرک استفاده شده و عملاً بانکها در فرایند این تصمیمگیری، حذف شدهاند.
امیدواریم بانک مرکزی رویه ناصحیح، غیرعادلانه و مضری که در توسعه شبکه شتاب و شاپرک را تجربه کرده، در زمینه SHETAB VAS تکرار نکند و اجازه دهد مدل کسب و کار و شبکهای توزیع شده و کارآمد، مشابه با استانداردهای جهانی، شکل گیرد. همان طور که یک بار در اردیبهشت ماه ۹۸، بانک مرکزی ریسک ناشی از تقلب در رمزهای ایستا را بر دوش بانکها قرار داده است، به گواه همین مسوولیت، باید دست بانکها را در شیوه تأمین امنیت تراکنشهای مشتری، باز بگذارد.
البته شنیده ها حاکی از این است که این سرویس به صورت رایگان از سوی بانک مرکزی ارایه خواهد شد که البته بسیاری از کارشناسان نیز به دلیل هزینه بر بودن این سرویس از رایگان بودن آن نیز مطمئن نیستند.
[۱] One Time Password
[۲] Card Not Present
در این مقاله به نظر می رسد هدف فقط تخریب سامانه شتاب باشد. زیرا پسوردهای یک بار مصرف طبق همین طرح توسط بانک تولید خواهد شد.پس نقش بانکها دیده شده است. ولی پیشنهادی که در مقاله مستتر است و آن استفاده از رمز یکبار مصرف بعنوان جایگزین ccv2به نظرم پیشنهاد خوبی است