به گزارش پایگاه خبری«عصر اعتبار»، در حالی که بیش از نیمی از بانک‌ها هنوز راه حل خود برای ارائه رمزهای پویا را معرفی نکرده‌اند. توجه مردم و مشتریان بانک‌ها نیز از یک سو با تبلیغات رسانه‌ای به این موضوع جلب شده است و از سوی دیگر دچار سردرگمی برای استفاده از این سرویس جدید هستند. راه اندازی رمزهای یک بار مصرف برای ارتقای سطح امنیت تراکنش‌های بانکی از سوی بانک مرکزی به بانک‌ها تکلیف شده است. ولی آیا این روش در سایر سیستم‌های پرداخت جهان مرسوم است؟ آیا بانک‌های ما روش صحیحی برای پیاده‌سازی امنیت تراکنش‌ها اتخاذ کرده‌اند؟ هزینه تامین این سطح از امنیت چه مقدار خواهد بود؟ این‌ها سوالاتی است که در این یادداشت سعی شده پاسخی برای آن ارائه شود.
چرا رمزهای یک بار مصرف؟
رمزهای پویا یا به عبارت دقیق‌تر رمزهای یک بار مصرف (OTP ) گذرواژه‌هایی هستند که در هر بار اتصال کاربر برای انجام یک عملیات تراکنشی، مانند افتتاح حساب کاربری، تراکنش مالی و غیره تولید و به مدت معلومی دارای اعتبار هستند. رمز یکبار مصرف برای ایمن سازی دسترسی کاربران به سیستم‌های الکترونیکی ارائه شده که در آن از قابلیت‌های رمزنگاری برای تولید رمز تصادفی یک بار مصرف استفاده می‌شود. مهمترین مزیت استفاده از OTP و یا رمز یک بار مصرف این است، که سرقت اطلاعات با دانستن رمز عبور غیر ممکن می‌گردد. آشنایی کاربران ایرانی با رمزهای یک بار مصرف به صورت گسترده در نصب اپلیکیشن‌های پیام رسان صورت گرفت.
وقتی که اپلیکیشن برای ورود کاربر از وی شماره تلفن و یا آدرس ایمیل درخواست کرده و یک کد عبور چهار یا پنج رقمی برای کاربر ارسال می‌کند تا بدین صورت احراز هویت تکمیل شود. یکی از کاربردهای مهم این تکنولوژی، ایمن سازی تراکنش‌های بانکی، مخصوصا تراکنش‌های بستر اینترنت و درگاه‌های پرداخت است. آمارهای منتشر شده حاکی از حجم عظیم برداشت‌های غیر مجاز و مجرمانه از حساب کاربران شبکه بانکی است. به طوری که رییس پلیس فتا در سال 95 اعلام کرد: "بیش از 34 درصد  پرونده های متشکله از بدو تاسیس پلیس فتا تاکنون مربوط به برداشت‌های بانکی است که برخی از این پرونده‌ها تا 2500 نفر مالباخته ( تنها در یک پرونده )داشته‌اند و این آمار بالای تشکیل پرونده، نشان از ضرورت حساس شدن بانک‌ها به افزایش سطح استانداردهای امنیتی و ارتقاء سطح تعامل و همکاری با پلیس فتا را دارد.
در این راستا همچنین افزایش ضریب دقت مردم در حفظ اطلاعات بانکی خود نیز مورد تاکید است. در همین جهت و با توجه به وظایف بانک مرکزی بر تنظیم مقررات حوزه امنیت تراکنش‌های بانکی، این بانک بخشنامه " الزامات رمزهای پویا بر تراکنش‌های مبتنی بر کارت" را منتشر و به بانک‌ها و موسسات مالی کشور ابلاغ کرد. در این بخشنامه که به کمک شرکت کاشف تهیه شده است، زمان بندی و مراحل مختلف اجرا به بانک‌ها تکلیف شده است. هم چنین در پیوست این بخشنامه جزییات و الزامات فنی به بانک‌ها و صادرکنندگان کارت ابلاغ شده است. در این یادداشت زوایای مختلف این ابلاغیه مورد بررسی قرار گرفته است.
حجم و ابعاد تراکنش های OTP
ایران کشوری با 85 میلیون جمعیت است که کمی بیش از 30 درصد آن بین 15 تا 60 سال سن دارند. سرویس بانکداری و پرداخت الکترونیک برای این جامعه به گونه‌ای گسترش یافته که شبکه ملی شتاب به یکی از بزرگترین شبکه‌های ملی بانکداری الکترونیک در غرب آسیا و شمال آفریقا تبدیل شده است. این شبکه شامل 34 سوییچ بانکی، 55 هزار خودپرداز، بیش از 7 میلیون دستگاه کارتخوان بانکی است. حدود 400 میلیون کارت در کشور صادر شده است و آمارها نشان دهنده فعال بودن 90 میلیون کارت در ایران است. حجم تراکنش‌های الکترونیکی در شبکه شتاب حدود 40 میلیارد در سال 97 بوده است که 21 میلیارد تراکنش به پرداخت الکترونیک اختصاص دارد. یعنی هر ایرانی بالغ به طور متوسط سالانه بیش از 820 تراکنش پرداخت انجام می‌دهد. این آمار مربوط به سال 97 است و تعداد تراکنش‌ها سالانه بین 25 الی 30 درصد رشد با خود به همراه دارد. حجم تراکنش‌های پرداخت الکترونیک از لحاظ مبلغ نیز قابل توجه است و به 2500 هزار میلیارد تومان در سال می‌رسد که حتی بیش از حجم نقدینگی کل کشور است. تراکنش‌هایی که بر بستر درگاه‌های امنی مانند کارتخوان و خودپرداز انجام می‌شوند 2-عاملی هستند. یعنی برای انجام تراکنش داشتن 2 فاکتور شماره کارت و رمز اول کافی است. البته غیر از رمز اول مابقی اطلاعات تراکنش، مانند نام و نام خانوادگی، شماره کارت، CVV2 در قسمت مگنت کارت‌ها ذخیره شده که دستگاه پذیرنده اطلاعات را از آن واکشی می‌کند. البته باید اذعان کرد که تکنولوژی کارت‌های مغناطیسی از امنیت کافی برخوردار نیست و یک نوع از تقلب که در ایران شاهدش هستیم، سرقت اطلاعات ضبط شده در مگنت کارت‌ها است. در تراکنش‌هایی که اصطلاحا CNP   نام دارند، 4 فاکتور برای انجام تراکنش لازم است که شامل شماره کارت، رمز دوم (4 تا 8 رقم)، CVV2 و تاریخ انقضای کارت است. از بین این 4 پارامتر، تنها پارامتری که روی کارت حک نشده و تنها در حافظه مشتری ذخیره شده است، رمز دوم کارت است. منشا بسیاری از سرقت‌ها و سو استفاده‌ها، ناشی از لو رفتن رمز دوم کارت مشتریان است. بنابراین چنانچه در تراکنش‌های CNP بتوان رمز دوم را به صورت OTP تولید کرد، امنیت این نوع تراکنش ها تا حد قابل توجهی افزایش می‌یابد. آمارهای منتشر شده در گزارش اقتصادی شرکت شاپرک نشان می‌دهد که در سال 97، حدود 6 درصد از تراکنش‌ها بر بستر اینترنت و 6 درصد بر بستر موبایل انجام شده است. بنابراین به صورت بالقوه 12درصد از تراکنش‌های شبکه پرداخت یعنی 2.5 میلیارد تراکنش سالانه که بدون حضور کارت و با 4 فاکتور انجام شده‌اند را می‌توان با ابزار OTP ایمن کرد.

بانک مرکزی و رمز دوم
بانک مرکزی به بانک‌ها تا ابتدای خرداد مهلت داده است که زیرساخت‌های لازم برای تولید و ارائه رمزهای دوم پویا را به مشتریان خود ارائه دهند. برای ارائه این خدمت ابهاماتی مطرح بود که مهم‌ترین آن هزینه اجرای طرح و امکان اخذ کارمزد از مشتریان برای ایجاد این خدمت مطرح بود. تا جایی که برخی از بانک‌ها از عددهایی مانند 20 تومان به ازای هر رمزدوم پویا و یا اخذ کارمزد ماهانه مانند سرویس پیامک بانک را طرح کرده‌ بودند. ولی این شبهات با پاسخ رییس کل بانک مرکزی از بین رفت.
عبدالناصر همتی رییس کل بانک مرکزی نیز در میان کش و قوس مسایل سیاسی و ارزی نیز گوشه چشمی به فناوری اطلاعات داشته و در مورد رمزهای دوم یکبار مصرف اظهار نظر کرده است. رییس کل گفته تغییر رمزهای ایستا به پویا باید به گونه‌ای صورت گیرد که اولا به کسب و کارهای نوپا آسیبی وارد نشود و ثانیا هزینه‌ای متوجه مشتریان نشود. با این اظهارات تکلیف اخذ کارمزد برای رمزهای یک بار مصرف مشخص شد.
معاون فناوری‌های نوین بانک مرکزی نیز برای رفع هرگونه شبهه‌ای در تاریخ 21 اردیبهشت 98 طی ابلاغیه‌ای شامل 6 بند به شرح زیر، الزاماتی را در خصوص رمزهای دوم پویا عنوان کرد:
1- به منظور حمایت از کسب و کارهای نوپا و نیز تسهیل فرایند پرداخت غیر حضوری قبوض، بانک‌ها می‌توانند با قبول مسئولیت هرگونه سوء استفاده از مسایل امنیتی و جبران خسارات احتمالی وارد شده به مشتریان، برای تراکنش‌های کمتر از پنج میلیون ریال در روز و همچنین تراکنش‌هایی که ذینفع آن دستگاه‌های عمومی–نظیرصادرکنندگان قبض–باشند، استفاده از رمزهای ایستا را مجاز تلقی کنند.
2- از ابتدای خرداد ماه تامین امنیت مشتریان نظام بانکی در تراکنش‌های بدون حضور کارت بر عهده بانک‌ها بوده و هرگونه مسئولیت سوءاستفاده از حساب‌های مشتریان به دلیل آسیب‌پذیری‌های امنیتی در سرویس‌های بانکی مستقیما به عهده بانک است و در این موارد تایید مرجع قضایی برای جبران خسارت مشتریان کفایت می‌کند.
3- جایگزینی رمزهای دوم پویا به جای رمزهای دوم ایستا به عنوان یکی از برنامه‌های ارتقای سطح امنیتی نظام بانکی مطرح بوده و با توجه به اینکه «امنیت»، بخش لاینفک هر خدمتی است، نباید هیچ هزینه‌ای از دارندگان کارت و مشتریان بانکی اخذ شود.
4- در صورتی که بانک بتواند راه حل مطمئن دیگری را، که با تایید بانک مرکزی متضمن تایید هویت قوی مشتری پیش از برداشت از حساب مشتری باشد را اجرایی کند، می‌تواند از این راهکار به عنوان جایگزین رمز پویا استفاده کند.
5- هرگونه فرآیند تامین امنیت پرداخت‌های بدون حضور کارت باید با انجام هزینه‌های منطقی و معقول و مطابقِ قیمت تمام شده فنی در آن بانک به صورت یک زیرساخت دایمی صورت گرفته و صرفه و صلاح بانک به طور کامل در آن مد نظر قرار گیرد.
6- به منظور پشتیبانی حداکثری از مشتریان ضرورت دارد امکانات ارائه رمز محدود به استفاده از برنامه‌های کاربردی گوشی‌های هوشمند نشده و ارائه آن از طریق سایر ابزارها نظیر پیامک، پیام‌رسان‌های داخلی مجاز و نظایر آن برای مشتریان بانک‌ها نیز حسب تشخیص بانک فعال شود.
می‌دانیم که نسبت درآمد‌های غیر مشاع بانک‌ها به کل درآمدهایشان بسیار پایین است. درآمدهای مشاع نیز در عمل روی نرخ بهره و در نهایت تورم تاثیر می‌گذارد. در دنیا نیز بانک‌ها عمده درآمد خود را از کارمزد خدمات حصول می‌کنند و بانک‌های ایرانی سالهاست که تاکید زیادی بر کسب درآمدهای کارمزدی و غیرمشاع دارند. در این شرایط چرا رییس کل بانک مرکزی و معاونت فناوری اطلاعات آن ارائه خدمتی جدید را رایگان اعلام می‌کنند؟ به نظر می‌رسد که مدیران فعلی بانک مرکزی نیز مانند مدیران قبلی آن، برای دریافت کارمزد از مردم و توسعه منابع درآمدی غیرمشاع بانک‌ها با ترس از اعتراض مشتریان مواجه‌اند.
به همین دلیل، خدمتی جدید که به راحتی می‌تواند محل درآمد برای سیستم بانکی باشد را به هزینه برای بانک‌ها تبدیل کرده است. هزینه‌ای که وقتی مردم عادت به پرداخت آن نکنند، بعدها خارج کردن آن از حالت رایگان بسیار دشوار خواهد بود.
هزینه اجرای این طرح چقدر است؟
در دنیا، رمزهای پویا می‌تواند بر بستر کارت، پیامک، ایمیل و یا اپلیکیشن موبایل تولید شود. البته لازم به ذکر است که چیزی به عنوان رمز دوم در سیستم‌های پرداخت بین المللی وجود ندارد. در واقع آن چیزی که به صورت پویا تولید می‌شود، کد CVV2 یک بار مصرف است نه رمز! زیرا رمز اساسا باید توسط مشتری محفوظ مانده و یا امکان تغییر آن وجود داشته باشد و صدور رمز توسط یک سامانه و ثابت بودن CVV2 کارت‌ها از ابداعات سیستم بانکی ایران است! فراگیرترین روش در بین مردم استفاده از پیامک و همچنین تولید و نمایش رمز در اپلیکیشن موبایل است. با توجه به سهم 12 درصدی تراکنش‌های CNP، حدودا 2 میلیارد تراکنش نیاز به ارسال پیامک خواهند داشت. البته این تعداد پیامک در حال حاضر نیز بازار قابل اعتنایی برای اپراتورهای موبایل است. از طرف دیگر با توجه به جنجال‌های پیش آمده در سال های گذشته پیرامون هزینه ارسال پیامک‌ها، باید دید بانک ها به چه صورت می‌توانند این هزینه را از مشتری اخذ کنند. در هر صورت، روش ارسال OTP بر بستر پیامک ابعاد کسب و کاری مختلفی دارد که از نتایج این بخشنامه است.
در ابلاغیه اخیر بانک مرکزی اعلام شده در صورتی که بانک‌ها می‌توانند با قبول مسئولیت هرگونه سوء استفاده از مسایل امنیتی و جبران خسارات احتمالی وارد شده به مشتریان، برای تراکنش‌های کمتر از پنج میلیون ریال در روز استفاده از رمزهای ایستا را مجاز تلقی کنند. آمارها نشان می‌دهد که تنها 3درصد از تراکنش‌های پرداخت مبلغی بالاتر از 500 هزار تومان دارند. یعنی حدودا 75 میلیون تراکنش در سال ملزم به استفاده از رمز دوم یک بار مصرف هستند. نکته اصلی این است که ریسک مابقی تراکنش‌ها بر عهده بانک‌ها گذاشته شده است و ریسک معنا و ارتباط مستقیمی با هزینه دارد! ابتدا باید بررسی کرد که برای تعیین کف 500 هزار تومان، چه کار کارشناسی انجام شده است؟ در صورتی که رمز دوم ایستای یک فرد لو برود، شخص سارق امکان آن را دارد که 499 هزار تومان از حساب لو رفته، برداشت کند! آیا این عدد در بانک مرکزی توجیه و دلیل کارشناسانه‌ای داشته است؟ سوال دیگر آن است که چرا هزینه امنیت برای تراکنش‌های کمتر از 500 هزار تومان باید بر عهده بانک قرار گیرد؟ اساسا مکانیزم دقیقی برای حل و فصل این مساله از طرف بانک مرکزی مشخص نشده است. آیا این عدد کف 500 هزار تومان به مشتری اجازه می‌دهد که رمز دوم ایستا و پویا را در کنار هم داشته باشد؟ آیا در تراکنش‌های کمتر از 500 هزار تومان مشتری حق انتخاب رمز ایستا را دارد؟ یا اگر بانک نتواند مسوولیت را بپذیرد، مشتری را مجبور به استفاده از رمز پویا می‌کند؟ و یا آنکه بانک‌ها خود باید تحلیل هزینه-فایده بین مخارج تولید و ارسال رمز دوم برای مشتریان از یک سو و هزینه ریسک لو رفتن رمز ایستا از سوی دیگر را انجام داده و هر بانک بنا به صلاحدید خود در این مورد تصمیم بگیرد.
هزینه‌هایی که اجرای این طرح دارد شامل چند ردیف خواهد بود: نخست هزینه تغییر در زیرساخت‌های سوییچ کارت و سامانه‌های متمرکز (corebanking) بانک‌هاست به نحوی که بتوانند دربازه زمانی کوتاهی در یک سامانه یکپارچه رمزدوم مورد درخواست را تولید کرده و پس از انجام تراکنش، رمز وارد شده توسط مشتری را با رمز صادر شده تطبیق دهند. در این مورد برآورد دقیقی نمی‌توان داشت ولی به نظر می‌رسد صورتحساب شرکت‌های پیمانکار برای بانک‌ها میلیاردی باشد. ثانیا بانک‌ها می‌بایست اپلیکیشن رمزساز را تولید کنند و یا این ماژول نرم‌افزاری را در اپلیکیشن‌های موجود خود بگنجانند. با توجه به این که حداقل 90 تا 100 میلیون کارت فعال در کشور وجود دارد، ارائه اپلیکیشن برای این حجم از کاربر نه تنها ارزان نیست بلکه استفاده از مسیرهای دیگری همچون ارسال پیامک هزینه‌های دیگری به بانک ها تحمیل می‌کند. حال باید به این موضوع فکر کرد که کل حجم خساراتی که ناشی از لو رفتن رمز دوم ایستا به با بانک‌ها وارد می‌شود قابل مقایسه با این هزینه‌ها است یا خیر؟
بانک‌ها چه اقداماتی کرده‌اند؟
عملکرد بانک‌ها در این زمینه متفاوت بوده است. بانک‌های بزرگ به دلیل تعداد کارت صادر شده و حجم تراکنش‌هایشان، زودتر از بقیه نسبت به تغییرات زیرساختی خود اقدام کردند. آمارها نشان می‌دهد که بیش از 50درصد تراکنش‌ها مربوط به 3 بانک بزرگ کشور است. بنابراین لازم است بانک‌های بزرگ ابتدا پوشش کامل را برای کارت‌های خود فراهم آورند. البته با مشاهده دقیق نحوه پیاده سازی به این نتیجه می‌رسیم که هر بانک مسیر و روش خود را طی کرده است. مثلا طول رمز دوم پویا در اپلیکیشن‌هایی که ارائه شده از 6 تا 8 کاراکتر متفاوت است. یا زمان معتبر بودن رمز نیز در برخی از اپلیکیشن‌ها 30 ثانیه و در برخی 60 ثانیه است و بعد از این زمان رمز دیگری تولید می‌شود.
مشتری نیز برای فعالسازی اپلیکیشن خود باید به شعب بانک مراجعه کرده و ضمن احراز هویت، کد فعالسازی را دریافت کند. البته نکته جالب اینجاست که در یک بانک، این احراز هویت به صورت چهره به چهره صورت نمی‌گیرد و مشتری با مراجعه به خودپرداز بانک خود و ارائه رمز اول کارت، می‌تواند کد فعالسازی رادریافت کند که همه این مسایل نشان دهنده چندگانگی در نحوه پیاده سازی توسط بانک‌ها است.

ادامه مسیر ابهام آلود
بنابراین اگر بخواهیم در جمع بندی این یادداشت، از نقطه نظر کسب و کار بانک‌ها به مساله رمز دوم یک بار مصرف بنگریم، با توجه به این که تمام هزینه و ریسک آن بر عهده بانک‌های کشور قرار گرفته است، سوالات زیادی بی پاسخ می‌ماند. مثلا چرا بانک مرکزی که سال‌هاست از سامانه‌های مانا (مراکز ارائه نشانه‌های الکترونیکی) و سهند (سامانه هدایت نشانه‌های دیجیتال) صحبت می‌کند، را برای اجرای این پروژه از آن‌ها استفاده نکرده است؟
البته سال گذشته شرکت خدمات انفورماتیک طراحی و تولید رمز اپلیکیشنی زمان دار – SOTP با نام «راز» را اجرایی کرد و اینکه با وجود آمادگی این شرکت برای ارایه خدمات یکپارچه از طریق این اپلیکیشن به تمامی بانک‌ها این پروژه پیاده‌سازی نشد سوالی است که مدیران بانک مرکزی باید به آن پاسخ دهند.
چرا رمزهای دوم پویا در یک سامانه متمرکز تولید نمی‌شوند تا حداقل مردم مجبور نباشند برای هر کدام از کارت‌های خود اپلیکیشن رمزساز مجزایی نصب کنند؟ از طرف دیگر باید اذعان کرد که جای بسی تعجب است که اخیرا وزارت اقتصاد و دارایی سندی در راستای توسعه بانکداری دیجیتال برای بانک‌های کشور ارائه و ابلاغ کرده است. وقتی دلیل چنین دخالتی را از وزارت اقتصاد جویا می‌شویم، در پاسخ می‌شنویم که بانکداری باید به سمت گسترش درآمدهای غیرمشاع و کارمزدی حرکت کند. با این وجود چرا رییس کل بانک مرکزی و معاون فناری اطلاعات آن بر خلاف این ایده در وزارت اقتصاد و دارایی عمل می‌کنند؟ چرا در عمل شاهد آن هستیم که ارائه رمز دوم یک بار مصرف که یک سرویس امنیتی است را برای مردم رایگان اعلام کرده و بانک‌ها را از محل درآمد آن محروم می‌کنند؟
در این بین، برخی از شنیده‌ها حاکی از آن است که ظاهرا کانال USSD هم یکی از کانال‌هایی است که  برای درخواست و ارسال رمز دوم یک بار مصرف مورد استفاده قرار می‌گیرد. هرچند پیاده سازی بر بستر USSD بسیار ساده است و تنها هزینه اجاره آن بر عهده بانک خواهد بود ولی با توجه آن که کانال USSD از منظر بانک مرکزی امنیت کافی ندارد، آیا ارسال رمزی که 60 ثانیه معتبر است بر بستر آن، منطقی خواهد بود؟
ضمن آنکه این تصمیم اساسا مخالف با عدالت محوری است به این تعبیر که هر شخصی که تعداد کارت بیش‌تر و تراکنش‌های اینترنتی بیش‌تری دارد، از این امکانات رایگان بیش‌تر بهره می‌برد در حالی که هزینه این خدمت را بانک‌ها از محل درآمدهای مشاع و فشار بر همه مردم تامین می‌کنند.

عبدالله افتاده