ریشه یابی دلایل تقلب در خانه پرداخت/چهار دلیل پایین بودن آمار کلاهبرداری در شبکه پرداخت
میزگرد بررسی ریشه های تخلفاتی که در درون شرکت های پرداخت رخ می دهد
عسکری انارکی: ابتدا باید ببینیم که ما حداقل الزامات را رعایت میکنیم یا نه و این از خوششانسی ماست و نه از بیاطلاعی که هنوز اتفاق خاصی نیفتاده است./آزادی ابد: آمار ما نگرانکننده نیست اما همین آمار کم هم باید رسیدگی شود، بههرحال تخلف رخ داده است./قهرمانی: ما در جایی درجه حساسیتمان خیلی زیاد است و در جایی دیگر خیلی کم. ما قابلیت مقایسه با اروپا را در هیچ حوزهای نداریم، باید ابتدا فرهنگسازی شود./محمودیان: تقلب صورت گرفته است اما پلیس آمار آنها را نمیدهد. شاپرک و بانکها و حراست آنها آمار نمیدهند قوه قضاییه آمار نمیدهد. پس یک نهاد ملی باید تمام این مستندات را بگیرد و تجمیع کند صرفنظر از اینکه در محیطی که ما در آن زندگی میکنیم این اجازه انتشار را به ما میدهد یا نه. ابتدا باد اینها تجمیع شود. ممکن است تا سالها اجازه نداشته باشیم./
همچنین حاضرین معتقد هستند تخلفات باید به صورت سالانه اعلام شود. همچنین ریشه اغلب تخلفات، فرهنگ است. در نتیجه باید روی فرهنگ و اخلاق کار بیشتری شود.
اگر مروری داشته باشیم میبینیم که اکثر تخلفات منشأ داخلی داشتهاند، هدف ما هم ریشهیابی این مساله است که چرا بیشتر تخلفات در داخل اتفاق افتاده است. محور بحث ما هم به این شکل است که مثلا در فلان شرکت ریشههای این امر به چه صورت بوده است؟ درواقع یک مرور خیلی کوتاه بر شرکتها داشته باشیم. حوزه تخلف یا سرویسهای بانکی بحث گستردهای است. ما درحال حاضر در بخش پرداختهای حوزه خرید تمرکز داریم. امروزه پرداختها بیشتر با کارت صورت میگیرد، یعنی پایه، کارت است. پس محدوده ما در رابطه با تخلف یا سوءاستفاده تراکنشهای مبتنی بر کارت است.
محمدرضا محمودیان: اینکه ما در رابطه با تخلف در زمینه کار ت در چه وضعیتی هستیم، زمانی در مورد این مساله بحث میکنیم که دارای اهمیت باشد. باید زمانی در مورد تقلب و سوء استفاده بحث شود که مثلا ما معیاری برای سنجش داشته باشیم و روند فراتر از معیار ما رفته باشد، به تعبیر دیگر زمانی که روند تقلبها از حالت طبیعی خارج شود ما باید نسبت به موضوع حساس شویم. اما آیا ما در حال حاضر در کشور آمار و ارقامی داریم که با آن مقایسه کنیم؟ طبعا چنین آماری منتشر نشده است. در نتیجه وقتی چنین سنجهای وجود ندارد گفتمانی از این جنس فقط تا حدی میتواند نشان دهد که وضعیت ما در حد استاندارد مطلوب است یا نه؟ و یا بستری شود مبنی بر اینکه آمار تقلبها تا چه حد منتشر شود. لذا قبل از یک گفتمان جدی در خصوص امکان امنیت، بهتر است بررسی کنیم که در کجای مسیر قرار داریم و پازل امنیت به چه شکل است و خوب است که در مسیر قرار داشته باشد.
سعید عسکری انارکی: یکسری استاندارها در خصوص امنیت مطرح است که میتوانیم بهعنوان استاندارد مد نظر قرار دهیم. این استانداردها از سایت گرفته تا صدور کارت و رساندن آن به دست مشتری و تا حوزه پرداخت غیر حضوری وجود دارد. در عین حال بحث امنیت کارت از دو منظر قابل بحث است: یا اینکه مردم ما نجیب هستند و یا در جریان نیستند و اطلاع ندارند. به تعبیردیگر در حالی که ما رفتار درست و برخی استانداردهای فنی و امنیتی راعایت نمیکنیم، اما باز هم میزان تقلبها چندان زیاد نیست. ابتدا باید ببینیم که ما حداقل الزامات را رعایت میکنیم یا نه. به نظر میرسد این از خوششانسی ماست و یا از کماطلاعی یا نجابت طرفهای دیگر است که هنوز اتفاق خاصی نیافتاده است. ما در واقع اکثر استانداردها را یارعایت نمیکنیم یا اگر هم به ظاهر رعایت کنیم پس از مدتی توسط عوامل اجرایی کمرنگ میشود، این باید آسیبشناسی شود یعنی باید از یک منظر دیگری نیز به آن نگاه کرد.
درحال حاضر وضعیت ما در رابطه با اهمیت تقلب و امنیت چگونه است و در چه جایگاهی قرار داریم؟
آزادی: در شرکت شاپرک به دلیل ماهیت و ماموریت نظارتی و رگولاتوری، ما مسایل شرکتهای پرداختها را رصد و پایش میکنیم، آنچه ما میبینیم و با دنیا مقایسه میکنیم، اتفاقاتی که در ایران میافتد خیلی زیاد نیست. در ۴ الی ۵ سال گذشته، اتفاقات امنیتی مهمی که در شبکه پرداخت رخ داده است، در حدود چهار یا پنج مورد بیشتر نیست و در مقایسه با آمار جهانی اولا، این موارد خیلی کم بوده است و ثانیا موارد ناشی از درون شبکه پرداخت هم نسبت پایینتری از متوسط جهانی داشته است. طبق آمار جهانی که مراجعی مانند فورستر(Forester) در سال ۲۰۱۵ ارائه دادهاند، در دنیا ۵۲٪ اتفاقات امنیتی، داخلی هستند در حالی که ما در شبکه پرداخت کشورمان چنین وضعی نداریم. بنابراین در ایران علاوه بر اینکه تعداد این اتفاقات خیلی زیاد نیست، نسبت درصد اتفاقات داخلی هم نسبت به آمار جهانی پایینتر است. به هرحال آمار وضعیت ما، نسبت به آمار جهانی، نگرانکننده نیست. البته این صحبت من به این معنی نیست که نباید مراقبت شود. همین آمار پایینِ اتفاقات امنیتی هم باید رسیدگی شود و به هرحال تخلف رخ داده است.
دلایل مختلفی برای این آمار پایین اتفاقات امنیتی در حوزه پرداخت درکشور میتوان ارائه کرد. من بخشی از آن را ناشی از نجابت مردم یا دانش کم ضد امنیتی در کشور میدانم. اما دلیل مهمتر این است که شرکتهای پرداخت افرادی را جذب و استخدام میکنند که نسبت به متوسط جهانی، افراد از ذکاوت و دانش تخصصی و تعهد کاری مطلوبی برخودارند. به نظر من در ایران چنین فرآیندی برای جذب افراد نخبه و شایسته انجام میشود و مراقبت و حساسیت مطلوبی در این زمینه وجود دارد. مثلا در مسئولیتها و جایگاههای حساس، فرد باید معرف داشته باشد. برای مثال، در بخش عملیات شرکت پرداخت به فردی که تازه استخدام شده، مسئولیتی داده نمیشود، بلکه ابتدا باید در بخش تحقیق و توسعه کار کند تا به شناخت و درک جامعی از کار و مسئولیت برسد و اخلاق حرفهای و کارکرد وی مورد تایید قرار گیرد. تازه بعد از این مراحل، به وی اجازه کار با دادههای واقعی داده میشود.
به نظر من دلیل دیگر پایین بودن مشکلات امنیتی شبکه پرداخت، ناشی از زحمات و تلاشهای انجام شده برای ارتقای امنیت شبکه پرداخت در چند سال گذشته بوده است. در واقع در چند سال گذشته، کارهای زیادی برای ارتقاء وضعیت امنیت شبکه پرداخت صورت گرفته است که البته به دلیل امنیتی بودن موضوع، این کارها خیلی رسانهای نشده است. ما در سال ۱۳۹۲ بر مبنای استاندارد PCI-DSS، یعنی استانداردی که تقریبا همه صنایع پرداخت دنیا آن راپذیرفتهاند، یک ارزیابی اولیه از شبکه پرداخت انجام دادیم تا ببینیم در کجای این استاندارد قرار داریم. کل سیستم پرداخت و تمام شرکتهای پرداخت را ارزیابی کردیم و به صورت متوسط، حدود 36٪، میانگین انطباق شبکه پرداخت کشور با استاندارد PCI-DSS بود. این ارزیابی، مربوط به زمان قبل از ابلاغ الزامات امنیتی شاپرک و نظارت بر اجرای آن بود. در آن زمان ما این الزامات را فارسیسازی و تدوین کرده و ابلاغ کردیم. برای اجرا در شرکتهای پرداخت برنامهریزی کردیم و آموزش گذاشتیم و شرکتهای پرداخت، خود به دنبالش رفتند و اهمیت آن درک شد. سازمان امنیت در شرکتهای پرداخت شکل گرفت و پروژه انطباق با استاندارد توسط شرکتها اجرا شد. در انتهای این پروژه، ما رسیدیم به حدود ۹۷ درصد متوسط انطباق با استاندارد PCI-DSS. پس به لحاظ انطباق استاندارد فنی در حال حاضر در وضعیت خوبی قرار داریم و اقدامات زیادی صورت گرفته است. البته اجرای هیچ کدام از اینها توسط شاپرک انجام نشده است، بلکه خود شرکتهای psp زحمت اصلی را کشیدند و هزینه سنگینی هم روی آن صرف کردند. هر کدام از آنها چند میلیارد تومان را صرف هزینه سختافزار، نرمافزار، ایجاد سازمان امنیت، پرسنل و جذب نیرو، رویهها و بعد از آن فرآیندها کردند. در طول اجرای این پروژه، انطباق این موارد را هم هر سه ماه یک بار شاپرک بررسی کرده و عدم انطباقها را به شرکتها گزارش کرد تا با اجرای رویه بهبود، مشکلات برطرف شوند. این پروژه حدود دوسال طول کشید تا به این نقطه برسد. یعنی یک کار مستمر شکل گرفت تا به اینجا برسیم و حفظ این سطح از انطباق کماکان ادامه دارد. خود موسسه PCI برای برای ویزا و مسترکارت ۹۵٪ انطباق را قابل قبول میداند. یعنی ۵٪ خطا را میپذیرد و اگر انطباق سازمانی ۹۵٪ به بالا باشد، میتواند گواهینامه بگیرد.
یعنی اگر نماینده ویزا یا خود ویزا برای اعطای گواهینامه، به کشور ما سفر کنند، به نظر شما به این شرکتها گواهینامه میدهند یا نه؟
آزادی ابد: در این حوزه اگر اکنون ممیز رسمی بیاید، قطعا این اتفاق میافتد. چون سال گذشته با یک ممیز رسمی اروپایی جلسه داشتیم و وقتی آمار انطباق شرکتهای پرداخت با استانداردها را دید، کاملا آن را تایید کرد و حتی به شوخی گفت که «من اگر در ایران بودم هیچ وقت دوست نداشتم شرکت پرداخت باشم». به این خاطر که ممیزی رسمی PCI، هر یک سال یک بار انجام میشود ولی ما حداقل هر چهار ماه یک بار انجام میدهیم و ممیزی PCI، هر بار 2 نفر روز طول میکشد و ما هر بار، 10 نفر روز هر شرکت را ممیزی میکنیم. البته ما از کاری که انجام میدهیم، دفاع میکنیم و دلیل آن هم این است که ما در ابتدا، با یک وضعیت نامشخص امنیتی روبهرو بودیم. به صورتی که شبکه در حال فعالیت بود، در حالی که ما اصلا نمیدانستیم وضعیت امنیتی چگونه است. ارزیابی اولیهای هم که در سال 92 انجام شد، خیلی وضعیت مناسبی را نشان نمیداد. پس با یک فشار مضاعفی ساماندهی امنیتی را با همکاری کل شبکه پرداخت کشور انجام دادیم. در نهایت اگر بخواهم این موضوع را جمعبندی کنم، تصورم این نیست که لزوما به خاطر خوب بودن افراد است که ما مشکلات زیادی را نداریم. البته افرادی که در این بازار هستند، افرادی صالح و قابل اعتمادند و این افراد در امنیت شبکه پرداخت، نقش مستقیم داشتهاند.
بابک قهرمانی: بهواسطه ترجمه کتاب PCI که کار آن سال۱۳۸۹ تمام شد، خدا را شکر با حضور تیم جدیدی که وارد شاپرک شد در این قضیه تحولی را شاهد بودیم. دیدیم که بعد از سه سال یکی مخاطب استاندارد ماست و این خیلی برای ما جذابیت داشت. یعنی حداقل برای ما که سه سال پیش کاری را انجام دادیم و الان دیده شده خیلی خوب بود. درواقع به بیزینس آن کاملا بیخیال شده بودیم ولی یکی متولی این کار شده بود و داشت روی آن کار میکرد. تا آنجا که من میدانم PSPها تمایل به خرید، ساخت دیتاسنتر، پایش اطلاعات و کسب درآمد از آن اطلاعات به نفع خودشان هستند به سمت PCIA حرکت میکنند. منتها بحثی که در اینجا مطرح است تبعات اتفاقی که در اینجا رخ میدهد با اروپا قابل قیاس نیست. ما در یک جایی درجه حساسیتمان خیلی زیاد است و در جایی دیگر خیلی کم. ما قابلیت مقایسه با اروپا را در هیچ حوزهای نداریم، باید ابتدا فرهنگسازی شود. تبعات اتفاقات مالی برای ما خیلی سنگینتر از فردی است که در اروپاست که هر اتفاقی که برای وی بیفتد بیمه حمایتش میکند. مثلا اگر در اروپا شرکت ویزا یک میلیارد دلار از دست بدهد هم شرکت بیمه است و هم آن فرد. درحالیکه ما در ایران موسسات مالی و اعتباری داشتیم که ذخیره ندارد پول سپردهگذار را پس بدهد. درنتیجه من اینجا نگران سرمایه خودم هستم چون مشخص نیست چه بلایی سر سرمایه من میآید. برای مثال ما هر دو ماه یکبار میشنویم که بانک آینده مجوزش لغو شده است و تا لب پرتگاه میرود. از نظر استاندارد جهانی مشکلی نداریم و در این سه، چهار سال اخیر پیشرفت زیادی داشتیم ولی همین اتفاقات کوچک تبعات خیلی بزرگی دارد و باید آسیبشناسی کنیم که چرا تبعات این اتفاقات کوچک در جامعه آنقدر زیاد است.
عسگری انارکی: اگر در ایران تخلفات و هک بانکها نسبت به استاندارد دنیا کمتر است دلیل آن، سیستم امنیتی ما در بانکهاست یا سارقین، اهداف بهتری از بانک سراغ دارند؟ صحبت من این است که هنوز در فرهنگ ما یکسری اخلاقیات و ترسها وجود دارد که مانع تخلف میشود. هرچند در این زمینه هم کارهایی صورت گرفته است. من در حال حاضر مطلع هستم که برخی شرکتهای psp که حجم کار آنها هم بالاست اچاسام ندارند. آیا افرادی که نظارت دارند توجه نمیکنند یا نه، آنها را بهگونهای قانع میکنند و یا اصلا نسبت به اهمیت آن آگاهی ندارند؟ یکی از مشکلات این حوزه این است که رد افراد گم میشود. هیچ بانک اطلاعاتی مدونی در این زمینه وجود ندارد. حداقل تاییدیه صلاحیت و رضایتنامه از محل کار قبلی باید اخذ گردد.
محمودیان: ما قبل از ورود به این مباحث باید ابتدا ببینیم که چه اندازه ریسک وجود داشته است. چقدر احتمال خطر و تهدید وجود داشته است. حالا این تهدید یا بالقوه است یا بالفعل شده است. ما معمولا بهواسطه روحیات ایرانی مختص به خودمان، کمتر روی تهدیدات بالقوه کار میکنیم و این یک خصوصیت خاص مردم این کشور است و نمیتوانیم آن را ندیده بگیریم چراکه بههرحال یکجا خوب است و در جایی دیگر بالعکس. ما در یک بستری زندگی میکنیم که همه مولفهها را باید ببینیم. بعد از آن مشاهده کنیم که این تعهدات چه اندازه در این بستر وجود دارد و در مقابل آن چه اقداماتی باید صورت گیرد. ما به این نتیجه رسیدیم که در کشورمان آمار دقیقی وجود ندارد. ابتدا باید یک شاخص یا اندازه داشته باشیم. بهعنوان کسی که در این حوزه غور میکنیم و اندیشه و دغدغه آن را داریم چیزی بهعنوان آمار و ارقام در این حوزه در کشور در دسترس نداریم. نه اینکه آمار وجود نداشته باشد بلکه یک دیتابیس وجود ندارد که افراد بتوانند هر زمان که نیاز بود به آن دسترسی پیدا کنند. منظور ما این است که یک آمار منسجم که برای کل کشور باشد، وجود ندارد. پس نتیجه آن این شد که ما آمار دقیق، شفاف و قابل دسترسی بهعنوان نظریهپرداز و محقق نداریم که اینها را با آمار جهانی در کنار هم قرار دهیم و ببینیم در چه وضعیتی قرار داریم. پس ما در یک بستر فرهنگی، سیاسی، اقتصادی، اجتماعی، رفتاری، فنی و. . . زندگی میکنیم که این تهدیدها اینجا معنی پیدا میکند. یعنی اگر تهدیدات زیاد شود ما شروع میکنیم یکسری پروتکلهای مقابله با تهدیدات ساختن، ولی اگر این تهدیدات همچنان کم باشد روال قبلی ادامه پیدا میکند، وقتی در جایی تهدیدات کم است حالا به هر علتی. پس اگر تخلفانی صورت گرفته است برای مثال پلیس یا شاپرک آماری انتشار نمیکند، بانکها به حراست خود آمار نمیدهند. پس یک نهاد ملی باید تمام این آمار را در اختیار بگیرد و مستند کند. صرفنظر از اینکه آیا این محیطی که ما در آن زندگی میکنیم به ما این اجازه را میدهد که این را منتشر کنیم یا نه. ولی بههرحال باید این تجمیع شود. ممکن است تا سالها فرهنگ ما اجازه ندهد مثل اروپا و آمریکا آن را داخل سایت قرار دهیم ولی این دلیل بر این نیست که تجمیع نشوند. به نظر من اگر روندی در زندگی و کار مردم در این زمینه ایجاد شود، باید منتشر شود.
به نظر شما در محیط ایران آیا باید تقلباتی که انجام شده آمار آن اعلام شود؟
محمودیان: تقلب صورت گرفته است اما پلیس آمار آنها را نمیدهد. شاپرک و بانکها و حراست آنها آمار نمیدهند قوه قضاییه آمار نمیدهد. پس یک نهاد ملی باید تمام این مستندات را بگیرد و تجمیع کند صرفنظر از اینکه در محیطی که ما در آن زندگی میکنیم این اجازه انتشار را به ما میدهد یا نه. ابتدا باد اینها تجمیع شود. ممکن است تا سالها اجازه نداشته باشیم مثل اروپا و آمریکا این اطلاعات را در داخل سایت قرار دهیم ولی این دلیل بر این نیست که اینها یک جا نباشد. پس اگر منتشر شد تازه ما قیاس میکنیم که در چه وضعیتی قرار داریم. به نظر من اگر اخلالی در روند زندگی مردم، اعتماد و کار آنها در این حوزه ایجاد شود باید منتشر شود.
آزادی ابد: ایشان یک نکته در مورد آمار فرمودند که صحیح است. اگر منظور، آمار تجمیع شده از کل نهادهای انتظامی، قضایی، بانکی، پرداخت، امنیتی و اطلاعاتی، و افراد و کاربران است، در حال حاضر چنین چیزی در کشور وجود ندارد. ولی من میتوانم بگویم که حداقل در حوزه شبکه پرداخت و حداقل در سه، چهار سال اخیر، این آمار وجود دارد. حتی فرآیندی برای ثبت آن وجود دارد که چه اتفاقی میافتد، تجربه آن چیست، به چه صورت جلوگیری شد و اینکه آیا ما به شرکت پرداخت دیگری هم اطلاع بدهیم که او هم مواظب باشد یا خیر. اما نکته دیگر اینکه یک شاخه از این بحث مستقیما به کشف تقلب و Fraud برمی گردد که اتفاقا بحث فراد یک بحث بسیار گستردهای است که در ایران، تا به این لحظه مغفول بوده است، کشف تقلب یک زنجیرهای از فعالیتها، سیستمهای مکانیزه و فرآیندهاست که در تمامی اجزای شبکه باید وجود داشته باشد. باید شبکههای ملی مثل شاپرک، شرکتهای پرداخت و بانکها، سیستم کشف تقلب داشته باشند تا بسیاری از مشکلات که شاید منجر به شکایت کسی نمیشود، اما حاکی از تقلب است، توسط این سیستم شناسایی شود. برای مثال اگر از حساب من یک ریال خارج شود و این کار Fraud باشد، شاید این مبلغ برای من بیاهمیت باشد. اما در یک جامعه آماری بزرگ، مثلا خروج یک ریال از حساب 20 میلیون نفر، که شاکی هم ندارد، یک تقلب است. در این زمینه، البته شاپرک در دامنه خودش اقدامات را شروع کرده و در حال حاضر روی کشف تقلب کار میکند و اگر این سامانه راهاندازی شود، ما میتوانیم بگوییم که تقریبا آمار ما در حوزه پرداخت دقیق شده است. چون کشورهایی مانند انگلیس که دوستان مثال زدند، این اطلاعات را در واقع از سیستمهای کشف تقلب خود استخراج میکند و منتظر نمیماند که فردی شکایت کند و پلیس به او گزارش دهد. البته مزیت دیگر سیستم کشف تقلب این است که جلوی یکسری از تقلبها را به صورت اتوماتیک میگیرد. در نهایت باید گفت که این آمارها و کنترلها در دنیا به صورت مکانیزه انجام میشوند. ما در بحث پایش مکانیزه در کشور واقعا ضعف داریم. نه فقط در حوزه پرداخت یا بانکی، بلکه در تمام صنایع، ما این مشکل را داریم. برای این موضوع باید یکسری مکانیزمها در کشور ایجاد شوند و افراد آموزش ببینند تا در نهایت ما بگوییم هم آمار دقیق داریم و هم جلوگیری مناسبی از تقلب میکنیم.
قهرمانی: ما اساسا در این ایران حافظه ملی نداشته و تمایلی به ثبت نداریم و شاید این به فرهنگ ما برگردد. رفتن به سمت اینکه آمارها را دربیاوریم و اطلاعات را تولید و منتشر کنیم به نظر من ناامنی عجیبی ایجاد میکند. یعنی منتشر کردن یکسری اطلاعات که اساسا طبقهبندی محسوب میشوند به سبکی که در انگلستان اتفاق میافتد اگر در ایران بخواهد صورت گیرد همین یکدست بودن فرهنگ که تا به حال باعث شده که قضیه با کمترین میزان آسیب جلو برود خدشه دار میکند چون ممکن است یک ناامنی عمومی ایجاد کند و این ناامنی عمومی باعث میشود که من کارت خود را دریافت نکنم. یعنی از ریشه با قضیه مشکل پیدا میکنم. به نظرم پلیسی کردن چالشهایی ایجاد خواهد کرد که به ناامنی اجتماعی تبدیل خواهد شد و یک بحران ایجاد میکند.
در آن سمت هم این اتفاق میافتد شما وقتی چیزی را منتشر میکنید کارشناسان تحلیل درستی ندارند. میشود برای مثال بعد از دوسال منتشر کنیم.
آزادی ابد: ما باید بلاخره بپذیریم که در ایران فرهنگ خاص خود را داریم و طبیعتا مشابه هیچ کشوری در دنیا نیستیم. برای فرهنگ و مدل خودمان باید فکر کنیم. تولید و انتشار عمومی این اطلاعات میتواند ناامنی ایجاد کند. ولی میشود این موضوع را صفر و صدی نکرد. مثلا کارشناسان یا افرادی که معتمد هستند و کار کارشناسانی در این موضوع انجام میدهند، این اطلاعات را داشته باشند. ولی این اطلاعاتی نیست که بشود به صورت عمومی آن را منتشر کرد. اتفاقا همین چیزی که گفتم، در حال حاضر تا حدودی در حال رخ دادن است. ما الان رابطه خوبی با پلیس فتا داریم. در واقع از تجربه پلیس استفاده میکنیم. بالاخره پلیس در طول سالیان، جرایم را شناسایی کرده، رفتار مجرمین را شناسایی کرده و با آن برخورد کرده است و الان بهعنوان معتمد صنعت پرداخت کشور به ما کمک میکند و اطلاعات و تجربههای مثبتی را برای تدوین استانداردها و قواعد بومی امنیتی اختیار شاپرک قرار میدهد. باید دقت شود که شاید هنوز از نظر فرهنگی، ما در کشور به آن نقطه نرسیدیم که انتشار این اطلاعات برای مردم واهمه ایجاد نکند. ممکن است این همه زحمتی که گذشتگان ما کشیدند تا از اسکناس به سمت پول الکترونیک حرکت کنیم، از بین برود و یکدفعه یک برگشت به عقب اتفاق بیافتد.
محمودیان: من موافق این موضوع نیستم. خیلی جاها که ممکن است یک اتفاقی رخ دهد شما ۹۹٪ را رها میکنید و به ۱٪ درصد میچسبید.
تمام اینها بستگی به محیطی دارد که ما در آن زندگی میکنیم. ما هم تجربیات موفق داریم و هم ناموفق. اگر ما یک نهاد وجیهالمله داشته باشیم و یا کمیته و کمیسیون، یک نهادی که وجود داشته باشد و خرد جمعی هم در آن حاکم باشد آن موقع میتوانند تصمیم بگیرند که انتشار این آمار خوب است یا بد. اگر خوب بود قبول کنید وگرنه که قبول نکنید. یعنی قضیه صفر و یک نباشد.
چه سطحی از اطلاعات هم مهم است. مثلا ممکن است در جایی ریز اطلاعات لازم باشد و در جایی دیگر حتی انتشارشیوههای آن تقلب هم لازم نباشد.
وقتی میخواهید که یک نفر را هوشیار کنید که از یک سوراخ گزیده نشود باید روش گزیده شدن را به او بگویید. بعد توضیح دهید که کارت تو به چه صورت است که اگر دست مردم باشد از آن کپی میکنند. حالا این اطلاعرسانی یک عده را مسلح میکند که این اتفاق برای آنها نیفتد و یک عده هم که میخواستند سوء استفاده کنند و راه آن را بلد نبودند آگاه میکند که شما هم میتوانید از این راه وارد شوید و ضربه بزنید. در سراسر دنیا این نهادی که من عرض کردم در حال فعالیت است. میتواند نهادی باشد دبیرخانه آن شاپرک باشد ولی از همه عناصر و مولف ملی دعوت کند. شورای امنیت کشور برای سامانه خرید و فروش اینترنتی این مرکز توسعه و تجارت را موظف کرده است که مکانیزمهایی را پیادهسازی کند. این نهادها در قالب نهاد اعتماد تبلور پیدا کرده است یعنی همه آن سازو کار نهایتا این لوگو شده است که بیاید وارد سایتشان شود. پشت آن فقط مرکز توسعه و تجارت نیست. دبیرخانه این مولفه، کار و مساله آنجاست، پلیس فتا، وزارت اطلاعات، جهاد کشاورزی، وزارت بهداشت و درمان هست و همه نهادهای دیگر موظف هستند اگر دعوت شدند مشارکت مسئولانه داشته باشند. پس در یکجا کار متمرکز است و نهاد موازی هم با جایی ساخته نشده است، اما باید وجود داشته باشد. شاپرک میتواند بهعنوان دبیرخانه اینجا باشد و همه نهادهایی که میتوانند کمک کنند و با آمار و اطلاعات دارند و یا به نوعی دارند در پیشگیری و یا مقابله کار میکنند اینها همه آنجا عضو شوند. بعد هم انتشار و یا عدم انتشار بستگی به شرایطی دارد که آن نهاد آنجا عقل جمعی تصمیم میگیرد.
بحث دیگری در امنیت وجود دارد و آن محاسبه ریسک است. در محاسبه ریسک اگر ریسک از یک عددی پایینتر شد نمیتوانید هیچ اقدام امنیتی برای آن انجام ندهید.
عسگری انارکی: بحث من بینابین است؛ باید بهطور تخصصی در این حوزه آمار منتشر شود و تمام آنها را تفکیک کرد.
محمودیان: ما در مدیریت ریسک یک ماتریسم داریم. بانک الف و ب هر دو از یک اپلیکیشن استفاده میکنند. یعنی شرکت پشتیبان نرمافزاری آنها یکی است. اینها میگویند در اینترنت بانک، شما میتوانید سقف روزانه نقل و انتقال خود را تعریف کنید. به نظر من ارزش در معرض ریسک برای هر کسی تعریف متفاوتی دارد. مثلا برای یک کارگر شریف که حقوق حداقلی میگیرد ارزش در معرض ریسک ممکن است ۵۰ هزار تومان باشد ولی برای فردی با چندین برابر آن ممکن است یک میلیون تومان باشد. به نظر من رفتار فردی جامعه در مقابله با خطر به میزان خطر بستگی دارد. الان این صحبتهای من از دیدگاه یک نظریهپرداز است ولی اگر در جایگاه حاکمیت قرار داشته باشم دیگر شرایط فرق میکند. در حوزه فردی من میگویم شما نمیتوانید چیزی را به مردم تحمیل کنید اگر خطر وجود ندارد پس نیست. ولی میتوانیم توصیه بکنیم.
عسگری انارکی: زمانی بانکها شروع کردند به اجاره دادن ایتیام که خود فرد پولگذاری کند و کارمزد شتابی آن با بانک تسهیم شود. برای مثال بانک شهر و یا پستبانک. یکی از صاحبان ATMاز یکی دو بانک دیگر دو هزار کارت به نام خودش گرفت و بعد اتصال به سوییچ بانکهای طرف قرارداد، افرادی را جهت ایجاد تراکنش صوری و در حجم بالا و بهصورت 24 ساعته استخدام کرد. میخواهم بگویم ظاهرا صدور کارت در این حجم منع قانونی ندارد. ظاهرا در این رابطه کسی هم مجازات نشد.
محمودیان: ما دو قانون داریم؛ یکی نوشته شده و دیگری نانوشته، به نظر من این فردی که شما مثال میزنید در واقع یک قانون نانوشته را نادیده گرفته است.
عسگری انارکی: به نظر من ما میتوانیم فرهنگ مردم را با سامانههای کاربردی صحیح هدایت کرده و تغییر دهیم، نه شعار بگوییم و با فرافکنی، دلیل مشکلات و شکستها را عدم فرهنگسازی بدانیم.
آزادی ابد: چنانچه بخواهیم از جایگاه حاکمیت بحث کنیم، حاکمیت باید حداکثر تلاش خودش را برای آموزش و امنسازی انجام دهد و حتی اگر لازم شد جریمه گذاشته شود. برای مثال در حال حاضر شرکتهای پرداخت کلی برنامه آموزشی دارند و مثلا به تمامپذیرندگان خود بروشور میدهند. خوب اینها در واقع به سطح جامعه آموزش داده میشود. یعنی ما هزینه را حاضر هستیم پرداخت کنیم که این آموزش اتفاق بیافتد. البته در کنار آن باید ارزیابی ریسک هم اتفاق بیافتد. ارزیابی ریسک که نباشد، امنیت همیشه تمام منابع را مصرف میکند. علت ایجاد روشهای ارزیابی و مدیریت ریسک و استانداردهایی مثل ISMS همین است. استاندارد ISMS در وزارت بازرگانی بریتانیا برای اولین بار به نام BS7799 تدوین شد. یعنی یک سازمان امنیتی این کار را نکرد، چرا؟ چون امنیت داشت تمام منابع سازمانها را میبلعید. با بحث مدیریت ریسک، ارزیابی میکنند که ببیننند این همه هزینه کردن برای امنیت ارزش دارد یا سود آن کمتر از هزینه آن است. در حال حاضر در حوزه رمز کارت در همین حد آموزش شاید کفایت کند. اما اگر خطر بالاتر برود شاید لازم باشد اگر کسی مثلا رمز خودش را به فروشنده داد، خود فرد هم جریمه شود. با ارزیابی و تحلیل ریسک، تکلیف اینها مشخص میشود.
موضوع دیگر اینکه ما در ایران، یکسری نهادهای مستقل داریم که اینها باید به همدیگر در حوزههای مختلف متصل و مرتبط شوند. هم در حوزه اطلاعرسانی به همدیگر، و هم در حوزه ایجاد مکانیزمها. برای مثال سیستمی مثل تشخیص تقلب، با ایجاد در کل زنجیره از ابتدا تا انتها به کارآمدی کامل خود میرسد. در مثالی که جناب آقای عسگری زدند، نحوه استفاده کارتها باید کنترل شود تا اینکه دلیل صدور کارتها. و این کار نیازمند مکانیزمهای امنیتی اتوماتیک است. یک فرد نمیتواند آن را تشخیص دهد و اگر یک سیستم تشخیص تقلب آنجا حضور داشت، میفهمید که وقتی دو هزار کارت از دو ATM و با فاصله زمانی مشخص کشیده میشود، این یک رفتار متعارف نیست. همه این رفتارها قابل تشخیص است و نیازمند شکلگیری یک عزم جدی در این حوزه هستیم.
نکته دیگر اینکه نباید انتظار داشت هیچ اتفاق امنیتی در هیچ جایی نیافتد. بلکه موضوع مهم این است که اتفاقات، موجب ارتقا و بهبود سیستم شود. کشورهایی که در دنیا از لحاظ آموزش، تجهیزات، یا دانش از ما جلوتر هستند هم این اتفاقات را تجربه میکنند. اما آنها به صورت مکانیزه و سریع این مشکل را کشف و درک میکنند و برای آنها راه حل پیدا میکنند. ما هم باید از این تجربه استفاده کنیم.
قهرمانی: به نظر من این امنیتی بودن در حوزه پرداخت کاملا واقعی است یعنی از فردی که این کارت را در دست دارد تا PSPکه تراکنش را انجام میدهد تا بانک مرکزی، همه درگیر این امنیت هستند. یکی باید در حوزه فرهنگی این کار را انجام دهد و یکی PCIDS را انجام دهد و PCIDSS هم این را میگوید که فردی که این کارت همراهش است باید مطلع باشد. چیزی که میتواند جلوی آن را بگیرد سیستمی مبتنی بر همین کریلیشنی است که اشاره کردم. در حال حاضر سیستم امنیتی ما در مرحلهای است که ما میتوانیم بهصورت مجزا ریسک را مدیریت کنیم. ولی اگر چند جزء را در کنار هم قرار دهیم میتواند یک متاالرت تشکیل شود که برای ما مخرب باشد. پس به این معناست که در چند سال اخیر اتفاقات خوبی در این حوزه افتاده است. اگر ما این حرکتی را که انجام دادیم به سمت آن نرویم موقعیت خوب خود را از دست خواهیم داد. چون اتکها به سراغ گپهایی میروند که وجود ندارد و از طریق آنها ناامنی را ایجاد میکنند.
محمودیان: من فکر میکنم کل مبحث در قالب مدیریت ریسک میگنجد. در حوزه مدیریت ریسک برای اینکه بتوانیم قدم اول را برداریم اول شناسایی ریسکهاست. بعد اندازهگیری و در آخر اقدامات مقابل با آن را سازماندهی کنیم. حالا این اقدامات میتواند فنی، اجتماعی، فرهنگی، دستورالعملی و رفتار و آموزش را در نظر بگیرد. مبنای همه چیز آمار واطلاعات و نیز اینکه ما در کدام نقطه ایستادهایم. حالا اگر مقدار این خسارت و یا آن ارزش در معرض ریسک هر چقدر که بود میشود برای آن طراحی کرد و در این حوزه کارهایی که تا به حال انجام شده است اگر بدبینامه به آن نگاه کنیم و بگوییم حتی بدون برنامهریزی قبلی بوده است انسجام نداشته و در حوزههای مختلف بهصورت جزیرهای انجام شده است. اما بسیار کارهای خوب و رو بهجلویی بوده است و هر نهادی به سمت ایمنتر کردن شبکه حرکت کرده است. ولی به نظر میرسد باید یک تشکل ملی هدایت این را داشته باشد و با برنامهای مشخص سیاستگذاری کند و با اتکا به آن آمار یک نقطه هدفی را مشخص کند و یک استاندارد ملی را در این حوزه تعریف کند. که البته استاندارد یک بخش آن PCI است که حوزه فنی را دربرمیگیرد. به عنوان مثال ما بگوییم میخواهیم میزان از دست دادن پول، اثر اشتباهات، سوء استفاده، تقلب و… امثالهم به زیر نیم درصد از کل تراکنشها برسد، آن زمان میشود گفت کشور با برنامه به این سمت میرود. اقداماتی که صورت گرفته تاکنون خوب بوده و هر نهادی که این مشکل و مساله دغدغه آن است اقداماتی را جهت جلوگیری به انجام رسانیده است پس این نشاندهنده این است که در این مساله به سمت جلو، در حال حرکت هستیم.
عسکری انارکی: ما یک بحث قاعده و استثناء داریم. من جایی که عرف موجب بدآموزی شود آن را قبول ندارم. ما باید قواعد را رعایت کنیم. یعنی قواعدی که در دنیا جا افتاده و بررسی شده است. باید عقلانیت و خرد جمعی استاندارد را مشخص کند و آنها را رعایت کنیم. اگر ما قواعد را رعایت کنیم خیلی از مشکلاتمان رفع میشود. ولی اگر رعایت نکنیم و عرف جاری شود تغییر آن بعدها مصیبت خواهد بود، چون عادت شده است.
منبع: ماهنامه بانکداری آینده، شماره12 و 13، مرداد و شهریور 95