ریشه یابی دلایل تقلب در خانه پرداخت/چهار دلیل پایین بودن آمار کلاهبرداری در شبکه پرداخت

به گزارش پایگاه خبری بانکداری الکترونیک،طی چند سالی که خدمات پرداخت الکترونیک در کشور گسترش یافته است اکثر تخلفات حوزه پرداخت الکترونیک منشأ داخل شبکه‌ای داشته‌اند، در ریشه‌یابی این مساله است دلایل زیادی وجود دارد اما در عین حال حجم این تخلفات در ایران در مقایسه با جهان کمتر از حد متوسط است؛ اما نباید از اهمیت امنیت در این شبکه غافل شد. این موضوع طی میزگردی با حضور صاحب‌نظران و محققان و فعالان این حوزه بررسی شده است. سعید عسکری انارکی و محمدرضا محمودیان از پیشکسوتان شبکه پرداخت که هم‌اکنون به عنوان مشاور، به شرکت‌های پرداخت خدمت‌رسانی می‌کنند، همچنین سیامک آزادی ابد، مدیر امنیت شرکت شاپرک و آقای قهرمانی، محقق در حوزه امنیت اعضای میزگرد را تشکیل دادند. اعضای میزگرد اعتقاد دارند: آمار جهانی که در سال ۲۰۱۵ ارائه داده است می‌گوید ۵۲ درصد اتفاقات امنیتی داخلی هستند؛ یعنی کارکنان داخلی سیستم ریشه تخلف هستند که البته به سهوی و عمدی تفکیک می‌شوند. پس در ایران علاوه بر اینکه تعداد این اتفاقات خیلی زیاد نیست درصد داخلی‌ها هم نسبت به این آمار خیلی پایین است.
همچنین حاضرین معتقد هستند تخلفات باید به صورت سالانه اعلام شود. همچنین ریشه اغلب تخلفات، فرهنگ است. در نتیجه باید روی فرهنگ و اخلاق کار بیشتری شود.

   اگر مروری داشته باشیم می‌بینیم که اکثر تخلفات منشأ داخلی داشته‌اند، هدف ما هم ریشه‌یابی این مساله است که چرا بیشتر تخلفات در داخل اتفاق افتاده است. محور بحث ما هم به این شکل است که مثلا در فلان شرکت ریشه‌های این امر به چه صورت بوده است؟ درواقع یک مرور خیلی کوتاه بر شرکت‌ها داشته باشیم. حوزه تخلف یا سرویس‌های بانکی بحث گسترده‌ای است. ما درحال حاضر در بخش پرداخت‌های حوزه خرید تمرکز داریم. امروزه پرداخت‌ها بیشتر با کارت صورت می‌گیرد، یعنی پایه، کارت است. پس محدوده ما در رابطه با تخلف یا سوءاستفاده تراکنش‌های مبتنی بر کارت است.

محمدرضا محمودیان: اینکه ما در رابطه با تخلف در زمینه کار ت در چه وضعیتی هستیم، زمانی در مورد این مساله بحث می‌کنیم که دارای اهمیت باشد. باید زمانی در مورد تقلب و سوء استفاده بحث شود که مثلا ما معیاری برای سنجش داشته باشیم و روند فراتر از معیار ما رفته باشد، به تعبیر دیگر زمانی که روند تقلب‌ها از حالت طبیعی خارج شود ما باید نسبت به موضوع حساس شویم. اما آیا ما در حال حاضر در کشور آمار و ارقامی داریم که با آن مقایسه کنیم؟ طبعا چنین آماری منتشر نشده است. در نتیجه وقتی چنین سنجه‌ای وجود ندارد گفتمانی از این جنس فقط تا حدی می‌تواند نشان دهد که وضعیت ما در حد استاندارد مطلوب است یا نه؟ و یا بستری شود مبنی بر اینکه آمار تقلب‌ها تا چه حد منتشر شود. لذا قبل از یک گفتمان جدی در خصوص امکان امنیت، بهتر است بررسی کنیم که در کجای مسیر قرار داریم و پازل امنیت به چه شکل است و خوب است که در مسیر قرار داشته باشد.

سعید عسکری انارکی: یک‌سری استاندارها در خصوص امنیت مطرح است که می‌توانیم به‌عنوان استاندارد مد نظر قرار دهیم. این استانداردها از سایت گرفته تا صدور کارت و رساندن آن به دست مشتری و تا حوزه پرداخت غیر حضوری وجود دارد. در عین حال بحث امنیت کارت از دو منظر قابل بحث است: یا اینکه مردم ما نجیب هستند و یا در جریان نیستند و اطلاع ندارند. به تعبیردیگر در حالی که ما رفتار درست و برخی استاندارد‌های فنی و امنیتی راعایت نمی‌کنیم، اما باز هم میزان تقلب‌ها چندان زیاد نیست. ابتدا باید ببینیم که ما حداقل الزامات را رعایت می‌کنیم یا نه. به نظر می‌رسد این از خوش‌شانسی ماست و یا از کم‌اطلاعی یا نجابت طرف‌های دیگر است که هنوز اتفاق خاصی نیافتاده است. ما در واقع اکثر استانداردها را یارعایت نمی‌کنیم یا اگر هم به ظاهر رعایت کنیم پس از مدتی توسط عوامل اجرایی کمرنگ می‌شود، این باید آسیب‌شناسی شود یعنی باید از یک منظر دیگری نیز به آن نگاه کرد.

   درحال حاضر وضعیت ما در رابطه با اهمیت تقلب و امنیت چگونه است و در چه جایگاهی قرار داریم؟

آزادی: در شرکت شاپرک به دلیل ماهیت و ماموریت نظارتی و رگولاتوری، ما مسایل شرکت‌های پرداخت‌ها را رصد و پایش می‌کنیم، آنچه ما می‌بینیم و با دنیا مقایسه می‌کنیم، اتفاقاتی که در ایران می‌افتد خیلی زیاد نیست. در ۴ الی ۵ سال گذشته، اتفاقات امنیتی مهمی که در شبکه پرداخت رخ داده است، در حدود چهار یا پنج مورد بیشتر نیست و در مقایسه با آمار جهانی اولا، این موارد خیلی کم بوده است و ثانیا موارد ناشی از درون شبکه پرداخت هم نسبت پایین‌تری از متوسط جهانی داشته است. طبق آمار جهانی که مراجعی‌‌‌ مانند فورستر(Forester) در سال ۲۰۱۵ ارائه داده‌اند، در دنیا ۵۲٪ اتفاقات امنیتی، داخلی هستند در حالی که ما در شبکه پرداخت کشورمان چنین وضعی نداریم. بنابراین در ایران علاوه بر اینکه تعداد این اتفاقات خیلی زیاد نیست، نسبت درصد اتفاقات داخلی هم نسبت به آمار جهانی پایین‌تر است. به هرحال آمار وضعیت ما، نسبت به آمار جهانی، نگران‌کننده نیست. البته این صحبت من به این معنی نیست که نباید مراقبت شود. همین آمار پایینِ اتفاقات امنیتی هم باید رسیدگی شود و به هرحال تخلف رخ داده است.
 دلایل مختلفی برای این آمار پایین اتفاقات امنیتی در حوزه پرداخت درکشور می‌توان ارائه کرد. من بخشی از آن را ناشی از نجابت مردم یا دانش کم ضد امنیتی در کشور می‌دانم. اما دلیل مهمتر این است که شرکت‌های پرداخت افرادی را جذب و استخدام می‌کنند که نسبت به متوسط جهانی، افراد از ذکاوت و دانش تخصصی و تعهد کاری مطلوبی برخودارند. به نظر من در ایران چنین فرآیندی برای جذب افراد نخبه و شایسته انجام می‌شود و مراقبت و حساسیت مطلوبی در این زمینه وجود دارد. مثلا در مسئولیت‌ها و جایگاه‌های حساس، فرد باید معرف داشته باشد. برای مثال، در بخش عملیات شرکت پرداخت به فردی که تازه استخدام شده، مسئولیتی داده نمی‌شود، بلکه ابتدا باید در بخش تحقیق و توسعه کار کند تا به شناخت و درک جامعی از کار و مسئولیت برسد و اخلاق حرفه‌ای و کارکرد وی مورد تایید قرار گیرد. تازه بعد از این مراحل، به وی اجازه کار با داده‌های واقعی داده می‌شود.
به نظر من دلیل دیگر پایین بودن مشکلات امنیتی شبکه پرداخت، ناشی از زحمات و تلاش‌های انجام شده برای ارتقای امنیت شبکه پرداخت در چند سال گذشته بوده است. در واقع در چند سال گذشته، کارهای زیادی برای ارتقاء وضعیت امنیت شبکه پرداخت صورت گرفته است که البته به دلیل امنیتی بودن موضوع، این کارها خیلی رسانه‌ای نشده است. ما در سال ۱۳۹۲ بر مبنای استاندارد PCI-DSS، یعنی استانداردی که تقریبا همه صنایع پرداخت دنیا آن را‌پذیرفته‌اند، یک ارزیابی اولیه از شبکه پرداخت انجام دادیم تا ببینیم در کجای این استاندارد قرار داریم. کل سیستم پرداخت و تمام شرکت‌های پرداخت را ارزیابی کردیم و به صورت متوسط، حدود 36٪، میانگین انطباق شبکه پرداخت کشور با استاندارد PCI-DSS بود. این ارزیابی، مربوط به زمان قبل از ابلاغ الزامات امنیتی شاپرک و نظارت بر اجرای آن بود. در آن زمان ما این الزامات را فارسی‌سازی و تدوین کرده و ابلاغ کردیم. برای اجرا در شرکت‌های پرداخت برنامه‌ریزی کردیم و آموزش گذاشتیم و شرکت‌های پرداخت، خود به دنبالش رفتند و اهمیت آن درک شد. سازمان امنیت در شرکت‌های پرداخت شکل گرفت و پروژه انطباق با استاندارد توسط شرکت‌ها اجرا شد. در انتهای این پروژه، ما رسیدیم به حدود ۹۷ درصد متوسط انطباق با استاندارد PCI-DSS. پس به لحاظ انطباق استاندارد فنی در حال حاضر در وضعیت خوبی قرار داریم و اقدامات زیادی صورت گرفته است. البته اجرای هیچ کدام از اینها توسط شاپرک انجام نشده است، بلکه خود شرکت‌های psp زحمت اصلی را کشیدند و هزینه سنگینی هم روی آن صرف کردند. هر کدام از آن‌ها چند میلیارد تومان را صرف هزینه سخت‌افزار، نرم‌افزار، ایجاد سازمان امنیت، پرسنل و جذب نیرو، رویه‌ها و بعد از آن فرآیندها کردند. در طول اجرای این پروژه، انطباق این موارد را هم هر سه ماه یک بار شاپرک بررسی کرده و عدم انطباق‌ها را به شرکت‌ها گزارش کرد تا با اجرای رویه بهبود، مشکلات برطرف شوند. این پروژه حدود دوسال طول کشید تا به این نقطه برسد. یعنی یک کار مستمر شکل گرفت تا به اینجا برسیم و حفظ این سطح از انطباق کماکان ادامه دارد. خود موسسه PCI برای برای ویزا و مسترکارت ۹۵٪ انطباق را قابل قبول می‌داند. یعنی ۵٪ خطا را می‌پذیرد و اگر انطباق سازمانی ۹۵٪ به بالا باشد، می‌تواند گواهی‌نامه بگیرد.

   یعنی اگر نماینده ویزا یا خود ویزا برای اعطای گواهی‌نامه، به کشور ما سفر کنند، به نظر شما به این شرکت‌ها گواهی‌نامه می‌دهند یا نه؟
آزادی ابد: در این حوزه اگر اکنون ممیز رسمی بیاید، قطعا این اتفاق می‌افتد. چون سال گذشته با یک ممیز رسمی اروپایی جلسه داشتیم و وقتی آمار انطباق شرکت‌های پرداخت با استانداردها را دید، کاملا آن را تایید کرد و حتی به شوخی گفت که «من اگر در ایران بودم هیچ وقت دوست نداشتم شرکت پرداخت باشم». به این خاطر که ممیزی رسمی PCI، هر یک سال یک بار انجام می‌شود ولی ما حداقل هر چهار ماه یک بار انجام می‌دهیم و ممیزی PCI، هر بار 2 نفر روز طول می‌کشد و ما هر بار، 10 نفر روز هر شرکت را ممیزی می‌کنیم. البته ما از کاری که انجام می‌دهیم، دفاع می‌کنیم و دلیل آن هم این است که ما در ابتدا، با یک وضعیت نامشخص امنیتی روبه‌رو بودیم. به صورتی که شبکه در حال فعالیت بود، در حالی که ما اصلا نمی‌دانستیم وضعیت امنیتی چگونه است. ارزیابی اولیه‌ای هم که در سال 92 انجام شد، خیلی وضعیت مناسبی را نشان نمی‌داد. پس با یک فشار مضاعفی سامان‌دهی امنیتی را با همکاری کل شبکه پرداخت کشور انجام دادیم. در نهایت اگر بخواهم این موضوع را جمع‌بندی کنم، تصورم این نیست که لزوما به خاطر خوب بودن افراد است که ما مشکلات زیادی را نداریم. البته افرادی که در این بازار هستند، افرادی صالح و قابل اعتمادند و این افراد در امنیت شبکه پرداخت، نقش مستقیم داشته‌اند.

بابک قهرمانی: به‌واسطه ترجمه کتاب PCI که کار آن سال۱۳۸۹ تمام شد، خدا را شکر با حضور تیم جدیدی که وارد شاپرک شد در این قضیه تحولی را شاهد بودیم. دیدیم که بعد از سه سال یکی مخاطب استاندارد ماست و این خیلی برای ما جذابیت داشت. یعنی حداقل برای ما که سه سال پیش کاری را انجام دادیم و الان دیده شده خیلی خوب بود. درواقع به بیزینس آن کاملا بی‌خیال شده بودیم ولی یکی متولی این کار شده بود و داشت روی آن کار می‌کرد. تا آنجا که من می‌دانم PSPها تمایل به خرید، ساخت دیتاسنتر، پایش اطلاعات و کسب درآمد از آن اطلاعات به نفع خودشان هستند به سمت PCIA حرکت می‌کنند. منتها بحثی که در اینجا مطرح است تبعات اتفاقی که در اینجا رخ می‌دهد با اروپا قابل قیاس نیست. ما در یک جایی درجه حساسیت‌مان خیلی زیاد است و در جایی دیگر خیلی کم. ما قابلیت مقایسه با اروپا را در هیچ حوزه‌ای نداریم، باید ابتدا فرهنگ‌سازی شود. تبعات اتفاقات مالی برای ما خیلی سنگین‌تر از فردی است که در اروپاست که هر اتفاقی که برای وی بیفتد بیمه حمایتش می‌کند. مثلا اگر در اروپا شرکت ویزا یک میلیارد دلار از دست بدهد هم شرکت بیمه است و هم آن فرد. درحالی‌که ما در ایران موسسات مالی و اعتباری داشتیم که ذخیره ندارد پول سپرده‌گذار را پس بدهد. درنتیجه من اینجا نگران سرمایه خودم هستم چون مشخص نیست چه بلایی سر سرمایه من می‌آید. برای مثال ما هر دو ماه یک‌بار می‌شنویم که بانک آینده مجوزش لغو شده است و تا لب پرتگاه می‌رود. از نظر استاندارد جهانی مشکلی نداریم و در این سه، چهار سال اخیر پیشرفت زیادی داشتیم ولی همین اتفاقات کوچک تبعات خیلی بزرگی دارد و باید آسیب‌شناسی کنیم که چرا تبعات این اتفاقات کوچک در جامعه آنقدر زیاد است.
عسگری انارکی: اگر در ایران تخلفات و هک بانک‌ها نسبت به استاندارد دنیا کمتر است دلیل آن، سیستم امنیتی ما در بانک‌هاست یا سارقین، اهداف بهتری از بانک سراغ دارند؟ صحبت من این است که هنوز در فرهنگ ما یک‌سری اخلاقیات و ترس‌ها وجود دارد که مانع تخلف می‌شود. هرچند در این زمینه هم کارهایی صورت گرفته است. من در حال حاضر مطلع هستم که برخی شرکت‌های psp که حجم کار آن‌ها هم بالاست اچ‌اس‌ام ندارند. آیا افرادی که نظارت دارند توجه نمی‌کنند یا نه، آن‌ها را به‌گونه‌ای قانع می‌کنند و یا اصلا نسبت به اهمیت آن آگاهی ندارند؟ یکی از مشکلات این حوزه این است که رد افراد گم می‌شود. هیچ بانک اطلاعاتی مدونی در این زمینه وجود ندارد. حداقل تاییدیه صلاحیت و رضایت‌نامه از محل کار قبلی باید اخذ گردد.
محمودیان: ما قبل از ورود به این مباحث باید ابتدا ببینیم که چه اندازه ریسک وجود داشته است. چقدر احتمال خطر و تهدید وجود داشته است. حالا این تهدید یا بالقوه است یا بالفعل شده است. ما معمولا به‌واسطه روحیات ایرانی مختص به خودمان، کمتر روی تهدیدات بالقوه کار می‌کنیم و این یک خصوصیت خاص مردم این کشور است و نمی‌توانیم آن را ندیده بگیریم چراکه به‌هرحال یکجا خوب است و در جایی دیگر بالعکس. ما در یک بستری زندگی می‌کنیم که همه مولفه‌ها را باید ببینیم. بعد از آن مشاهده کنیم که این تعهدات چه اندازه در این بستر وجود دارد و در مقابل آن چه اقداماتی باید صورت گیرد. ما به این نتیجه رسیدیم که در کشورمان آمار دقیقی وجود ندارد. ابتدا باید یک شاخص یا اندازه داشته باشیم. به‌عنوان کسی که در این حوزه غور می‌کنیم و اندیشه و دغدغه آن را داریم چیزی به‌عنوان آمار و ارقام در این حوزه در کشور در دسترس نداریم. نه اینکه آمار وجود نداشته باشد بلکه یک دیتابیس وجود ندارد که افراد بتوانند هر زمان که نیاز بود به آن دسترسی پیدا کنند. منظور ما این است که یک آمار منسجم که برای کل کشور باشد، وجود ندارد. پس نتیجه آن این شد که ما آمار دقیق، شفاف و قابل دسترسی به‌عنوان نظریه‌پرداز و محقق نداریم که اینها را با آمار جهانی در کنار هم قرار دهیم و ببینیم در چه وضعیتی قرار داریم. پس ما در یک بستر فرهنگی، سیاسی، اقتصادی، اجتماعی، رفتاری، فنی و. . . زندگی می‌کنیم که این تهدیدها اینجا معنی پیدا می‌کند. یعنی اگر تهدیدات زیاد شود ما شروع می‌کنیم یک‌سری پروتکل‌های مقابله با تهدیدات ساختن، ولی اگر این تهدیدات همچنان کم باشد روال قبلی ادامه پیدا می‌کند، وقتی در جایی تهدیدات کم است حالا به هر علتی. پس اگر تخلفانی صورت گرفته است برای مثال پلیس یا شاپرک آماری انتشار نمی‌کند، بانک‌ها به حراست خود آمار نمی‌دهند. پس یک نهاد ملی باید تمام این آمار را در اختیار بگیرد و مستند کند. صرف‌نظر از اینکه آیا این محیطی که ما در آن زندگی می‌کنیم به ما این اجازه را می‌دهد که این را منتشر کنیم یا نه. ولی به‌هرحال باید این تجمیع شود. ممکن است تا سال‌ها فرهنگ ما اجازه ندهد مثل اروپا و آمریکا آن را داخل سایت قرار دهیم ولی این دلیل بر این نیست که تجمیع نشوند. به نظر من اگر روندی در زندگی و کار مردم در این زمینه ایجاد شود، باید منتشر شود.

   به نظر شما در محیط ایران آیا باید تقلباتی که انجام شده آمار آن اعلام شود؟
محمودیان: تقلب صورت گرفته است اما پلیس آمار آن‌ها را نمی‌دهد. شاپرک و بانک‌ها و حراست آن‌ها آمار نمی‌دهند قوه قضاییه آمار نمی‌دهد. پس یک نهاد ملی باید تمام این مستندات را بگیرد و تجمیع کند صرف‌نظر از اینکه در محیطی که ما در آن زندگی می‌کنیم این اجازه انتشار را به ما می‌دهد یا نه. ابتدا باد اینها تجمیع شود. ممکن است تا سال‌ها اجازه نداشته باشیم مثل اروپا و آمریکا این اطلاعات را در داخل سایت قرار دهیم ولی این دلیل بر این نیست که اینها یک جا نباشد. پس اگر منتشر شد تازه ما قیاس می‌کنیم که در چه وضعیتی قرار داریم. به نظر من اگر اخلالی در روند زندگی مردم، اعتماد و کار آن‌ها در این حوزه ایجاد شود باید منتشر شود.
آزادی ابد: ایشان یک نکته در مورد آمار فرمودند که صحیح است. اگر منظور، آمار تجمیع شده از کل نهادهای انتظامی، قضایی، بانکی، پرداخت، امنیتی و اطلاعاتی، و افراد و کاربران است، در حال حاضر چنین چیزی در کشور وجود ندارد. ولی من می‌توانم بگویم که حداقل در حوزه شبکه پرداخت و حداقل در سه، چهار سال اخیر، این آمار وجود دارد. حتی فرآیندی برای ثبت آن وجود دارد که چه اتفاقی می‌افتد، تجربه آن چیست، به چه صورت جلوگیری شد و اینکه آیا ما به شرکت پرداخت دیگری هم اطلاع بدهیم که او هم مواظب باشد یا خیر. اما نکته دیگر اینکه یک شاخه از این بحث مستقیما به کشف تقلب و Fraud برمی گردد که اتفاقا بحث فراد یک بحث بسیار گسترده‌ای است که در ایران، تا به این لحظه مغفول بوده است، کشف تقلب یک زنجیره‌ای از فعالیتها، سیستم‌های مکانیزه و فرآیندهاست که در تمامی اجزای شبکه باید وجود داشته باشد. باید شبکه‌های ملی مثل شاپرک، شرکت‌های پرداخت و بانک‌ها، سیستم کشف تقلب داشته باشند تا بسیاری از مشکلات که شاید منجر به شکایت کسی نمی‌شود، اما حاکی از تقلب است، توسط این سیستم شناسایی شود. برای مثال اگر از حساب من یک ریال خارج شود و این کار Fraud باشد، شاید این مبلغ برای من بی‌اهمیت باشد. اما در یک جامعه آماری بزرگ، مثلا خروج یک ریال از حساب 20 میلیون نفر، که شاکی هم ندارد، یک تقلب است. در این زمینه، البته شاپرک در دامنه خودش اقدامات را شروع کرده و در حال حاضر روی کشف تقلب کار می‌کند و اگر این سامانه راه‌اندازی شود، ما می‌توانیم بگوییم که تقریبا آمار ما در حوزه پرداخت دقیق شده است. چون کشورهایی‌‌‌ مانند انگلیس که دوستان مثال زدند، این اطلاعات را در واقع از سیستم‌های کشف تقلب خود استخراج می‌کند و منتظر نمی‌ماند که فردی شکایت کند و پلیس به او گزارش دهد. البته مزیت دیگر سیستم کشف تقلب این است که جلوی یک‌سری از تقلب‌ها را به صورت اتوماتیک می‌گیرد. در نهایت باید گفت که این آمارها و کنترل‌ها در دنیا به صورت مکانیزه انجام می‌شوند. ما در بحث پایش مکانیزه در کشور واقعا ضعف داریم. نه فقط در حوزه پرداخت یا بانکی، بلکه در تمام صنایع، ما این مشکل را داریم. برای این موضوع باید یکسری مکانیزم‌ها در کشور ایجاد شوند و افراد آموزش ببینند تا در نهایت ما بگوییم هم آمار دقیق داریم و هم جلوگیری مناسبی از تقلب می‌کنیم.
قهرمانی: ما اساسا در این ایران حافظه ملی نداشته و تمایلی به ثبت نداریم و شاید این به فرهنگ ما برگردد. رفتن به سمت اینکه آمارها را دربیاوریم و اطلاعات را تولید و منتشر کنیم به نظر من ناامنی عجیبی ایجاد می‌کند. یعنی منتشر کردن یکسری اطلاعات که اساسا طبقه‌بندی محسوب می‌شوند به سبکی که در انگلستان اتفاق می‌افتد اگر در ایران بخواهد صورت گیرد همین یکدست بودن فرهنگ که تا به حال باعث شده که قضیه با کمترین میزان آسیب جلو برود خدشه دار می‌کند چون ممکن است یک ناامنی عمومی ایجاد کند و این ناامنی عمومی باعث می‌شود که من کارت خود را دریافت نکنم. یعنی از ریشه با قضیه مشکل پیدا می‌کنم. به نظرم پلیسی کردن چالش‌هایی ایجاد خواهد کرد که به ناامنی اجتماعی تبدیل خواهد شد و یک بحران ایجاد می‌کند.
در آن سمت هم این اتفاق می‌افتد شما وقتی چیزی را منتشر می‌کنید کارشناسان تحلیل درستی ندارند. می‌شود برای مثال بعد از دوسال منتشر کنیم.
آزادی ابد: ما باید بلاخره بپذیریم که در ایران فرهنگ خاص خود را داریم و طبیعتا مشابه هیچ کشوری در دنیا نیستیم. برای فرهنگ و مدل خودمان باید فکر کنیم. تولید و انتشار عمومی این اطلاعات می‌تواند ناامنی ایجاد کند. ولی می‌شود این موضوع را صفر و صدی نکرد. مثلا کارشناسان یا افرادی که معتمد هستند و کار کارشناسانی در این موضوع انجام می‌دهند، این اطلاعات را داشته باشند. ولی این اطلاعاتی نیست که بشود به صورت عمومی آن را منتشر کرد. اتفاقا همین چیزی که گفتم، در حال حاضر تا حدودی در حال رخ دادن است. ما الان رابطه خوبی با پلیس فتا داریم. در واقع از تجربه پلیس استفاده می‌کنیم. بالاخره پلیس در طول سالیان، جرایم را شناسایی کرده، رفتار مجرمین را شناسایی کرده و با آن برخورد کرده است و الان به‌عنوان معتمد صنعت پرداخت کشور به ما کمک می‌کند و اطلاعات و تجربه‌های مثبتی را برای تدوین استانداردها و قواعد بومی امنیتی اختیار شاپرک قرار می‌دهد. باید دقت شود که شاید هنوز از نظر فرهنگی، ما در کشور به آن نقطه نرسیدیم که انتشار این اطلاعات برای مردم واهمه ایجاد نکند. ممکن است این همه زحمتی که گذشتگان ما کشیدند تا از اسکناس به سمت پول الکترونیک حرکت کنیم، از بین برود و یکدفعه یک برگشت به عقب اتفاق بیافتد.
محمودیان: من موافق این موضوع نیستم. خیلی جاها که ممکن است یک اتفاقی رخ دهد شما ۹۹٪ را رها می‌کنید و به ۱٪ درصد می‌چسبید.
تمام اینها بستگی به محیطی دارد که ما در آن زندگی می‌کنیم. ما هم تجربیات موفق داریم و هم ناموفق. اگر ما یک نهاد وجیه‌المله داشته باشیم و یا کمیته و کمیسیون، یک نهادی که وجود داشته باشد و خرد جمعی هم در آن حاکم باشد آن موقع می‌توانند تصمیم بگیرند که انتشار این آمار خوب است یا بد. اگر خوب بود قبول کنید وگرنه که قبول نکنید. یعنی قضیه صفر و یک نباشد.
 چه سطحی از اطلاعات هم مهم است. مثلا ممکن است در جایی ریز اطلاعات لازم باشد و در جایی دیگر حتی انتشارشیوه‌های آن تقلب هم لازم نباشد.
وقتی می‌خواهید که یک نفر را هوشیار کنید که از یک سوراخ گزیده نشود باید روش گزیده شدن را به او بگویید. بعد توضیح دهید که کارت تو به چه صورت است که اگر دست مردم باشد از آن کپی می‌کنند. حالا این اطلاع‌رسانی یک عده را مسلح می‌کند که این اتفاق برای آن‌ها نیفتد و یک عده هم که می‌خواستند سوء استفاده کنند و راه آن را بلد نبودند آگاه می‌کند که شما هم می‌توانید از این راه وارد شوید و ضربه بزنید. در سراسر دنیا این نهادی که من عرض کردم در حال فعالیت است. می‌تواند نهادی باشد دبیرخانه آن شاپرک باشد ولی از همه عناصر و مولف ملی دعوت کند. شورای امنیت کشور برای سامانه خرید و فروش اینترنتی این مرکز توسعه و تجارت را موظف کرده است که مکانیزم‌هایی را پیاده‌سازی کند. این نهادها در قالب نهاد اعتماد تبلور پیدا کرده است یعنی همه آن سازو کار نهایتا این لوگو شده است که بیاید وارد سایتشان شود. پشت آن فقط مرکز توسعه و تجارت نیست. دبیرخانه این مولفه، کار و مساله آنجاست، پلیس فتا، وزارت اطلاعات، جهاد کشاورزی، وزارت بهداشت و درمان هست و همه نهادهای دیگر موظف هستند اگر دعوت شدند مشارکت مسئولانه داشته باشند. پس در یکجا کار متمرکز است و نهاد موازی هم با جایی ساخته نشده است، اما باید وجود داشته باشد. شاپرک می‌تواند به‌عنوان دبیرخانه اینجا باشد و همه نهادهایی که می‌توانند کمک کنند و با آمار و اطلاعات دارند و یا به نوعی دارند در پیشگیری و یا مقابله کار می‌کنند اینها همه آنجا عضو شوند. بعد هم انتشار و یا عدم انتشار بستگی به شرایطی دارد که آن نهاد آنجا عقل جمعی تصمیم می‌گیرد.
بحث دیگری در امنیت وجود دارد و آن محاسبه ریسک است. در محاسبه ریسک اگر ریسک از یک عددی پایین‌تر شد نمی‌توانید هیچ اقدام امنیتی برای آن انجام ندهید.
 عسگری انارکی: بحث من بینابین است؛ باید به‌طور تخصصی در این حوزه آمار منتشر شود و تمام آن‌ها را تفکیک کرد.
محمودیان: ما در مدیریت ریسک یک ماتریسم داریم. بانک الف و ب هر دو از یک اپلیکیشن استفاده می‌کنند. یعنی شرکت پشتیبان نرم‌افزاری آن‌ها یکی است. اینها می‌گویند در اینترنت بانک، شما می‌توانید سقف روزانه نقل و انتقال خود را تعریف کنید. به نظر من ارزش در معرض ریسک برای هر کسی تعریف متفاوتی دارد. مثلا برای یک کارگر شریف که حقوق حداقلی می‌گیرد ارزش در معرض ریسک ممکن است ۵۰ هزار تومان باشد ولی برای فردی با چندین برابر آن ممکن است یک میلیون تومان باشد. به نظر من رفتار فردی جامعه در مقابله با خطر به میزان خطر بستگی دارد. الان این صحبت‌های من از دیدگاه یک نظریه‌پرداز است ولی اگر در جایگاه حاکمیت قرار داشته باشم دیگر شرایط فرق می‌کند. در حوزه فردی من می‌گویم شما نمی‌توانید چیزی را به مردم تحمیل کنید اگر خطر وجود ندارد پس نیست. ولی می‌توانیم توصیه بکنیم.
عسگری انارکی: زمانی بانک‌ها شروع کردند به اجاره دادن ای‌تی‌ام که خود فرد پول‌گذاری کند و کارمزد شتابی آن با بانک تسهیم شود. برای مثال بانک شهر و یا پست‌بانک. یکی از صاحبان ATMاز یکی دو بانک دیگر دو هزار کارت به نام خودش گرفت و بعد اتصال به سوییچ بانک‌های طرف قرارداد، افرادی را جهت ایجاد تراکنش صوری و در حجم بالا و به‌صورت 24 ساعته استخدام کرد. می‌خواهم بگویم ظاهرا صدور کارت در این حجم منع قانونی ندارد. ظاهرا در این رابطه کسی هم مجازات نشد.
محمودیان: ما دو قانون داریم؛ یکی نوشته شده و دیگری نانوشته، به نظر من این فردی که شما مثال می‌زنید در واقع یک قانون نانوشته را نادیده گرفته است.
عسگری انارکی: به نظر من ما می‌توانیم فرهنگ مردم را با سامانه‌های کاربردی صحیح هدایت کرده و تغییر دهیم، نه شعار بگوییم و با فرافکنی، دلیل مشکلات و شکست‌ها را عدم فرهنگ‌سازی بدانیم.
آزادی ابد: چنان‌چه بخواهیم از جایگاه حاکمیت بحث کنیم، حاکمیت باید حداکثر تلاش خودش را برای آموزش و امن‌سازی انجام دهد و حتی اگر لازم شد جریمه گذاشته شود. برای مثال در حال حاضر شرکت‌های پرداخت کلی برنامه آموزشی دارند و مثلا به تمام‌پذیرندگان خود بروشور می‌دهند. خوب اینها در واقع به سطح جامعه آموزش داده می‌شود. یعنی ما هزینه را حاضر هستیم پرداخت کنیم که این آموزش اتفاق بیافتد. البته در کنار آن باید ارزیابی ریسک هم اتفاق بیافتد. ارزیابی ریسک که نباشد، امنیت همیشه تمام منابع را مصرف می‌کند. علت ایجاد روش‌های ارزیابی و مدیریت ریسک و استانداردهایی مثل ISMS همین است. استاندارد ISMS در وزارت بازرگانی بریتانیا برای اولین بار به نام BS7799 تدوین شد. یعنی یک سازمان امنیتی این کار را نکرد، چرا؟ چون امنیت داشت تمام منابع سازمان‌ها را می‌بلعید. با بحث مدیریت ریسک، ارزیابی می‌کنند که ببیننند این همه هزینه کردن برای امنیت ارزش دارد یا سود آن کمتر از هزینه آن است. در حال حاضر در حوزه رمز کارت در همین حد آموزش شاید کفایت کند. اما اگر خطر بالاتر برود شاید لازم باشد اگر کسی مثلا رمز خودش را به فروشنده داد، خود فرد هم جریمه شود. با ارزیابی و تحلیل ریسک، تکلیف اینها مشخص می‌شود.
موضوع دیگر اینکه ما در ایران، یک‌سری نهادهای مستقل داریم که اینها باید به همدیگر در حوزه‌های مختلف متصل و مرتبط شوند. هم در حوزه اطلاع‌رسانی به همدیگر، و هم در حوزه ایجاد مکانیزم‌ها. برای مثال سیستمی مثل تشخیص تقلب، با ایجاد در کل زنجیره از ابتدا تا انتها به کارآمدی کامل خود می‌رسد. در مثالی که جناب آقای عسگری زدند، نحوه استفاده کارتها باید کنترل شود تا اینکه دلیل صدور کارت‌ها. و این کار نیازمند مکانیزم‌های امنیتی اتوماتیک است. یک فرد نمی‌تواند آن را تشخیص دهد و اگر یک سیستم تشخیص تقلب آنجا حضور داشت، می‌فهمید که وقتی دو هزار کارت از دو ATM و با فاصله زمانی مشخص کشیده می‌شود، این یک رفتار متعارف نیست. همه این رفتارها قابل تشخیص است و نیازمند شکل‌گیری یک عزم جدی در این حوزه هستیم.
نکته دیگر اینکه نباید انتظار داشت هیچ اتفاق امنیتی در هیچ جایی نیافتد. بلکه موضوع مهم این است که اتفاقات، موجب ارتقا و بهبود سیستم شود. کشورهایی که در دنیا از لحاظ آموزش، تجهیزات، یا دانش از ما جلوتر هستند هم این اتفاقات را تجربه می‌کنند. اما آن‌ها به صورت مکانیزه و سریع این مشکل را کشف و درک می‌کنند و برای آن‌ها راه حل پیدا می‌کنند. ما هم باید از این تجربه استفاده کنیم.
قهرمانی: به نظر من این امنیتی بودن در حوزه پرداخت کاملا واقعی است یعنی از فردی که این کارت را در دست دارد تا PSPکه تراکنش را انجام می‌دهد تا بانک مرکزی، همه درگیر این امنیت هستند. یکی باید در حوزه فرهنگی این کار را انجام دهد و یکی PCIDS را انجام دهد و PCIDSS هم این را می‌گوید که فردی که این کارت همراهش است باید مطلع باشد. چیزی که می‌تواند جلوی آن را بگیرد سیستمی مبتنی بر همین کریلیشنی است که اشاره کردم. در حال حاضر سیستم امنیتی ما در مرحله‌ای است که ما می‌توانیم به‌صورت مجزا ریسک را مدیریت کنیم. ولی اگر چند جزء را در کنار هم قرار دهیم می‌تواند یک متاالرت تشکیل شود که برای ما مخرب باشد. پس به این معناست که در چند سال اخیر اتفاقات خوبی در این حوزه افتاده است. اگر ما این حرکتی را که انجام دادیم به سمت آن نرویم موقعیت خوب خود را از دست خواهیم داد. چون اتک‌ها به سراغ گپ‌هایی می‌روند که وجود ندارد و از طریق آن‌ها ناامنی را ایجاد می‌کنند.
محمودیان: من فکر می‌کنم کل مبحث در قالب مدیریت ریسک می‌گنجد. در حوزه مدیریت ریسک برای اینکه بتوانیم قدم اول را برداریم اول شناسایی ریسک‌هاست. بعد اندازه‌گیری و در آخر اقدامات مقابل با آن را سازماندهی کنیم. حالا این اقدامات می‌تواند فنی، اجتماعی، فرهنگی، دستورالعملی و رفتار و آموزش را در نظر بگیرد. مبنای همه چیز آمار واطلاعات و نیز اینکه ما در کدام نقطه ایستاده‌ایم. حالا اگر مقدار این خسارت و یا آن ارزش در معرض ریسک هر چقدر که بود می‌شود برای آن طراحی کرد و در این حوزه کارهایی که تا به حال انجام شده است اگر بدبینامه به آن نگاه کنیم و بگوییم حتی بدون برنامه‌ریزی قبلی بوده است انسجام نداشته و در حوزه‌های مختلف به‌صورت جزیره‌ای انجام شده است. اما بسیار کارهای خوب و رو به‌جلویی بوده است و هر نهادی به سمت ایمن‌تر کردن شبکه حرکت کرده است. ولی به نظر می‌رسد باید یک تشکل ملی هدایت این را داشته باشد و با برنامه‌ای مشخص سیاست‌گذاری کند و با اتکا به آن آمار یک نقطه هدفی را مشخص کند و یک استاندارد ملی را در این حوزه تعریف کند. که البته استاندارد یک بخش آن PCI است که حوزه فنی را دربرمی‌گیرد. به عنوان مثال ما بگوییم می‌خواهیم میزان از دست دادن پول، اثر اشتباهات، سوء استفاده، تقلب و… امثالهم به زیر نیم درصد از کل تراکنش‌ها برسد، آن زمان می‌شود گفت کشور با برنامه به این سمت می‌رود. اقداماتی که صورت گرفته تاکنون خوب بوده و هر نهادی که این مشکل و مساله دغدغه آن است اقداماتی را جهت جلوگیری به انجام رسانیده است پس این نشان‌دهنده این است که در این مساله به سمت جلو، در حال حرکت هستیم.
عسکری انارکی: ما یک بحث قاعده و استثناء داریم. من جایی که عرف موجب بدآموزی شود آن را قبول ندارم. ما باید قواعد را رعایت کنیم. یعنی قواعدی که در دنیا جا افتاده و بررسی شده است. باید عقلانیت و خرد جمعی استاندارد را مشخص کند و آن‌ها را رعایت کنیم. اگر ما قواعد را رعایت کنیم خیلی از مشکلات‌مان رفع می‌شود. ولی اگر رعایت نکنیم و عرف جاری شود تغییر آن بعدها مصیبت خواهد بود، چون عادت شده است.
منبع: ماهنامه بانکداری آینده، شماره12 و 13، مرداد و شهریور 95