رمز پویا در نبود زیرساختهای امنیتی بانکی
محمد کرباسی _ دبیر گروه دانش و فناوری
استفاده از رمز پویا یا یکبار مصرف با افزایش شدید کلاهبرداریهای آنلاین و فیشینگ در کشور مدتهاست تبدیل به یک مسئله حیاتی شده است. بانک مرکزی روز گذشته اعلام کرد که انجام تراکنشهای بانکی و پرداخت از ابتدای دیماه سالجاری تنها با رمز دوم پویا امکانپذیر خواهد بود. طرح استفاده اجباری از رمز دوم یکبار مصرف قرار بود از اول خرداد امسال اجرا شود اما بهخاطر مشکلات مختلف ازجمله نبود زیرساختهای فنی و همچنین دسترسی نداشتن همه مردم به گوشیهای هوشمند به تأخیر افتاد. برای رساندن رمز پویا به مالک حساب روشهای مختلفی طی ماههای اخیر ازجمله با محوریت ارسال پیامک پیشنهاد شده اما واقعیت این است که روش دریافت رمز یکبار مصرف مسئله خیلی مهمی نیست. مشکل اصلی این است که برداشتهای غیرمجاز و فیشینگ که حداقل ۷۰درصد پروندههای پلیس فتا را تشکیل میدهد در نبود زیرساختهای امنیتی مبتنی بر فناوریهای نوین آن قدر در کشور رشد داشته که دیگر چارهای سریعالوصولتر جز پیدا کردن راهحلی اینچنینی بهنظر نمیرسد.
در واقع بهخاطر استفاده نکردن از فناوریهای درست و تلاش نکردن برای ایجاد زیرساختهای امنیتی لازم، اکنون در بحبوحه کلاهبرداری از مردم راهحلی غیر از ایده رمز پویا باقی نمانده که بتواند در سریعترین زمان ممکن قابل دسترسی باشد. در کشورهای دیگر با استفاده از الگوها و الگوریتمهای پیشرفته کلاهبرداریهای مالی و تراکنشهای مشکوک بسیار سریع شناسایی میشوند و در واقع زیرساخت فنی بانکها بهصورت خودکار از تراکنشهای غیرعادی جلوگیری میکنند. با وجود آنکه سیستمهای الکترونیکی کشور ما میتوانند در طول روز ۵۰ میلیون تراکنش بانکی را مدیریت کنند «تراکنش دو عاملیتی» مسئلهای است که اصولا به آن در این شبکه قدرتمند توجهی نشده است. در کشورهای دیگر در مرحله اول، تراکنش از نظر ویژگیهای ساختاری توسط هوش مصنوعی و الگوریتمهای خاص مورد بررسی قرار میگیرد. این رصدها میتواند مربوط به استفاده از آیپی ناشناخته، دستگاه(کامپیوتر یا موبایل) تعریف نشده و تراکنش نامتعارف و موارد گسترده دیگر باشد. درصورتی که این سیستمها مشکلی را رصد کنند از طریق پلتفرمهای خودکار یا اپراتور انسانی اقدامهای لازم مثل تماس با مالک حساب یا گرفتن تأیید صحت تراکنش روی موبایل صورت میگیرد. درصورتی که تراکنش مورد تأیید نباشد، پول به هیچ عنوان امکان جابهجایی پیدا نمیکند. در سیستم بانکداری الکترونیکی کشور ما اما هیچ وقت این سد امنیتی وجود نداشته است. در بسیاری از کشورهای جهان بهخاطر داشتن فناوریهای امنیتی مدرن اصلا اثری از رمز دوم نیست. رمز دوم حسابهای افراد در واقع همان چیزی است که ما با عنوان CVV2سالهاست با آن روبهرو بودهایم. در ایران اما رمز دوم که حالا لو رفتن آن مشکل اصلی بسیاری از کلاهبرداریهای آنلاین بهحساب میآید در واقع جایگزین یک سیستم امنیتی زیرساختی شده است.
علاوه بر این فناوریهای کشف تخلف هم در بانکداری الکترونیکی کشور ماجرای دیگری است که هیچ وقت توجه درستی به آن نشده است. در واقع با فناوریها و سیستمهای کشف تخلف میتوان از الگوریتمهای پیشرفته برای شناسایی برداشتهای غیرمجاز و تراکنشهای پولشویی احتمالی استفاده کرد. در سیستمهای کشف تخلف بانکی، زمانی که از مبدا مشخصی پول زیادی به یک حساب فرستاده شود یا تراکنش غیرعادی مشاهده شود اقدامات امنیتی به سرعت برای جلوگیری از ماجرا و حتی لغو تراکنش صورت میگیرد. با راهاندازی سیستم رمز پویا یا یکبار مصرف عملا یک صف جدید ایجاد میشود که سوئیچها باید در آن منتظر جواب بمانند و یک تراکنش رفت و برگشت اضافه انجام دهند. باید امیدوار بود ظرفیت و تابآوری فنی لازم در این رابطه وجود داشته باشد. شاید در بحران رشد کلاهبرداریهای آنلاین کشور، استفاده از رمز پویا یا یکبار مصرف مرهمی برای این زخم بهنظر برسد اما همه میدانند که این کاری اصولی و جایگزین روشهای مبتنی بر فناوریهای امنیتی مدرن بهحساب نمیآید و باید به فکر چارهای اصولی و زیرساختی برای این مسئله بود.