رمز پویا در نبود زیرساخت‌های امنیتی بانکی

محمد کرباسی _ دبیر گروه دانش و فناوری

استفاده از رمز پویا یا یکبار مصرف با افزایش شدید کلاهبرداری‌های آنلاین و فیشینگ در کشور مدت‌هاست تبدیل به یک مسئله حیاتی شده است. بانک مرکزی روز گذشته اعلام کرد که انجام تراکنش‌های بانکی و پرداخت از ابتدای دی‌ماه سال‌جاری تنها با رمز دوم پویا امکان‌پذیر خواهد بود. طرح استفاده اجباری از رمز دوم یکبار مصرف قرار بود از اول خرداد امسال اجرا شود اما به‌خاطر مشکلات مختلف ازجمله نبود زیرساخت‌های فنی و همچنین دسترسی نداشتن همه مردم به گوشی‌های هوشمند به تأخیر افتاد. برای رساندن رمز پویا به مالک حساب روش‌های مختلفی طی ماه‌های اخیر ازجمله با محوریت ارسال پیامک پیشنهاد شده اما واقعیت این است که روش دریافت رمز یک‌بار مصرف مسئله خیلی مهمی نیست. مشکل اصلی این است که برداشت‌های غیرمجاز و فیشینگ که حداقل ۷۰درصد پرونده‌های پلیس فتا را تشکیل می‌دهد در نبود زیرساخت‌های امنیتی مبتنی بر فناوری‌های نوین آن قدر در کشور رشد داشته که دیگر چاره‌ای سریع‌الوصول‌تر جز پیدا کردن راه‌حلی اینچنینی به‌نظر نمی‌رسد.

در واقع به‌خاطر استفاده نکردن از فناوری‌های درست و تلاش نکردن برای ایجاد زیرساخت‌های امنیتی لازم، اکنون در بحبوحه کلاهبرداری از مردم راه‌حلی غیر از ایده رمز پویا باقی نمانده که بتواند در سریع‌ترین زمان ممکن قابل دسترسی باشد. در کشورهای دیگر با استفاده از الگوها و الگوریتم‌های پیشرفته کلاهبرداری‌های مالی و تراکنش‌های مشکوک بسیار سریع شناسایی می‌شوند و در واقع زیرساخت فنی بانک‌ها به‌صورت خودکار از تراکنش‌های غیرعادی جلوگیری می‌کنند. با وجود آنکه سیستم‌های الکترونیکی کشور ما می‌توانند در طول روز ۵۰ میلیون تراکنش بانکی را مدیریت کنند «تراکنش دو عاملیتی» مسئله‌‌ای است که اصولا به آن در این شبکه قدرتمند توجهی نشده است. در کشورهای دیگر در مرحله اول، تراکنش از نظر ویژگی‌های ساختاری توسط هوش مصنوعی و الگوریتم‌های خاص مورد بررسی قرار می‌گیرد. این رصدها می‌تواند مربوط به استفاده از آی‌پی ناشناخته، دستگاه(کامپیوتر یا موبایل) تعریف نشده و تراکنش نامتعارف و موارد گسترده دیگر باشد. درصورتی که این سیستم‌ها مشکلی را رصد کنند از طریق پلتفرم‌های خودکار یا اپراتور انسانی اقدام‌های لازم مثل تماس با مالک حساب یا گرفتن تأیید صحت تراکنش روی موبایل صورت می‌گیرد. درصورتی که تراکنش مورد تأیید نباشد، پول به هیچ عنوان امکان جابه‌جایی پیدا نمی‌کند. در سیستم بانکداری الکترونیکی کشور ما اما هیچ وقت این سد امنیتی وجود نداشته است. در بسیاری از کشورهای جهان به‌خاطر داشتن فناوری‌های امنیتی مدرن اصلا اثری از رمز دوم نیست. رمز دوم حساب‌های افراد در واقع ‌همان چیزی است که ما با عنوان CVV2سال‌هاست با آن روبه‌رو بوده‌ایم. در ایران اما رمز دوم که حالا لو رفتن آن مشکل اصلی بسیاری از کلاهبرداری‌های آنلاین به‌حساب می‌آید در واقع جایگزین یک سیستم امنیتی زیرساختی شده است.

علاوه بر این فناوری‌های کشف تخلف هم در بانکداری الکترونیکی کشور ماجرای دیگری است که هیچ وقت توجه درستی به آن نشده است. در واقع با فناوری‌ها و سیستم‌های کشف تخلف می‌توان از الگوریتم‌های پیشرفته برای شناسایی برداشت‌های غیرمجاز و تراکنش‌های پولشویی احتمالی استفاده کرد. در سیستم‌های کشف تخلف بانکی، زمانی که از مبدا مشخصی پول زیادی به یک حساب فرستاده شود یا تراکنش غیرعادی مشاهده شود اقدامات امنیتی به سرعت برای جلوگیری از ماجرا و حتی لغو تراکنش صورت می‌گیرد. با راه‌اندازی سیستم رمز پویا یا یکبار مصرف عملا یک صف جدید ایجاد می‌شود که سوئیچ‌ها باید در آن منتظر جواب بمانند و یک تراکنش رفت و برگشت اضافه انجام دهند. باید امیدوار بود ظرفیت و تاب‌آوری فنی لازم در این رابطه وجود داشته باشد. شاید در بحران رشد کلاهبرداری‌های آنلاین کشور، استفاده از رمز پویا یا یکبار مصرف مرهمی برای این زخم به‌نظر برسد اما همه می‌دانند که این کاری اصولی و جایگزین روش‌های مبتنی بر فناوری‌های امنیتی مدرن به‌حساب نمی‌آید و باید به فکر چاره‌ای اصولی و زیرساختی برای این مسئله بود.