در حال خواندن
در میزگرد آنلاین با حضور مدیران دولتی و بخش خصوصی در حوزه امنیت بانکی عنوان شد: مدیریت تقلب در گرو قابلیت پروفایلینگ رفتار مشتریان از سوی بانک‌هاست
بعدی
قبلی
6402 97
0

در میزگرد آنلاین با حضور مدیران دولتی و بخش خصوصی در حوزه امنیت بانکی عنوان شد: مدیریت تقلب در گرو قابلیت پروفایلینگ رفتار مشتریان از سوی بانک‌هاست

حضور علیرضا اطهری‌فرد، معاون نظارت شرکت کاشف و علی عباس‌نژاد، مدیرعامل گروه شرکت‌های کهکشان
نویسنده:  علی اصغر افتاده1400-08-08

افشای اطلاعات رتبهبندی بانکها، نیازمند اتخاذ سیاستهای لازم توسط بانک مرکزی است

 

به‌ همان نسبت که فناوری اطلاعات و توسعه آن در نظام بانکداری و پرداخت، فرصت ایجاد کرده، احتمالا به ‌همان نسبت چالش و مساله نیز ایجاد کرده است. در این رابطه، صنعت فناوری اطلاعات با پیچیده‌تر شدن شیوه‌های تخلف و تقلب، نیازمند طراحی سیستم‌هایی با دقت و عملکرد بالاتر است.

تخلف و تقلب در بانکداری، شامل انجام فعالیت‌های بانکی و پرداختی با کارت‌های بانکی سرقتی، جعل چک، فعالیت‌های نامتعارف با حساب‌های بانکی اجاره‌ای، انجام تراکنش‌های مشکوک به پولشویی و موارد متعدد دیگری است که هر روز به انواع آنها نیز اضافه می‌شود؛ این تازه ابتدای مسیر جذاب برای کلاهبرداران یا متخلفان حرفه‌ای است که با شناسایی نقاط ضعف بانک‌ها در این حوزه، با شیوه‌های مدرن‌تر قدم به این عرصه می‌گذارند و اگر امروز سامانه‌های تشخیص تخلف و تقلب در بانک‌ها مستقر نشوند، احتمالا در آینده نزدیک، بانک‌ها می‌توانند از این ناحیه به نظام اقتصادی کشور، آسیب جدی وارد کنند.

اینکه در راستای پاسخ به این نیاز، تاکنون رگولاتور و نظام بانکی چه اقداماتی انجام داده‌اند و سامانه‌های امنیتی و نظارتی شبکه بانکی، تا چه میزان، آمادگی شناسایی و برخورد با این تخلفات را دارند، موضوعات مهمی در این عرصه محسوب می‌شوند.

از این‌رو، در این میزگرد آنلاین از سلسله نشست‌های تخصصی بانکداری و اقتصاد دیجیتال، با موضوع «بررسی آخرین وضعیت امنیت و کشف تقلب در نظام بانکی» که با حضور علیرضا اطهری‌فرد، معاون نظارت شرکت کاشف و علی عباس‌نژاد، مدیرعامل گروه شرکت‌های کهکشان برگزار شد، اقدامات رگولاتور و نظام بانکی و نیز آمادگی سامانه‌های امنیتی و نظارتی در برخورد با تخلفات، موردبحث و تبادل‌نظر قرار گرفت. آنچه پیش‌روی شماست، مشروح این گفتگوست. حامی این میزگرد، شرکت توسعه خدمات الکترونیکی آدونیس است.

فایل صوتی این گفت‌وگو را از اینجا بشنوید.

نشریه دیجیتال این گفت‌وگو را از اینجا دانلود کنید.

اسپانسر شرکت توسعه خدمات الکترونیکی آدونیس

  • در ابتدای میزگرد، عرض کنم قرار بود امروز در خدمت آقای عباسی، معاون نظارت شرکت شاپرک باشیم اما به دلیل عدم هماهنگی مناسب آقای صاحب فصول، مدیر روابط عمومی این شرکت، این موضوع میسر نشد و حتی با وجود تلاش برای حضور آقای عباسی، بنا به ملاحظات ایشان، نتوانستیم در خدمتشان باشیم که البته امیدوارم ملاحظات را کنار بگذارند و نسبت به عملکرد خود پاسخگو باشند. جناب اطهری به عنوان اولین سوال بفرمایید با توجه به پنج سال سابقه حضور کاشف، چرا این مجموعه در نظام بانکی قرار گرفت؟ و چه اهدافی را در این زمینه دنبال میکند؟

اطهری: ماموریت و رسالت شرکت کاشف، شامل پایش، جهت‌دهی و ارزشیابی امنیت فضای تولید و تبادل اطلاعات بانکی است. همان‌طور که می‌دانید بانک مرکزی، مقرراتی را به عنوان مقررات ناظر بر شرکت کاشف تنظیم و ابلاغ کرده و ماموریت‌ها و وظایف شرکت کاشف در آن مستند، تفسیر، تعیین و ابلاغ شده است. عمده فعالیت‌ها، برنامه‌های عملیاتی و اجرایی در چند سالی که از راه‌اندازی شرکت می‌گذرد، معطوف به سه هدف اصلی بوده است: اولین هدف، ارتقای توانمندی نظام بانکی در پیشگیری از رخدادهای امنیتی، دومین هدف، ارتقای قابلیت پشتیبانی و پاسخگویی هماهنگ به تهدیدها و رخدادهای امنیتی و سومین هدف، افزایش توانمندی توان نظارتی شرکت کاشف و نظارت‌پذیری در نظام بانکی بوده که فعالیت‌ها و اقداماتی در سال‌های گذشته انجام شده است.

  • در چند سال گذشته، درخصوص نشت اطلاعات در سامانههای مختلف مانند دانشگاهها، وزارتخانهها، پلیس راهور و صنایع حملونقل در اخبار زیاد شنیدهایم و این اطلاعات مانند نقلونبات در همهجا منتشر شد! با توجه به اینکه ذخیره اطلاعات در نظام بانکی خصوصا اینکه اطلاعات هویتی کاربران باید از محرمانگی خاصی برخوردار باشد، این نشت اطلاعات در ابزارهای دفاعی که قرار است به واسطه آنها از تقلب و کلاهبرداری جلوگیری شود، باعث نمیشود ابزارهای دفاعی ما دچار مساله شوند؟ نکته دیگر اینکه با توجه به مشکلات موجود، آیا شبکه بانکی ما در وضعیت فعلی، ایمن است یا اساسا تا الان مشکلی نداشتهایم؟

عباس‌نژاد: ابتدا ببینیم فارغ از شبکه بانکی، در حوزه فناوری، چه اتفاقاتی می‌افتد زیرا شبکه بانکی نیز بخشی از زیرساخت فناوری اطلاعات کشور ماست و چندان جدا از سایر زیرساخت‌های آی‌تی نیست. ما در یکی دو سال گذشته، دو نوع سوءاستفاده در حوزه امنیت سایبری داشته‌ایم. بحث اول از دسترس خارج شدن سامانه‌هاست که بسیار زیاد اتفاق می‌افتد. در چند وقت اخیر هم نمونه-های متعددی وجود داشته که کسب‌وکارهای بزرگی را دچار مشکل کرده است. مثلا وقتی یک سرویس‌دهنده زیرساخت ابری دچار مشکل می‌شود نه تنها اطلاعات خودش، بلکه تمام زیرساخت‌هایی که به عنوان سرویس به سایرین داده و نیز کسب‌وکار آنها با مشکل مواجه می‌شود. در یک سال اخیر، چند مورد بسیار جدی داشتیم در حدی که نیاز داشته به استراتژی‌ها و سیاست‌های‌مان در حوزه فناوری اطلاعات و امنیت اطلاعات توجه مجدد کنیم. بحث دوم، نشت اطلاعات و فروش اطلاعات نشت‌شده است که زیاد اتفاق افتاده است. حدود هفت هشت ماه گذشته، ۱۵ نشت، بالای ۱۰۰ هزار رکورد داشتیم؛ این ۱۰۰ هزار رکورد یعنی تاثیر آن بسیار زیاد است و تکرار ۱۵ باره آن نیز به این معناست که likelihood زیاد است. ریسک هم به معنای ضرب likelihood در impact است. بنابراین ریسک ما در حوزه امنیت سایبری، نشر و فروش اطلاعات بسیار زیاد است. شما اشاره کردید در اطلاعات نشت‌شده، اطلاعات هویتی وجود دارد اما مساله فقط این نیست بلکه به جز اطلاعات هویتی موارد دیگری نیز وجود دارد که نگرانی‌ها را بیشتر می‌کند. درباره اطلاعات هویتی، شاید گفته شود مثلا هفت سال پیش اطلاعات ایرانسل ۳۷٫۵ میلیون رکورد، لیک شد و همه، اطلاعات هویتی این تعداد را دارند. بنده موارد نشت اطلاعات که پنج سال از آن گذشته، به راحتی عرض می‌کنم. امروز در قالب اطلاعاتی که لیک می‌شود و در اختیار بازیگران تهدید قرار می‌گیرد، حتی با پرداخت هزینه، اطلاعات دیگری مانند نمونه امضا، مجوزها و… را نیز می‌دهیم. درباره افراد حقیقی، مواردی مانند شماره پلاک ماشین، نوع خودرو، شماره DIN مسائلی است که نوع حملات آتی بازیگر تهدید را تغییر می‌دهد. نمونه‌های دیگر طی سه چهار ماه گذشته، برند تلفن همراه، نسخه اندروید، شناسه IMEA دستگاه موبایل مورداستفاده نیز مطرح است. در کنار هم قرار گرفتن همه اینها، مساله را از یک نشت فراتر می‌کند. همه اینها ریسک‌های با هم مرتبط را ایجاد می‌کند و نهایتا ریسک آن، نه تنها حاصل‌جمع ریسک‌های مختلفی است که بر اثر هریک، نشت به وجود آمده، بلکه اینها در همدیگر ضرب می‌شود. این نوع ریسک‌های ایجادشده در بازه زمانی یک‌ساله در کشور، نشانه این است که ما به امنیت سایبری توجه کافی نکرده‌ایم.

  • البته نمونه بانکی هم رخ داد که بر اثر آن نه کسی استعفا داد، نه دستگاههای ناظر با کسی برخورد کردند، نه حرکت دیگری رخ داد. یادم هست اطلاعات یک بانک شامل نام و نام خانوادگی مشتریان، شماره حساب، میزان موجودی و حتی شعبهای که در آن حساب دارد، نشت پیدا کرد. برای صحت-سنجی، چندین تماس با مشتریان بانک داشتم که آنها تعجب کردند بنده موجودی حسابشان را می-دانم! وقتی میزان موجودی درز پیدا کند و آدرس آن هم به شکل دیگری منتشر شود، بالاخره مشکلات گروگانگیری و بسیاری اتفاقات دیگر رخ میدهد. نمیدانم چرا در این موارد، اغماض میشود و هیچ برخورد جدی صورت نمیگیرد یا اینکه برخورد میشود اما دستگاههای نظارتی اطلاعرسانی نمیکنند.

عباس‌نژاد: فرمایش شما درست است. البته موردی که اشاره کردید موجودی نشت کرده، بنده اطلاعی ندارم درباره کدام‌یک صحبت می‌کنید یا شاید آن‌قدر تعدادشان زیاد است که از خاطرم رفته است! در حوزه بانکی کشور ما، این موارد، ابتدا انکار می‌شود و اگر نشت، صورت می‌گیرد، اعم از حوزه بانکی یا سایر حوزه‌ها، می‌گویند این نشت و دیتا مربوط به ما نیست! متاسفانه اولین برخورد در کشور ما در حوزه امنیت سایبری، انکار است. برخی موارد ممکن است درست بگویند که دیتای آنها نباشد اما بیشتر موارد این‌طور نیست. بر اساس نتایج تحلیل، مشخص می‌شود این نشت اطلاعات مربوط به یک نهاد، واقعا وجود دارد. در حوزه بانکی هم اتفاق افتاده و موارد متعددی داشتیم که اطلاعات مبنی بر نشت شدن کاملا درست بوده زیرا ما صحت‌سنجی انجام می-دهیم و قطعا دستگاه‌های ناظر هم این کار را انجام می‌دهند. اینکه چرا آگاهی‌رسانی نمی‌شود، یکی از مشکلات موجود است و باید اتفاق بیفتد. اولا باید مشخص شود در دنیای پیشرفته، در حوزه امنیت سایبری، هر اتفاقی می‌افتد و مسائل خاص امنیت ملی ندارد، بررسی فنی درباره آن می‌شود و در اختیار متولیان قرار می‌گیرد تا با جزییات بدانند چه اتفاقی افتاده و از آن درس‌آموخته داشته باشند، در مورد آن بهترین درس‌ها را مستند و مکتوب کنند و همه در آینده از آن استفاده نمایند. اینکه چه بلایی بر سر آن تیم یا بازیگر تهدید که آن کار را انجام داده، آمده، نیز مهم است. رسانه‌ای شدن آن موجب می‌شود کسی جذب این موضوع نشود. در بسیاری از کشورها در حوزه امنیت سایبری، در عرصه امنیت، بحث صیانت از داده‌های کاربران وجود دارد. آقای پوراعظم در گروه به GDPR اشاره کرده‌اند که درست است و باید چیزی مشابه آن وجود داشته باشد که در حال حاضر در کشور، درباره آن فکر می-شود. با نوع قوانینی که به این شکل وجود دارد، سازمان، مجموعه و کسب‌و‌کاری که این دیتا را دارد، نسبت به حفاظت از آن اطلاعات باید کاملا تحت‌کنترل باشد و قوانین بر آن حکم کند که چگونه این دیتا را نگهداری نماید. علت اینکه عرض کردم موارد زیاد دیگری از نشت اطلاعات وجود دارد که می‌تواند بر حوزه بانکی نیز تاثیرگذار باشد، به دو دلیل است. دلیل اول این است که ما مواردی که جاهای دیگر اتفاق می‌افتد، ببینیم، از درس‌آموخته‌های آن استفاده کنیم و بدانیم ممکن است برای ما هم اتفاق بیفتد چون زیرساخت فناوری اطلاعات که در بانک‌ها استفاده می‌کنیم، چندان متفاوت از زیرساخت‌های فناوری در جاهای دیگر نیست. دلیل دوم این است که تمام اطلاعاتی که در نشت‌های دیگر موردنشت قرار می‌گیرد، می‌تواند برای spearfishing استفاده شود. spearfishing، نوعی از فیشینگ هدفمند است. اگر شما یک ایمیل و پیامک را همین‌‌طوری دریافت کنید و به شما لینک بدهد، قطعا باز نمی‌کنید اما اگر کاملا نسبت به شما سفارشی‌شده باشد، مثلا نام، شماره پلاک ماشین، اطلاعات درباره موبایل‌تان و حتی اطلاعات دانشگاهی شما را داشته باشد، قضیه فرق می‌کند. مثلا در یکی از نشت‌ها، معدل دانشگاه، واحدهای گذرانده‌شده و… وجود داشت. اگر spearfishing برای شما شخصی‌سازی کند، احتمال سوءاستفاده در تراکنش‌های بانکی و هدایت کاربران به فیشینگ‌های خاص‌منظوره را هم بیشتر خواهد کرد که قطعا باید به آن توجه ویژه شود. در مجموع، ما در حوزه بانکی، کنترل‌های خوبی داریم اما با توجه به تجربیات بنده، این کنترل‌ها کافی نیست و نگرانی‌های خیلی جدی در این حوزه وجود دارد که باید به آن پرداخته شود.

  • آقای عباسنژاد، بنده در واتسآپ، آن بانکی که موجودی مشتریانش نشت شده بود، برای شما ارسال کردم اما در برنامه نمیتوانم نام ببرم! در همین زمینه نمیدانم چرا نام بردن بانکهایی که کمکاری میکنند یا اطلاعاتشان به این شکل نشت پیدا میکند، در کشور به راحتی صورت نمیگیرد و حتی به قول آقای عباسنژاد، انکار میکنند اما اگر در تلگرام، فردی مانند آقای جورج اندی اطلاعرسانی کند و موضوع، باز شود، جایی برای تکذیب نمیماند با این حال، درباره اینکه بعدا موضوع، پیگیری شود و اینکه تکرار خواهد شد یا نه، اصلا صحبتی نمیشود. آیا قبول دارید صحبت نکردن و عدم اطلاعرسانی در این زمینه، موجب میشود کار برای نفرات بعدی هم مشکلساز شود؟ مواردی که متاسفانه سلسلهوار ادامه دارد و قرار نیست تمام شود. آیا دلیل خاصی وجود دارد که درباره اسامی و نوع برخورد با این بانکها در نظام بانکی و فراتر از آن صحبت نمیشود؟ البته در سازمانهای دیگر هم این اتفاق رخ داده است مانند ثبت احوال که اطلاعات هویتی همه افراد، به خاطر جابهجایی سیدی از این سازمان به سازمان دیگر، لو رفت و در انتها معلوم نشد چه شد! البته یادم هست با آقای ناظمی، رئیس سازمان فناوری اطلاعات و معاون سابق وزیر ارتباطات صحبت کردیم، ایشان اعلام کرد از طرف وزارت ارتباطات و سازمان فناوری زیرمجموعه آن، در قوه قضائیه، شکایت ثبت کردیم اما نتیجه آن اطلاعرسانی نشد. نظر شما در این موارد چیست؟

اطهری: البته وضعیت این موضوع، نسبت به سال‌های گذشته، متفاوت شده و شاهد شدت مخفی‌کاری‌ به اندازه قبل نیستیم. اینکه وقتی حادثه‌ای رخ می‌دهد، اطلاع‌رسانی شود، برای مشتریان تحت‌تاثیر آن، قطعا اتفاق می‌افتد. این‌طور نیست که اگر برای یک بانک، اتفاقی بیفتد فقط مخفی‌کاری باشد بلکه جلسات متعددی برگزار می‌شود. در این حوزه، غیر از بانک مرکزی، نهادهای دیگری نیز وجود دارند که بر اساس تقسیم کار حاکمیتی، رسیدگی به حوادث در زیرساخت‌های حیاتی را بر اساس وظایف‌شان انجام می-دهند. معمولا از همان ساعات اولیه که حدس و گما‌ن‌هایی زده می‌شود، همگی حضور دارند و در میزگردهای مشترک، عواقب و پیامدها را بررسی و تحلیل می‌کنند و راهکارهایی را انتخاب می‌کنند که عواقب این اتفاقات را کاهش دهند. موضوع، این‌طور نیست که در شبکه بانکی درباره این موارد، پنهان‌کاری باشد. قطعا بانکی که این اتفاق برای آنجا افتاده، بیشتر از بنده و شما، نگران اعتبار و مشتریانش است و اقدام می‌کند با این حال باید با فرهنگ‌سازی به سمتی برویم که شما اشاره می‌کنید. همین الان در گزارش‌دهی رخدادها مشکل داریم و بانک‌ها چندان ترغیب نشدند و برای گزارش‌دهی در صورت اتفاقات موجود انگیزه‌ای ندارند. یکی از مباحث پایه‌ای گزارش‌دهی و گزارش‌گیری این است که این موارد در بستر اعتماد اتفاق بیفتد و اگر قرار باشد گزارش‌ها، به سرعت رسانه‌ای شود، به اعتبار بانک صدمه بزند، اعتماد مشتریان را از بین ببرد و باعث ایجاد وحشت در جامعه شود، عواقب منفی آن بیش از مثبت است. در مجموع باید به سمت شفاف‌سازی برویم اما واقعا فکر نکنیم اگر اطلاع‌رسانی نمی‌شود یا برخی واقعیت‌ها مطح نمی-شود، نشانه بی‌عملی و بی‌تفاوتی بانک‌هاست. در مواردی که بنده درگیر آن بودم، تمام بدنه بانک و بدنه سازمان‌هایی که می‌توانند در جمع‌وجور کردن حادثه تاثیرگذار باشند، درگیر می‌شوند و کمک می‌کنند و به سرعت راهکارهایی انتخاب می‌شود که به وضعیت بخشی از مشتریانی که واقعا تحت‌تاثیر قرار می‌گیرند، رسیدگی شود. برخی از نشت‌‌ها، داده‌های قدیمی و نامعتبر است و این موارد، در تحلیل‌های عمیق که توسط بانک صورت می‌گیرد، مشخص می‌شود. از آن بخش اطلاعات افشاشده، تعدادی از مشتریان را تحت‌تاثیر قرار می‌دهد و برای آنها اقداماتی انجام می‌شود. در مجموع، هرچند باید به سمت شفاف‌سازی برویم اما در حوزه امنیت، گزارش‌دهی و حرف زدن از همه‌چیز، مخاطراتی به همراه دارد. در سال‌های اخیر، این موضوع، روند رو به بهبود داشته است.

  • البته ما نمیگوییم در رسانهها اطلاعرسانی کنند چون نمیتوان هر خبری را در رسانهها منتشر کرد اما به عنوان نمونه عرض میکنم چند وقت پیش، رخداد فیشینگ برای اینترنتبانکها ایجاد شد و از یک بانک شروع شد (البته بنده نمیتوانم اسم بیاورم اما شما میتوانید نام ببرید!) و سلسلهوار سایر بانکها را هم با همان روش، دچار مساله کرد. در بانک اول، به فرمایش شما، همه برای حل مشکل بسیج میشوند اما به کاشف یا سایر بانکها اعلام نمیکنند که یک نفر در حال نفوذ است تا سایر بانکها خودشان را آداپته کنند و تجربیات خود را در اختیار بانک بعدی قرار دهند که با چه روشی آن را برطرف کنند. آیا در کاشف، مرکزی داریم که بانکها، حتی بدون نام هم موضوع را مطرح کنند؟ البته طرح این موارد با توجه به بحث رقابت و تجاری بانکها، خوشایند نیست اما به صورت بدون نام، میتوانند این رخدادها را از طریق کاشف اطلاعرسانی کنند و کاشف نیز از طریق دیگر اطلاعرسانی کند.

اطهری: واقعیت این است که اگر بخواهیم پاسخگویی موثری به تهدیدها و آسیب‌پذیری این رخدادها داشته باشیم، راهی جز جلب مشارکت و اشتراک‌گذاری اطلاعات نداریم چون باعث می‌شود از همه ظرفیت‌های موجود استفاده کنیم و سریعا پاسخ دهیم قبل از اینکه سایر بانک‌ها مبتلابه شوند. الان در مسیری هستیم که این وضعیت روزبه‌روز در حال بهتر شدن است. مثلا درباره فیشینگ‌ها، نه تنها بانک‌ها گزارش دادند بلکه شرکت کاشف همکاری‌ها و تعاملاتی را با سایر نهادهای امنیتی، انتظامی و حقوقی دارد. این نهادها، وقتی چنین اتفاقاتی در بانک‌ها رخ می‌دهد و مشتریان به عنوان شاکی به آنها مراجعه می‌کنند، به شرکت کاشف گزارش می‌دهند و این شرکت در قالب هشدار، تحلیل و راهکار، اطلاعات لازم را در اختیار همه بانک‌ها قرار می‌دهد. بعضا جلسات فوری با نمایندگانی که توسط شرکت کاشف در حوزه امنیت شناسایی شده، تشکیل می‌شود و با آنها، موضوعات بررسی و راهکار، استخراج می‌شود و این راهکارها، در قالب هشدار در اختیار همه بانک‌ها قرار می‌گیرد. بعضا هشدار کفایت نمی‌کند. مثلا در حوزه اینترنت-بانک‌ها ضروری بود پیاده‌سازیِ کنترل‌های لازم پیگیری شود. بنابراین با متولیان مربوط به اینترنت‌بانک‌ها، جلساتی برگزار و تست-هایی انجام شد، تا زمانی که مطمئن شدیم اقدامات اولیه و لازم، انجام شده است. بنده با فرمایش شما موافقم و راهی جز آن نداریم و ما هم به آن سمت، حرکت می‌کنیم. دوستان بانکی در گروه می‌توانند درباره انواع هشدارهایی که روزانه برای آنها ارسال می‌شود، آسیب‌پذیری‌ها و تهدیدهایی که تحلیل و اطلاعات این تحلیل‌ها بین بانک‌ها اشتراک‌گذاری می‌شود، اظهارنظر نمایند. امیدواریم طی این مسیر، هم با سرعت بیشتری باشد و هم با همکاری و تعامل بین شبکه بانکی و بازیگران این شبکه، زودتر به چشم‌انداز ایده‌آل مدنظر شما برسیم.

  • البته این چشمانداز ایدهآل، در قرن ۲۱، موضوع خارقالعادهای نیست. در دنیا، در اخبار خارجی، مشکلات را به جزء مطرح میکنند و نام شرکت را ذکر مینمایند. البته چون برای ما مهم نیست که چه برخوردی با آن شرکتها میشود، چندان پیگیری نمیکنیم و احتمالا برخوردهایی نیز صورت میگیرد. با این حال، این موضوع، حق مردم است که بدانند اگر بانکی کمکاری میکند یا نقطه ضعفی دارد، منابع مالی خود را در آن بانک قرار ندهند. به نظر میرسد این حق برای همه جایز است. بگذریم… لطفا بفرمایید شرکت کاشف، در حوزه کشف تقلب و پولشویی در نظام بانکی چه نقشی دارد؟

اطهری: عمده فعالیت‌های شرکت کاشف در سال‌های گذشته، در حوزه امنیت اطلاعات، متمرکز بوده است و تقریبا از نیمه سال گذشته، حسب ماموریت‌هایی که معاونت فناوری‌های نوین بانک مرکزی برعهده کاشف گذاشت، فعالیت‌ها و اقداماتی به این شرکت سپرده شد. بنابراین ما در این حوزه، با جهت‌گیری‌ای که بانک مرکزی مشخص کرده بود و سناریوهای مشخصی که آسیب‌ جدی-تری به شبکه می‌زنند، کار را در حوزه‌های مختلف آغاز کردیم. ما تلاش می‌کنیم هم در فضای تنظیم‌گری، تدوین الزامات، ضوابط اجرایی و مقررات به بانک مرکزی کمک کنیم و هم با ایجاد حلقه‌های اعتماد و مشارکت، از همه دست‌اندرکاران، اعم از درون‌بخشی و بین‌بخشی جلب مشارکت داشته باشیم تا در این حوزه، گام‌های خوبی برداریم. در کنار این موارد، فناوری‌های لازم برای نظارت داده‌محور و هوشمند بر روی موارد سوءاستفاده از ابزارهای بانکی و تقلب‌ها در دستورکار شرکت کاشف بوده و این موضوع، ادامه دارد. در این زمینه، در حوزه‌های آموزش، هوشمندی روش‌های نظارتی، جلب مشارکت بازیگران و ایجاد هماهنگی و همکاری بین نهادهای درون‌بخشی و بین‌بخشی، اقداماتی در دستورکار است که بخشی از آن آغاز و بخشی نیز طرح‌ریزی شده که در آینده نزدیک شروع خواهد شد.

  • آنچه بیشتر در ذهن بوده این است که کاشف برای فعالیت در حوزه امنیت و پولشویی ایجاد شده است اما اینکه شما به تازگی در حوزه کشف تقلب ورود کردهاید، برای بنده، سوال است. آیا به این موضوع برمیگردد که شرکت خدمات و شاپرک، به طور مستقل، نرمافزارهای فراددیتکشن را دارا هستند و هرکدام به تنهایی و به صورت مجزا، نظارت خود را بر روی شبکه انجام میدهند. درست است؟

اطهری: بله درست است. عرض بنده درباره شرکت کاشف بود چون این موضوع در بانک مرکزی و سایر شرکت‌های حاکمیتی متعلق به آن، مسبوق به سابقه است. سوئیچ‌های تبادل پیام مرکزی، بعضا به ابزارهای لازم برای تشخیص تقلب مسلح شده‌اند و کار خودشان را انجام می‌دهند و مربوط به سابقه‌ای که عرض کردم نیست. ما اخیرا کار را آغاز کردیم و در این مسیر، سعی داریم کار را سرعت دهیم و از همه ظرفیت‌های موجود استفاده کنیم تا به بانک‌ها و بانک مرکزی کمک نماییم مقابله موثری در این حوزه داشته باشند.

  • آیا علت مشخصی وجود داشت که بانک مرکزی، شرکت کاشف را هم درگیر این موضوع کرد؟ البته از نظر تکنیکال، فکر میکنم درست این است که یک نهاد مستقل، نظارت و کشف تقلب را دنبال کند. مثلا الان شرکت خدمات و شاپرک، که خودشان مجری شبکه حاکمیتی هستند، چنانچه رخدادی از سمت اتفاق بیفتد، چون خودشان هم مجری هستند و هم ناظر، نداخل منافع دارد. بهتر است شرکت دیگری مانند کاشف که در حال ورود است، جداگانه بر آنها هم نظارت کند. درست است که این شرکتها، حاکمیتی هستند اما به هر حال، در این زمینه، مجری محسوب میشوند. در همین زمینه، آقای محرمیان، نامهای را چندماه پیش برای نظام بانکی ارسال کرد که فکر میکنم کارهای آن را کاشف انجام داد. بر اساس این نامه، بانکها ملزم شدند سامانههای کشف تقلب، فراددیتکشن و امثال آن را با یکسری استانداردها و پروتکلهایی که پیشنهاد شده بود، هرچه زودتر پیادهسازی کنند. آیا شما پیگیری کردهاید که بانکها چه کردهاند؟ چون از رگولاتور، این توقع وجود ندارد که فقط هشدار بدهد بلکه بحث نظارت از مهمترین ارکان رگولاتور است. اینکه سیاستگذاری کند، مهم است اما مهمتر از آن نظارت است. خروجی آن نامه چه شد؟ آیا مهلت زمانی خاصی برای این موضوع گذاشتید که مثلا بانکها تا فلان زمان، خودشان را آداپته کنند و اگر در این حوزه، کاستی دارند، آن را مرتفع نمایند؟

اطهری: در اکوسیستم بانکی و پرداخت، هرکدام از بازیگران باید نقش‌آفرینی خودشان را داشته باشند و بانک مرکزی در برخی حوزه‌ها به این نتیجه رسیده که کاشف می‌تواند نقش‌آفرینی بهتری داشته باشد از جمله تنظیم مقررات، نظارت بر حسن اجرای مقررات، آموزش‌ها، کمک به تدوین سیاست‌ها و اهداف کلان، ایجاد هماهنگی‌ها و همکاری‌ها و ایجاد حلقه‌های مشترک و اعتماد. اینها مواردی هستند که یک شرکت دیگر مانند کاشف می‌تواند در این زمینه مفید عمل کند. این برنامه با کمی فاصله شروع شده چون شرکت خدمات و شاپرک، شرکت‌هایی هستند که از قدیم در این حوزه، فعالیت‌هایی داشته‌اند. ما هم تلاش می‌کنیم بخشی از فعالیت‌هایی که مغفول واقع مانده بود، برعهده بگیریم و به جریانی که در حال رخ دادن است، کمک کنیم. ما تقریبا از مردادماه سال گذشته که کار را آغاز کردیم، در ابتدای امر، در تلاش بوده‌ایم تا وضعیت مدیریت مخاطرات تقلب و سوءاستفاده از ابزارهای بانکی را در شبکه بانکی شناسایی کنیم. در این زمینه گزارش‌های مختلفی از بانک‌ها دریافت شد و جلسات متعددی با کارشناسان بانکی داشتیم و به شناخت نسبی درباره وضعیت موجود رسیدیم. در کنار این موضوع، نیاز به جلب مشارکت بازیگران داخلی و بازیگران بیرونی در این زمینه داشتیم. بنابراین شبکه‌ای از نمایندگان بانک‌ها در این زمینه شکل گرفت و جلسات در قالب کارگروه-های مختلف، اعم از مدیریتی و کارشناسی برگزار شد و در حال برگزاری است تا تجارب و داده‌ها را بین بانک‌ها به اشتراک بگذاریم و اگر ظرفیتی در این زمینه در یکی دو بانک خاص وجود دارد، از آن ظرفیت‌ها استفاده کنیم. اشتراک‌گذاری تجارب و داده‌ها خیلی مفید است. این اقدامات در حال انجام است و موضوع بین‌نهادی نیز موردتوجه کاشف بوده است. پاسخگویی اثربخش به بسیاری از اتفاقات، نیازمند هماهنگی با نهادهای برون‌بخشی مانند قضائی، انتظامی و برخی حوزه‌های امنیتی است و باید ارتباطات لازم با این نهاد شکل می‌گرفته و فرایندهای کاری بین ما و آنها تنظیم و تصویب می‌شده که بخشی انجام شده و بخش دیگر در دست پیگیری است. همچنان دنبال این موضوع هستیم که مانند اتفاقی که در حوزه امنیت سایبری رخ داد، در این زمینه، هم نقش پنجره واحد را در شبکه بانکی اجرا کنیم و ارتباط بین بازیگران، اجرای داخلی مقررات بانک‌ها و فرایند تنظیم‌گری بانک مرکزی را تسهیل کنیم. در کنار همه اینها، به دنبال این موضوع هستیم که با زیرساخت‌های لازم، آن نظارت داده‌محور و هوشمند موردنظر بانک مرکزی طی یک سال اخیر را محقق کنیم. در این رابطه، خصوصا در زمینه سناریوهای سوءاستفاده‌‌ای که اخیرا شبکه بانکی را به شدت تحت‌تاثیر قرار داده است، گام‌هایی برداشته‌ایم. در این زمینه، کارهای زیادی انجام، جلسات متعددی برگزار و ساعت‌ها کار کارشناسی روی این حوزه با کمک بقیه بازیگران، همه PSPها و بانک‌ها انجام شد. برگزاری این جلسات و استفاده از تجاربی که در بدنه شبکه بانکی و پرداخت ایجاد شد، تحلیل سناریوها، تعیین راهکارها و کمک به PSPها و بانک‌ها برای اجرای این راهکارها، از جمله اقدامات انجام‌شده است.

  • الان شاپرک و شتاب، خودشان نرمافزارهای کشف تقلب و امثال آن را دارند. در شبکه بانکی هم بانک مرکزی، ابلاغ کرده بانکها، خودشان، اقدامات لازم را انجام دهند و به این سمت بروند که بر اقدامات پولشویی و کشف تقلب، نظارت کنند. در شتاب و شاپرک، بخش عمدهای از تراکنشهای بانکی، در نظام بانکی میچرخد و دوستان در نظام بانکی به واسطه شتاب و شاپرک، میتوانند نظارتهایی داشته باشند اما آیا در تراکنشهای درونبانکی، دسترسی از سمت بانکها وجود دارد که کاشف یا جای دیگری در بانک مرکزی، نظارت درون بانکی داشته باشند؟ چون اگر قرار باشد یک بانک یا کارمند بانک، پول کثیفی را از بیرون بیاورند و اصطلاحا پولشویی انجام دهند، با انجام گردش پول در همان بانک مشخص، از یک حساب به چند حساب دیگر، پول میتواند تمیز شود و بیرون بیاید. به نظر میرسد اگر نظارت رگولاتور در اینجا نباشد، کار، سخت میشود. آیا الان رگولاتور، دسترسی درونبانکی دارد تا چک کند یا فقط همان تعداد تراکنشی که به شتاب و شاپرک میآید، رصد میشود؟

اطهری: الان دسترسی موجود عمدتا در تبادلات بین‌بانکی است. البته اینها، تبادلات کوچکی نیستند و جرایم و سوءاستفاده‌های سازمان‌یافته بیش از آنکه معطوف به یک بانک باشد، به کل شبکه مربوط است چون کسب‌وکار غیرمشروع، هیچ‌وقت خودش را محدود به مشتری‌های یکی دو بانک نمی‌کند. فعلا مبنای ما تبادلات‌ بین‌بانکی است و آنچه ما و بانک مرکزی، در حوزه عملیات انجام می‌دهیم، نافی مسوولیت بانک‌ها نیست و ما نباید طوری عمل کنیم که پاسخگویی را از بانک‌ها سلب کنیم، بانک‌ها، حسب مقررات، چه از سمت رگولاتوری خودشان و چه از سمت قوانین کشوری مانند آیین‌نامه ماده ۱۴ قانون مبارزه با پولشویی موظفند فعالانه حضور داشته باشند و اقدامات لازم را انجام دهند. بیشترین نظارت ما در حوزه داده‌ها و تبادلات درون‌بانکی، در قالب ممیزی‌های میدانی است و نظارت هوشمند و داده‌محور ما نیز بیشتر متمرکز بر تبادلات بین‌بانکی است.

  • فکر میکنم باید حوزه تبادلات درونبانکی را هم جدی بگیرید. درست است که بانکها موظفند رعایت کنند اما اگر بانکی رعایت نکرد، با انجام نظارتهای میدانی، کشف موضوع، کار سختی است. البته از آقای عباسنژاد هم میپرسم که آیا این موضوع، در دنیا روال هست یا خیر. اگر شما نکتهای دارید، بفرمایید.

اطهری: ما در حال گزارش‌گیری از بانک‌ها هستیم و قطعا بانک‌ها موظفند گزارش‌دهی داشته باشند.

  • اگر بانکها گزارش اشتباه دادند، چه باید کرد؟ موضوع این است.

اطهری: بانک باید در قبال گزارش اشتباه پاسخگو باشد.

  • شما چطور میتوانید کشف کنید گزارش، اشتباه است؟

اطهری: اینکه بانک مرکزی بتواند از درون بانک‌ها، داده‌هایی داشته باشد، در سال‌های گذشته دنبال شده و الان، وضعیت نسبت به قبل بهتر است؛ یعنی بسیاری از داده‌هایی که قبلا فقط در بانک‌ها وجود داشت، الان بانک مرکزی به آنها دسترسی دارد و می‌تواند بر روی آنها نظارت داشته باشد و در نظارت‌های داده‌محور خود از آن استفاده کند. این، کاری است که از مدت‌ها پیش شروع شده، در حال انجام است و ادامه خواهد داشت اما به هرحال در این حوزه، قواعد تشویقی و تنبیهی موجود، نباید اجازه دهد موضوعی مخفی باقی بماند. ممیزی‌های میدانی هم می‌تواند در شناسایی این موارد و تخلفات مخفی کمک کند. قاعدتا در بلندمدت، سیستم-های نظارتی و فراددیتکشن بانک‌ها، باید با سیستم بانک مرکزی، یکپارچه و گزارش‌ها به صورت آنلاین، ارسال و پیامدهای روی بقیه بانک‌ها، داخل آن مرکزی که بانک مرکزی ایجاد می‌کند، تحلیل شود و اگر نیاز است اطلاعاتی با سایر نهادها اشتراک‌گذاری شود، انجام گیرد. این موارد، در دستورکار است اما ما باید فکر کنیم الان در چه وضعیتی هستیم و گام به گام به سمت مطلوب برویم. فکر نمی‌کنم انتظار باشد در وضعیت موجود شبکه بانکی، حرف از اتفاقاتی بزنیم که هم زمان زیادتری و هم هماهنگی‌های بیشتری باید برای آن صرف شود. همچنین بعضا قوانین و مقررات باید تغییرات عمده داشته باشند. به هرحال تلاش این است که آن اقداماتی که اولویت و تاثیرگذاری بیشتری دارد و به سرعت قابل طرح‌ریزی و اجراست، در دستورکار قرار گیرد و قطعا بانک مرکزی برای آینده این مسیر، تا رسیدن به نقطه مطلوب، برنامه دارد و موضوع، با کمک بانک‌ها، پیش خواهد رفت.

  • قطعا بانک مرکزی به این موضوعات، بیتفاوت نیست اما گامها باید سریعتر برداشته شود. توقع ما این است که وقتی امروز از بانک دیجیتال در کشور صحبت میکنیم، رگولاتور هم باید دیجیتال شود. می-دانم یکی از مشکلات بانک مرکزی، کمبود نیروی انسانی در برخی بخشهاست و اینها به این موضوعات آسیب میزند. بانک مرکزی باید به این فکر کند که ساختارها و فرایندهای خود را تغییر دهد و خود را با فناوری همگام کند و طوری نشود که در وضعیت موجود، این پیشنیاز اولیه در نظام بانکی دنیا فراهم نباشد. آقای عباسنژاد شما بفرمایید آیا اینها در دنیا پیشنیاز است یا اینکه رگولاتور باید به تدریج به این موارد تجهیز شود؟ با توجه به سیستمهای کارآمد بانکی در کشورهای مدرن و پیشرفته، آیا میتوان گفت یکی از ارکان موفقیت در حوزه امنیت بانکی، رگولاتور است؟ نقش رگولاتور در حوزه امنیت سایبری و عدم سوءاستفاده از ابزارهای بانکی، مبتنی بر فناوری چقدر جدی است؟ آیا رگولاتور ما در این حوزه، نقش خود را به خوبی ایفا کرده یا خیر؟

عباس‌نژاد: آقای اطهری با توجه حضورشان در رگولاتوری، توضیحات زیادی در دفاع از رگولاتور دادند اما بنده فکر می‌کنم این-طور نیست که رگولاتور هرچه آرام پیش برود، تهدیدات هم آرام پیش برود. مساله این است که رگولاتور باید سرعت خود را با سرعت تهدیداتی که اتفاق می‌افتد، تنظیم کند. امروز در دنیا امنیت سایبری، نوع تهدیدات و سرعت تهدیدات جدید، آن‌قدر زیاد شده که رگولاتور هم باید با همین سرعت، کار خود را جلو ببرد و خودش را تغییر دهد. ما در دنیایی هستیم که به این شکل، کار می‌کند و همه رگولاتورها مجبورند مدل‌شان را تغییر دهند و بر اساس نوع تهدیدات، پیش بروند. در اینجا، دو بحث امنیت سایبری و تقلب و موارد مشابه آنها در کنار هم قرار گرفته که به همدیگر مرتبط هستند. بنده درباره مدل سایر رگولاتورهای دنیا مثال می-زنم. بانکداری مالزی تا حدی به ما نزدیک است. اگر همه این موضوعات را زیرمجموعه مدیریت ریسک در حوزه تکنولوژی بدانیم، باید ببینیم آنجا چطور نگاه می‌کنند و ما چگونه؟ مساله بعدی اینکه رگولاتور چگونه همه NTTهایی که در حوزه تکنولوژی در عرصه بانکی کار می‌کنند، ممیزی می‌کند؟ من فکر می‌کنم ما در این حوزه بسیار کند و آرام حرکت می‌کنیم و صرفا منتظریم اتفاقی رخ دهد و آن را کشف کنیم. نگاه کشف مشکلات، امروزه خیلی جواب نمی‌دهد چون ممکن است دامنه ایجاد مشکل و تاثیر، آن‌قدر زیاد باشد که صدمات بزرگی به سیستم بانکی بزند. بنابراین باید بخش بزرگی از نگاه‌مان را به سمت پیشگیری ببریم و نگذاریم آن مشکل ایجاد شود. چند سال است که در بانک مرکزی مالزی، مستندی به نام مدیریت ریسک در تکنولوژی یا RMIT وجود دارد. بر اساس این مستند، کارهای مختلفی از بانک‌ها خواسته می‌شود و اینکه چگونه آن را ممیزی می‌کند و سپس نتایج ممیزی را آنجا که لازم است، به اشتراک می‌گذارد تا نهادهای ناظر دیگر هم ببینند که چه اتفاقی در حال رخ دادن است. در کشورهای دیگر پیشرفته در حوزه بانکی، حتی کشور همسایه، رگولاتور، مدلی برای ممیزی دارد. اینکه اقدامات بانک مرکزی کافی است یا خیر، شاید بنده آگاهی درباره آن نداشته باشم اما دو کار اخیرا انجام داده است. یکی نامه آقای محرمیان به بانک‌ها درباره مدیریت مخاطرات تقلب و سوءاستفاده از ابزارهای بانکی است که احتمالا کاشف هم با آن همراهی کرده است. در این نامه، توضیح داده شده که ما متصور هستیم برخی کارها انجام شود و یکی از اقداماتی که قرار بوده انجام شود، این است که سامانه‌ای-در کل بانک‌ها مستقر شود که بتواند الگوهای رفتاری نامتعارف را کشف کند و حتی مسائل امنیت شبکه‌ای و امنیتی مانند موقعیت مکانی، آی‌تی، مشتری غیرمتعارف، آلودگی به بدافزار و موارد مشابه را نیز کشف کند و این سامانه‌ها در نقطه متمرکزی مانند کاشف یا جایی در بانک مرکزی با همدیگر متصل شوند و صحبت کنند و اشتراک اطلاعات اتفاق بیفتد. در همان نامه به بانک‌ها، حداکثر تا تاریخ ۳۰ دی‌ماه ۱۳۹۹ فرصت داده که برنامه اجرایی، طراحی و پیاده‌سازی را اعلام کنند. از آن تاریخ تا الان، هشت نه ماه گذشته و حتما باید تغییراتی اتفاق افتاده باشد و اینکه چه بهبودی حاصل شده، مهم است و البته باید بیشتر ممیزی شود و از بانک‌ها خواسته شود. به هرحال باید نسبت به برنامه ارائه‌شده، خروجی‌هایی نیز وجود داشته باشد و اوضاع بهتر شده باشد. این، یک مستند است. البته اوضاع، بهتر شده اما آیا پیشرفت ما، کافی است یا باید سرعت‌مان را بیشتر کنیم؟ ترند اتفاقات، انواع حملات و انواع سوءاستفاده‌ها خیلی سریع و بعضا پیشرفته است و از آنچه ما فکر می‌کردیم، پیشرفته‌تر شده است. بعدا درباره رمز دوم در این زمینه توضیح خواهم داد. دومین کار مثبت در این زمینه، نامه‌ای با عنوان حداقل الزامات ناظر بر ریسک فناوری اطلاعات در موسسات اعتباری است که اداره نظارتی بانک مرکزی و اداره ارزیابی سلامت نظام بانکی ارسال کرده است. این نامه، چند روز پیش ارسال شده اما مربوط به مردادماه ۱۴۰۰ است. این مستند، مجموع بسیاری از مستندات قبلی بانک مرکزی است که موارد خوبی دارد. چند نکته درباره این مستند که در دنیا هم اتفاق افتاده، اشاره می‌کنم. یکی از برنامه‌های ویژه‌ای که این مستند به بانک‌ها الزام کرده، تشکیل کمیته عالی فناوری اطلاعات است که حتما ریاست آن با یک عضو غیراجرایی هیات‌مدیره بانک باشد که این امر، اتفاق خوبی است و تا الان الزامی نبوده که چنین کمیته‌ای داشته باشند. این کمیته باید بر معاونت فناوری اطلاعات و تمام کارهای این معاونت، نظارت کند و پاسخگو باشد. به نظر من، می‌تواند سرعت کارهایی مانند پیاده‌سازی راه‌حل‌های کشف تقلب، هوشمندی کشف تقلب، هوشمندی امنیت و موارد مشابه را بیشتر کند. در این مستند، اشاره دیگری به الزام به تشکیل تیم پاسخ به رخداد شده است. آقای اطهری اشاره کردند در بانک، اتفاقاتی می‌افتد و همه پای کار می‌آیند و تلاش می‌کنند اما آیا فرایند مدون ازپیش‌ تعریف‌شده و مشخصی وجود دارد که چه‌کاری باید انجام دهند یا اینکه همه کنار هم قرار می‌گیرند تا کاری انجام دهند. اینکه قرار است به چه کسی پاسخ دهیم، با چه کسی دیتا را اشتراک‌گذاری کنیم، کدام دیتا را اشتراک‌گذاری کنیم و کدام دیتا را خیر، مهم است. در این مستند، درباره تیم پاسخ به رخداد و الزام به وجود طرح کنترل و مدیریت رخدادها و حوادث غیرمترقبه سایبری صحبت شده است که اتفاق خوبی است؛ یعنی به دنبال طرح است نه صرفا به دنبال اینکه تیم تشکیل شود بلکه این تیم باید طرح، فرایند، نیروی انسانی، روش اجرایی و… داشته باشد. آنچه مستند را جذاب‌تر می‌کند، این است که از ماده ۲۸ تا ۶۶ که حدود ۴۰ ماده با جزییات آن است، یعنی حدود یک سوم مستند در حوزه ریسک‌های فناوری اطلاعات و ریسک‌های امنیت سایبری است و نشان می‌دهد این موضوع، چقدر جدی است. مستندات، بسیار خوب است و در حال حاضر می‌تواند بخشی از مشکلات را حل کند اما نکته اینجاست که آیا بانک به این مستند و انجام این کار، پاسخگوست؟ آیا کسی بانک را ممیزی و نسبت به آن، رتبه‌بندی می-کند تا بگوید چه اتفاقی در حال رخ دادن است؟ آیا حسابرسی در این زمینه اتفاق می‌افتد؟ تا زمانی که فشار وجود نداشته باشد، این مستندات، صرفا جنبه راهنما دارند و صرفا راهنما بودن کافی نیست تا بتوانیم مشکلات بانکی را حل کنیم. ما الزاماتی داریم که باید آن را رعایت کنیم اما اینکه اگر رعایت نکردیم چه می‌شود، راهکارهای مشخصی برای آن مدون نشده و دیده نمی‌شود. هرچند حرکت رگولاتور و بانک مرکزی برای تدوین این مستندات، ارسال آن برای بانک‌ها و مخاطب هدف آن که هیات‌مدیره و مدیرعامل بانک‌هاست، خیلی خوب است اما عدم وجود راهکارهای نظارتی بر حسن اجرا و انجام آن، مشکلی است که باید پاسخ داده شود.

  • آقای اطهری! اگر شما نظری درباره اظهارات آقای عباسنژاد دارید، بفرمایید. در ادامه به این سوال هم پاسخ دهید که آیا کاشف در مستند ریسک فناوری اطلاعات موسسات اعتباری که توسط گروه نظارت بر ریسک فناوری اطلاعات بانک مرکزی به بانکها ابلاغ شده، دخل و تصرفی داشته است؟ آیا شما برای آمادهسازی این مستند، حضور داشتهاید یا توسط خود کارگروه به صورت مستقل، عمل شده است؟

 

اطهری: درباره نکاتی که درخصوص بخشنامه ایجاد قابلیت مدیریت تقلب مطرح شد، باید عرض کنم این بخشنامه، چارچوب کلی را مشخص می‌کند و شروع به کار است. تاریخ مشخص‌شده در این بخشنامه، تاریخ اعلام برنامه اجرایی بانک است تا قابلیت لازم ایجاد شود. برنامه‌ها توسط بانک‌ها تنظیم شده و بخشی از آن در اختیار شرکت کاشف قرار گرفته و ما آنها را رصد می‌کنیم تا پیشرفت وجود داشته باشد. جلسات متعدد و مستمر با بانک‌ها در حال برگزاری است تا با برنامه‌های تنظیم‌شده در داخل بانک‌ها قابلیت لازم ایجاد شود و هماهنگ با بقیه بانک‌ها پیش برود. این کار، درخصوص آن بخشنامه در حال انجام است. در این بخشنامه، از قابلیت صحبت شده و آن قابلیت را شامل سیاست‌ها، روش‌های اجرایی و فرایندهای کاری دانسته و از طرف دیگر، به پرسنل، کارکنان، مهارت‌ها و تخصص‌های لازم اشاره کرده و به عنوان بخشی از آن قابلیت، ابزارها و سامانه‌های اطلاعاتی مدنظر قرار گرفته که باید در داخل بانک ایجاد شود. کاری که در آن بخشنامه انجام شده، نقطه شروع بود تا ما این موضوع را به صورت برنامه‌ریزی-شده در داخل بانک‌ها داشته باشیم و نظارتی بر روی برنامه‌ها در آینده صورت گیرد. در حوزه نظارت و استفاده از خروجی‌های نظارت برای رتبه‌بندی باید عرض کنم در همین مدت زمان کاشف روی این موضوع کار کرده؛ یعنی درباره برخی سناریوهای سوءاستفاده از ابزارهای بانکی، با همین زیرساخت‌های هوشمند ایجادشده درباره رصد، اطلاعات، کشف و استخراج می‌شود و بر مبنای آن بانک‌ها رتبه‌بندی می‌شوند. این رتبه‌بندی‌ها در جلسات با معاونان فناوری اطلاعات بانک‌ها و مدیران عامل، به اشتراک گذاشته می‌شود و اتفاقا تاثیر بسیاری در تحرکات بانک‌ها داشته است. تحرکات اخیر داخل شبکه بانکی و شبکه پرداخت، نتیجه نظارت بانک مرکزی، استفاده از داده‌های نظارتی برای رتبه‌بندی و اقدامات تشویقی و تنبیهی است. اینکه این موارد، کم است یا باید بیشتر شود و یا سرعت آن بیشتر شود، شکی در آن نیست. ما نمی‌گوییم این اتفاقات در بهترین و ایده‌آل‌ترین نقطه خودش است. قطعا باید سرعت بیشتر شود. در این سرعت‌دهی احتیاج به همکاری و همفکری بیشتر است. ما در شرکت کاشف، از شنیدن طرح‌ها و ایده‌ها استقبال می‌کنیم و اگر ظرفیتی در شبکه بانکی و حتی خارج از آن، وجود دارد، آمادگی داریم این ظرفیت‌ها را شناسایی و ساماندهی کنیم و برای چشم‌انداز مطلوب به کار گیریم.

  • خب به موضوع جذاب رمز دوم پویا میرسیم. ابتدای شروع رمز دوم پویا، همه نگران سختی کاربری از سمت مردم بودند. با این حال، مردم ما با حوزه فناوری، چندان ناآشنا نیستند هرچند مشکلاتی وجود دارد اما مردم، خودشان را آداپته کردند. البته زمانی که طرح دنبال شد یا بانک مرکزی بر اجرای طرح اصرار داشت، جایی گفته نشد با ورود رمز دوم پویا، مشکلات فیشینگ و کلاهبرداری، صددرصد به صفر خواهد رسید. الان هم شاهدیم این اتفاق نیفتاده و با وجود رمز دوم پویا، مشکلاتی اتفاق افتاده است. لطفا آماری از میزان موفقیت رمز دوم پویا ارائه نمایید و بفرمایید چرا الان همچنان با وجود رمز پویا این مشکلات وجود دارند؟ این کلاهبرداران از چه روشهایی استفاده میکنند که میزان کلاهبرداری در حوزه رمز دوم پویا روز به روز بیشتر میشود و مشکلات دیگری نیز ایجاد میکند؟

اطهری: بهتر است این آمار و ارقام را از حوزه انتظامی یا قضائی بشنویم چون جرایم، آنجا تجمیع و پرونده‌ها، آنجا تشکیل می‌شود و آنها آمار و ارقام بهتری دارند که مثلا پویاسازی رمز دوم، چقدر توانسته بر روی حجم جرایم تاثیرگذار باشد. حتما خاطرتان هست در همان اوایل عملیاتی شدن این طرح، آمار و ارقام مختلفی از طرف مسوولان انتظامی کشور اعلام می‌شد که در بهترین حالت، کاهش ۸۰ درصدی پرونده‌ها را اعلام می‌کردند. این در حالی است که ابتدای طرح، خبرها حاکی از افزایش ۴۰۰ درصدی در سال ۹۸ نسبت به سال ۹۷ در زمینه برداشت‌های اینترنتی غیرمجاز بود. بعد از برداشتن گام اول، کاهش ۸۰ درصدی بنابر اظهار مسوولان انتظامی کشور، بیانگر اجرای موفقیت‌آمیز طرح بود. این طرح در چند گام اجرا شد. گام اول، درباره پویایی‌سازی رمز دوم، گام دوم، غنی‌سازی و استانداردسازی پیامک‌های حاوی رمز دوم، گام سوم، تطابق اقلام اطلاعاتی و داده‌هایی مانند نوع تراکنش، مبلغ و مقصد در درخواست رمز پویا با همین اقلام اطلاعاتی در تراکنش بود که به صورت متمرکز توسط بانک مرکزی در شبکه اعمال شد و در سطح بعدی، توسط بانک‌ها در سطح سوئیچ‌های کارت‌های خودشان صورت گرفت. به هرحال طرح، گام به گام اجرا شد و هر گام، برای پوشش دادن بخشی از تهدیدات و مخاطرات مرتبط با تراکنش‌های غیرحضوری مبتنی بر کارت انجام شد و در همه این گام‌ها قرار بود بین امنیت و تجربه کاربری، بالانس ایجاد شود. هیچ‌وقت هدف این نبود که مخاطرات را در این زمینه به صفر برسانیم چون هرچقدر سازوکارهایی را تنظیم و پیاده‌سازی کنیم که هم از مشتری محافظت کند و هم تجربه کاربری را مختل نکند، راه‌هایی وجود دارد که می‌تواند مورد سوءاستفاده قرار گیرد. طرف مقابل هم بیکار ننشسته و شگردهای خود را تغییر می‌دهد و از ناآگاهی مشتریان و اعتماد بیش از حد آنها به برنامک‌های موبایلی و دسترسی‌هایی که این برنامک‌ها روی گوشی‌های موبایل می‌گیرند، سوءاستفاده‌ می‌کند. این جریان، متوقف نمی‌شود و ادامه دارد. برای تهدیدات اخیر و شگردهای آن، با شبکه بانکی، تعامل و احتمالا راهکارهایی را پیش‌بینی می‌کنیم و مجددا مسیر مقاوم‌سازی تراکنش‌های کارتی غیرحضوری را در مقابل چنین تهدیداتی پیش خواهیم برد و ان‌شاءالله پیشرفت‌هایی هم حاصل خواهد شد. درباره آن بخش از صحبت‌تان که گفتید چرا هنوز اتفاق می‌افتد، باید عرض کنم علی‌رغم اینکه فکر می‌کنم حجم تهدیدات خیلی کمتر و قبل از پویاسازی رمز دوم بیشتر بود و اکنون بیشتر مبتنی بر عدم هوشیاری و کم‌توجهی مشتریان در برنامک‌های موبایلی است که دسترسی‌های عجیب‌غریب روی گوشی‌های موبایلی می‌گیرند و کلاهبرداران از طریق این برنامه‌ها، فیشینگ انجام می‌دهند و با دسترسی به پیامک‌ها، امکان اجرای تراکنش را دارند. همان زمان هم فکر می‌شد استفاده از پیامک‌ها، می‌تواند تهدیداتی به همراه داشته باشد اما تصمیم‌گیری بر این اساس بود که بتوانیم نفوذ این موضوع را در بین مردم افزایش دهیم و کار، طوری پیش برود که پویاسازی رمز دوم در بازه زمانی معقول، فراگیر شود. با تصمیمات اتخاذشده، اقدامات بر بستر ارسال پیامک دنبال شد. البته همان زمان هم برنامک‌های موبایلی رمزساز زیادی وجود داشت اما نفوذ چندانی بین مردم نداشت. الان هم فکر می‌کنیم این نفوذ، کم است. همان زمان نیز شرکت کاشف در ارزیابی امنیتی برنامک‌ها نقش داشت و کمک کرد تا برنامک‌های مطمئن و امن برای تولید رمز پویا ایجاد شود. اگرچه باید روی این برنامک‌ها کار شود و باید آنها را بین مردم رواج دهیم، با این حال فکر می‌کنم این حرکتی که شروع شده، باید ادامه یابد و ادامه خواهد داشت. همچنین باید برای تهدیدات جدید هم راهکار لازم پیدا شود و بتوانیم اثربخشی اینها را شاهد باشیم. ما پس از پایان طرح رمز پویا در مرحله اول که چهار گام داشت، بلافاصله موضوع مدیریت تقلب را شروع کردیم. بحث این بود که سازوکاری که درحال استفاده است، همه تهدیدات را پوشش نمی‌دهد چون بخشی از ریسک را به دلیل همان بالانس کردن بین تجربه کاربری و امنیت پذیرفتیم و فکر ما این بود بخش باقی‌مانده را از طریق قابلیت مدیریت تقلب که در بانک‌ها فراهم می‌شود، تا حدی پوشش دهیم.

  • در این زمینه، قبلا که رمز کارتهای بانکی را در ذهن داشتم و مراقبت میکردم خطایی ایجاد نشود، اتفاق خاصی رخ نداد اما از آنجا که از اپلیکیشنهای مختلفی استفاده میکنیم، مانند اپلیکیشنهای تاکسیهای هوشمند و نظایر آن، اینها دسترسیهای پیامک و گالری عکس را از کاربر میگیرند. این اتفاق با نصب یک بدافزار یا حتی توسط کاربرانی که در همین شرکتهای معروف که روی پیامک دسترسی میگیرند، میتواند رخ دهد. بنده شاهد بودهام از طریق بدافزار، به دیتایی که در گوشی جابهجا میشود، ورود میکنند. همانطور که آقای پوراعظم هم به درستی در گروه اشاره کردند، کلاهبرداران، مسیر را نسبت به این موضوع، عوض کردهاند. در اینجا، کاربر، چندان مقصر نیست و داخل گردونهای افتاده که رگولاتور و نظام بانکی برای وی تعیین کردهاند و البته بانکها در حوزه پیامکی، پول را از مردم میگیرند. قبلا بانکها میگفتند در حوزه پیامکهای اطلاعرسانی زیانده هستند اما با توجه به اینکه دیگر رگولاتور هم محدودیتی قائل نمیشود، برخی بانکها، ۳۰ هزار تومان مردم را شارژ میکنند تا پیامک ارسال کنند و بعضی جاها سود میکنند چون از تعداد زیادی مشتری، یکباره ۳۰ هزار تومان برداشت میکنند و به میزان هزینه، در سود هم شریک هستند و خودش تبدیل به درآمد شده است! بنابراین بانکها به سمت اپلیکیشنهای رمزساز نمیروند. قرار نیست بانک مرکزی، رمز دوم پویا را در درازمدت حذف کند و به دنبال راهکارهای دیگر باشد؟

اطهری: فکر نمی‌کنم درباره حذف آن، برنامه‌ای وجود داشته باشد یا حداقل بنده اطلاع ندارم اما اگر می‌خواهیم بررسی کنیم چرا در هر برهه‌ای تصمیماتی گرفته می‌شود، باید ظرف زمانی و مکانی تصمیم را بررسی کنیم. همان زمان شروع کار، نفوذ برنامک‌های رمزساز زیر یک درصد مشتریان بود و ما با افزایش‌های عجیب‌ غریب در جرایم روبه‌رو بودیم. آن زمان بهترین تصمیم، همان بود که اخذ شد و ما با استفاده از پیامک‌ و البته پیامکی که صرف پیامک نبود و الزاماتی درخصوص خود پیامک‌ها، ارسال آن و نیز کنترل تطابق اطلاعات تراکنش با اطلاعات رمز درخواست‌شده را داشتیم؛ چه به صورت مرکزی و چه به صورت…

  • عذرخواهی میکنم بین کلامتان وارد میشوم اما بنده عرض نکردم رمز دوم پویا، بد است. اتفاقا در مقطع تصمیمگیریشده، بهترین تصمیم بود اما منظورم این است آیا در ادامه راه، نمیتوان تصمیم بهتری اتخاذ کرد تا مشکلات فعلی حذف شود؟

اطهری: بله امکان‌پذیر است. ما در حال کار کردن روی برنامک‌های رمزساز هستیم. بسیاری از آنها را ارزیابی کردیم و نقایص موجود را به بانک‌ها گزارش دادیم. راهکارهایی مانند آنلاین کردن این برنامک‌ها و کمک کردن این برنامک‌ها به اخذ constant روی تراکنش‌ها در کانال مستقلی که تراکنش را انجام می‌دهد و موارد مشابه آن مطرح است که این ابزارها، هم مطمئن باشند و هم تهدیداتی که امروز بدافزارها دارا هستند، تا حدی پوشش دهند. امیدوارم تغییرات آتی، بتواند شگردهای جدید را نیز پوشش دهد.

  • بعضا میشنوم اعضای خانواده برخی دوستان در نظام بانکی که در حوزه فناوری کار میکنند، اعم از بانکی و شرکتهای پرداخت، گاهی گرفتار ماجراهای کلاهبرداری از نوع فیشینگ میشوند و با آوردن فرد پای خط، برنامه رادیویی یا تلویزیونی فیک، برای وی برگزار میکنند و فرد را برنده اعلام مینمایند. متاسفانه مردم هم به راحتی اطلاعات کارت را میدهند. در این زمینه، خاطرهای نقل کنم. از آنجا که عمده تماس ما با مدیران نظام بانکی به صورت تلفنی است، در حین تماس میشنوم از پشت خط توسط فروشنده گفته میشود، لطفا رمز کارت را بفرمایید و برخی دوستان دستگاههای نظارتی، همان رمزی که خودمان به مردم میگوییم از آن استفاده نکنند و خودشان رمز را وارد کنند، آن را به فروشنده اعلام میکنند! آقای عباسنژاد! در حوزه رمز دوم پویا، درباره ریسکهای باقیمانده در حوزه کارت و البته اینکه بستری برای سوءاستفاده از اینترنتبانکها فراهم شده، لطفا جنابعالی توضیحات بیشتری ارائه بفرمایید.

عباس‌نژاد: فکر می‌کنم زمانی که این طراحی‌ها در ظرف زمانی و مکانی خاص اتفاق افتاده، مواردی مدنظر قرار نگرفته است. کشور ما، در سال‌های ۲۰۲۰ و ۲۰۲۱، رتبه نخست آلودگی به بدافزار را در جهان دارد. فکر می‌کنم ۲۰۱۸ و ۲۰۱۹ هم همین رتبه را داشته‌ایم. نمی‌دانم در چه ظرف مکانی و زمانی این اتفاق افتاده است! لابد یا ایران نبوده یا زمان آن مثلا به سال ۸۵ که چنین تصمیمی گرفته شده، برمی‌گردد! همه می‌دانند ما بیشترین نرخ آلودگی گوشی و تبلت را در جهان داریم! اگر کسی می‌گوید نمی-دانستم یعنی از متخصصان در طراحی‌ها استفاده ‌نشده است. ما در چنین کشوری زندگی می‌کنیم! این امر، علت‌های متعددی دارد مانند اینکه آگاهی‌رسانی کافی انجام نشده یا market placeها به اندازه کافی روی آن کار نمی‌کنند و موارد مشابه. ما چون آلوده هستیم، باید ببینیم وقتی پیامک را به عنوان احراز هویت چندعاملی  قرار داده‌ایم، آیا تصمیم درستی است یا خیر. بررسی‌کننده‌های بدافزار گوشی‌های موبایل بررسی کرده‌اند تا ببیننند چقدر از این بدافزارهایی که در بازار وجود دارد، مسائل مرتبط با فیشینگ را هدف قرار می‌دهد. این گزارش، مربوط به شهریورماه ۱۴۰۰ است. بررسی تیم‌های ما نشان داده، ۲۱۶ بدافزار جدید ایرانی که کار فیشینگ انجام می‌دهد، به روش‌های مختلف وجود دارد. مثلا یکی می‌گوید عدالت همراه و دیگری ابلاغ الکترونیکی آنلاین یا عناوین مستهجن مانند صیغه‌یاب، اینترنت رایگان و انواع مختلف بدافزار. عمده این موارد، درون خودشان درگاه فیشینگ دارند و ۲۰۰۰ تومان مطالبه می‌کنند و سپس به دلیل دسترسی به پیامک‌های قربانی، فرایندهای دیگر نیز انجام می‌شود. وقتی چنین مدل‌هایی در کشور ما متداول است و به وفور، تولید و استفاده می‌شود، معنایش این است که ما به چشم‌انداز تجاری چندان نگاه نمی‌کنیم. باید ببینیم بازی تهدید، در چه زمینی است. ما در زمینی قرار گرفته‌ایم که چنین اتفاقاتی زیاد رخ می‌دهد. مشکل ما این است که نگاه ما ریسک‌محور نیست. اگر دیدگاه ریسک‌محور داشته باشیم، یکی از پارامترهای ما این است که احتمال وقوع بدافزارها در کشور ما در شرایط کنونی چگونه است که متاسفانه بسیار زیاد است. ما با موبایل‌ها و تبلت‌هایی مواجه هستیم که انواع بدافزار روی آنها نصب شده است. بنابراین باید راهکاری انتخاب کنیم که مشکلات را حل کند. این نگاه که پیامک می‌تواند مشکل ما را حل کند، شاید برای شروع خوب بوده باشد. البته شخصا چنین اعتقادی ندارم و باید محاسبه مناسبی اتفاق بیفتد تا ببینیم روش خوبی بوده یا نه. با این حال ممکن است راه‌حل‌های کوتاه‌مدت بوده باشد اما راه‌حل مناسبی برای امروز نیست زیرا از آن سوءاستفاده‌های زیادی می‌شود. بنده هم قبول دارم که این موارد، مشکل و اشتباه کاربر است چون روی موبایل وی، بدافزار نصب شده و از پیامک‌ها و بسیاری ابزار دیگر که روی موبایلش است، سوءاستفاده می‌شود اما به هرحال، بانک و رگولاتور و حتی مدعی‌العموم نیز وظیفه دارد راه‌حل ایمن‌تری پیشنهاد کند. اگر ریسک‌های مختلف را پروفایل کنیم و با ریسک‌پروفایلینگ و یوزر پروفایلینگ پیش برویم، تصمیمات ما هوشمندانه‌تر است. اینکه تصمیم کوتاه‌مدت بگیریم، خوب است اما نباید به روش غالب تبدیل شود. الان روش غالب رمز دوم، پیامک است و مدت زمان زیادی است این اتفاق افتاده و باید آن را به سمت برنامه رمزساز یا راه‌حل‌های دیگر تغییر دهیم و بهترین آن را انتخاب و به مردم اطلاع‌رسانی کنیم، به آنها یاد بدهیم، با آنها صحبت کنیم و برای آنها برنامه بسازیم.

  • راهکار پیشنهادی شما که جزء بهترینها باشد، چیست؟ الان دوستان نظام بانکی شنونده میزگرد هستند.

عباس‌نژاد: بنده به عنوان متخصص امنیت سایبری، بیشتر به دنبال راه ایمن‌تر هستم چون این امر، ایمنی کاربر شبکه بانکی را افزایش می‌دهد. گاهی پیشنهادهایی از جنس تخصصی، ممکن است سهولت استفاده کاربر را تحت‌تاثیر  قرار دهد. بنابراین پیشنهاد من، ممکن است چندان کاربردی نداشته باشد مانند اینکه بسیاری جاها، کپچا گذاشته‌ایم که معلوم نیست روش خوبی است یا نه؟ نظر من این است که ریسک‌های آن باید بررسی شود. این‌طور نیست که دوستان شبکه بانکی نمی‌دانند چه‌کار کنند. آنها کاملا می-دانند و نمونه‌های متعدد و مستنداتی دیده‌ام که بر این اساس، راهکارهای مختلفی به بانک مرکزی پیشنهاد شده است. این  راهکارها باید با سرعت، بررسی و درباره آن اقدام شود. بنابراین مشکل این نیست که راه‌حل وجود ندارد. رمزسازی به روش‌های مختلف وجود دارد و می‌توان اقبال مردم را به آن بیشتر کرد نه اینکه بگوییم چون پیامک، مشکل ما را تا حدودی حل کرده، مساله را تمام‌شده تلقی کنیم. الان چون پیامک، بخشی از ریسک را کاهش داده، حد ریسک قابل قبول را در همین‌جا تعریف کرده‌ایم و تصمیم گرفته‌ایم کار جدیدی انجام ندهیم. بنابراین قطعا بانک مرکزی، رگولاتور و بانک‌ها از روش‌های جدید آگاه هستند و فقط باید فشار آورده شود که اتفاق بیفتد. ما می‌گوییم فیشینگ شدن، مشکل کاربر است در حالی که مشکل بانک هم هست. چون هم اعتبارش زیرسوال می‌رود و مدام با دادگاه و… درگیر است تا مسائل فیشینگ را رفع کند. پس بهتر است از راه‌حل‌های فنی استفاده کنیم که مشکل را به سمت ریسک کمتری تقلیل دهد.

  • طبق شنیدهها درباره موضوع فیشینگ، دادگاههای کشور یا قوه قضائیه، دیگر به نفع مردم رای صادر نمیکنند. ظاهرا لابی بانکها در آنجا قوی شده است در حالی که در گذشته، اگر فیشینگ، اتفاق می-افتاد، قوه قضائیه به نفع مردم، رای صادر میکرد ولو اینکه اشتباه از سمت کاربر بوده باشد. الان که مسیر عوض شده، بانکها برای رفع و بهبود مشکلات امنیتیشان تلاش چندانی نمیکنند. بنابراین اگر اطلاعرسانی کنیم، بیشترین فیشینگ در کدام بانک اتفاق میافتد، قضیه فرق میکند. بانک مرکزی نمیتواند همهجا به صورت دستوری وارد شود. آقای عباسنژاد! الان اگر بانکی بخواهد از روشهای نوینی که شما اشاره میکنید استفاده کند تا وضعیت رمز دوم پویا بهتر شود، بعید میدانم بانک مرکزی بگوید بانکها حق ندارند از قاعده دیگری غیر از پیامک استفاده کنند. آقای اطهری! اگر بانکها بخواهند امنیتشان را با روشهای دیگر بیشتر کنند، قاعدتا بانک مرکزی استقبال خواهد کرد. درست است؟ اما اینکه چرا بانکها موضوع را رها کردند، قابل توجه است. فکر میکنم اگر توسط دستگاه قضائی یا انتظامی یا حتی خود بانک مرکزی، بانکهایی که دچار مشکلات هستند، به مردم اطلاعرسانی شود، آن-وقت اگر مشتری متوجه شود فلان بانک به دلیل مسائل امنیتی و مشکلات دیگر، دچار مساله است، حساب خود را به بانک دیگری منتقل میکند. به هر حال، الان ۳۴ بانک داریم و یکی از ارکان اصلی رقابت در بانکها همین مباحث است و بدین وسیله میتوانند مشتریان خود را حفظ یا بیشتر کنند.

اطهری: فرمایش شما صحیح است. همیشه وقتی بانک مرکزی، الزاماتی را ابلاغ می‌کند، در الزامات می‌نویسد اینها حداقلی است و بانک باید مسوولیت ریسک خدماتی که ارائه می‌کند، بپذیرد، مدیریت کند و برای آن فکر داشته باشد. اگر آنچه بانک مرکزی به عنوان رگولاتور اعلام می‌کند، آن بانک خاص، ریسک را به اندازه کافی کاهش ندهد، باید تصمیمات سخت‌گیرانه‌تری بگیرد. همیشه بانک مرکزی به دنبال این است که بانک‌هایی که می‌توانند لیدر باشند، ابزارها و سازوکارهای بهتر و مطمئنتری استفاده کنند و این سازوکارها، عمومی‌سازی شود و سایر بانک‌ها نیز به تدریج به آن سمت کشیده شوند. در حال حاضر، اپلیکیشن‌های احراز هویت و ترتیباتی که بتواند تهدیدات وارد بر پیامک را پوشش دهد، موضوعی نیست که به بانک‌ها اطلاع‌رسانی نشده باشد و آنها آگاهی یا پیشنهادهایی در این زمینه نداشته باشند. همین الان برخی بانک‌ها، در مسیر امن‌سازی، مقاوم‌سازی و تقویت سازوکارهای خودشان هستند اما می‌دانیم چشم‌انداز تهدیدات تغییر می‌کند، سطح ریسک، ثابت نمی‌ماند و تغییرات در محیط ما زیاد است. باید این نکته را درنظر بگیریم همان‌طور که آقای عباس‌نژاد فرمودند به زعم تخصصی بودن، راهکار می‌توان ارائه داد اما اخذ و اجرایی شدن این راهکار در کل شبکه، به عوامل و ملاحظات بیشتری بستگی دارد مانند تجربه کاربری، رقابت بین بانک‌ها و مانند آن. یادم هست زمان ایجاد رمز پویا، آمار و اطلاعات عجیبی از جاهای مختلف به دست ما می‌رسید که نفوذ گوشی‌های همراه هوشمند بین مردم آن‌قدر نیست که کفایت حجم تراکنش‌های بدون حضور کارت را بدهد و مردم دچار مشکل می‌شوند. آن زمان، چنین نگرانی‌هایی وجود داشت و الان هم به نوع دیگری، وجود دارد. به هر حال با اکوسیستم ساده‌ای روبه‌رو نیستیم که یک‌شبه تصمیم بگیریم و انتظار داشتیم سریعا اجرا شود. همان زمان، بسیاری افراد خارج از شبکه بانکی می‌گفتند مگر یک رمز ساختن و پیامک آن به مشتری چقدر کار دارد؟ چقدر سختی دارد؟ چقدر زمان می‌برد؟ اما دیدیم ماه‌ها طول کشید و بازیگران زیاد و متنوعی مانند بانک-ها، شرکت‌های ارائه‌دهنده خدمات پرداخت، شرکت‌های ارائه‌دهنده خدمات عمومی، اپراتورها، سازمان تنظیم مقررات و سازمان‌هایی با تنوع ماموریت‌های مختلف، پای کار آمدند تا همین چیزی که گفته می‌شود آن زمان، به آن فکر نشده، اتفاق بیفتد و همه‌گیر شود. قطعا تغییرات محیطی می‌طلبد که ما هم در سازوکارهای امنیتی‌مان تغییرات داشته باشیم و امیدواریم بانک‌ها هم کمک کنند تا همزمان با تغییرات در تهدیدات، مکانیزم‌های خودمان را به‌روز کنیم. در حوزه اپلیکیشن‌های موبایلی مسائل مختلفی داریم. الان درخصوص اپلیکیشن‌ها در همین زمینه‌هایی که تراکنش‌های مالی انجام می‌دهند، مسائل زیادی داریم و تا زمانی که به نقطه‌ای نرسیم که فهم مشترکی ایجاد شود، استانداردسازی اتفاق بیفتد و تجربه تولید برنامک امن و مطمئن ایجاد شود، باید تلاش بیشتری انجام دهیم. اینکه چند کارشناس، چیزی را می‌دانند با اینکه شبکه بانکی و تیم‌های عملیاتی و اجرایی مستقر در بانک‌ها به این دانش مجهز شوند، مهارت داشته باشند و ابزارهای لازم را در اختیار داشته باشند، بسیار متفاوت است. هرچند بنده هم معتقدم باید سرعت کار اقزایش یابد، اما این سرعت باید متناسب با پیچیدگی‌ها باشد تا تصمیمات خلق‌الساعه باعث ضرر و زیان بیشتر به مملکت، مردم، شبکه بانکی و اعتبار کسب‌وکارها نشود.

  • قبل از ابلاغ رمز دوم پویا و اجرایی شدن آن، یادم هست تعدادی از دوستان که نمیتوان نام آنها را ذکر کرد، در مقطعی، اپلیکیشن رمزساز آماده کرده بودند و در بانک مرکزی هم مشاوره میدادند که آن را اجرایی کنند. بر این اساس، مردم باید ۲۵ هزار تومان بابت هر اپلیکیشن پرداخت میکردند که ۵۰۰۰ تومان بانک برمیداشت و ۲۰ هزار تومان، سازنده اپلیکیشن! چنین پروژهای، مطرح و صورتجلسات آن هم امضا شده بود که ما در گزارشی در رسانه، آن صورتجلسه را چاپ کردیم. در این طرح، مشخصا به دید کسبوکاری به موضوع نگاه میکردند که بعدا مدیران بانک مرکزی متوجه شدند موضوع، امنیت نیست بلکه کاسبی افراد خاص است! از اینرو، بخشنامهای در زمان معاونت آقای حکیمی صادر شد که بانکها حق ندارند در حوزه امنیت از مردم پول بگیرند که البته الان در قالب پیامکهای اطلاعرسانی، پول پیامکهای رمز دوم پویا را در آن گنجاندهاند. بد نیست با توجه به اینکه پیامک هم نوعی فناوری محسوب میشود، معاونت فناوریهای بانک مرکزی، بررسی کند و سقف و کف برای بانکها بگذارد و طوری نباشد که هر بانکی با هر عددی خواست، از مشتری پول بگیرد چون مشتری به راحتی حاضر نیست به بانک دیگری برود. البته الان سهولت افتتاح حساب، آنقدر راحت شده که به صورت غیرحضوری هم میتوان افتتاح حساب کرد و بعید نیست فرد به بانک دیگری سوئیچ کند با این حال، وظیفه رگولاتور این است که در این زمینه هم نظارت کند. بگذریم… بپردازیم به ابلاغ بخشنامه اخیر کارت به کارت بانک مرکزی به بانکها که البته قبل از اجرا به حالت تعلیق درآمد. نمیخواهم درباره خوب و بد بودن آن صحبت کنم. البته ظاهرا چون بخشی از آن، سمت کاربر و کسبوکارهای خانگی دیده نشده بود، تصمیم گرفتند آن را تعلیق کنند و تصمیمات کارشناسانهتری اتخاذ شود. نظر شما درباره این بخشنامه چیست؟ آیا فکر و پیشنهاد جدید به بانک مرکزی یا مرکز کاشف رسیده که چگونه میتوان این کارت به کارت و محدودیتی که قرار بود برای آن ایجاد شود، اجرایی کرد؟ آیا قرار است از دستورکار خارج شود یا اینکه بانک مرکزی همچنان بر اجرای این محدودیت اصرار دارد؛ البته به شکلی که به کسبوکارها آسیب نرساند؟

اطهری: در تنظیم این بخشنامه، مجموعه‌ای از بازیگران نقش داشتند و اقدامات کارشناسی زیادی انجام شد و کاشف هم در این زمینه حضور داشت. عمده کارهای کارشناسی، داده‌محور و بر اساس واقعیت‌هایی بود که در شبکه پرداخت اتفاق می‌افتد. اساسا ابلاغ این بخشنامه، به معنای پایان بررسی‌ها نبود. در خود بخشنامه‌ها هم از بانک‌ها خواسته شده بررسی لازم را در بدنه بانک انجام دهند و بانک مرکزی را از تاثیرات اجرای آن بر روی مشتریان آگاه کنند و اگر پیشنهاد یا انتقادی دارند، به اطلاع بانک مرکزی برسانند. برای عملیاتی‌سازی بخشنامه، تاریخ ۱۵ آذرماه مشخص شده بود کمااینکه همان‌طور که آقای محمدبیگی، مدیر اداره نظام-های پرداخت مطرح کرده بودند هیچ اتفاق عملی نیفتاده و این قاعده، اجرا نشده بود. البته از این قبیل قاعده‌ها، در برخی بانک‌ها وجود داشته است. بنده سوابقی دارم که بانک‌ها با تصمیم خودشان قواعدی را اعمال کرده‌اند که جلوی سوءاستفاده‌ها را بگیرند و ربطی هم به تصمیم بانک مرکزی نداشت. ما قبل و بعد از صدور بخشنامه، موضوع را در کمیسیون‌های فنی بانک مرکزی، بررسی -کردیم و همچنان منتظریم ایده‌های بانک‌ها را دریافت کنیم. با تاکید رئیس بانک مرکزی، به شدت دنبال این موضوع هستیم که راهکارهای مناسبی برای بخش کوچکی از کسب‌وکارها و مشاغل خانگی که ممکن است تحت‌تاثیر قرار بگیرند، لحاظ و به اطلاع آنها رسانده شود. شاید بخشنامه، گام‌ به گام اجرایی شود یا تصمیماتی که نگرانی‌های موجود را کاهش دهد، اتخاذ گردد. واقعیت این است آن بخش از تراکنش‌هایی که تحت‌تاثیر قرار می‌گیرند، واقعا بخش کوچکی از کل تراکنش‌هایی هستند که در شبکه بانکی اتفاق می‌افتد.

 

  • ظاهرا بین دو تا سه درصد از کل تراکنشها را تحتتاثیر قرار میدهد. درست است؟

اطهری: اجازه بدهید آمار اعلام نکنم ولی واقعا بسیار کوچکی تحت‌تاثیر قرار می‌گیرند. از این بخش‌هایی که متاثر می‌‌شوند، می‌توان آن را به سه بخش تقسیم کرد: بخش اول آنهایی هستند که به سرعت می‌توانند با شرایط بخشنامه، تطابق پیدا کنند. بخش دوم آن‌قدر مشکوک هستند که قطعا باید تحت‌تاثیر قرار گیرند و با آنها مقابله شود. بخش سوم عمدتا کسب‌وکارهای اینترنتی و مشاغل خانگی را شامل می‌شود که باید برای آنها فکر اساسی صورت گیرد. در این زمینه، هم در زمان تنظیم متن بخشنامه و هم بعد از ابلاغ به شبکه، کمیسیون‌های بانک مرکزی این موضوع را به صورت مستمر، بررسی می‌کنند و ایده‌ها و نظرات مختلفی از دست-اندرکاران و فعالان شبکه پرداخت به بانک مرکزی می‌رسد و ما هم سعی می‌کنیم اتفاقی بیفتد که به صرفه و صلاح شبکه بانکی باشد. به هر حال شبکه‌ بانکی، شبکه‌ای را فراهم کرده‌اند و ابزارهایی را ارائه داده‌اند که بعضا مستعد سوءاستفاده هستند و باید این استعداد را از آنها بگیریم. اتهامی که به شبکه بانکی وارد می‌شود، باید از آن دور شود. تلاش بر این است علاوه بر اینکه جلوی این سوءاستفاده گرفته شود، صدمه‌ای به کسب‌وکارهای خانگی وارد نشود.

  • قاعدتا هر تصمیمی تبعات خاص خودش را دارد و دیکته نانوشته غلط ندارد. البته وقتی از سمت رگولاتور تصمیمی گرفته میشود، باید همه جوانب دیده شود تا افکار عمومی و کسبوکارها نسبت به نقد آن هجوم نیاورند. کاش میشد همزمان با این موضوع، در بانک مرکزی، مثلا بر روی سایت بانک مرکزی، شاپرک یا هرجای دیگر مسیری باز کرد مبنی بر اینکه کسبوکار خانگی که برای تبادل تراکنشهای خود از کارت به کارت استفاده میکند، اعلام کند کسبوکار خانگی است و فلان میزان تراکنش در ماه نیاز دارد و شغل خود را هم اعلام کند. اینکه صحت دارد یا خیر، نیز مسوولیت آن با بانک مرکزی نیست. نهایتا شما قصد دارید بحث قمار و مشکلات شبکه کارت به کارت را حذف کنید. حالا اگر یک نفر بگوید کسبوکارش چیست و فلان میزان تراکنش دارد و شما هم با قواعد موجود، بدانید در حوزه قمار فعالیت نمیکند یا مشکوک نیست، میتواند از کارت به کارت استفاده کند. البته یکی از دوستان میگفت اگر آن کسبوکار خانگی ثبت نکرد، چه باید کرد؟ در این صورت باید گفت مسوولیت با خود کسبوکار است. البته بخش بزرگی از این شفافسازی به این موضوع برمیگردد که متاسفانه شهروندان ما، فرهنگِ پرداختِ مالیات را یاد نگرفتهاند. البته تا حدودی باید به آنها حق داد. چون وقتی مالیات میدهید، باید حداقلی از حقوق شهروندی هم داشته باشید که در کنار هم میتواند کمککننده باشد. مثلا هر فرد به اندازه مالیاتی که میدهد، خدمات هم دریافت کند با این حال، اگر الان خدمات دریافت نمیکند، دلیل نمیشود مالیات ندهد. باید مطالبه عمومی ایجاد کنیم که این مالیات، صرف مشکلات کشور شود نه جاهای دیگر. جناب عباسنژاد! آیا شما در حوزه کارت به کارت پیشنهاد خاصی دارید که این محدودیت باشد اما بهبود پیدا کند؟ اصلا آیا با اصل ماجرا موافقید؟

عباس‌نژاد: بله با اصل ماجرا موافقم. این تصمیم، یک تصمیم فرادبیس است که البته اگر مبتنی بر داده باشد، درست است. مساله جدی این است که رگولاتور اصلا آمار، اعلام نمی‌کند. در نتیجه، پذیرش آن در بین متخصصان و افراد تاثیرگذار در جامعه کمتر می‌شود. اگر تصمیم داده‌محور است باید حرفش را بزند و بگوید ما صرفا در مورد دو درصد مشتریان خاص صحبت می‌کنیم و برای آنها هم راه‌حل داریم. مکالمه نکردن مشکل بزرگی است و می‌توان نظرات متخصصان متعدد این حوزه را هم گرفت. بحث دیگر این است که قانون ثابت، منسوخ‌شده است و باید پویا و داینامیک باشد و متناسب با پروفایل کاربر درباره آن تصمیم بگیرد نه اینکه الزاما قانون‌های ثابت برای شبکه بانکی داشته باشیم. یکی از مسائل موجود در بحث فراد، امنیت اطلاعات، فیشینگ و موارد مشابه این است که عمده سیستم‌هایی که درباره آنها صحبت می‌کنیم، از قوانین استاتیک یا ثابت استفاده می‌کنند در حالی که اینها می‌تواند داینامیک باشد. نکته دیگر اینکه با توجه به تکنولوژی‌های جدید در دنیای امروز و چشم‌انداز تجاری، می‌توان از سیستم‌های باهوش‌تر استفاده کرد که هوش خود را به صورت آنلاین آپدیت می‌کنند. ما باید به این سمت گام برداریم و تخصص‌ها را به تدریج در بانک‌ها ایجاد کنیم. حوزه فراد و امنیت سایبری، در حال مجهز شدن به هوش مصنوعی است و ما هم یکی از NTTهایی هستیم که در حوزه بانکی با هوش مصنوعی سروکار داریم و باید به آن سمت حرکت کنیم. حتی استانداردهای عمومی مانند ۲۷۰۰۰ نیز در ورژن جدید ۲۰۲۱ مستقیما به threat intelligence اشاره می‌کند و متصور است اگر ریسک‌های داینامیک داشته باشیم، باید بتواند هوشمند عمل کند. در نتیجه پیشنهاد می‌کنم بیشتر صحبت کنیم و تصمیمات را قبل از اینکه به دستورالعمل الزامی برای اجرا تبدیل شود، به نقد بگذاریم. همچنین به جای قانون‌های ثابت از قوانین داینامیک و هوش لازم در سیستم‌های مبتنی بر فناوری استفاده کنیم تا تصمیمات بهتری بگیریم.

اطهری: فرمایش آقای عباس‌نژاد مبنی بر اینکه قوانین هوشمند می‌توانند پارامترهای مبتنی بر پروفایل رفتاری مشتریان که بالغ-ترند، تغییر دهند، درست است اما با توجه به تجربه سال‌های گذشته، باید به این نکته توجه کرد که حتی در مقررات استاندارد و پیشرفته در اروپا یا کشورهای مختلف نیز حداقل‌ها و قواعدی را برای یک مدل کسب‌وکاری تعیین می‌کنند که ظاهر آنها قوانین ثابت است اما قواعد ناظر بر آن خدمت هستند. دلیل وضع این مقررات ثابت، کف و سقف‌ها، پارامترها و مقادیر پیش‌فرض برای این پارامترها این است که داینامیک شدن آنها، وابسته به بلوغ نهادهای سرویس‌دهنده در حوزه‌های مختلف مانند مدیریت تقلب است. ما می‌دانیم در بازیگرانی که مجاز به ارائه این سرویس‌ها هستند، این قابلیت‌ها در حد و اندازه بلوغ وجود ندارد. بنابراین قاعده‌ها، پارامترهای حداقلی پیدا می‌کنند که ریسک‌هایی را پوشش دهند تا توسط سازمان‌هایی که قابلیت‌های خاصی با یک سطوح بلوغ ندارند، بتوانند پوشش دهند. وقتی یک سرویس باز می‌شود، همه به دنبال ارائه سرویس هستند و هرکس در حوزه امنیت، یک سطح بلوغ دارد، بنابراین باید قاعده‌های حداقلی وجود داشته باشد با این حال، بنده هم موافقم و بانک مرکزی هم در تنظیم مقررات اخیر، این جهت‌گیری را دارد که علی‌رغم اینکه برای پارامترها، مقادیر پیش‌فرض قائل است، در کنار آن، به کسانی که در حوزه مدیریت تقلب پیشرفت کرده‌اند و قابلیت بلوغ در این حوزه دارند، اجاز می‌دهد سقف‌ها را تغییر دهند و بدون محدودیت یا با محدودیت کمتری کار را ادامه دهند و برای آنها استثنائاتی قائل می‌شود. در خود بخشنامه هم به بانک‌ها گفته شده قاعده باید پارامتریک اعمال شود و حسب شرایط و مقتضیات، قابل تغییر باشد. محرک تصمیم‌گیری این شرایط و مقتضیات، می‌تواند درون بانک باشد و تصمیم بگیرد این قاعده per مشتری و per خوشه‌ای از مشتریان تغییر دهد. همه اینها مشروط به این است که شبکه بانکی در حوزه مدیریت تقلب، پروفایل کردن رفتار مشتریان و استفاده از این پروفایلینگ‌ها به صورت آنلاین روی تراکنش‌ها قابلیت داشته باشد. امیدوارم به نقطه‌ای برسیم که داینامیک بودن را در بسیاری از قواعد و مقررات داشته باشیم.

  • مراجعه کاربران به سایتهای قمار، درگیر این بلای خانمانسوز شدن و یکشبه به رویای صدساله دست پیدا کردن، آسیبهای اجتماعی شدید را به دنبال دارد و این مسائل، بعضا یک خانواده و یک خاندان را دچار مشکل میکند. بنابراین وظیفه بانک مرکزی است که موارد مربوط به قمار را فارغ از مباحث شرعی آن، پیگیری کند و البته در این زمینه، به درستی قوانین خود را وضع میکند. البته باید در وضع قوانین به فکر جوانب دیگر هم باشیم که کسبوکارهای کوچک دچار مشکل نشوند. توالی این موضوع با اجباری شدن «نماد» برای کسبوکارهای خانگی که از پرداختیارها سرویس میگیرند، موجب سوءبرداشت از سوی کسبوکارها شد اما ارتباطی به هم ندارد و بانک مرکزی به وظایف خودش عمل میکند. بگذریم… شنیدهام صفر تا صد و تولید سامانه ابلاغ قضائی، توسط شرکت کاشف انجام شد و در حال حاضر، نیز پشتیانی آن برعهده شماست. با توجه به ماموریتهای کاشف، این اقدام، یعنی پیادهسازی سامانه سرآمد، چندان ارتباطی به شرکت کاشف نداشت. چرا کاشف به این سامانه ورود کرده که بیشتر یک سامانه تعاملی و پیامرسانی برای احکام قضائی در نظام بانکی است و قوه قضائیه ابلاغ میکند این حساب بسته یا باز شود؟ از سوی دیگر، بانکها بر اساس داشبورد به پیامها دسترسی دارند و عملیات لازم را انجام میدهند. دلیل ورود کاشف به این موضوع چیست؟ آیا قرار است این سامانه تا ابد در کاشف بماند یا به شرکتهای بیرونی واگذار میشود؟ چون طبق سیاستهای اصل ۴۴، مبنی بر کوچکتر شدن دولت، امکان واگذاری وجود دارد و دولت از ورود به موضوعات اجرایی منع شده و بهتر است این سامانه به شرکتهای خصوصی واگذار شود.

اطهری: شروع این موضوع به تفاهم‌نامه سه‌جانبه بین دادستانی کل کشور، بانک مرکزی و شرکت کاشف برمی‌گردد. هدف این تفاهم‌نامه، تسهیل و ساماندهی تعاملات بین حوزه قضائی، انتظامی، شبکه بانکی و پرداخت کشور بود. آن زمان، حسب تصمیم‌گیری بانک مرکزی، ماموریت ایجاد و راه‌اندازی این سامانه به عنوان بخشی از فعالیت‌هایی که ذیل آن تفاهم‌نامه انجام شد، برعهده کاشف گذاشته شد. این سامانه تا امروز به شدت هم به حوزه قضائی و انتظامی و هم به ما در پوشش دادن و پاسخگویی به بسیاری از فعالیت‌های مشکوک، مجرمانه و متقلبانه‌ای که می‌توانست در شبکه اتفاق بیفتد، کمک کرده است. البته همه اینها به معنای محافظت و صیانت از مشتریان و حقوق عامه مردم است. این سامانه، یک سامانه حاکمیتی است که از دل آن تفاهم‌نامه، استخراج شده و بسیار مفید بوده و شاید همکاران شبکه بانکی نیز به این موضوع، اذعان داشته باشند. ما از بعضی دستورهای قضایی که اجرای آنها شاید تا چند هفته طول می‌کشید، به زیر یک ساعت رسیدیم که اتفاق بسیار بزرگی بود و با همکاری نزدیک بانک‌ها و شبکه‌های پرداخت با کاشف صورت گرفت. این سامانه برای شبکه بزرگی از نمایندگانی که از این سیستم استفاده می‌کنند، به منظور پاسخگویی به عملیات مشکوکی که در شبکه اتفاق می‌افتد، مانند کلاهبرداری‌ها و انواع اتفاقات بد دیگر، کمک‌کننده بوده است؛ خصوصا در مواردی که برای برخورد با آن، طبق قانون، به دستور قضایی احتیاج داریم. چون سامانه، حاکمیتی است، شرکت کاشف هم در این حوزه، اجراکننده سیاست‌های بانک مرکزی است و اگر بانک مرکزی، تصمیم بگیرد این سامانه حاکمیتی به جای دیگری سپرده شود، این اتفاق، رخ می‌دهد. یکی از راهبردهای ما در شرکت کاشف، استفاده از ظرفیت‌‌های شرکت‌های خصوصی و دانش‌بنیان است. بنابراین در این زمینه، حداقل در کاشف، مساله خاصی نمی‌بینم.

  • پس احتمال اینکه با تصمیم بانک مرکزی، به سمت واگذاری این سامانه به بخش خصوصی پیش بروید، وجود دارد؟ قبول دارید این موضوع، مستقیما ربطی به امنیت و ماموریتهای کاشف ندارد؟ بالاخره نوشتن یک سامانه با این ابعاد، زمانبر است. شما که یک هفتهای آن را بالا نیاوردید اما ایجاد سامانه، انرژی شما را در مسیر دیگری صرف کرد. بیشتر این بخش، مدنظرم بود. اگر حاکمیتی هم باشد، می-توانست به شرکتهای دیگر بانک مرکزی داده شود. بالاخره شرکت حاکمیتی که کم نداریم!

اطهری: نکته شما از یک جهت درست است و از جهت دیگر، ما تابع دستورالعمل‌های بانک مرکزی هستیم؛ یعنی برنامه‌های عملیاتی ما با بانک مرکزی، هماهنگ و هم‌راستا با اولویت‌های این نهاد است. به هرحال، شرایط طوری بود که بهترین تصمیم برای توسعه سامانه، انجام آن توسط کاشف بود با این حال، استراتژی خود کاشف این نیست که خودش همه‌چیز را توسعه دهد زیرا در این صورت، ما به جای اینکه به مسوولیت‌های خودمان بپردازیم، به یک کمپانی نرم‌افزاری تبدیل می‌شویم. فکر نمی‌کنم بانک مرکزی هم از ما چنین خواسته‌ای داشته باشد. درباره این سامانه، مقتضیات و شرایط حاکم بر آن زمان، موجب شد چنین تصمیماتی گرفته شود. در فضای پرداخت و بانکداری، عمده اقداماتی که قرار است در پاسخگویی به رخدادهای امنیت سایبری یا بانکی داشته باشیم، حداقل بر اساس قواعد، قوانین و مقررات جاری امروز ما، نیاز به دستور قضایی دارد. البته شاید در آینده اختیارات بیشتری برای شبکه بانکی گرفته شود. این سامانه در آن زمان هم به ما کمک کرد اگر اتفاقی در شبکه رخ می‌دهد، از تبعات آن اتفاق و تسری آن به کل شبکه جلوگیری کنیم. آن زمان، بحث جرایم، باب بود و بسیاری از مکانیزم‌های امنیتی امروزی را نداشتیم و حوزه انتظامی و قضائی، توقعات بیشتری از شبکه بانکی داشت. راه‌اندازی این سامانه کمک کرد تا جرایم و شبکه‌های سازمان‌یافته را کنترل کنیم و به موقع، پاسخ برخی اتفاقات را بدهیم.

  • در اظهاراتتان اشاره کردید برای هر عملیاتی مانند مسدودسازی یا نظایر آن، برای کشف تقلب نیازمند دستور قضائی هستید. الان در کشور ما، سقف تبادل روزانه گذاشته شده و برای جلوگیری از پولشویی، اعلام شده اگر قرار است شخصی ۲۰۰ میلیون تومان به بالاتر از حساب خودش برداشت کند، اسناد محرزه بیاورد که پول به کجا میرود. همه میدانیم بعضا افراد به جای ۲۰۰ میلیون تومان، ۱۹۹ میلیون و ۹۹۹ هزار تومان برداشت میکنند تا پول را جابهجا کنند یا اسناد فیک به شعبه بانکی ارائه میدهند. به این قسمت، کاری ندارم. کلاهبرداران یا در ایام تعطیل این موضوعات را دنبال میکنند یا در نیمههای شب. بنابراین در طول ساعات کاری، اقدامات خلافکارانه و مباحث مشکوک در نظام بانکی کمتر دیده میشود. بر این اساس، شما یک عدد درشت پیدا میکنید که قرار است جابهجا شود. آیا بر اساس قوانین موجود، میتوانید آن را تا زمانی که تعیین تکلیف و صحتسنجی شود معلق کنید که مثلا این پول از کجا آمده و به کجا میرود؟ چون ظاهرا در دنیای خارج از مرزها، اگر به عنوان صاحب حساب، محدودیت سقف وجود نداشته باشد، وقتی پول کلان از حساب خارج میشود، از شعبه تماس میگیرند که آیا خود صاحب حساب برای برداشت این پول اقدام کرده یا فراد اتفاق افتاده یا هر موضوع دیگری. الان قوانین به شما چه اختیاراتی میدهد؟ از این جهت میپرسم که اگر جایی نقص قوانین داریم، که قطعا داریم، درباره آن در رسانهها صحبت کنیم تا قوانین دستوپاگیر، رفع و اصلاح شود. بالاخره امسال، سال مقرراتزدایی است و برای نظام بانکی و حتی خود بانک مرکزی، نیاز است این قوانین بهروز شوند. نظر شما چیست؟

اطهری: ما هر اقدامی بخواهیم روی ابزارهای پرداخت یا حساب‌های بانکی انجام دهیم، نیاز است قبل از آن، یا اختیار قانونی داشته باشیم یا در تعهدات قراردادی فیمابین آن موسسه، سرویس‌دهنده و مشتری، بندها و تعهدات لازم، این اختیار از مشتری گرفته شده باشد که اگر فلان شرایط حادث شود، می‌توان ابزارهای وی را غیرفعال و حساب‌های وی را مسدود کرد و نظایر آن. بنابراین یا باید در تعهدات قراردادی گنجانده شده باشد یا اختیارات قانونی باشد و یا خارج از این دو حوزه، باید دستور قضائی وجود داشته باشد. تا جایی که ما متوجه شدیم و مشاوران حقوقی ما اعلام کرده‌اند، در چنین شرایطی می‌توانیم بر روی ابزار پذیرندگی، ابزار پرداخت و حساب بانکی کار کنیم. قبلا دست‌وبال مقداری بسته بود. خود بانک‌ها هم در حوزه مدیریت تقلب نمی‌دانند اگر رفتار مشکوک دیدند، چه اقدامی باید انجام دهند و چه اختیاراتی به آنها داده شده است، چون شاید یک درصد هم که شده، این عملیات مشکوک، باعث ضرر و زیان برای مشتری یا کسب‌وکار شود. تا قبل از آیین‌نامه اجرایی ماده ۱۴ قانون مبارزه با پولشویی، ابهاماتی در این حوزه وجود داشت اما این آیین‌نامه، فضا را روشن‌تر کرد. ماده ۶۷ آیین‌نامه، تبصره ۳، بندهای دوم و سوم، به همین موضوع می‌پردازد و این اختیار و تکلیف را برای نهادهای مشمول برمی‌شمرد که اگر رفتاری مغایر با سطح فعالیت موردانتظار مشتری تشخیص دادند، دو اقدام انجام دهند: یکی اینکه روی ابزارهای پرداخت، محدودیت ایجاد کنند که درباره جزییات آن محدودیت، صحبتی نشده است. دوم اینکه هرگونه عملیات بانکی و مالی را به حضور فیزیکی مشتری در داخل شعب، محدود کنند. بنابراین با این شرایط و اختیارات، در زمینه رسیدگی به فعالیت‌های مشکوک، دست بانک‌ها باز است و می‌توانند اقداماتی انجام دهند. در کنار این موضوع، با همکاری شبکه بانکی در حال بررسی تعهدات قراردادی بانک‌ها با مشتریان هستیم و امیدواریم از قراردادها در زمینه موضوع رسیدگی به فعالیت‌های مشکوک به پولشویی و تقلب پشتیبانی شود و بانک، اقدامات لازم را در زمان مناسب انجام دهد.

  • منظورم بخش خارج از بانک، دستگاه نظارتی و رگولاتور هم بود. فارغ از اینکه بانک با مشتری، چه قراردادی دارد، اگر شما به عنوان نهاد بالاتر، متوجه اتفاق شدید و بانک، کشف نکرد، چه میتوان کرد؟ متاسفانه یک مشکل اساسی در نظام بانکی این است که هرکس از یک فراددیتکشن خاص و نرمافزار مشخص خودش با توجه به ذهنیتی که از نظر قیمتتمامشده و کیفیت سرویس دارد، استفاده میکند و ظاهرا این امر استاندارد مشخصی در نظام بانکی ندارد و بسیاری از بانکها، سلیقهای عمل میکنند. به عنوان حاکمیت و ناظر بر شبکه پولی و بانکی، اگر چیزی را کشف کردید، آیا این مسیر برای شما باز است که آن را معلق کنید تا تکالیف آن معلوم شود؟ با توجه به نشست خبری آقای محرمیان، شنیدهام در همین سامانه احکام قضائی، از زمان نشستن ابلاغ در سامانه تا اقدام از سوی بانک، سه ساعت زمان میبرد. درست است؟

اطهری: بله درست است. بانک مرکزی هم تابع همان مواردی است که عرض کردم. یکی از اهدافی که در بازبینی تعهدات قراردادی دنبال می‌شود، این است که نهاد ناظر به واسطه بانک‌ها بتواند روی ابزارهای پرداخت یا حساب‌های بانکی دارای فعالیت مشکوک اقدام کند. چون بسیاری از اتفاقات، محدود به یک بانک نیست و وقتی پول، از حساب یک قربانی خارج می‌شود، به حساب یک نفر دیگر در بانک دیگر منتقل می‌شود و ما جایی می‌توانیم موفق عمل کنیم که بتوانیم جلوی خروج پول را از شبکه بانکی بگیریم؛ یعنی در این مواقع که بانک دیگری که برای مشتری دیگر اتفاق افتاده و مشتری آن بانک نیست و بانک هم هیچ شناختی نسبت به آن مشتری ندارد و صرفا گزارشی درباره آن اتفاق داریم و در لحظه رسیدگی، زمان لازم برای بررسی وجود ندارد و حابه-جایی پول در چند دقیقه اتفاق می‌افتد و پول از شبکه خارج می‌شود، هم به لحاظ قانونی و هم به لحاظ تعهدات قراردادی بتوانیم از آن سرعت برای اقدام لازم پشتیبانی کنیم. نمی‌توان گفت ما باید سرعت داشته باشیم به این معنا که بلافاصله بعد از گزارش اتفاق مشکوک که پول، خارج و به بانک دیگر منتقل شده، آن حساب را مسدود کنیم. این امر، مستلزم این است که حداقل تعهدات قراردادی بین بانک و مشتری از این موضوع پشتیبانی کند. این اتفاق، در همان پروژه بازبینی قراردادها بین بانک‌ها و مشتریان در حال پیگیری است و یکی از اهداف ما، دستیابی به همین موضوع است.

  • اگر بازبینی اتفاق بیفتد، تکلیف مشتریان قدیمی چه میشود؟ اگر یک سند بالادستی باشد، نیاز به تایید مشتری ندارد چون شما پولشویی، تقلب و فراد را پیگیری میکنید.

اطهری: همین نکته نیز یکی از موضوعات مطرح‌شده است. یک کمیسیون حقوقی تشکیل شده و قرار است نمایندگان حقوقی بانک‌ها و بانک مرکزی در آن کمیسیون حضور داشته باشند. این بحث، جنبه حقوقی دارد و از نظر فنی مشکلی نداریم. امیدواریم قراردادهای قبلی را هم شامل شود. ما الان با هماهنگی با حوزه قضائی، دستورهای قضائی را درباره بسیاری از اتفاقات اخذ می‌کنیم. در این زمینه، سامانه‌ای که قبلا به آن اشاره شد، به ما کمک می‌کند؛ یعنی علی‌رغم اینکه به دلیل تعهدات قراردادی و اختیارات قانونی، محدودیت‌هایی داریم، اما حداقل نهاد ناظر این محدودیت‌ها را با ارتباطات نزدیکی که از طریق همین سامانه با حوزه قضائی ایجاد کرده، مرتفع می‌کند. امیدواریم به زودی شاهد باشیم تعهدات قراردادی هم به نحو مناسب از این موضوع پشتیبانی کنند.

  • درست است. متاسفانه متقلبان، پول را بسیار سریع از این حساب به آن حساب، منتقل و آن را از نظام بانکی خارج میکنند و یک رمزارز بیتکوین یا چیز دیگر خریداری مینمایند و دیگر نمیتوان آنها را پیدا کرد! امیدواریم ما هم بتوانیم از نرمافزارهای هوشمندی که دنیا از آن استفاده میکند، بهرهمند شویم. البته برخی دوستان که معلوم نیست چرا مخالف این نرمافزارها هستند، تیتر میزنند فلان نرم-افزار SAS آمریکایی بود و مانند آن و اجازه ندادند این اتفاق، یعنی استفاده از نرمافزارها رخ دهد. با این حال، اگر SAS آمریکایی بود، اروپا و حتی هندوستان در نزدیکی ما هم در این زمینه پیشرفته هستند و میتوانستیم از آنجا وارد کنیم. اگر درخصوص آمریکا ممنوعیت داشتیم، درخصوص سایر کشورها که منعی وجود نداشت. معلوم نیست چرا از این طریق اقدامی انجام نشد. اینها سوالات ابهامبرانگیزی است که امیدواریم روزی به آن پاسخ داده شود و دلایل پشتپرده آن مشخص گردد. بگذریم… آقای عباسنژاد! به عنوان آخرین سوال، وقتی درباره حوزههای امنیتی و سامانههای بانکی صحبت میشود، اولین اقدامی که مثلا درباره فیشینگ اینترنتبانکها، به ذهن معاونتهای فناوری بانکها میرسد این است که می-گویند به منظور جلوگیری از تخلف، کپچا روی آن گذاشته شود و به سهولت استفاده توسط کاربر توجه نمیشود. کاربر چه گناهی کرده که بانک، به دلایل مختلف، مشکل امنیتی دارد. الان یک بانک نمیتواند اطلاعات ورود یک مشتری را کشف کند؛ آن هم مشتریای که معمولا فقط با یک یا چند IP مشخص به شبکه اینترنت وصل میشود. در صورت توجه به این موضوع، مثلا اگر یک مشتری در تهران تراکنشی با مبلغ ۲۰۰ هزار تومان از طریق یک پذیرنده در فروشگاهی انجام دهد و ساعت ۳ بعدازظهر همان روز، یک تراکنش با IP آمریکا یا ترکیه یا کشورهای نزدیک با مبلغ ۵۰ میلیون تومان برای خروج از حساب صورت گیرد، مشخص است این فرد، نفر قبلی است چون چند ساعت قبل در تهران، خرید انجام داده و نمیتواند در عرض چند ساعت در کشور دیگر، خرید انجام دهد. البته در این زمینه معاونتهای کسب-وکار به سهولت سمت کاربر فکر میکنند اما واحدهای فناوری، کسبوکار و حتی امنیت با همدیگر تعامل ندارند و حتی زمانی که به دلیل بروز اتفاق، همه بسیج میشوند تا مساله را حل کنند، اولین چیزی که به ذهنشان میرسد، اجرا میکنند اما به فکر کاربر نیستند. با توجه به تجربیات شما در نظام بانکی، چرا این اتفاقات رخ میدهد؟

عباس‌نژاد: این موضوع، کاملا درست است. یکی از مشکلات این است که با نگاه‌های امنیتی، کنترل تقلب و سوءاستفاده، سهولت استفاده کاربر، آن‌قدر کم می‌شود که عملا سیستم، کارآیی اصلی خود را از دست می‌دهد. فکر می‌کنم اینجا نقطه‌ای است که معاونت‌های کسب‌وکاری، فناوری و امنیت باید به هم نزدیک‌تر شوند و راه‌حل‌هایی پیشنهاد دهند که همزمان با سهولت استفاده کاربر، ریسک امنیتی را به حداقل برساند. مثال می‌زنم. گوگل، سیستم کپچا دارد که متداول است و در جاهای مختلف دنیا نیز از آن به نام ری‌کپچا استفاده می‌شود اما آیا شما زمانی که از سرویس‌های مختلف گوگل مانند یوتیوب، جی‌میل و… استفاده می‌کنید، ری‌کپچا را می‌بینید؟ واقعا خیلی زیاد نیست و موقعی که گوگل حس می‌کند سیستم دچار ریسک امنیتی است، آن را نشان می‌دهد و در حالت معمول دیده نمی‌شود اما ریسک اتصال یا درخواست کاربر را در تمام جلسه‌هایی که دیتای ورودی از کاربر می‌گیرد، کنترل می‌کند با این حال، کپچای دشواری به کاربر نشان نمی‌دهد. زمانی این کار را انجام می‌دهد که احساس می‌کند فیک‌یوزر است یا ریسک در اتصال وجود دارد یا تقلب در حال رخ دادن است. اینجاست که در حال کشف این موضوع است که کاربر، اصلی است یا ماشین؟ الزاما شاید تعریف اصلی ‌کپچا این موضوع باشد که انسان و ماشین را از هم تشخیص دهد اما در ارتباط ریسک-محور می‌توانیم ریسک تمام درخواست‌هایی را که از طرف کاربر ارسال می‌شود، با سیستم هوشمند بررسی کنیم و درباره آن تصمیم بگیریم. موضوع، فقط IP و موقعیت جغرافیایی کاربر نیست بلکه پارامترهای دیگر نیز دخیل است مانند رزولیشن کامپیوتر، نوع browser کاربر مثلا فایرفاکس، کروم یا edge و افزونه‌هایی که بر روی آنها نصب است و حتی از حرکت‌های موس کاربر روی صفحه، مدت زمانی که بین کلیک کردن در صفحه اتفاق می‌افتد، همگی اینها قابل پروفایل کردن است و سپس می‌توان نسبت به پروفایل‌ها تصمیم گرفت که همان یوزر است یا خیر. اگر آن یوزر نیست، می‌توان تصمیم گرفت نوع ارتباط را سخت‌تر کرد. اینها باید نسبت به نوع سامانه مورداستفاده بررسی شود و نمی‌توان برای همه آنها قانون کلی درنظر گرفت اما اگر تصمیمات ما، مبتنی بر ریسک باشد و هنگام بررسی ریسک دو جنبه آن، یعنی هم ریسک‌های امنیتی و در دسترس و هم opportunity loss risk یا همان ریسک از دست دادن کاربر را بررسی کنیم، می‌توانیم برای انجام کار به نتیجه مناسبی برسیم. سیستمی که صرفا استاتیک تصمیم بگیرد، دچار خطا می‌شود و نتیجه آن به حداقل رساندن سهولت استفاده کاربر است اما سیستم داینامیک که هوش پشت آن است و با آن تصمیم‌گیری می‌کند، طبیعتا این موارد را به حداقل می‌رساند. در دنیا نیز همین‌طور است. اگر به بانک‌هایی که بیشتر از هوش مصنوعی خصوصا در حوزه امنیت، استفاده می‌کنند، نگاه کنیم، در آنجا، ضمن توجه به سهولت استفاده کاربر، سیستم به صورت هوشمند تصمیم می‌گیرد چقدر برای استفاده کاربر از سیستم سخت‌گیری کند؛ هم زمانی که قرار است به سیستم ورود کند و اولین لاگین‌ها را در سیستم انجام دهد و هم زمانی که قرار است تراکنش انجام دهد. در هرکدام از این موارد، نسبت به شرایط و مقتضیات تراکنش یا اتصال، تصمیم می‌گیرد چطور این کار را انجام دهد. این دانش و تجربه در کشور ما هم وجود دارد اما اینکه بانک‌ها به هر دلیل تصمیم می‌گیرند استاتیک عمل کنند، نتیجه‌اش این است که چندان به راحتی کاربر توجه نمی‌شود.

  • یعنی اگر بانکی در کشور بخواهد از این راهکارها استفاده کند، امکانپذیر است و بانکها انجام نمی-دهند؟!

عباس‌نژاد: توان و تخصص آن را در کشور داریم. این‌طور نیست که بگوییم در کشور ما در حوزه هوش مصنوعی کاری انجام نشده است. در حوزه هوش مصنوعی در عرصه امنیت سایبری نیز اقدامات زیادی انجام شده است چون سامانه‌های امنیت سایبری مبتنی بر هوش مصنوعی در ایران وجود دارد و کشور ما نیز مانند دنیا در حال پیشرفت است اما باید از آنها حمایت شود و در قالب این حمایت‌ها، مجموعه‌های دانش‌بنیان فعال در این حوزه‌ها پیشرفت می‌کنند و به نتیجه می‌رسند. بدون حمایت مجموعه‌های بزرگ، تحقق این امر، میسر نیست.

  • ببینید «ما میتوانیم»، شعار بامزهای است که چندین سال است در کشور از آن صحبت میشود! آیا الان روی میز پیشنهاد آماده داریم که به بانکها ارائه کنیم و بانکها از آن استفاده نمیکنند؟

عباس‌نژاد: در زمینه بررسی هوشمند ریسک ارتباط کاربر با سامانه‌های بانکی، پاسخ، مثبت است و این توانمندی وجود دارد.

  • پس چرا بانکها از آن استفاده نمیکنند؟ به خاطر گران بودن فناوری است یا موضوع دیگری مطرح است؟

عباس‌نژاد: مساله این است که تصمیم می‌گیریم سهولت استفاده کاربر را درنظر نگیریم و کمترین ریسک را لحاظ نماییم. این دو مساله در مقابل همدیگر است. گاهی اوقات می‌گوییم هرچه به کاربر بدهیم، همان را استفاده می‌کند و چون چاره‌ای ندارد، همین کار را انجام می‌دهد. در این حالت، اتفاقی که می‌افتد، همین وضعیت موجود است.

  • درد اصلی هم همین است! بنده در برنامه دیگری عرض کردم در وضعیت کنونی، در ۳۴ بانک با ۳۴ تابلو در کشور، از این بانک به آن بانک و از این ستون به آن ستون، غیر از خدماتی مانند افتتاح حساب غیرحضوری، که جدیدتر است، هیچ فرجی اتفاق نمیافتد. به عنوان یک کاربر، IP اینترنت محل کار یا منزل بنده، هر دو ثابت است و بیش از ۹۹ درصد کارهای بانکیام را در همین دو شبکه انجام میدهم اما هربار برای لاگین کردن به اینترنتبانک، آن بانک، برای بنده کپچا میگذارد! در حالی که اگر گوگل را درنظر بگیریم، برخی مواقع، اگر قرار باشد، با گوشی یا لپتاپ دیگری لاگین شویم و آن را شناسایی نکند، نه تنها رمز عبور میخواهد بلکه فورا با پیام به گوشی اصلی، اطلاع میدهد که یک نفر با فلان IP با این دستگاه وارد میشود تا مشخص کند خود فرد است یا دیگری و اگر فرد، تایید کند که خودش است، دسترسی برای وی ایجاد میشود. حتما فناوری آن در دنیا وجود دارد اما بانکهای ما به خاطر انحصار و نبود حس رقابت در شبکه بانکی در حوزه ارائه خدمات بهروز، به این سمت نمیروند. آقای اطهری هم در اظهاراتشان اشاره کردند بانکها در حوزه امنیت در حال رتبهبندی شدن هستند. چرا این رتبهبندی و امتیاز بانکها را در اتاق خودتان نگه داشتهاید؟! این رتبه را در رسانهها اعلام کنید تا کاربر بداند کدام بانک، ضعیف است و کدام بانک، قوی؟ سالهاست بحث رتبهبندی بانکها را در بانک مرکزی میشنویم و بالاخره نفهمیدیم این کار انجام شد یا خیر. این رتبهبندی، باعث میشود کاربران در فضای رقابتی به سمت بانکهایی بروند که بهتر سرویس میدهند. اگر رفتارهای اپراتورهای همراه را مثال بزنیم در آنجا دو سرویس پایه یعنی صوت و اینترنت، بیشتر دریافت نمیکنیم. هرکدام کیفیت صوت و اینترنت آن بهتر و نیز تعرفه خدمات آن مناسبتر باشد، همان را انتخاب و به راحتی سوئیچ میکنیم چون جایگزین وجود دارد اما در نظام بانکی، پارامترها خیلی متفاوت است. فقط بحث واریز پول به حساب، انتقال آن و مباحث کاربری، دسترسیها و اپلیکیشنهای مناسب نیست، بلکه حوزه امنیت نیز بسیار جدی است و بانکها باید بیشتر به آن بپردازند. بانک مرکزی به عنوان رگولاتور نباید تعارف داشته باشد. یکی از دوستان حوزه نظارتی در دستگاه حاکمیتی میگفت نگران امنیت جانی است؛ یعنی کسی که در حوزه نظارت قرار است با فساد و افراد متخلف برخورد کند، با این وضعیت مواجه است که اصلا پذیرفته نیست. کسی که چنین جملهای را به زبان آورده و اینقدر بر روی امنیت جانیاش حساسیت دارد، اشتباه در این جایگاه قرار گرفته و باید در واحد بایگانی قرار گیرد! در حوزه رسانه هم این موارد وجود دارد اما اگر قرار باشد با چند توپ و تشر و تماسهای بدون شماره و ناشناس، جا خالی کنیم که نمیشود. ۱۵ سال پیش ما با فردی درباره یک خبر که افشاگری کرده بودیم، دچار مشکل شدیم. گفت: «آقای افتاده! دیهات در ماه حرام چقدر است؟! یک نیسان آبی را بیمه کامل و با یک کارگر افغان، هماهنگ میکنم و دیهات را هم از جیبم نمیدهم و از جیب دولت به خانوادهات پرداخت میکنم!!» اگر قرار بود آن موقع که البته جوانتر بودم، به خاطر همان جمله، کار را رها میکردم، الان اینجا نبودم. البته نقد تند و تیز ما از سر دلسوزی است نه از سر نترس بودن. فساد مانند موریانه، بدنه کشور را می-خورد و اگر قرار باشد ما سکوت کنیم، چه چیزی به آیندگان تحویل میدهیم. با این ترسها، اگر تخلفی هم دیده شود، عامل خودسانسوری است بنابراین تخلف اعلام نمیشود و با فرد خاطی، برخورد صورت نمیگیرد. این فرد، با این همه ترس، خودش به یک ریسک در بدنه نظارتی تبدیل شده است. بگذریم… جناب اطهری! نکته پایانی و جمعبندی جنابعالی را میشنویم.

اطهری: با اظهارات شما کاملا موافقم. البته همکاران ما در شرکت‌های حاکمیتی و بانک مرکزی، جان و آبروی‌شان را کف دست-شان گرفته‌اند و با افتخار کار می‌کنند چون خدمت کردن را دوست دارند و چون پایبندی به ارزش‌ها، مهم‌تر از درآمدزایی و زندگی راحت داشتن است. همه ما در کنار شما، تلاش می‌کنیم کارهای مفید بیشتری انجام دهیم. به عنوان جمع‌بندی باید عرض کنم ما راه‌حل‌هایی که امنیت را صرفا به سمت مشتری انتقال می‌دهد، قبول نداریم. فرض ما این است که سمت مشتری ناامن است و بعد از آن، درباره راهکارها صحبت می‌کنیم اما با این وجود، حلقه ضعیف، کاربران هستند و باید برای آنها آگاهی‌رسانی و هوشیارسازی لازم اتفاق بیفتد. اگر قرار بود همه‌چیز را به مشتری مرتبط کنیم، نباید رمز پویا را ایجاد می‌کردیم و می‌گفتیم رمزش را در سایت فیشینگ وارد نکند. شرکت کاشف در حوزه آگاهی‌رسانی و آموزش، چه به نام کاشف و چه در قالب حمایت از شرکت‌هایی که کار تبلیغاتی در جهت آگاهی‌رسانی مشتریان انجام می‌دهند، اقداماتی داشته و شبکه بانکی و بانک‌ها نیز بر روی مشتریان یا حلقه ضعیف کار کرده‌اند و آنها را تقویت می‌کنند. این نکته هم درست است که ما نباید امنیت راه‌حل‌های پرداخت و بانکداری را به امنیت مشتری گره بزنیم. امیدواریم مجموع مقتضیات ناظر بر بیزینس، کسب‌وکار و فضای بانکداری کشور، ما را به سمتی ببرد که از این ایده‌ها استفاده کنیم و آنها را به کار ببریم. بانک مرکزی هم به دنبال این است که بانک‌ها، پیشدستانه‌ در این حوزه گام بردارند، منتظر رگولاتور نباشند و موجبات ارتقای امنیت شبکه بانکی را فراهم کنند. البته اینها نافی مسوولیت رگولاتور یا شرکت کاشف که به رگولاتور کمک می‌کند، نیست.

  • آیا درباره رتبهبندی بانکها، ملاحظه خاصی وجود دارد که آن را اعلام نمیکنید؟

اطهری: افشای این اطلاعات نیازمند اتخاذ سیاست‌های لازم توسط بانک مرکزی است و در حد اختیارات شرکت کاشف نیست. این تصمیم بانک مرکزی است که اطلاعات مربوط به رتبه‌بندی را در این برهه افشا کند یا اینکه با خود بانک‌ها در میان بگذارد و فرصت‌هایی به بانک‌ها داده شود. نباید کاری انجام داد که آن‌چیزی که می‌تواند انگیزه ایجاد کند، موجب چالش شود. قطعا این تدبیر در بانک مرکزی وجود دارد که هرجا لازم باشد، این اطلاعات را افشا می‌کند. آنچه در برخی جلسات با حضور معاونت فناوری‌ بانک‌ها شاهد هستم، این است که علی‌رغم اینکه این نظارت، خروجی خود را در جلسات نشان می‌دهد، باز هم فضا، واقعا سازنده است. تحرکاتی که در این مدت در حوزه مدیریت تقلب در بانک‌ها می‌بینیم، نتیجه اعتمادی است که بین بانک‌ها و بانک مرکزی ایجاد شده است. هرچند اگر بانک مرکزی به نقطه‌ای برسد که رتبه‌ها اعلام شود، این اتفاق نیز خواهد افتاد. در نهایت، اعلام یا عدم اعلام آن، در حوزه اختیارات بانک مرکزی است و اگر تصمیم بگیرد، حتما افشا خواهد شد.

  • فکر میکنم افشای اطلاعات در حوزه امنیت و کشف تقلب اصلا چیز بدی نیست. در همین نظام بانکی، شرکت شاپرک، گزارش میزان تراکنشها را ماهانه به ریز اعلام میکند و البته موجب شده به خاطر افزایش تعداد تراکنشها در شبکه پرداخت و جابهجایی رتبهها، بعضا شرکتها در مسیر اشتباه قرار گیرند. در این رابطه، سازمان مدیریت صنعتی، ۵۰۰ شرکت برتر کشور را اعلام میکند و همه شرکتها در حوزه کسبوکاری تلاش میکنند رتبه خود را ارتقا دهند تا نشان دهند در نظام اقتصادی کشور، جایگاه بهتری دارند یا اینکه مدیران عامل شرکتها، به خاطر حفظ صندلی خود به دنبال آن هستند. با این حال، در حوزه امنیت، آگاهی از این موضوع، حق مردم است و تا زمانی که اتفاقی برای افراد نیفتد، چندان برای آنها، قابل درک و حس نیست که فلان بانک، امن است یا خیر. اینکه خطای رخداده سمت مشتری بوده یا سمت بانکها، شما در سیستمها میبینید. این موضوع را اعلام کنید. فکر نمیکنم بانک مرکزی تصمیم بگیرد در این حوزه، اطلاعرسانی کند. این کار هم کمک به نظام بانکی است و هم کشور و هم کاربر. در این صورت، بین بانکها رقابتی ایجاد خواهد شد تا در حوزه امنیت، نفر اول باشند که چیز بدی هم نیست و چون موضوع، مثبت است، کمککننده است. آقای دکتر عباسنژاد! در انتها، جمعبندی و نکات پایانی جنابعالی را میشنویم.

عباس‌نژاد: امیدوارم شبکه بانکی از توان تخصصی کشور بیشتر استفاده کند و شرکت‌های دانش‌بنیان را که قادرند در حوزه هوش مصنوعی و امنیت سایبری بیشتر کمک کنند، بیش از پیش مورد توجه قرار دهد؛ شاید تخصص‌های داخلی کشور کمک کند امنیت بیشتری داشته باشیم، فراد به حداقل برسد و مردم خوشحال‌تری در استفاده از خدمات بانکی داشته باشیم.

  • البته الان هم در حوزه خدمات بانکی خدمات بدی عرضه نمیشود اما اینکه نظام بانکی و بانک مرکزی خدمات بهتری ارائه کنند و تسهیلات با سود کمتری به مردم پرداخت شود و پایه پولی کشور قوی باشد، مهم است. متاسفانه با افزایش قیمت دلار، روز به روز، فشار به بدنه ضعیف جامعه بیشتر میشود. اولین دوره در نظام حاکمیتی کشور است که کابینه دولت، مستقر شده اما هنوز رئیس کل بانک مرکزی مشخص نیست و برای معرفی آن، کشمکشها و سهمخواهیهای جدی وجود دارد. الان کشور در شرایط خیلی خاصتری است و متاسفانه وضعیت بدتر میشود و این عدم ثبات و بیانگیزگی در حاکمیت بانک مرکزی خوب نیست. اگرچه اقدامات جاری در حال انجام است اما اینکه اقدامات جدیدتر، انجام و برنامههای آینده، جدیتر دنبال شود ظاهرا تا تعیین وضعیت رئیس کل بانک مرکزی بلاتکلیف است و دوستان، مستاصل شدهاند. امیدواریم هفته آینده، رئیس کل بانک مرکزی، معرفی و مستقر شود و موضوعات مرتبط با بانک مرکزی و حاکمیت اقتصاد پولی در کشور به صورت جدیتر دنبال شود. در این رابطه، امنیت شبکه بانکی به عنوان موضوع برنامه امروز، مانند کروناست و تا زمانی که بلایی سر فرد یا نزدیکان وی نیاید و در حوزه تقلب یا امنیت شبکه بانکی، اشتباهی رخ ندهد، نمیتوان فهمید درد آن تا چه اندازه میتواند خانوادهها را دچار مساله کند. امیدواریم بانکها، فارغ از اینکه ریسکهای خودشان به چه شکل است و چگونه به مشتری نگاه میکنند، در این زمینه، جدیتر عمل کنند. اینکه تمام ریسکها را طی قرارداد به سمت مشتری هدایت کنیم، درست نیست. الان هم که قراردادها الکترونیکی شده و مردم ما هنوز عادت نکردهاند حتی خانهای که قولنامه میکنند، جزییات آن را در بنگاه یا دفتر اسناد، مطالعه کنند و به سرعت آن را امضا میکنند. متاسفانه این روش در نظام بانکی کشور متداول شده که همهچیز را به سمت مشتری میاندازند. بهتر است بانکها کمی هم مشتریمداری کنند و مشتری را خوشحال نمایند.
حس شما نسبت به این خبر چیست؟
دوستش دارم
0%
علاقه‌مندم
0%
نظری ندارم
0%
شگفت زدم
0%
ازش متنفرم
0%
غمگینم
0%
خوشحالم
0%
منتشر شده در
اقتصاد دیجیتال
کلمات کلیدی
افشای اطلاعات رتبه‌بندی بانک‌ها، نیازمند اتخاذ سیاست‌های لازم توسط بانک مرکزی است, حضور علیرضا اطهری‌فرد، معاون نظارت شرکت کاشف, علی عباس‌نژاد، مدیرعامل گروه شرکت‌های کهکشان, مدیریت تقلب در گرو قابلیت پروفایلینگ رفتار مشتریان از سوی بانک‌هاست
, , ,
درباره نویسنده
علی اصغر افتاده

ارسال یک نظر