مشکلات سامانه هریم بانک مرکزی و مشکلات زیرساختی آن

بر اساس ابلاغیه بانک مرکزی، طرح رمز دوم یک‌بار مصرف از ۱۵ دی‌ماه اجباری می‌شود. از این تاریخ دیگر رمزهای ایستا اعتباری نخواهند داشت و انجام تمامی تراکنش‌های بدون حضور کارت با رمز دوم یک‌بار مصرف قابل انجام است. در طرح اولیه اجرای رمز دوم پویا، قرار بود بانک‌ها زیرساخت لازم برای تولید رمز دوم یک‌بارمصرف را در قالب اپلیکیشن فراهم کنند و بهره‌گیری از رمز دوم یک‌بارمصرف از اول خردادماه سال ۱۳۹۸ اجباری شود، اما به دلیل اینکه تمام کاربران به گوشی‌های هوشمند دسترسی نداشته یا علاقه‌مند به نصب برنامک رمزساز روی گوشی خود نبوده و همچنین تعدادی از بانک‌ها زیرساخت لازم برای راه‌اندازی این طرح را در اختیار نداشتند، الزامی شدن آن به تعویق افتاد. بانک مرکزی هم با این هدف که در ارایه رمز دوم‌یک‌بار مصرف، تسهیل تجربه کاربری فراهم شود، سامانه هدایت رمز یک‌بار مصرف را پیاده‌سازی کرده که تحت عنوان «هریم» برای دریافت پیامکی رمز دوم پویا فعال می‌شود.

طبق گفته یک کارشناس انفورماتیک، سید ابوطالب نجفی تغییرات لازم در سیستم‌های فنی برای اجرای پروژه رمز دوم یک‌بار مصرف انجام شده و بانک‌ها بستر ارایه رمز دوم پویا به مشتریان را ایجاد کرده‌اند؛ در همین راستا شرکت خدمات انفورماتیک برای ارایه رمز دوم پویا سامانه هدایت رمز دوم یک‌بار مصرف بانکی تحت عنوان «هریم» را ایجاد کرده که طبق دستورالعمل بانک مرکزی، تمامی بانک‌ها باید به آن متصل شوند.

فعالیت این سامانه بدین صورت است که تمام بانک‌های کشور بعد از اتصال به سامانه هریم بانک مرکزی می‌توانند درخواست رمز دوم یک‌بارمصرف مشتریان خود را دریافت و پاسخ را در قالب پیامک به مشتریان خود ارایه دهند که از این مسیر افرادی که فاقد گوشی هوشمند هستند و همچنین افرادی که میلی به نصب چندین اپلیکیشن برای پرداخت‌های غیرحضوری خود ندارند، می‌توانند از رمز دوم یک‌بار مصرف استفاده کنند.

اما این سوال پیش می‌آید که چرا نهادی غیر از بانک می‌خواهد این سامانه را راه‌اندازی کند و آیا با راه‌اندازی سیستم پیامکی، امنیت بیشتری ایجاد می‌شود یا خیر؟

محمدرضا جمالی، مدیرعامل نبض‌افزار معتقد است علاوه بر مشکلات کیفی و امنیتی پیامک، هزینه دوباره‌ای به صنعت بانکداری تحمیل می‌شود، سرعت پرداخت نیز کاهش می‌یابد و این کار، ایجاد صف می‌کند.

جمالی توضیح داد: «طرح رمز دوم پویا در هر مرحله‌ای که هست باید متوقف شود و بانک مرکزی دخالت اجرایی در آن نداشته باشد. هر بانک برای تأمین امنیت مشتریان خود از روش‌های عرف و استاندارد استفاده می‌کند و نباید این مساله را اجباری کرد. با آزاد گذاشتن این موضوع نیز ریسک و هزینه به نقطه تعادل خود می‌رسند. زیرساخت امنیتی بانک‌ها مشکلی ندارد و حتی مشتری که امنیت بیشتری می‌خواهد می‌تواند هزینه بیشتری صرف و از نرم‌افزارها و خدمات مدرن هر بانک استفاده کند.»

او تاکید کرد: «مشکل اصلی ما در قوانین است نه بانک‌ها و باید اصلاح قوانین هم در قوانین جزایی مربوط به جرایم سایبری و هم در قوانین نظام‌های پرداخت صورت گیرد.»

جمالی با بیان اینکه با اجرای این کار امنیت بیشتر نمی‌شود، توضیح داد: «مثل این است که بگوییم برای دزدی ارتفاع دیوار خانه‌ها را به جای سه متر شش متر کنیم و بقیه آثار آن را در نظر نگیریم. همین الان مغایرت‌هایی که به‌دلیل مشکلات عملکردی و ساختار فوق متمرکز و غیرپاسخگوی شتاب و شاپرک وجود دارد صدها برابر کل گردش فیشینگ است. او با اشاره به اینکه با اجرای این کار یک سامانه متمرکز به سامانه‌های قبلی اضافه می‌شود، گفت: «هزینه رفع یک خطا در پرداخت‌های خرد بالاست. به‌طور مثال اگر به‌ازای هر ۱۰۰ تراکنش یک مغایرت وجود داشته باشد، حداقل ۵۰ هزار تومان هزینه صرف مغایرت می‌شود، با این کار به‌شدت مغایرت‌های مالی بالا می‌رود. هیچ مدل‌سازی و ارزیابی هم در این حوزه صورت نگرفته است. باتوجه به اینکه کارمزد را بانک‌ها می‌دهند، این هزینه روی قیمت تمام شده پول اثر می‌گذارد. با اجرای سامانه هریم هم هزینه اضافه‌تری ایجاد می‌شود.» طبق گفته جمالی در پرداخت‌های خرد باید هم سرعت و هم امنیت بالا باشد و هیچ ابزاری حتی کیف پول تاکنون نتواونسته با ابزارهایی مانند سکه و اسکناس رقابت کند. از نظر سیستمی در پرداخت‌های خرد نیاز به ابزارهایی با دقت ۵۰۰۰ تراکنش یک خطا داریم، در حالی که همین الان در بهترین حالت شبکه برخط کنونی ۱۵۰ تراکنش، یک خطا دارد و در روز واریز یارانه‌ها یا روزهای پر ترافیک سطح کیفی تا ۵۰ تراکنش، یک خطا کاهش می‌یابد.

مدیرعامل نبض‌افزار معتقد است: «در هر کاری باید ریسک و هزینه در نظر گرفته شود. وقتی مجموع فیشینگ‌ها حدود ۶۰۰ میلیون در سال و قابل پیگیری است، لزومی ندارد روزانه حداقل ۵۰۰ میلیون تا یک میلیارد تومان هزینه را به شبکه اضافه کنیم. دادن خسارت به مشتریان توسط بانک‌ها و نبود قانون درست باعث می‌شود که یک بازی ناپایدار شکل بگیرد و به علت نبود قانون درست در یک بازه کوتاه منابع زیادی از بانک‌ها به بهانه مقصر بودن آنها بر طبق شکایت‌های صورت گرفته از بانک‌ها پرداخت شود.»

سیستم متمرکز بر پیامک برای رمز دوم پویا علاوه‌بر اینکه هزینه دوباره‌ای را به صنعت بانکداری تحمیل می‌کند، سرعت پرداخت را نیز کاهش می‌دهد و ایجاد صف می‌کند. این صف هم در کسب‌وکارها و هم در زیرساخت‌های بانکی ایجاد می‌شود. ما اکنون در شرایطی هستیم که تراکنش‌ها در برخی بانک‌ها کمتر از صد تا ۵۰۰ میلی ثانیه صورت می‌گیرد و اگر موضوع رمز یک‌بار مصرف با سیستم متمرکز یا جداگانه بانک‌ها مبتنی بر پیامک اجرا شود، تمام تراکنش‌ها باید منتظر بمانند و زیرساخت کنونی شتاب، شاپرک و بانک‌ها به هیچ‌وجه نمی‌توانند چنین حجمی از تراکنش‌ها را نگه دارند. مشکلات کیفی و امنیتی پیامک هم باید در نظر گرفته شود و به هیج وجه پیامک قابلیت اعتماد لازم را برای قرار گرفتن در این زنجیره خدمت ندارد.

باتوجه به گفته‌های جمالی این طرح اگر اکنون جمع‌آوری شود ضرر کمتری را تحمیل می‌کنیم و اگر ریسک را با هزینه بسنجیم متوجه می‌شویم ریسک این مساله از هزینه آن بسیار کمتر است. بنابراین توجیهی برای اجرای این طرح وجود ندارد. از سوی دیگر با چک کردن حساب افراد باید جلوی تقلب را گرفت، چراکه همه حساب‌ها مشخص و دارای شماره ملی افراد است و اگر قانون مناسبی را برای تقلب‌های بانکی در نظر بگیریم مساله فیشینگ اتفاق نمی‌افتد. تراکنش باید بین حساب‌ها جابه‌جا شود و پیدا کردن و شناسایی شخص خلافکار از طریق حساب کم هزینه‌تر از این فعالیت‌هاست. قانون برای جرم صورت گرفته هم می‌تواند جزای مناسب تعیین کند که ریسک کنترل شود و شاهد افزایش سوءاستفاده‌ها از اطلاعات کارت‌ها نباشیم.

برخی از کارشناسان معتقد هستند که ارایه OTP باید با اپلیکیشن صورت گیرد و ارایه این خدمت با پیامک منطقی نیست. جمالی در این باره گفت: دریافت رمز پویا با پیامک و در این مقیاس مناسب نیست. علاوه‌بر ناامن بودن، این روش تأخیر هم دارد. همچنین هزینه بالایی دارد و اگر به بانک‌ها تحمیل شود به هزینه عملیاتی بانک‌ها اضافه می‌شود، در‌حالی که هزینه اینترنت کاربران برعهده خودشان است.

جمالی به معضلاتی که اکنون گریبانگیر نظام پرداخت است اشاره کرد و توضیح داد: سامانه هریم از نظر هزینه، ریسک تمرکز، امنیت، سرعت پرداخت و سطح پایین قابلیت اعتماد مشکل دارد. اکنون مشکلاتی که در قوانین قبلی نظام پرداخت وجود دارد حل نشده و با اجباری کردن رمز دوم پویا معضل جدیدی به معضل‌های قبلی اضافه می‌شود. در حالی که اگر این طرح در جایگاه درستش انجام شود، باعث بهبود امنیت می‌شود. او ادامه داد: انجام دادن آن در سطح ملی هم ریسک امنیتی بالایی را ایجاد می‌کند و کاربران هم حاضر نمی‌شوند هزینه اضافه را پرداخت کنند در حالی که اگر هر بانک به صورت مناسب عمل کند هم از نظر کسب‌وکار، هزینه و ریسک در تعادل قرار می‌گیرد و هم ریسک عملیاتی و امنیتی متوجه کشور نخواهد شد. متاسفانه علی رغم صحبت‌های رییس کل و تاکید بر توسعه سیستم‌های نظارتی در معاونت فناوری نوین بانک مرکزی شاهد همان رویه‌های قبلی در معاونت فناوری‌های نوین بانک مرکزی و نظام‌های پرداخت کشور هستیم.