معاملات، الکترونیکی می‌شوند

در ایران نیز به گفته ناصر حکیمی رییس اداره نظام‌های پرداخت بانک مرکزی، عملیات بانکداری الکترونیک از سال‌های 80 ـ 79 آغاز شد و به فاصله اندکی کارت‌های الکترونیک بانکی و نظام پرداخت الکترونیک جای خود را در میان کسب و کار و زندگی مردم باز کرد.

گفت‌وگوی جام‌جم با حکیمی در حاشیه مصاحبه اخیر وی با خبرنگاران در بانک مرکزی صورت گرفت و او در این گفت‌وگو به​پرسش های مختلف درباره امنیت بانکداری الکترونیکی، چگونگی توسعه طرح‌ها و پلیس امنیت بانکی پاسخ داد.

ایران در حال حاضر در بانکداری الکترونیکی چه جایگاهی دارد؟ آیا در این زمینه قابل مقایسه با کشورهای پیشرفته هستیم؟

فرآیندی که سایر کشورها از اواخر دهه 70 19 میلادی آغاز کردند که از پول نقد در معاملات کمتر استفاده کنند، در ایران در سال 1371 با نصب نخستین دستگاه عابربانک شروع شد که صرفا امکان دریافت پول در آن فراهم بود؛ اما اولین پایانه‌های الکترونیکی در ایران سال 83 وارد و امکان خرید الکترونیکی فراهم شد. گرچه ایران خیلی دیرتر از غربی‌‌ها وارد این مقوله شد، اما این عقب‌افتادگی از نظر فنی در حال حاضر جبران شده است. ایران بویژه در زمینه پایانه‌های فروش، پیشرفت بسیاری را شاهد بوده و هم‌اکنون 2 میلیون واحد صنفی و حدود 3 میلیون پایانه فروش الکترونیکی وجود دارد. در این زمینه به اندازه کافی برای تمام واحدهای صنفی پایانه وجود دارد. زیرساخت آن فراهم و تغییرات فنی لازم ایجاد شده است که امکان پاسخگویی حجم تراکنش‌ها وجود داشته باشد، اما نکته مهم برای رسیدن به نقطه مطلوب بانکداری الکترونیکی که هم‌اکنون بسیاری از کشورهای توسعه یافته به آن دست یافته‌اند و کمتر از پول نقد در خریدها استفاده می‌کنند، موضوع تغییر عادات مردم است.

همان‌طور که گفتم می‌توان فاصله فنی میان ایران و کشورهای پیشرفته را در استفاده از خدمات الکترونیک بانکی طی مدت کوتاهی جبران کرد. ما در سال 83 فاصله‌ای نجومی در بانکداری الکترونیک با کشورهای معیار داشتیم، اما می‌توان گفت این فاصله تقریبا اکنون دیگر وجود ندارد. در ترکیه دو میلیون و 200 هزار پایانه فروش الکترونیکی وجود دارد در حالی که در کشور ما دو میلیون و 800 هزار پایانه فعال است. در چین نیز دو میلیون و 300 هزار پایانه وجود دارد.

ولی تغییر در عادات مقوله‌ای فرهنگی است که عموما زمانبر است و نیاز است مردم عادت کنند، اعتماد داشته باشند و سهولت آن برای دارنده کارت و فروشنده احساس شود، هرچند این زمینه نیز ایجاد شده است. بویژه طی سه سال اخیر فرهنگ خرید با کارت در میان مردم ایجاد شده است و از سال 88 شاهد تراکنش‌های بسیار بالا در نظام بانکداری الکترونیکی هستیم.

قطعا هدفمندی‌ یارانه‌ها در این زمینه بی‌تاثیر نبود، زیرا موضوع یارانه‌ها بسیاری از مردم را که اصلا با این سیستم کار نمی‌کردند، با کارت آشنا کرد.

در سال 86 ما آرزو داشتیم مثلا 10 درصد از تراکنش‌های ما با POS (پایانه الکترونیکی فروش) باشد. الان از نظر مبلغ بیش از 50 درصد مبلغ تراکنش‌ها با POS جابه‌جا می‌شود، بنابراین فاصله فرهنگی نیز که قبلا بوده هم‌اکنون کم شده و بخش بزرگی از رفتارهای مردم درخصوص پرداخت‌های الکترونیکی با رفتاری که در کشورهای مشابه صورت می‌گیرد، یا مشابه است یا خیلی بهتر است. اما در مقایسه با کشور معیار، باز فاصله وجود دارد و این فاصله را بیشتر باید به حساب تغییراتی گذاشت که زمانبر است؛ مانند تغییرات زیادی که در زمینه‌های دیگر ایجاد شده و بعضا 40 سال زمان برده است.

ما بانک هستیم، پلیس نیستیم. پلیس ضابط قضایی است. ما به‌عنوان بانک مرکزی بتازگی یک مرکز را در شورای پول و اعتبار به تصویب رساندیم به نام مرکز کنترل امنیت شبکه فوریت‌های بانکی که به اختصار کاشف نام گرفته است. این مرکز ، وظیفه رصد کردن تمام وقایعی که به‌طور مستقیم یا غیرمستقیم سیستم بانکی را تحت تاثیر قرار می‌دهد به عهده دارد.

وقایع مستقیم، وقایع و رخدادهای امنیتی است که مستقیما متوجه بانک‌هاست مانند حمله به بانک‌ها، ورود یک ویروس به سیستم یک بانک یا ایجاد اختلال در یک بانک یا کل سیستم بانکی. وقایع غیرمستقیم وقایعی است که خارج از سیستم بانکی اتفاق می‌افتد مانند انتشار یک ویروس در نظام بانکی یا حملاتی که در جاهای دیگر اتفاق می‌افتد و می‌تواند بالقوه منشأ خطر باشد. وظیفه مرکز کاشف رصد کردن این وقایع است، همچنین تحلیل می‌کند و اخطارها و هشدارهای لازم را به بانک‌ها برای آماده‌باش و مواجهه با بانک‌ها می‌دهد.

یکی از اهداف شاپرک (شبکه الکترونیکی پرداخت کارت)‌ همین مساله است. شاپرک از دو سال پیش طراحی و پیگیری و اردیبهشت امسال راه‌اندازی شد. وظیفه اصلی شاپرک نظارت بر شرکت‌های ارائه‌دهنده خدمات پرداخت است که اغلب خصوصی هستند. نظارت در این بخش به صورت تخصصی انجام می‌شود، زیرا بانک‌ها یا بانک مرکزی اساسا مراکز مالی هستند و مراکز فنی و تخصصی الکترونیکی نیستند که بتوانند در جزئیات فنی نیز نقش داشته باشند. بر این اساس به یک بدنه تخصصی فنی نیاز دارند که در موضوع پرداخت‌های الکترونیکی، روش‌های مختلفی که امکان سوءاستفاده را فراهم می‌کند را شناسایی و نقاط ضعف را برطرف کند. بر این اساس یکی از وظایف اصلی نهاد شاپرک، استانداردسازی نظارت روی نحوه اجرای شرکت‌های خدمات‌دهنده به بانک‌هاست و در این زمینه فعالیت می‌کند.

بسیاری از خدماتی که به صورت الکترونیکی مانند ساتنا و پایا در بانک‌ها ارائه می‌شود، علاوه بر آن که برای مردم چندان شناخته شده نیست، به صورت آنی هم انجام نمی‌شود و این ضعف برای سیستم‌های یاد شده جدی است، به طوری که بسیاری از استفاده‌کنندگان از تاخیر انتقال وجوه به وسیله سامانه‌های ساتنا و پایا گلایه‌مندند.

البته این ایرادها وارد نیست، خدمات ساتنا برای مردم به صورت آنی انجام می‌شود. اگر حواله ساتنا از شعب بانک‌ها درخواست شود، وجه به صورت آنی پرداخت می‌شود. البته تفسیر آنی ما، آنی لحظه‌ای نیست. واقعیت این است که ممکن است چند دقیقه طول بکشد، ولی با مدت زمان معقولی، امکان انتقال و جابه‌جایی پول وجود دارد.

در مورد پایا این‌گونه نیست. در روش پرداخت پول با پایا، همان فرصت‌های زمان انتظار که در سامانه شاپرک وجود دارد، اعمال می‌شود. یعنی پول‌ها جمع و به طور متناوب در شبکه بانکی منتقل می‌شود. واقعیت این است که شعب بانک‌ها هنگامی که می‌خواهند چنین حواله‌هایی را صادر کنند خودشان در ترافیک کاری زیادی قرار دادند. با وجود این اگر بخواهیم همه حوالجات بانکی را به صورت برخط (آنلاین)‌ انجام دهیم، ممکن است کار شعب را هم مختل کند یا حواله‌ای به درستی انجام نشود و با مغایرت مواجه شود. بنابراین حوالجاتی که به صورت پایا یا ساتنا داده می‌شود، چون معمولا در رقم‌های بالایی صورت می‌گیرد، صحت و حصول اطمینان از عملکرد آن برای ما مهم است. ابزار مشابهی که برای حوالجات وجود دارد، چک رمزدار است. البته این موضوع هم مسائل خاص خودش را دارد، مثلا چک رمزدار محدود به حوزه جغرافیایی بانکی است و بین شهرستان‌ها امکان انجام آن وجود ندارد و نکته دیگر این که شما حتما باید به شعبه مبدأ مراجعه و زمان انتظار را سپری کنید و علاوه بر رفت و آمد باید منتظر صدور چک رمزدار نیز بمانید. بعد به شعبه مقصد مراجعه کنید که روند انتظار و انجام کار مستلزم صرف وقت زیادی است. روش دریافت پول نقد نیز اشکالاتی دارد که امکان دریافت بیش از 15 میلیون تومان وجود ندارد (به دلیل دستورالعمل مبارزه با پولشویی)‌ بعد هم حمل و نقل این مبلغ پول معمولا دشوار است، ولی در مورد پایا مطمئن هستید که در مقاطع مشخص این مبلغ جابه‌جا می‌شود.

آنچه در کشورهای معیار به آن رسیده‌اند و مردم اغلب کشورها خود را با آن منطبق کرده‌اند زمانبندی است. انتظار این که همه چیز بدون زمانبندی و پیش‌بینی انجام شود، قطعا به بروز اختلال منجر خواهد شد. انتظار فعالیت آنی تحت هر شرایطی یعنی این که سیستم آنقدر باید سرپا و بزرگ باشد و آنقدر امکانات متعدد و پیش‌بینی نیروهای انسانی داشته باشد که اختلالی در عملیات آن ایجاد نشود و این غیرممکن است. در کشورهای معیار به جای این که همه چیز را آنی و غیرقابل پیش‌بینی کنند، زمانبندی را اجرا کرده‌اند. یعنی فرصتی را برای بانک و افراد به وجود آوردند که تنظیمات لازم را انجام دهند و حوالجات بانکی در آرامش صورت‌ پذیرد، بدون این که مغایرتی به وجود آید. علت زمانبندی ایجاد شده در سیستم پایا این است که هنگام استفاده از خدمات بانکی مشخص شود این زمانبندی‌ها در سیستم بانکی اتفاق می‌افتد و مردم براساس این برنامه زمانبندی کار خود را هماهنگ کنند و این برای پرداخت‌های بزرگ و مبادلات تجاری و کسب و کار تعبیه شده است، اما برای پرداخت‌هایی که اشخاص می‌خواهند انجام دهند روش‌های دیگری در نظر گرفته شده است، مثلا خانواده‌ها دانشجو در شهرستان دارند و می‌خواهند به حساب آنها پول واریز کنند. این اشخاص می‌توانند از خدمات کارت به کارت استفاده کنند و این خدمات نیز به صورت آنی انجام می‌شود. البته این را هم باید در نظر داشت که ریسک عملیات بانکی آنی بالاست. بنابراین مبالغی که قرار است به این صورت جابه‌جا شود باید محدود شود.

مبالغ محدود یعنی این که این سرویس یا این خدمت به درد افراد یا اشخاص می‌خورد و برای کسب و کار و تجارت‌های بزرگ مناسب نیست. برای کاسب‌ها رقم‌ها بالاتر می‌رود. چون ریسک مبادله ارقام بالاتر، بالاتر است که باید توسط بانک انجام شود، نه توسط یک دستگاه عابربانک یا کارتی که ممکن است دست هر کسی بیفتد. بنابراین ریسک بالا باعث جلوگیری از بروز مغایرت در عملیات بانکی می‌شود و برای این که اختلال ایجاد نشود باید در بانک زمانبندی لازم اجرا شود تا اختلالات به حداقل برسد و طبیعی است که در این فرآیند کمی با تاخیر کار انجام می‌شود.

مسئول اصلی مواجهه با این اختلالات و هکرها همان مرکز کاشف است. بانک‌ها نیز از نظر امنیتی، تدابیر ویژه‌ای دارند که در صورت بروز حمله با آن مقابله کنند.

برخی از این حملات، خاص بانک‌های ایرانی است و برخی دیگر به این دلیل است که به صورت کلی، بانک‌ها جای جذابی برای هکر‌هاست و این اتفاق در بانک‌های کشورهای دیگر نیز می‌افتد و حمله‌کنندگان بعمد به قصد نفوذ به سیستم‌ها برای سوءاستفاده از حساب‌ها اقدام به حمله می‌کنند. خوشبختانه با امکاناتی که در بانک‌ها فراهم شده و تیم‌های فنی خوبی که در مرکز کاشف مستقر شده است، آماده باش و هشدار سیستمی و انسانی را در صورت حمله اعلام می‌کنند. الان نمی‌توانم آمار دقیقی از حملات هکرها بدهم چون تفسیرهای مختلفی وجود دارد، ولی در مقاطع زمانی گوناگون، این حملات متفاوت است. گاهی در یک مقطع حملات هکرها اوج می‌گیرد. گاهی که یک تیم در موردی خاص در حال انجام کار هستند تا 400 هزار حمله در شبانه‌روز انجام شده است. حملات همیشه اتفاق می‌افتد. شاید در مورد بانک‌های ما به خاطر شرایط خاص، بیشتر هم باشد ولی حملات در همه بانک‌های دنیا اتفاق می‌افتد. اساسا در تمام نقاط دنیا در فضای سایبری به نقاط حساس حمله می‌شود. نکته مهم این است که آمادگی برای مقابله وجود داشته باشد. تیم فنی لازم حضور داشته باشد و با ساز و کار سازمانی، حمله هکرها مدیریت و دفع شود. این نیست که بگوییم جلوی حمله را بگیریم.

خیر، درست نیست. بانک‌ها دستگاه‌های جدیدی که تعبیه می‌کنند عموما دستگاه‌های نویی است که در شبکه استفاده می‌کنند. البته دستگاه‌های قدیمی نیز در شبکه مورد استفاده قرار می‌گیرد منتهی دستگاه‌های قدیمی که ممکن است برای 20 سال پیش نیز باشند به صورت دائم نوسازی می‌شود. شاید بتوان خودپرداز را با اتومبیل مقایسه کرد، زیرا قطعات مستهلک‌شونده دارد و برخی از قطعات آن بشدت مستهلک می‌شود. قطعاتی مانند اسکناس‌شمار، کارتخوان، دستگاه ضبط کارت، چاپگرها و حتی خود صفحه کلید خودپردازها به مرور زمان با استفاده زیاد مستهلک می‌شود که باید جایگزین شود. بسیاری از این خودپردازها هر چند وقت یکبار برای نوسازی از سیستم خارج می‌شوند. در فرآیند نوسازی بسیاری از قطعات آنها تغییر می‌کند. شاید خودپردازی را بتوانید پیدا کنید که شاسی و بدنه‌اش برای 20 سال پیش است، ولی قطعات و کامپیوتر و حتی مانیتور آن هیچ‌کدام اثری از دستگاه قدیمی را ندارد. این باعث می‌شود که این استنباط به وجود آید دستگاه مورد استفاده فرسوده یا دست دوم است، اما دستگاه‌ها دست‌دوم نیستند. بخشی از قطعات خودپرداز مانند گاوصندوق، شاسی و بدنه‌اش همیشه قابل استفاده است، مستهلک و مستعمل نمی‌شود، اما برخی از قطعات آن مستعمل می‌شود که قابل تعویض است و دیگر نیازی نیست که کل دستگاه خودپرداز دور ریخته شود.