بانک‌ها تقصیر را به گردن مشتری نیندازند

صالحـی: بحث را این‌گونه آغاز می‌کنم که آیا در حـال حاضر از دید مشتریـان بانک، سامانه‏های بانکداری الکترونیکی کشورمان سـامانه‎‌های ایمنی هستنـد؟ با توجه به اینکه بعد از افشای اطلاعات کارت‌های بانکی، شاید سابقه خوبی در اذهـان عمومی ‌در خصوص امنیت سامانه‎هـای مبتنـی بر بانکـداری الکترونیکی وجود نداشتـه باشد.
عباس‌نـژاد: در صحبت‌هایی که با کاربران نهایی انجام داده‌ام و تماس‌هایی که با آنها داشته‌ام، به این نتیجه رسیدم که از نظر کاربران، سامانه بانکی کشـور، سامـانه امنـی محسوب می‌شود. چراکه اغلب آنها با این سامانه فعالیت‌هایی انجام می‌دهند که شاید من خودم انجام  ندهم. به طور مثال در یکی از بانک‌های کشور، بین ساعت 9 شب تا 9 صبح حدود 60 هزار حواله اینترنتی انجام می‌شود.این تعـداد تراکنش در ساعـاتی که عمـدتا ساعات تجـاری و کاری محسـوب نمی‌شـود، رقم قابل توجهی است و نشان از مشارکت سطوح مختلف کاربران دارد. حتی در مورد پرداخت قبوض هم می‌بینیم که آمار تراکنش‌ها بسیار بالاست؛ اما متاسفانه کاربران ناآگاهانه اعتماد زیادی به بسترهـای الکترونیکی دارند و البته در این بین بانک‌ها نیز تلاش زیادی کرده‌اند تا این اعتماد پابرجا بمـاند. واقعیت هم این است که در این حـوزه تا به حـال اتفاق چنـدان جـدی‌ای در کشور نیفتـاده و سوءاستفـاده خاصی نشده است.
صالحـی: شما این حد از اعتمـاد را ناشی از ایمن بودن زیر ساخت‌های بانکی می‌دانیـد یا نبود مهارت کافی نزد هکرها و نفوذگرهـا؟
عباس‌نـژاد: آگاهی هکرهـا و کارآمـد بودن زیـرساخت‌های بانکی، دو موضوع کاملا مرتبط به یکدیگر است. در کشور ما مهم‌ترین موضوعی که باعث شده از گزند هکرهـای بین‌المللی در امـان باشیـم، متصل نبودن سامانه‌های ما به سامانه‌های بین‌المللـی است. اگر در ایران سوییچ‌های دیگری به جز سوییچ شتـاب وجود داشت که به ما اجازه انجام تراکنش بین‎المللی را می‌داد، قطعا وضعیت به گونه دیگری بود. اما نمی‌توان گفت که زیرساخت‌های بانکی کشور امن نیست؛ بلکه باید گفت امنیت لازم را ندارند و بسیاری از مباحث امنیتی هنوز در آنها رعایت نشده است. علاوه بر این کاربران هم نسبت به اینکه چه مشکلاتی می‌تواند برای‌شان اتفاق بیفتد، آگاه نیستند.
قنادپـور: این را که مردم نمی‌دانند چه اتفاقاتی می‌تواند برای آنها رخ دهد، می‌پذیرم. اما اینکه نادانسته به سامانه‌ها اعتماد دارند را به دو دلیل قبول نمی‌کنم. یکی اینکه میزان کلاهبرداری خیلی کم است. به طوری که گرچه روزانه حدود یک میلیون تراکنش اینترنتی انجام می‌شود، اما میزان کلاهبرداری در این بخش، عددی بین 36 تا 40 مورد است. بخش عمده‌ای از این کلاهبرداری‌ها، هک نیست بلکه ممکن است به دلیل ناآگاهی کاربران که شما می‌فرمایید، در قالب فیشینگ انجـام شود. نکته دوم روش برخورد با کلاهبرداری است. چرا که در اغلب موارد با توجه به مکانیزم‌هایی که در کشور وجود دارد، کلاهبرداری‌های مختلفی پیگیری شده و البته به نتیجه هم رسیده است.
صالحـی: یعنی پیگیری قضـایی، به خوبـی انجـام می‌شود؟
قنـادپور: هم پیگیری بانکی به خوبی انجام می‌شود، هم پیگیری قضایی. خوشبختانه بانک‌ها همکاری خوبی با مشتریان دارند تا در صورت وقوع مشکل بتوان آن را خیلی زود بررسی و حل کرد. در نتیجه می‌خواهم به این جمع‎بندی برسم که این سطح از اعتماد مشتریان به سامانه‌های بانکداری الکترونیکی، به دلیل وجود همین همکاری‌هاست.
مختـاریان: حـالا واقعـا بانک‌ها خسارت‌های ایجـاد شـده بـرای مشتـریـان در ایـن خصـوص را جبـران می‌کننـد؟
قنـادپور: به طور مثال در بحث مغایرت‌ها، بانک‌ها صددرصد مشکلات به وجود آمده را کنترل و رفع می‌کنند. اما از نظر کاربر نهایی فرقی ندارد مشکل به وجود آمده از طریق کلاهبرداری است یا مغایرت. تنها رفع مشکل است که اهمیت دارد.
مختـاریان: البته نظر من این نیست. حتی در افشای اطلاعات سه میلیون کارت بانکی که اتفاق افتاد، بانک‌ها متضرر نشدند.
قنـادپور: هیچ‌کس متضرر نشد.
مختـاریان: در مورد ماجرای افشای اطلاعات بانکی، ابتدا همه، مسوولیت را متوجه مشتریان کردند. اینکه مشتریان باید رمزهای خود را عوض می‌کردند و باید بیشتر مراقب می‌بودند. این عکس‌العمل‌ها چندان مناسب نیست. در همه جای دنیا برای مواجهه با چنین مشکلاتی دستورالعمل‌هایی وجود دارد که نشان می‌دهد، ریسک متوجه کدام طرف است.
در یک تراکنش الکترونیکی، سه بازیگر اصلی وجود دارد؛ بانک، فروشنده و مشتری. از این تعامل به صورت عادی فروشنده سود می‌برد و به همین دلیل هم ریسک تراکنش متوجه فروشنده است. اما در دوره‌های زمانی که خطری متوجه فروشنده نیست، چند اتفاق می‎افتد؛ نخست اینکه بنده به عنوان صاحب کار، دایما نگران این هستم که اگر کسی کارت من را داشته باشد، می‌تواند با مراجعه به یک فروشگاه، کل اعتبار کارت من را خرید کند. در واقع می‌خواهم بگویم اینکه سامانه چقدر امن است، شاید چندان مهم نباشد. اما اینکه مشتری چقدر احساس امنیت کند، مهم است. در واقع اگر ما مدل ارجاع ریسک به سمت فروشنده را داشته باشیم، باعث خواهد شد فروشنده هم حساسیت‌های بیشتری در پذیرش هر نوع کارتی از خود نشان بدهد. تصور نمی‌کنم در حال حاضر هیچ فروشنده‌ای هنگام پذیرش کارت از خریدار بپرسد آیا این کارت متعلق به شمـاست یا نه.
جهـانی: در ابتدا تشکر می‌کنم از اینکه این میزگرد را ساماندهی کرده‌اید. به خصوص موضوعی را انتخاب کرده‌اید که دیگران چندان علاقه‌ای به پرداختن به آن ندارند. چنین میزگردی می‌تواند حداقل زمینه فکر کردن روی چنین مسایلی را فراهم آورد. اما موضوع با یک سوال آغاز می‌شود و آن هم حق آگاهی مردم نسبت به محصول یا خدمتی است که در جامعه ارایه می‌شود. به خصوص در حوزه فناوری اطلاعات باید افراد و سازمان‌هایی که در این حوزه فعال هستند و شبکه بزرگی را تشکیل می‌دهند، نسبت به این سوال پاسخگو باشند.
برای مثال به دفترچه راهنمای استفاده از کالاهای الکترونیکی اشاره می‌کنم. همه ما این دفترچه‌ها را دیده‌ایم و می‌دانیم که در تشریح چگونگی کار با یک وسیله برقی ساده مثل آبمیوه‌گیری به حدی توضیحات داده شده که مطالعه همه جزییات آن خسته‌کننده به نظر می‌رسد. اما در روی دیگر، باید توجه کرد که کارخانه سازنده با این تفکر دفترچه راهنما را منتشر کرده که مشتری هیچ تصور قبلی از این دستگاه ندارد.
بدیهی است که این نحوه برخورد، به معنی احترام گذاشتن به شعور مصرف‌کننده کالا یا خدمات است. متاسفانه در کشور ما نه تنها به این نکته توجه نمی‌کنیم، بلکه به طور کامل آن را فراموش کرده‌ایم و اطلاع‌رسانی به مشتری چندان اهمیتی برای ما ندارد. از طرف دیگر موضوع ورود فرهنگ استفاده از یک تکنولوژی، همزمان با ورود خود تکنولوژی به کشور مطرح می‌شود. متاسفانه ما در این بخش بسیار ضعیف عمل کرده‌ایم.
در مورد بانکداری الکترونیکی هم سنگ بنای مناسبی در کشور گذاشته نشده است. یعنی تشویق و ترویج استفاده از دستگاه‌های خودپرداز را معادل توسعه بانکداری الکترونیکی در نظر گرفتیم و تبلیغات فراوانی هم در این بخش انجام دادیم؛ اما اطلاع‌رسانی و تبلیغات در خصوص فرهنگ استفاده از آنها را فراموش کردیم. در حالی که باید با ایجاد الزامات قانونی این روند را تسریع کرد.
در بانک پارسیان مفتخریم اعلام کنیم، نسبت به سال اول تاسیس بانک، یعنی در حدود 10 سال پیش تاکنون، نسبت درصد صدور سندهای مالی در شعب، نسبت به تراکنش‌های غیرحضوری 20 به 80 است. یعنی حداقل 80 درصد تراکنش‌ها غیرحضوری انجام شده است. اما اینکه چرا هنوز هم در شعب شلوغی و ازدحام وجود دارد، به دلیل کمبود شعب است که قصـد داریم با اعمال برنامه‌های توسعه‌ای، آن را نیز مرتفع کنیم. با ذکر این مقدمه می‌خواهم بگویم تنها نمی‌توان از یک مجموعه حتی بانک مرکزی انتظار داشت یک تنه وارد بحث فرهنگ‌سازی شود. به نظر می‌آید باید یک اجماع، یک همفکری عمومی ‌و یک دغدغه مشترک بین همه PSPها، بانک‌های خصوصی، بانک‌های دولتی و غیره ایجاد شود تا موضوع فرهنگ‌سازی به نتیجه مطلوب برسد.
بعد از افشای اطلاعات بانکی، بنده مقاله‌ای نوشتم و در آن ذکر کـردم که این اتفاق یک هشـدار برای جامعـه بانکی و مردم ما بود. در واقـع این اتفـاق مسوولیت همـه را بـرای جلوگیـری از پیشـامد مجدد آن بیشتـر می‌کند.
به عقیده من بانک مرکزی با انتشـار اطلاعیـه خود پس از افشـای اطلاعات، مشکلات زیـادی در هجوم مردم به سمت عابر بانک‌ها ایجاد کرد. برای جلوگیری از بروز مجدد چنین مشکلات و بحران‌هایی باید قبل از بروز بحران یک برنامه معینی توسط سازمان‌های دست‌اندرکار تدوین شود.
صالحـی: نکته این است که سیستم حال حاضر بانکی کشور، تمامی ریسک‌ها را به گـردن مشتـری انداخته و مشتری هم چاره دیگری جز پذیرش ندارد. بانک‌ها و بانک مرکزی هم در این خصـوص فعـالیت خاصی انجام نداده‌اند. پس عملا مشتـری است که باید همه خسـارت‌ها را تقبـل کند.
جهـانی: نظر من هم این است که باید به این موضوع قبل از بروز بحران پرداخته شود، نه در هنگام وقوع آن. باید اتفاقات کوچک‌تر امنیتی که در حوزه بانکداری الکترونیکی رخ می‌دهد، به نوعی هشدار تلقی شده و توجه جدی به آن کرد؛ چون مدیریت تراکنش‌ها و همچنین حفظ اطلاعات حساب‌های کاربران بسیار مهم و جدی است و هرگونه خلل در آنها، بحران محسوب می‌شود.
قنـادپور: متاسفانه در جامعه ما معمولا سازمان‌ها و نهادها در برخورد با هر نوع بحرانی، در نخستین واکنش آن را انکار می‌کنند و تاکنون متولی مشخصی در خصوص اصلاح این روند نیز وجود نداشته است.
بانک مرکزی قدرت بالایی دارد که می تواند با ورود به هـر حوزه‌ای خودش را نشان دهد و اثر مثبت فراوانی در این حوزه داشته باشد. نمونه این قدرت نمایی را می‌توان در اغام بانک‌ها و تاسیس شاپرک دید. حال سوال اینجاست که این بانک با این حد از قدرت، آیا نمی‌تواند اقدام جدی در خصوص ارتقای سطح امنیت سامانه‌های بانکی انجام دهد؟
عبـاس‌نژاد: البتـه بانک مرکـزی در مـرداد مـاه سـال 88 آیین‌نامه‌ای را با عنـوان الزامـات مدیریت امنیت اطلاعات در حـوزه بانک‌ها و موسسـات مالی و اعتبـاری تدوین کـرد که روند نگارش آن از سال 86 آغاز شده بود. در همـان متن ذکر شده بـود ظرف شش ماه آینده آیین‌نامه اجرایی آن نیز ابلاغ می‌شود اما متاسفـانه هیچ‌وقت این اتفـاق نیـفتاد.
جهـانی: به نظر من مشکل اینجاست که دقیقا همزمان با بروز یک بحران مباحث مختلفی برای مواجه با آن مطرح و در نهایت منجر به ایجاد حرکتی بین افراد و سازمان‌های مرتبط می‌شود ولی متاسفانه پیگیری‌های بعدی در خصوص به نتیجه رساندن آن انجام نمی‌شود. به اعتقاد من مساله امنیت سامانه‌های بانکی اگر مساله مهمی‌ است نباید رها شود؛ قبل از هرکسی بانک‌ها، باید از بانک مرکزی بخواهند که این ماجرا را پیگیری کرده و تکاپوی مناسبی را در نهادهای حاکمیتی ایجاد کند.
مختـاریان: اگر ما چیزی را از پایه به درستی نسازیم بعدا نیز اصلاح آن بسیار سخت خواهد شد. به طور مثـال هم‌اکنـون بسیـاری از کاربران سایت‌های اینترنتی، زمانی که در مراجعه به سایت با خطای گواهینامه امنیتی مواجه می‌شوند، به راحتی از آن عبور می‌کنند. چرا؟ چون از ابتدا این بی توجهی در بین آنها شکل گرفته و جا انداختن این فرهنگ که اگر به درستی با این خطا روبه‌رو نشویم، احتمالا در کلاهبرداری فیشینگ گرفتار خواهیم شد، بسیار سخت است.
قنـادپور: به هر ترتیب ما با یک موج و جریانی روبه‌رو شده‌ایم که چگونگی برخورد با آن بسیار مهم است. از آنجایی که در نقطه خاصی از شروع رشد استفاده از سامانه‌های بانکداری الکترونیکی و یا پول‌های الکترونیکی قرار گرفته‌ایم، باید به نحوی اطلاع‌رسانی کنیم که اعتماد مردم نسبت به سیستم بانکی کشور سلب نشود. در این راستا همچنین رسانه‌ها و مسوولان باید خیلی سریع به فکر ایجاد ساز و کاری برای جبران خسارت‌های احتمالی ناشی از کلاهبرداری‌های الکترونیکی باشند.
صالحـی: به نظر می‌رسـد تراکنش نسبتا بالایی هم در بستر اینترنت در حال انجام است. شاید به دلیل اینکه یا کاربران ما چاره دیگری جز استفاده از آن ندارند و یا اینکه به شبکه بانکی اعتمـاد دارند. شاید هم کاربران ما اصلا نمی‌داننـد باید چه انتظارات امنیتی ای از بانک‌ها داشته باشنـد.
عبـاس نژاد: متاسفانه مشکل این است که معمولا ما منتظر می‌مانیم تا اتفاق بیفتد و بعد با مشتری تماس می‌گیریم. اما اصولا باید در لحظه انجام تراکنش مشکوک با صاحب کارت تماس گرفته شود و در خصوص تایید یا تایید نکردن تراکنش از او سوال شود. حتی در برخی از بانک‌ها روی کارت‌های دبیت، صاحب کارت می‌تواند تا 24 ساعت بعد، تراکنشی که مورد تاییدش نیست را به بانک اعلام کند. پس ما هم باید به نوعی عمل کنیم که به تدریج این احساس انتظار امنیتی از بانک، برای مشتری به وجود آید.
مختـاریان: موضوع دقیقا همین است. متاسفانه به دلیل اطلاع ناکافی کاربران، زمانی که یک مشکل فیشینگ به وجود می‌آید، همه توجهات به سمت مشتری معطوف می‌شود.
عبـاس‌نژاد: به نظر من بانک مرکزی باید در زمینه آگاهی دادن به مردم و اطلاع‌رسانی به آنها تحرک بیشتری داشته باشد. بانک مرکزی بخش بزرگی به نام فاوا دارد و به هر صورت بحث فرهنگ‌سازی و آموزش، وظیفه خاص این بخش است. اما متاسفانه من تا به حال خروجی مشخصی در این مورد ندیده‌ام. اطلاع‌رسانی در این حوزه یک رسالت فرابانکی و تا حد زیادی متوجه بانک مرکزی است.
قنـادپور: به نظر می‌رسد نه تنها بانک مرکزی در این حوزه چندان موفق عمل نکرده، بلکه عملکرد انفعالی آن نیز تاثیراتی به مراتب بدتر و مخرب‌تر هم ایجاد خواهد کرد. مثال مشخص و بسیار روشن آن بحث افشای اطلاعات کارت‌های بانکی است که در همه مراحل آن بی‌تدبیری صورت گرفت.
مختـاریان: من مثالی می‌زنم. زمانی که پلیس ایران برای اتومبیل‌های خود از بنز استفاده کرد، خیلی‌ها اعتراض کردند که خلافکاران ما ماشینی در حد بنز ندارند پس پلیس هم نیازی به خرید ماشین مدل بالا ندارد. اما در واقع این حرکت یک حرکت فعال برای نمایش اقتدار پلیس و البته القای حس امنیت بود. در حوزه بانکداری الکترونیکی هم نیاز به چنین حرکتی داریم. نه اینکه زمانی به فکر خرید اتومبیل‌های مدل بالا بیفتیم که اتومبیل خلافکاران آنقدر پیشرفته شده که دیگر کار از کار گذشته است.
قنـادپور: اگر بخواهیم به ماجرای افشای اطلاعات کارت‌های بانکی بازگردیم، باید بگویم افشا و اطلاع‌رسانی آن به کاربران و مدیریت این بحران با بی‌تدبیری همراه بود. به نظر من اصلا نحوه اعلام این ماجرا، که منجر به ایجاد اضطراب در جامعه شد، قابل قبول نبود. حتی به نظر من این میزان التهاب اصلا ارزش این ماجرا را نداشت. چراکه بعد از آن حتی یک مورد کلاهبرداری هم گزارش نشد.
عبـاس‌نژاد: من هم معتقدم نه تنهـا شیـوه برخورد بانک مرکزی با این ماجرا مناسب نبـود؛ بلکه حتی بدترین روش ممکن را انتخاب کردند. متاسفانه نداشتن نقشه راه و یک مسیر روشن در مدیریت بحـران، کاملا روشـن و محرز بود. با اینکـه بانک مرکزی خیلی قبل از ماجـرا از وضعیت مطلع بود، ولـی در این زمینه بسیار اشتباه عمل کرد.
صالحـی: آقای مختاری شما در شرکت توسن به عنـوان تولیدکننده نرم‌افزارهای بانکی تا چه حد می‌توانید به ایمن‌تر شدن شبکه بانکی کشور کمک کنید. در واقـع تا چه حـد این امکانـات و اختیـارات به شما داده می‌شـود؟
مختـاریان: اجازه بدهید از نقطه نظر استانداردهـا توضیـح بدهـم. به طـور مثـال در حـوزه سخت‌افزار، استانداردهای مشخصی در این زمینه تدوین شده است. در مرحله بعدی نیز مشخص شده است، نرم‌افزاری که این سخت‌افزارها را مدیریت می‌کند باید از چه ساختاری پیروی کند. در نهایت در مرحله سوم تراکنش‌ها توسطPSP‌ها انجام می‌شود. بخشی که به ما مربوط می‌شود، بخش دوم و تولید نرم‌افزار است. اگر ما در حوزه مربوط به خودمان به برخی مسایل ابتدایی و اصلی توجه نکنیم، اصلا سامانه نرم‌افزاری فعال نخواهد شد؛ البته در بخش‌هایی هم نیاز به انجام فرآیندهای تحقیـق و توسعـه، برای تدویـن متدولـوژی‌های مناسب طراحی و تولیـد نرم‌افزار به خصوص با در نظر گرفتن موارد مربوط به امنیت اطلاعات داریم که طبعا رویکرد کلی شرکت به سمت انجام موفق این موارد است.
صالحـی: در حال حاضر در اغلب موارد خریداری که برای پرداخت وجه خریـد خود از کارت بانکی استفـاده می‌کند معمولا باید کارت خود را به فروشنـده بدهـد و فروشنده هـم معمـولا دستگـاه POS خـود را در محلـی غیر قابل دسترس گذاشته است. پس خریدار باید رمـز کارت بانکی خـود را با صدای بلنـد به فروشنده بگوید. متـاسفانه این رونـد در حـال حاضـر به یک فرهنـگ تبـدیل شـده است.
قنـادپور: نکته دقیقا همین است. یعنی ناآگاهی کاربران و بی‌توجهی به فرهنگ پرداخت با کارت بانکی بسیار حایـز اهمیت است. بانک مرکزی باید به فرهنگ‌سازی در این زمینه توجه کرده و وارد عمل شـود. اگر بانک‌ها خودشان به تنهایی و به صورت جزیره‌ای اقدام به فرهنگ‌سازی بکنند، نمی‌تـوان امیدی به ایجاد فرهنگ صحیح در استفاده از سامانه‌های بانکداری الکترونیکی داشت. پس به نظر می‌رسد اگر بانک مرکـزی بخواهد موضع انفعـالی خود را به یک موضع فعـال تغییر دهـد، بهتریـن بخش همیـن ورود به بحث فرهنگ‌سـازی است.
عبـاس‌نژاد: بانک مرکزی در بسیاری از اعلانات امنیتی ساده هم آنطور که باید عمل نکرده است. به طور مثال کافی است به صفحه پرداخت الکترونیکی چند بانک سر بزنید. خواهید دید که دستورالعمل‌های امنیتی هر بانک تفاوت‌های چشمگیری با دیگری دارد. به نظرم حداقل کار ممکن، یکپارچه سازی این دستورالعمل‌هاست و قطعا ساماندهی این موارد باید توسط یک نهاد حاکمیتی صورت بگیرد.
قنـادپور: البته بانک مرکزی فعالیت‌هایی را در این خصوص صورت داده است. به طور مثال در بهمن ماه گذشته، بخشنامه‌ای را به بانک‌ها ابلاغ کرد که طی آن بانک‌ها ملزم به استفاده از token شدند. اما در حوزه‌های دیگر آنچنان که باید اقدام خاصی انجام نداده است.