فاطمی: آیا EMV با تجربه کاربری در تضاد نیست؟

در سمینار شناسایی و پیشگیری از تقلب که 21 اردیبهشت‌ماه توسط دبیرخانه دائمی ایکوبیگ با حضور دیوید کول مدرس بین‌المللی این حوزه برگزار شد، دکتر ولی‌الله فاطمی عضو هیئت‌مدیره و معاون فناوری اطلاعات بانک ملی در افتتاحیه این رویداد چند دقیقه‌ای را برای حاضرین سخنرانی کرد. متن صحبت‌های او در ادامه آمده است.

احتمالاً در سال‌های گذشته مشکلات و سؤالاتی برای همه ما مطرح شده و بعضاً راه‌حل‌های صحیحی هم برایشان پیدا نکرده‌ایم. در این خصوص، اگر در برخی از راه‌حل‌هایمان نیاز به بهبود داریم قطعاً تجربه جهانی می‌تواند به ما کمک کند.

نکته‌ی مقابلِ موضوعی که ما در حوزه تقلب و پیشگیری از تقلب داریم، بحث تجربه کاربری است. ما هرچقدر بخواهیم سرویس‌ها را امن‌تر کنیم، کاربری را سخت‌تر می‌کنیم. تجربه نشان داده است وقتی در کشور سیستمی را کمی امن‌تر و سخت‌تر کردیم و داده‌ها و اطلاعات بیشتری از کاربر طلب کردیم، در سمت کسب‌وکار با کاهش استقبال از سمت کاربر مواجه شده‌ایم. این یکی از چالش‌های بسیار جدی در ایران است.

یک چالش اساسی این است که آیا خود EMV با تجربه کاربری در تضاد نیست؟ اینکه پروژه پیاده‌سازی EMV چگونه مدیریت شود و مشتری را راضی کند که به سمت استفاده کمتر نرود، هنر مدیران است. ما در ایران در بسیاری از موارد تجربه کاربری را فدا کردیم. خصوصاً با توجه به تجاربی که خودم در بانک ملی داشتم، عملاً میزان استفاده و توسعه کسب‌وکار را با نگاه امن‌سازی در چالش می‌بینم. باید حواس ما به مرز میان «امن‌سازی» و «استفاده کاربر و توسعه کسب‌وکار» باشد. اگر به این مرز اهمیت داده نشود و فقط نگاه امنیتی داشته باشیم، اصل کسب‌وکار و سهم بازار را از دست خواهیم.

امروز که ما یک تجربه حدوداً 20 ساله کارت و پین را داریم، EMV چقدر می‌تواند ما را امن‌تر کند و چقدر می‌تواند مشکلات موجود ما را مدیریت کند؟ با فرهنگ‌سازی موجود و تمام هزینه‌های انجام‌شده در این خصوص، این موضوع چقدر می‌تواند به ما کمک کند؟ ممکن است که EMV تا حدی مشکلات مربوط به خدمات با حضور کارت (Card Present) را برای ما حل کند اما در بسترهایی که فیزیک کارت حضور ندارد (Card Not Present) باید چه‌کار کنیم؟

باید قبول کنیم که امروز مفهومی به نام هوش عملیاتی یا همان Operational Intelligence آمده است که به‌صراحت ارزش ریسک یک تراکنش را به‌صورت آنلاین در چند میلی‌ثانیه اعلام می‌کند. شخصاً اعتقاد من این است که به بهانه امنیت دیگر نمی‌توان امن‌سازی را به سمت مشتری برد. با توجه به پیشرفت علم، ابزارها و سرعت، امنیت در سمت Backend خواهد بود. این نکته‌ای است که اگر ما از آن غافل شویم و به سمت دستورالعمل‌ها و فرایندها برویم دیگر جوابی برایش نخواهیم یافت. باید در این همایش و همایش‌های مشابه بتوانیم به این سؤال جواب دهیم که امن سازی در کجا باید انجام شود؟ این چیزی است که ما در ایران فقر جدی درباره‌اش داریم.

بحث عمده من این است که اگر ما در حوزه OI، در حوزه سوئیچ‌هایمان و آتورایزر‌هایمان (authorizer) نتوانیم ارزش ریسک تراکنش‌هایمان را بر اساس رفتار عملکردی مشتریانمان در طول استفاده‌اش مدل کنیم و تراکنش‌های متفاوت را تشخیص دهیم، قاعدتاً صحبت درباره مدل و محدود کردن ریسک صحبت جدی نخواهد بود. مرز بین مدیریت ریسک، جلوگیری از تقلب، تشخیص و تجربه کاربری باید در چنین رویدادهایی تشخیص داده شود.

امروزه بحث تشخیص تقلب بعد از انجام تراکنش اهمیت کمتری دارد و باید بتوانیم مشتری را خیلی راحت مدل کنیم و خیلی سخت نگیریم و با کمترین اطلاعات، امن سازی تراکنش را از وی دریافت کنیم و خودمان بر اساس رفتار خود مشتری به ارزش ریسک برسیم. فکر می‌کنم این بزرگ‌ترین هدفی است که باید همه ما به سمتش برویم. انشا الله در طول این همایش برای امن‌سازی و هوشمندسازی Backend‌هایمان بهترین راه‌حل‌ها را پیدا کنیم.

همان‌طور که گفتم یکی از چالش‌های من این است که با توجه به تجربه 20 ساله ایران، آیا حرکت به سمت EMV می‌تواند به ما کمک کند؟ می‌تواند ریسک‌های ما را مدیریت کند؟ یا اینکه در کنار EMV و یا به‌جای آن به سمت هوشمندسازی آتورایزر‌ها و Backend‌هایمان برویم، بتوانیم بر اساس روش‌های مدل‌سازی رفتار مشتری تا حد زیادی این ریسک را به‌صورت آنلاین تشخیص دهیم و به حذف تراکنش‌های تقلبی که توسط افراد غیرمجاز روی کارت و یا حساب‌های ما در انجام است کمک کنیم.

قبول کنیم که فاصله امنیت و ناامنی فاصله کمی است. بزرگ‌ترین تهدیدی که در حوزه پرداخت و یا بانکداری الکترونیک وجود دارد این است که دوستان غیرحرفه‌ای بخواهند بر اساس سیگنال بعضی از ما قضاوت کنند. یادمان باشد که خیلی ناامن نشان دادن باعث ترس خیلی از مدیران می‌شود؛ مدیرانی که در پی آن مسیرها، ابزارها و مصوبات سنگینی قرار می‌دهند. امروزه دستاوردها و شاخص‌های رشد، بسیار مهم‌تر از درصدی تقلب و ناامنی در کشور است. این نکته‌ای است که ما متخصصین باید بتوانیم مرزش را تشخیص دهیم و بلافاصله وارد حوزه ناامنی نشویم.

قبول کنیم که قرار است همیشه یک سهمی از ناامنی در این حوزه وجود داشته باشد؛ این چیزی است که در تمام دنیا آن را قبول کرده‌اند. خود ویزا سال‌های سال است هزینه‌های تراکنش‌های مشکوکش را بر عهده می‌گیرد و چندین میلیارد دلار بودجه برای تحمل تراکنش‌های تقلبی دارد و خیلی هم عادی است. ما هنوز در نقطه صفر آنجا هستیم و خیلی فاصله داریم که بخواهیم تراکنش‌های تقلبی را خودمان تحمل کنیم تا فضا را عادی نشان دهیم. ما در ایران خیلی سریع ناامنی را سمت مشتری می‌بریم و این یک اشتباه است. باید بتوانیم با کمک همدیگر ناامنی را داخل خودمان حل کنیم و علی‌رغم هزینه‌هایی که دارد تمام ناامنی‌های سمت مشتری را خودمان بر عهده بگیریم.

فکر می‌کنم در یک جمع تخصصی خیلی راحت می‌توان از ناامنی و تقلب صحبت کرد و بیرون از جمع خودمان فضاها خیلی نگران‌کننده است و خواهش من این است که بیرون از فضای خودمان و جلوی مدیران ارشدمان خیلی فضا را ناامن نشان ندهیم. اگر به تراکنش‌های تقلبی نسبت به تراکنش‌های اصلی خود نگاه کنیم می‌بینیم که ما اصلاً ناامن نیستیم و تعداد تراکنش‌های تقلبی حتی به یک درصد هم نمی‌رسد و هنوز در ممیز هستیم و این مسئله کاملاً عادی است.

انشا الله که بتوانیم هم وضع موجود خودمان را درک کنیم و هم بتوانیم بر اساس تجربه جهانی بهترین راه‌حل را برای ادامه راهمان پیدا کنیم و امن‌سازی را تا جایی که ممکن است از سمت مشتری به سمت خودمان و Backend‌هایمان بیاوریم و آن حداقل تغییر، فشار و زحمت را از سمت مشتری داشته باشیم تا مشتری برای استفاده‌ای که از سیستم‌های ما دارد، نگرانی نداشته باشد. این ما هستیم که قطعاً می‌توانیم برای این موضوع راه‌حل پیدا کنیم و می‌توانیم با یک اطمینان خوبی به سمت آینده بهتر و امن‌تر حرکت کنیم.