راه پرداخت؛ رسانه فناوری‌های مالی ایران

وضعیت کسب‌وکارهای ایرانی در حوزه امنیت، چگونه است؟ / سیاهی ناتمام

1

امنیت در کشور ما نه‌تنها از سوی خود کسب‌وکارها بلکه از سوی چند نهاد و مرکز دولتی هم مورد بررسی و پایش قرار می‌گیرد. البته با افزایش کمیت کسب‌وکارهای اینترنتی، مساله امنیت مهم‌تر تلقی شده و تعداد نهادهای ناظر افزایش یافته، اما واضح است که باز هم نمی‌توان امنیت را صد درصد تضمین کرد. در حقیقت این کسب‌وکارها و در ورای آن سیاست‌گذاران این حوزه هستند که باید دست در دست هم به این خواسته مهم جامه عمل بپوشانند و آن را به کمترین درصد خطا هدایت کنند

ماهنامه عصر تراکنش / اینکه کسب‌وکارهای ایرانی تا چه حد بحث امنیت را به‌صورت جدی دنبال می‌کنند و برای آن چه برنامه‌ای دارند، از ابتدا برای ما یک سؤال اساسی بود. زمانی این موضوع دوباره به دغدغه‌ای برای کسب‌وکارها تبدیل شد که استارت‌آپ زرین‌پال با حمله هکرها مواجه شد و چند ساعتی صفحه آن از دسترس خارج شد. همین موضوع دست‌مایه‌ای شد تا مبحث امنیت را در ابعاد کلان‌تر مورد بررسی قرار دهیم و از جوانب مختلف به این موضوع بپردازیم.

روزهای آخر شهریورماه میزبان پنل «امنیت و جایگاه آن در میان کسب‌وکارهای ایرانی» در دفتر راه پرداخت بودیم. در این پنل حمیدرضا رئیسی‌فرد، مدیر محصول شرکت توسن؛ افشین لامعی، مدیر امنیت شاپرک؛ روح‌الله پرنیان، هم‌بنیان‌گذار استارت‌آپ دکمه و علی امیری، هم‌بنیان‌گذار استارت‌آپ زرین‌پال حضور داشتند. به این ترتیب در این پنل هم کارشناسی از سوی نهادهای دولتی وجود داشت، هم کارشناسی که به‌طور مستقیم با شرکت‌های پرداختی و بانک‌ها در ارتباط است و هم دو فعال در حوزه استارت‌آپ.

به‌طور کلی سعی کردیم خیلی به مسائل فنی نپردازیم تا این مبحث تخصصی برای همه قابل فهم باشد. درباره این موضوع از ابعاد مختلف گفتیم و شنیدیم؛ از وضعیت امنیت در کسب‌وکارهای کشورمان گرفته تا نهادهایی که در این زمینه فعالیت می‌کنند و اینکه آیا با شرایط فعلی امکان پیوستن کسب‌وکارهای ایرانی به سرویس‌های بین‌المللی وجود دارد یا خیر؟

در آغاز پنل «امنیت و وضعیت آن در میان کسب‌وکارهای ایرانی» یک موضوع کلی را عنوان کردیم؛ اینکه وضعیت کسب‌وکارهای ایرانی در زمینه امنیت چگونه است. لامعی در عین اینکه امنیت را مبحثی کیفی می‌داند، این موضوع را به تعدادی شاخص وابسته می‌داند و می‌گوید: «به‌طور کلی اگر بخواهیم درباره اینکه امنیت یک کسب‌وکار به چه صورت و در چه مرحله‌ای است، دست یابیم، به یکسری شاخص نیاز داریم. امنیت یک بحث کیفی است و شما با شاخص‌های مختلفی برای هر کسب‌وکار می‌توانید وضعیت امنیت را اندازه‌گیری کنید.

کاری که از زمان آغاز فعالیت شاپرک، در حوزه شرکت‌های ارائه‌دهنده خدمات پرداخت یا PSP ها انجام شده، بحث ابلاغ الزامات امنیت بوده است. با توجه به ماهیت کسب‌وکار، اولین هدف حفظ اطلاعات حساب و تراکنش است. پایه امنیت در PSP ها همین موضوع است، اما محدود به این موضوع نیست. برای حفاظت از اطلاعات، الزامات، قوانین و فرایندهایی تنظیم شده تا بتواند این الزامات را پیاده‌سازی و نحوه استقرار آنها را در PSP ها چک کند.

این ماهیت کاری است که در حوزه امنیت در شاپرک انجام می‌شود. ریشه این الزامات، استانداردهای امنیتی PCI است که انجمن PCI آن را تدوین می‌کند و در کل دنیا در صنعت پرداخت، مرجع است. این الزامات در کشور ما بومی شده و در برخی موارد سخت‌گیرانه‌تر هم هست. آنچه PCI مد نظر دارد، ما هم در الزامات خودمان اعمال کرده‌ایم؛ این الزامات همزمان با شکل گیری شاپرک تدوین و به تدریج به PSP ها ابلاغ و اجرا شده است. اعمال این استانداردها هم در برخی جاها نیازمند بودجه، تجهیزات و زیرساخت خاص است و به یک باره نمی‌توان آنها را اجرا کرد.»

لامعی اعتقاد دارد با گذشت حدود شش سال از فعالیت شاپرک، وضعیت مناسبی در حوزه الزامات امنیتی PSP ها داریم، او در این باره می‌گوید: «اجرای الزامات به صورت دوره‌ای و تصادفی چک می‌شود و نتایج ابلاغ می‌شود، سازمان‌های بالادستی هم از این موضوع مطلع هستند. ما می‌دانیم انتظاراتمان چیست، اهداف چیست، آنچه PSP ها باید بر مبنای آن حرکت کنند چیست و این الزمات تا حد خیلی خوبی پیاده سازی شده است. چند سال اخیر به جز بحث الزامات که به تازگی نسخه سوم آن به PSP ها ابلاغ شده، زیرساخت‌های دیگری در شاپرک و PSP ها ایجاد شده تا حوزه‌های مختلف امنیت را مدیریت کند که از جمله می‌توان به افتتاح مرکز عملیات امنیت (SOC) شبکه پرداخت اشاره کرد.»

از لامعی وضعیت پرداخت‌یارها در حوزه امنیت را جویا شدیم. او در این باره معتقد است: «طبق تعریفی که فعلاً از پرداخت‌یارها می‌شود آنها خارج از دامنه اجرای الزامات امنیتی کارت قرار می‌گیرند، چرا که تراکنش‌ها در ابزارهای پذیرش شرکت‌های PSP انجام می‌شود. بحث امنیتی این است که چه کسی اطلاعات حساب شامل اطلاعات دارنده کارت و اطلاعات احراز هویت را دریافت و پردازش می‌کند. وقتی شما در حوزه پرداخت‌یاری یک تراکنش انجام می‌دهید، درگاهی که اطلاعات کارت را می‌گیرد درگاه PSP است. در نتیجه پرداخت‌یارها در این زمینه خارج از الزامات امنیت کارت قرار می‌گیرند.»

[mks_pullquote align=”left” width=”740″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

افشین لامعی کیست؟

افشین لامعی کار در حوزه امنیت شبکه را از سال ۱۳۸۰ آغاز و با شرکت‌های خصوصی مطرح این حوزه به عنوان کارشناس یا مدیر پروژه همکاری کرده است. او همچنین با بانک‌های سامان، سینا، سرمایه، رفاه و نیز همراه اول، بورس و پژوهشگاه نیرو به عنوان مدیر پروژه یا مشاور کار کرده است. لامعی قبل از پیوستن به شاپرک در سال ۹۶، نزدیک به سه سال مدیر امنیت شرکت آسیاتک بود. او در کنار نزدیک به ۱۴ سال وبلاگ نویسی، با مجلات تخصصی و رویدادهای داخلی امنیت به عنوان نویسنده و سخنران همکاری کرده است. لامعی دانش آموخته مهندسی نرم‌افزار دانشگاه تهران، کارشناسی ارشد امنیت اطلاعات و دکترای نرم‌افزار با گرایش امنیت اطلاعات از دانشگاه صنعتی امیرکبیر است.

[/mks_pullquote]

 

با این حال، همان‌طور که مدیر امنیت شاپرک می‌گوید امنیت منحصر به بحث الزامات امنیت کارت نیست. او می‌گوید: «اعتماد نتیجه امنیت است، ممکن است شرکتی در حوزه الزامات امنیتی پرداختی نباشد اما چون بازیگر صنعت است و سرویس ارائه می‌دهد هر اتفاقی رخ دهد که سرویس آن مختل شود یا اطلاعات حساس دیگر مثل شماره ملی، آدرس منزل و ایمیل افراد از طریق شرکتی که با آنها کار می‌کند، نشت پیدا کند، این مشکل امنیتی می‌تواند تبعات جدی داشته باشد.

فین‌تک‌ها اگر هم در حوزه الزامات امنیتی کارت قرار نگیرند به این معنا نیست که رعایت مسائل امنیتی آنها منتفی است و مساله حیاتی آنها نیست. طبق استانداردهای جهانی، هر سازمانی که در دامنه دریافت و پردازش اطلاعات کارت قرار گیرد، باید الزامات امنیت کارت را اجرا کند. در ایران فعلاً در این زمینه خلأ قانونی وجود دارد و فقط PSP ها تحت نظارت شاپرک هستند. البته حوادث امنیتی الزاماً در زمینه تراکنش‌های مالی نیست. مثلاً ممکن است حجم عظیمی از اطلاعات مشتریان افشاء شود و کسب‌وکار آنها را زمین بزند.»

حمیدرضا رییسی‌فرد پاسخ به سؤال وضعیت کسب‌وکارهای ایرانی در زمینه امنیت را با بله و خیر می‌دهد. او معتقد است: «موضوع اینجاست که ما در کشورمان نامنظم پیش رفته‌ایم. جاهایی خیلی دقت کرده‌ایم. بعضی جاها از PCI جلو زده‌ایم. بعضی جاها رها کرده‌ایم. امنیت نیاز به پیوستگی در حوزه‌های مختلف دارد تا مانند پازل کنار هم بنشینند. اگر این قطعات گم شود، نقص دارد. ما در بعضی جاها سخت‌گیری کرده‌ایم که اتفاقاً خیلی هم خوب است. اتفاقی در کشور ما افتاد و شاپرک به وجود آمد و این خیلی خوب بود. به یاد دارم چند سال پیش درمورد کارت‌های هوشمند و EMV، گفته می‌شد که دوره کارت‌های هوشمند گذشته است.

امروز می‌بینیم در کشور ما کارت مگنت رواج دارد و هم و غمی برای تغییر آن وجود ندارد. هنوز همه جای دنیا کارت EMV تولید می‌شود اما ما هنوز درگیر اسکیم کردن هستیم. ما در حوزه دریافت آغاز بسیار خوبی داشته‌ایم. اما به نظر می‌رسد حوزه صدور را جدی نمی‌گیریم. ما در حوزه صادرکنندگی نه نظارت ویژه‌ای داشته‌ایم و نه کسی پیگیر بوده است. حوزه دریافت هم فقط حوزه فروشگاهی نیست و ما هنوز پرداخت وجه نقد خودپردازها را در بانک‌ها مدیریت می‌کنیم.

تفکیک اتفاق نیفتاده که بگوییم پذیرش، توسط بانک انجام نشود. هرچند قبول دارم که حوزه پذیرش حساس است. شاید اگر می‌خواستیم آغاز کنیم، در نقطه درستی بودیم. اما به این معنا نیست اگر مساله یک طرف را حل کنیم، مساله دیگر هم حل شده است. ما در جاهایی خوب حرکت کرده‌ایم، برخی مواقع سعی کرده‌ایم مدیریت کنیم، در برخی جاها هم خیلی سهل گرفته‌ایم که باعث شده پازل ما نامتقارن شود.»

روح‌الله پرنیان امنیت را در دو جنبه می‌بیند. نخست اینکه «امنیت» چه سطحی دارد و دیگر اینکه «احساس امنیت» به چه میزان است است. او در این باره می‌گوید: «اینکه به لحاظ امنیتی در چه سطحی هستیم، کار فنی است که کاربر عام متوجه آن نیست. آنچه به کاربر منتقل می‌شود، احساس امنیت است. وقتی احساس امنیت به کاربر نهایی منتقل نشود، شما هر چقدر هم الزامات امنیتی را رعایت کنید، یک جای کار می‌لنگد. کاربر عادی کسب‌وکارهای مختلف، نمی‌داند شاپرک و PSP چیست و البته لازم هم نیست بداند. او فقط یک سری مولفه‌ها را بر اساس تجربه دیده و برای خود تصویری بصری از امنیت یا همان اعتماد ایجاد کرده است. شما هر چقدر هم چارچوب بچینید اما نتوانید آن را برای کاربر بصری کنید، احساس امنیت را به او نمی‌دهید.»

او به تجربیات خود در استارت‌آپ دکمه اشاره می‌کند: «من گاهی در مرکز تماس می‌نشینم و با کاربران صحبت می‌کنم. کاربران خیلی چیزها را نمی‌دانند؛ مثلاً نمی‌دانند HTTPS چیست اما تا رنگ سبز آن را در ابتدای URL می‌بینند به این نتیجه می‌رسند که این همان آدرسی است که همیشه وارد آن می‌شده‌اند و همه چیز عادی است. مثلاً لوگوی بانک یا PSP یا نماد اعتماد را می‌بیند با آنکه دقیق نمی‌داند چیست، به لحاظ بصری برای او آشنا است و این حس به او منتقل می‌شود که امنیت نسبی وجود دارد، بنابراین اعتماد می‌کند و استفاده می‌کند.

به طور کلی تمام این قوانین اگر برای کاربر عام نماد بصری به خود نگیرد، درنهایت جایی از کار ایجاد امنیت ناقص است. ما امنیت را تنها برای یک آدم متخصص ایجاد نمی‌کنیم اما تمام مواردی که به امنیت بازمی‌گردد و رعایت می‌شود تنها یک کاربر حرفه‌ای متوجه آن می‌شود. همانطور که گفتم برای کاربر عادی باید نماد بصری به خود بگیرد، تا وقتی که این اتفاق رخ ندهد هر کاری که در این زمینه انجام دهید، بازتابی در رشد کسب‌وکار که هدف آخر ماست، ندارد. بخش دیگر امنیت به جایی مانند شاپرک بازمی‌گردد تا با برخی کارها به کسب‌وکارها هم امنیت بدهند. مثلاً اینکه قوانین آنها به روز باشد.

مثلاً در یک وب‌سایت فروشگاهی شما باید تلفن خود را درج کنید، آدرس شما مشخص باشد و صفحه قوانین و مشخصات برای کاربر واضح باشد. توجه به این ریزه‌کاری‌ها برای کاربر عادت می‌شود. نماد اعتماد را کاربر می‌بیند هرچند نمی‌داند در ورای آن واقعاً چیست و نمی‌داند آیا این نماد اعتماد واقعاً کارایی لازم را دارد یا نه. خلاصه کلام این که امنیت به کاربر نمی‌رسد بلکه اعتماد به او می‌رسد. مشتری یک کسب‌وکار به نمایش امنیت احتیاج ندارد بلکه به اعتماد نیاز دارد. هر قوانین یا چارچوب امنیتی هم باید درنهایت به اعتماد منجر شود.»

[mks_pullquote align=”left” width=”740″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

استارت‌آپ دکمه

استارت‌آپ «دکمه» یا شبکه اجتماعی خرید، شبکه‌ای اجتماعی است که محتوایی که در آن به اشتراک گذاشته می‌شود، کالا است. فروشگاه‌های اینترنتی دارای نماد اعتماد، محصولات خود را در شبکه منتشر می‌کنند و مشتریان یا کاربران عمومی می‌توانند مانند سایر شبکه‌های اجتماعی، کالای منتشر شده را لایک کنند، کامنت بگذارند، کالا را با دوستان خود به اشتراک بگذارند و یا حول یک کالا محتوا تولید کنند.

[/mks_pullquote]

 

علی امیری با بیان اینکه به دست آوردن اعتماد بر اساس احساس اصلاً درست نیست، می‌گوید: «اتفاقی که برای زرین پال افتاد در مقایسه با آنچه در زیرساخت می‌دیدم، تقریباً غیرممکن بود. چون در زیرساختی که چیده بودند چنین مساله‌ای غیرممکن بود. هرچند اتفاقی که افتاد خیلی ساده‌تر از پیش‌بینی‌ها بود، یک آپدیت ساده انجام نشده بود. من اگر اینجا نشسته‌ام باید یکی از دغدغه‌هایم این باشد که چنین مساله‌ای رخ ندهد. اما حداقل زیرساختی که از زرین پال می‌دانم این است که چنین دغدغه‌ای نداشته باشم، چون رسیدن به لایه‌های پایینی سرور ما سخت است و کار کوتاه و راحتی نیست. هشدار مرکز ماهر هم به ما رسیده بود اما در این زمینه سهل‌انگاری شده بود.»

[mks_pullquote align=”left” width=”740″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

استارت‌آپ زرین پال

زمانی که پرداخت آنلاین در ایران پدیده‌ای نوپا محسوب می‌شد و گرفتن درگاه‌های پرداخت آنلاین دشواری‌های زیادی داشت، برای ایجاد یک فضای ایمن و قابل‌اعتماد میان فروشندگان و خریداران اینترنتی و همچنین ارائه یک درگاه پرداخت اینترنتی به سادگی هرچه تمام‌تر، استارت‌آپی به نام زرین‌پال در فروردین ۱۳۸۹ متولد شد.

[/mks_pullquote]

 

 

تکرار یک تجربه

چند سال پیش کارمند یکی از شرکت‌های فعال در حوزه پرداخت، بخشی از اطلاعات مربوط به کارمندان را منتشر کرد و این امر موجب بی‌اعتمادی بخشی از مردم به حوزه پرداخت و ایجاد دغدغه برای آنان شد. آیا می‌توانیم تضمین دهیم که چنین اتفاقی دیگر رخ نمی‌دهد؟

رییسی‌فرد با تاکید بر اینکه آن مورد اتفاقی در بخش پذیرش بود، تصریح می‌کند: «امنیت در حوزه کارت استاندارد دارد، در چند دهه‌ای که انسان با این سیستم پرداخت کارتی آشنا شده بسیار دقیق اینها را استاندارد کرده‌اند. هرجا از این استاندارد خارج شده‌ایم، چوب آن را خورده‌ایم. در رابطه با حفظ و صیانت از اطلاعات مشتری در سیستم کارت، استاندارد دقیق و مشخصی، سخت‌افزار و نرم‌افزارهای مدونی وجود دارد. استفاده از اینها و الزام استفاده از این‌ها کاملاً جلوی خطای انسانی را می‌گیرد یا دسترسی به آن را خیلی سخت و پیچیده می‌کند.

واقعیت این است که بدون دقت روی این استاندارد هم سیستم کار می‌کند. اگر از من بپرسید که استانداردها همه جا رعایت می‌شود؛ قاطعانه می‌گویم خیر چون من می‌دانم که در برخی جاها از سرویس اضافه‌ای که ارائه می‌شود، مشخص است که HSM وجود ندارد یا حداقل زیرساخت آن نیست. امنیت در کشور ما در برخی جاها رعایت می‌شود در برخی جاها رعایت نمی‌شود. در برخی جاها نظارت خوب داریم و در برخی جاها نداریم و همان‌جاها می‌تواند پاشنه آشیل ما بشود.»

[mks_pullquote align=”left” width=”740″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

حمیدرضا رئیسی‌فرد کیست؟

حمیدرضا رییسی‌فرد دانش آموخته کارشناسی ارشد هوش ماشین از واحد علوم و تحقیقات دانشگاه آزاد اسلامی است. او از سال ۱۳۸۳ همکاری با کیش ویر (توسن) را به‌ویژه در زمینه محصولات کارت و پرداخت آغاز کرده و در حال حاضر مدیر واحد مهندسی فروش شرکت توسن است.

[/mks_pullquote]

 

لامعی نیز معتقد است آن اتفاق در شرایط خاصی رخ داد. او در این باره می‌گوید: «آن زمان این یکپارچگی و هماهنگی فعلی در تدوین و اجرای الزامات خدمات پرداخت وجود نداشت. الان در شاپرک بیش از ۶۰ مستند ابلاغ شده داریم که پنج تای آن به طور خاص مربوط به امنیت اطلاعات است و فرآیندهای نظارتی بر اساس این مستندات به طور دقیق در حال اجرا است. ممکن است کمبودها و مشکلاتی در اجرا وجود داشته باشد اما قطعاً به نسبت آن زمان، وضعیت فوق‌العاده متفاوت و بهتر است. امروز هیچ توجیهی برای اینکه اتفاقی شبیه آن مورد که اشاره کردید به وجود بیاید، حداقل در حوزه تحت نظارت شاپرک یعنی شرکت‌های PSP، پذیرفته نیست.

البته امنیت صددرصد وجود ندارد و هیچ وقت احتمال وقوع تهدید را نمی‌توان صفر در نظر گرفت. ترکیبی از راه حل‌های فنی و روال‌های اجرایی و بحث‌های نیروی انسانی را باید به کار گرفت تا تهدیدهای این چنینی را کم کرد. آنچه باید اتفاق می‌افتاد از پیاده‌سازی الزامات فنی، نیروی انسانی، روال‌های اجرایی و کنترل کردن فعالیت‌ها در حال انجام است. ما در نسخه جدید الزامات، متناسب با تغییراتی که در دنیا اتفاق افتاده، بازخوردهایی که از محیط خودمان و PSP ها داشتیم، الزامات جدید را ابلاغ کردیم. قطعاً هیچکس در هیچ جای دنیا نمی‌تواند تضمین دهد که اتفاق بدی نخواهد افتاد. این چیزی است که همه پذیرفته‌اند فقط باید به سمتی حرکت کنید که از حوادث امنیتی پیشگیری کرده و در صورت رخداد، پیامدهای آن را به حداقل برسانید.»

 

بانک‌ها امن‌تر از استارت‌آپ‌ها هستند؟

این فرضیه وجود دارد که مردم همچنان به بانک‌ها نسبت به استارت‌آپ‌ها احساس امنیت بیشتری دارند، خوش‌بین‌تر هستند و این با وجود تمام اتفاقاتی است که برای مؤسسات اعتباری در چند وقت اخیر رخ داده است. این موضوع را با اعضای پنل مطرح کردیم.

هم‌بنیانگذار دکمه در این باره معتقد است: «قطعاً مردم نسبت به بانک‌ها و شرکت‌های بزرگ احساس امنیت و اعتماد بیشتری دارند. همان طور که گفتم نکته‌ای که وجود دارد ارتباط بصری کسب‌وکار است. مردم هر آنچه را به صورت بصری بینند اطمینان بیشتری به آن می‌کنند. بانک‌ها شعبه دارند، تبلیغات و اسم‌های بزرگ دارند، همه این‌ها باعث می‌شود تصویری از آنها بسازند و به آن تصویر اعتماد کنند. فین‌تک‌ها قدرت این تصویرسازی را ندارند، نمی‌توانند تبلیغ تلویزیونی کنند و شعبه داشته باشند، البته نیازی هم ندارند.

مردم همه به آنها کمتر اعتماد می‌کنند چون آنها را نمی‌شناسند. کاری که مردم با فین‌تک‌ها می‌کنند این است که آنها را امتحان می‌کنند. کسی که اولین بار درگاه واسط را می‌بیند ممکن است برای خرید چند ۱۰ میلیونی از آن استفاده نکند. البته اگر متوجه شود که این درگاه واسط است، آن‌ها که متوجه می‌شوند اول امتحان می‌کنند و خریدهای خرد را به راحتی انجام می‌دهند اما درباره خریدهای بالاتر، این کار به سختی رخ می‌دهد.

به طور مثال در دکمه تامین‌کننده‌هایی در شهرهای دیگر، غیر از تهران داریم. کاربر در خریدهای میلیونی، معمولاً به طور مستقیم از تأمین‌کننده خرید نمی‌کند. با اینکه لینک مستقیم تأمین کننده را دارد، ترجیح می‌دهد از من به عنوان واسط استفاده کند. وقتی که دلیل این موضوع را از آنها جویا شدیم به ما می‌گفتند شما در تهران هستید و دستمان به شما می‌رسد یا شما تبلیغات دارید و سایر مسائل. این موضوع در دسترس بودن درباره بانک‌ها هم صادق است، تصویری که ساخته شده نیز بزرگ‌تر است در نتیجه اعتماد مردم بیشتر می‌شود.

هم‌بنیانگذاز زرین پال با این موضوع موافق است و می‌گوید: «نمونه ساده آن را می‌توانید در PSP ها ببینید مثلاً شرکت پرداختی که شرکت تجارت الکترونیک یک بانک است خیلی وضع بهتری دارد تا شرکت الکترونیکی که بانک ندارد. پرشین سوئیچ هم مثال نقض آن است که اسم بانک، پشت آن نبود. در این حالت به همین حرف می‌رسیم که تبلیغات تلویزیونی و نشان دادن بیلبوردها موجب اعتماد شده است. در حال حاضر حس اعتماد مطرح می‌شود، این موضوع تاثیرگذار است تا این حس برای PSP ها به وجود بیاید.»

[mks_pullquote align=”left” width=”740″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

علی امیری کیست؟

علی امیری متولد ۱۳۶۴ است. او در دانشگاه آزاد اسلامی، مهندسی کامپیوتر گرایش سخت‌افزار خوانده است. علی امیری به همراه برادرش، مصطفی امیری، هشت سال است که استارت‌آپ زرین پال را بنیان‌گذاری کرده‌اند. امیری همچنین سابقه فعالیت در گرین کیس و طراحی سایت در شرکت سامان سیستم را دارد.

[/mks_pullquote]

 

رییسی‌فرد با تاکید بر اینکه نسل‌های مختلف مردم با هم تفاوت دارند می‌گوید: «دیگر بعید است ما به بانک برویم و قبض بپردازیم. این درحالی است که عده‌ای برای پرداخت قبض به بانک می‌روند. اگر ما بتوانیم سرویس امن به مردم بدهیم، به مرور مردم به سراغ ما می‌آیند. شاید اگر ما این مسیری که فین‌تک‌ها پیش گرفته‌اند را به خوبی پیش برویم چند سال دیگر جواب این سؤال شما خیر خواهد بود.»

امیری این موضوع را تأیید می‌کند و می‌گوید: «صد در صد هم این‌طور است. برای مثال خیلی از نسل‌های جوان‌تر و آگاه‌تر و حتی نسل‌های قبلی به بیت‌کوین اعتماد می‌کنند، درحالی که این اعتماد را به بانک‌ها ندارند. بیت‌کوین نه بیلبورد دارد و نه تبلیغات تلویزیونی اما اعتمادها را جلب کرده است.»

لامعی نیز با اشاره به اینکه حس اعتماد خیلی جاها به امنیت به معنای مصون بودن از حوادث مربوط نمی‌شود، می‌گوید: «اینکه یک کسب‌وکار قابل اعتماد و اتکا باشد و بتوان با آن کار را انجام داد، موجب توجه مردم و استفاده آنها از یک کانال کسب‌وکاری می‌شود، حتی اگر در جاهایی این اعتماد متضاد با امنیت باشد.»

پس از اتفاقی که برای مؤسسات اعتباری رخ داد، برخی از مردم پول خود را از بانک خارج نکردند بلکه آن را در بانک‌های دیگر گذاشتند، می‌توان گفت این موضوع به معنای اعتماد آنها به نظام بانکی بود. درصورتی که این اتفاق برای استارت‌آپ‌های فین‌تک هم به وجود آید، ضریب صدمه زدن همین میزان خواهد بود؟

لامعی در پاسخ به این سؤال می‌گوید: «به اعتقاد من تأثیر منفی‌تری دارد. حس اعتماد مردم به بانک‌ها ریشه خیلی مستحکمی در مکانیزم‌های سنتی مانند شعبه، ارتباط با حاکمیت و تبلیغات رسانه‌ای دارد. کاربر عادی از خود این سؤال را می‌پرسد که مگر می‌شود چیزی غیرمجاز باشد اما آن را در تلویزیون تبلیغ کنند؟ یا مثلاً غیرمجاز باشد اما در خیابان‌ها شعبه داشته باشد. کسب‌وکارهای جدید چون بیشتر در فضای مجازی فعالیت می‌کنند، اثر آن اتفاق بد به نظرم خیلی بیشتر است.»

 

دولت و امنیت

در ایران مرکزی به نام کاشف بحث امنیت را دنبال می‌کند. همچنین مرکز توسعه تجارت الکترونیکی به کسب‌وکارهایی که احراز هویت می‌شوند، نماد اعتماد الکترونیکی ارائه می‌دهد. موضوعی که در این میان وجود دارد این است که عده‌ای اعتقاد دارند این مراکز موجب بالا بردن سطح امنیت کسب‌وکارها و در ادامه ایجاد اعتماد در بین مردم می‌شود. عده‌ای دیگر اعتقاد دارند این مراکز بیشتر مانع کسب‌وکارها هستند.

مدیر امنیت شاپرک وجود این مراکز را مؤثر و ضروری می‌داند. او می‌گوید: «موضوعاتی در خصوص امنیت وجود دارد که فراسازمانی است. شما نیاز به نهادی مانند شاپرک یا کاشف دارید، چون موضوعاتی هست که در سطحی بالاتر از یک PSP یا یک بانک باید مدیریت شود. اصلاً گاهی دغدغه یک سازمان به تنهایی نیست. مثلاً ما در شاپرک به دنبال رصد حمله‌هایی هستیم که به چند PSP همزمان اتفاق می افتد و هدف از آنها آسیب به کل شبکه پرداخت است نه یک PSP. پس باید سازمانی فراتر از اجزای این شبکه وجود داشته باشد که هم دغدغه و هم اختیارات نظارت بر کل شبکه را دارا باشد.

قطعاً وجود اینگونه سازمان‌ها لازم است و در همه جای دنیا در صنایع و کسب‌وکارهای مختلف وجود دارد. شاید مخاطب نماد، مردم نباشند اما این سؤال پیش می‌آید که چه کسب‌وکاری مجاز است درگاه پرداخت بگیرد و این مجاز بودن را چه کسی باید مشخص کند؟ اگر تخلفی انجام شد، درگاه گرفته شد و جنس غیرمجاز به فروش رفت چه کسی باید به آن رسیدگی کند؟ کدام مربوط به کسب‌وکار است و کدام مربوط به سازمانی است که این صنف را شناسایی کرده و به آن نماد داده است؟ در ارتباط بین نهادهای حاکمیتی لازم است این مسئولیت‌ها توزیع شود.»

[mks_pullquote align=”left” width=”740″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

دلایل شکل‌گیری شاپرک

شرکت شاپرک با توجه به دلایل متعددی که مهم‌ترین آنها عبارت بودند از دشوار شدن کنترل و نظارت، ناکافی بودن کنترل‌ها و تخصیص غیر بهینه منابع در صنعت پرداخت کشور و بر اساس چارچوب مصوبه مورخ ۲۵/۱۲/۸۹ شواری پول و اعتبار ایجاد شد.

[/mks_pullquote]

 

پرنیان می‌گوید: «نماد برای برخی از کسب‌وکارهایی که از طریق وب فعالیت می‌کنند، ضروری است. مهم‌ترین حوزه هم خرده‌فروشی آنلاین است. نبود جایی مانند نماد اعتماد که حداقل احراز هویت را انجام می‌دهد، احساس ناامنی در فضای وب ایجاد می‌کند. چراکه کسب‌وکارهای تقلبی افزایش پیدا می‌کنند و کار آن‌ها می‌شود کلاهبرداری؛ افرادی که آدرس و هویت مشخص ندارند و جایی هم آنها را رصد نمی‌کند. کلاهبرداری وقتی زیاد شود به همه ضرر می‌زند. این موضوع فقط به یک حوزه کسب‌وکاری ضربه نمی‌زند بلکه تمام فضای وب را تحت تأثیر قرار می‌دهد.

هروقت خبری درباره کلاهبرداری اینترنتی پخش می‌شود، درصد فروش‌های پرداخت در محل فروشگاه‌ها چند برابر می‌شود با اینکه کاربر می‌داند ممکن است دیرتر سفارش را تحویل بگیرد. حالا اگر بگویند نماد اجباری نیست، وب پر می‌شود از فروشگاه‌های تقلبی و غیرواقعی که بعضاً درآمدهای بسیار خوبی هم دارند. تقریباً در فروشگاه‌های آنلاین، حدود ۸۰ تا ۹۰ درصد مردم لوگوی نماد را می‌شناسند و به آن اعتماد کرده‌اند. درست است که نماد چیز زیادی را کنترل نمی‌کند و کیفیت را نمی‌سنجد اما جایی است که حداقل تلفن و آدرس فروشگاه اینترنتی را به صورت دوره‌ای ارزیابی می‌کند، کاری که هیچ سازمان درگیر دیگری انجام نمی‌دهد.»

[mks_pullquote align=”left” width=”740″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

روح‌اله پرنیان کیست؟

روح اله پرنیان متولد ۱۳۶۲ در شیراز است. او در اواخر سال ۹۵ کار بر روی استارت‌آپ دکمه، که در آن زمان تنها پلتفرم تجارت اجتماعی در ایران بود را آغاز کرد. پیش از این و نزدیک به هشت سال، پرنیان تیم توسعه نرم‌افزار، چندین کسب‌وکار آنلاین و استارت‌آپ را مدیریت کرده است.

[/mks_pullquote]

 

امیری به تجربه خود در زرین پال اشاره و تاکید می‌کند: «شاید نگاه از بیرون این باشد که زرین پال نان وجود نماد را می‌خورد. مخالفان اصلی نماد هم اکثراً فین‌تکی هستند. شما اگر فروشگاه اینترنتی داشته باشید و آن را در مرکز توسعه ثبت کنید، یک روزه به شما لوگو می‌دهد اما اگر بخواهید کسب‌وکار جدیدی را راه بیندازید، نمی‌دانند چیست. در زرین پال هم این موضوع رخ می‌دهد اما به من ارجاع داده می‌شود تا مورد بررسی قرار گیرد. در مرکز توسعه اگر شما همیشه یک محصول واحد می‌فروختید اما امروز بخواهید محصول جدیدی بفروشید، به یک چیز عجیب و غریب برای مرکز توسعه تبدیل می‌شود.

همین امر موجب دست به سر کردن کسب‌وکار می‌شود. حالا این سؤال پیش می‌آید که کار مرکز توسعه چیست؟ اگر کار آن پیدا کردن آدرس و تلفن است هیچ مشکلی ندارد. اما در حال حاضر مرکز توسعه به جایی رسیده که در فعالیت کسب‌وکار دخالت می‌کند. این روال کار را مشکل می‌کند. سؤال من این است که کار کاشف دقیقاً چیست؟ هرچند که به نظر من وجود چنین چیزی لازم است اما در جایی که مشتری رفتار مشکوک دارد؛ اینجا واقعاً کاشف می‌تواند کمک کند یا نه؟

شاید اگر من فضای اینترنت را نشناسم لوگوی مرکز توسعه یا پلیس فتا که در خیلی سایت‌ها می‌گذارند باعث اعتماد شود هرچند تقلبی باشد. اگر یک نفر درگیر چالش‌های نماد شده باشد به این نتیجه می‌رسد که مرکز توسعه کار خاصی از دستش برنمی‌آید. شاید اگر یک بخش خصوصی وجود داشت که آدرس و تلفن را اعتبارسنجی می‌کرد، سفته می‌گرفت و می‌گفت این پذیرنده تا سقف مبلغی مشخص اعتبار دارد و با حق اشتراک سالانه کار می‌کرد، برای کاربر مشخص می‌شد که این فروشگاه تا سقف مبلغ مشخصی اعتبار دارد.»

مدیر محصول شرکت توسن وجود این نهادها برای سامانه‌های پرداختی را واجب تلقی می‌کند و می‌گوید: «کاشف، نماد و فتا باید باشند و به اعتقاد من حتی کم هستند. کاش سیستم قضایی ما روی سیستم پرداخت الکترونیکی اشراف داشت اما متاسفانه خیلی عقب است. تمام این موارد به این شرط است که اینها در حیطه وظایف خود فعالیت کنند و شرح وظایف مشخص داشته باشند. ما ضعف قانون و مراقبت داریم. ما نهادهایی درست کرده‌ایم که خیلی خوب است اما بعضاً از حیطه وظایف خود خارج می‌شوند.»

 

یک مقایسه بین‌المللی

برای برخی کسب‌وکارها به‌خصوص استارت‌آپ‌ها این موضوع مطرح می‌شود که آنها باید درآمدهای بین‌المللی داشته باشند. اما این موضوع مطرح می‌شود که درصورت ایجاد چنین امکانی برای کسب‌وکارهای ایرانی، آن‌ها با چالش‌های متعددی مواجه می‌شوند. ما این موضوع را از دو بعد بررسی کردیم، نخست اینکه وضعیت امنیت در سایر کشورها چگونه است و چالش‌های که ممکن است در این راستا برای کسب‌وکارهای ایرانی فراهم شود.

مدیر امنیت شاپرک این مساله را تنها محدود به ابعاد فنی نمی‌داند. او با اشاره به اینکه طبعاً مبنای استانداردها و الزامات امنیتی ما، تجربیات بین‌المللی و استانداردهای جهانی است، می‌گوید: «در خیلی حوزه‌ها به لحاظ فناوری و فرآیند امنیت، آن‌ها جلوتر از ما هستند. وقتی بحث فناوری امنیت است ما واقعاً عقب‌تر هستیم، به‌ویژه در پروتکل‌های امنیتی مواردی وجود دارد و استانداردهای جهانی خیلی از مسائلی را که ما در حال حاضر داریم، حل کرده‌اند. هر چقدر بیشتر در حوزه این استانداردها قرار بگیرید مجبور به صرف هزینه بیشتری هستید، باید تجهیزات و نرم‌افزارهای امنیتی داشته باشید و ممیزی شوید.

طبیعتاً هیچکس نباید استقبال کند که در دامنه این الزامات قرار بگیرد. نمی‌توانیم هم صددرصد بگوییم همه کسب‌وکارها و استارت‌آپ‌های خارجی امن هستند. در کشور ما حرکت به سمت استانداردهاست، ما در شبکه پرداخت خیلی به الزامات PCI نزدیک هستیم، نه اینکه نباید کاری انجام دهیم یا هزینه کنیم، اما فاصله زیادی نداریم. با این حال PCI کل بازیگران صنعت پرداخت را دربرمی‌گیرد و محدود به PSP ها نیست.

استاندارد PCI مجموعه‌ای از قوانین، مقررات و پروتکل‌ها را دارد که اعمال می‌شود. ما به عنوان کل بازیگران صنعت پرداخت در بخش‌های مربوط به PSP ها خوب حرکت کرده‌ایم اما در بخش‌های دیگر فاصله داریم که باید جبران کنیم. البته فقط مساله فناوری نیست. فرض کنید همین فردا قرار باشد به سرویس‌های بین‌المللی متصل شویم، موضوع فقط همراهی فناوری نیست بلکه خیلی فراتر از اینهاست، سیاست‌گذاری، فرآیندها و روال‌های اجرایی نیز دخیل است.»

[mks_pullquote align=”left” width=”740″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

اهداف شکل‌گیری کاشف

شرکت مدیریت امن الکترونیکی کاشف، عضوی از گروه شرکت‌های مجری اهداف حاکمیتی بانک مرکزی جمهوری اسلامی ایران است که با هدف راهبردی «مدیریت و هدایت امنیت فضای تولید و تبادل اطلاعات بانکی» تأسیس شده است.

[/mks_pullquote]

 

هم‌بنیانگذار زرین پال نزدیک بودن به استانداردهای جهانی را رد نمی‌کند، اتفاقاً انتقادی هم در این زمینه دارد و می‌گوید: «شاید ما به استانداردهای جهانی نزدیک باشیم اما می‌توانم به جرات بگویم در سرویس‌های پرداخت، مانع خیلی چیزها شده‌ایم تا اصلاً استانداردهای مربوط به آن مطرح نشود. خوب است که استانداردها را رعایت کرده‌ایم اما این کار باعث شده مانع از اجرای خیلی از سرویس‌هایی شویم که می‌توانست پیشرفت کسب‌وکار را به دنبال داشته باشد.»

مدیر محصول شرکت توسن به سیستم بانکداری و فرهنگ مردم در کشورمان اشاره می‌کند و می‌گوید: «بانکداری ما خاص است. بانکداری اسلامی را ما در دهه ۶۰ آغاز کردیم. این نظام کمی متفاوت با بانکداری دنیاست که ما آن را ربوی می‌دانیم. همه جای دنیا بانکداری اسلامی وجود دارد اما یک مدل دیگری است. از نیمه دوم دهه هفتاد که بحث کارت دوباره داغ شد، خوشبختانه بانک مرکزی خیلی زود ورود و سعی کرد استانداردها را پیدا کند. به این ترتیب نظام سیستم کارت ما به سمت استانداردهایی که همه جای دنیا هست، گرایش پیدا کرد. ما با توجه به شیوه بانکداری در کشورمان شیوه خاصی از سیستم کارت را پیش بردیم.

هنوز هم سر قضیه کارت اعتباری و کلاً قضیه اعتبار، حرف و حدیث داریم. حالا که شاخه خاص را پیش برده‌ایم، مباحث دیگر مانند خرید اینترنتی پیش آمد و رمز دوم را ابداع کردیم. چیزی به نام صورت حساب وجود ندارد و قوانین قضایی هم نیست که بتواند پیگیری کند. با این تفاسیر و ضعف‌هایی که در حوزه قانون و قانون‌گذاری داریم، به علاوه مدل خاص بانکداری ما و نبود یک سری سازوکارها و زیرساخت‌ها، گلوگاه‌های پرداختی داریم که با یک سری ابداعات این کار را انجام داده‌ایم. هروقت این کار را کرده‌ایم، ورای آن مسائل متعددی رخ داده است. البته یک قسمت دیگر فرهنگی است.

مردم ما چیزهایی را دیده‌اند که ما در این سال‌ها به آنها آموزش داده‌ایم. اگر قرار باشد یک سامانه بین‌المللی وجود داشته باشد باید تغییراتی ایجاد شود هم در زیرساخت و هم در فرهنگ مردم. ما بالقوه ممکن است از عهده اجرای یک سری الزامات برآییم. در این سال‌ها نیم نگاهی به استانداردهای جهانی به خصوص در حوزه کارت و پرداخت وجود داشته است. واقعیت این است که چیزهایی باید تغییر کند و باید هزینه کنیم.»

او منکر فعالیت‌های مطلوبی که در زمینه امنیت رخ داده نیست اما معتقد است باید در این زمینه هزینه کنیم. رییسی‌فرد می‌گوید: «طبق قوانین بین‌المللی اگر جایی تقلب اتفاق بیفتد، کسانی که استاندارد امنیتی پایین‌تری دارند، مقصر هستند. الزامات امنیتی به گونه‌ای است که اگر بخواهیم به جامعه جهانی بپیوندیم باید مشکلات را حل و هزینه کنیم. البته منکر اتفاقات خوبی که رخ داده نیستم. اینکه چه‌طور باید شروع کرد، مسیری است که از هر جایی می‌تواند آغاز شود، البته اولویت‌بندی دارد. حوزه پذیرش را شروع کرده‌ایم و جای تکمیل دارد، باید در حوزه صدور، نظارت امنیتی را کامل کنیم.

به صورت موازی باید قوانین بین‌المللی پرداخت را به صورت مشابه در کشورمان داشته باشیم تا بانک‌ها بتوانند به آن اتکا کنند. قطار اتصال به شبکه‌های بین‌المللی چیزی نیست که بتوان جلوی آن را گرفت، هرچند مشکلات دیپلماتیک سنگ‌اندازی کند. این یک خواسته عمومی است که به مرور به سطح جامعه می‌آید و گسترش پیدا می‌کند. باید به فکر باشیم.»

[mks_pullquote align=”left” width=”740″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

مرکز عملیات امنیت شرکت شاپرک (SOC) چیست؟

مرکز عملیات امنیت شرکت شاپرک با هدف پایش و رصد تمامی رخدادهای امنیتی فضای سایبری شبکه پرداخت کشور طراحی و راه‌اندازی شده که مقدمات اجرایی آن در سال ۹۴ آغاز و از ابتدای سال ۹۶ این مرکز به بهره‌برداری رسیده است. سامانه‌های مختلفی در SOC سلسله مراتبی شاپرک در حال استفاده هستند که از جمله می‌توان به SIEM اشاره کرد.

[/mks_pullquote]

 

پرنیان مشکل نظام بانکی را نداشتن جسارت برای رفتن به دل ماجراهای جدید می‌داند و می‌گوید: «آن‌ها منتظر هستند تعدادی پرداخت‌یار دور هم جمع شوند و به نظام پرداخت بقبولانند که باید کاری کنند. من هم می‌دانم که ترندهای دنیا به کدام سمت می‌روند، قبل از اینکه استارت‌آپ‌ها بخواهند به سمت سرویس‌های نوین بروند، مسئولان باید زیرساخت‌های آن را آماده کنند یا حداقل پا به پای آنها عمل کنند. می‌توانم بگویم آنها برای خودشان دردسر درست نمی‌کنند، ما موارد خیلی ساده‌ای را در سرویس‌های بین‌المللی می‌بینم، وقتی از مسئولان در این باره می‌پرسیم می‌گویند امکان اعمال آنها وجود ندارد چون زیرساخت‌ها، قوانین و امکانات آن نیست.»

امیری نیز با یک مثال این گفته را تأیید می‌کند: «مثالی برای این مورد، زیرساختی است که پرشین سوئیچ در اپلیکیشن آپ راه انداخت و به آن نیاز داشت. بعد از آن PSP ها هم امکان کارت به کارت را فراهم کردند.»

رییسی‌فرد در پایان بر این موضوع تاکید می‌کند که امنیت انتها ندارد. او معتقد است: «باید ببینیم کجا هستیم و می‌خواهیم کجا برویم. قطعاً از چند سال پیش خیلی بهتر هستیم ولی معنای آن این نیست که به انتها رسیده‌ایم بلکه مسیری طولانی برابر ماست.»

1 نظر
  1. محمد می‌گوید

    هنوز هم مقداری نواقص دارد به امید حل شدن

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.