مدیر امنیت شرکت شاپرک تشریح کرد: جزییات تجهیز شاپرک به سامانه کشف تقلب بومی

نویسنده: راه پرداخت در تاریخ 16 دی سال 1397 ساعت 12:08 0

شبکه شاپرک به عنوان نهاد نظارتی و سوییچ مرکزی در بخش پرداخت‌های کارتی، اخیرا تصمیم به پیاده‌سازی سامانه کشف تقلب بومی گرفته است.

به گزارش سرمدنیوز، تقلب واژه آشنایی برای صنعت مالی در هر کشور است. نظام مالی ایران نیز از این موضوع مستثنی نبوده و حجم تقلبات در صنعت بانکی و پرداخت کشور بالاست. این تخلفات مالی هم در بخش بانکی و هم در بخش تراکنش‌های کارتی در حال وقوع است.

اما در دنیا بحث تخلفات مالی توسط راه‌حل‌های مختلفی از قبیل ارتقای استانداردها و استفاده از سامانه‌های تشخیص و مبارزه با تخلف پیگیری می‌شوند. سامانه‌های کشف تقلب قابلیت پیشگیری از انجام تراکنش‌های متخلف و تخصیص ریسک را دارند.

شبکه شاپرک به‌عنوان نهاد نظارتی و سوییچ مرکزی در بخش پرداخت‌های کارتی که تاکنون اقداماتی را جهت جلوگیری از تخلف در تراکنش‌های بانکی به‌خصوص در حوزه درگاه‌های اینترنتی انجام داده، اخیرا تصمیم به پیاده‌سازی سامانه کشف تقلب بومی گرفته است در این خصوص با افشین لامعی مدیر امنیت شرکت شاپرک گفت‌وگویی شده است که در ادامه می‌خوانید.

لامعی در خصوص ضرورت وجود سامانه کشف تقلب در شبکه پرداخت کشور گفت: «هر کسب‌وکار قوانین و الزاماتی دارد و طبیعتا رفتار افراد موجود در کسب‌وکار لزوما منطبق با الزامات و مقررات نیست و ممکن است تخلفات مختلفی در آن صورت گیرد. تقلب نیز بر اساس قوانین کسب‌وکار که ناشی از الزامات رگولاتور و قوانین بالادستی است معنی پیدا می‌کند و در همه جا از کسب‌وکارهای کوچک تا بزرگ ممکن است صورت بگیرد.»

او افزود: «حوزه مالی و پرداخت نیز از این قاعده مستثنی نبوده و مسئله مدیریت تقلب به عنوان بخشی از مدیریت ریسک در شبکه پرداخت مدنظر قرار می‌گیرد. منظور از مدیریت تقلب فرآیندهای پیشگیری از تقلب، شناسایی تقلب و کنترل آثار و تبعات ناشی از تقلب است.»

چقدر موضوع تقلب با بحث امنیت مشترک است؟ آیا هم‌پوشانی در این میان وجود دارد؟

همانطور که اشاره کردم مدیریت تقلب و مدیریت امنیت بخشی از مدیریت ریسک‌های سازمان هستند. همچنین در هر دو موضوع تقلب و نفوذ امنیتی، طیفی از الگوهای رفتاری ساده تا پیچیده توسط کاربر یا موجودیت متخلف انجام می‌شود که شما باید بتوانید با آن مقابله کنید.

در امنیت اطلاعات امروزه سامانه‌های تحلیل رفتار کاربر و موجودیت‌ها (UEBA) مطرح هستند که به عنوان مکمل سامانه‌های رصد امنیتی در مرکز عملیات امنیت (SOC) مستقر می‌شوند. الگوی کار اینگونه سامانه‌ها بسیار به سامانه کشف تقلب شباهت دارد. علاوه بر این، فرآیندهای پیشگیری، شناسایی و کاهش اثرات هم در مدیریت تقلب و هم در مدیریت امنیت مطرح است.

اما تقلب و نقض امنیت در دو لایه متفاوت مطرح می‌شوند. موضوع امنیت بیشتر در لایه‌های فناوری اطلاعات مطرح می‌شود اما موضوع تقلب بیشتر در لایه قواعد و کارکردهای کسب‌وکار مطرح است.

بااین‌حال همپوشانی بین این دو موضوع در برخی حوزه‌ها وجود دارد. مثلا برخی تقلب‌ها بر بستر آسیب‌پذیری‌های امنیتی امکان بروز پیدا می‌کنند. یا گاهی اوقات یک نفوذ و نقض امنیت سامانه، در تصویر بزرگ‌تر، بخشی از یک سناریوی تقلب است. ما در اینگونه موارد به عنوان واحد امنیت به پیشگیری از برخی انواع تقلب در شبکه پرداخت کمک می‌کنیم.

مواردی هم هست که یک تقلب هیچ ارتباطی با نقض امنیت اطلاعات ندارد. مثلا وقتی شما می‌گویید دستگاه کارتخوان فقط باید در داخل مرزهای کشور و توسط پذیرنده مجاز استفاده شود، نقض این قاعده نوعی تقلب است اما لزوما نفوذ امنیتی به حساب نمی‌آید.

در گذشته شاپرک اقدام به خرید سامانه خارجی کرد آیا در هنگام انتخاب سامانه دانش داخلی آن وجود نداشت؟

این موضوع مربوط به چند سال قبل است. باید توجه کرد که صرفا داشتن دانش کفایت نمی‌کند. صد درصد با وجود نخبگان دانشگاهی و صنعت، دانش این موضوع در سطح مناسبی وجود دارد. در حوزه دانش کشف تقلب با مباحث بیگ‌دیتا، هوش مصنوعی و یادگیری ماشینی طرف هستیم که موضوعات بسیار پیچیده‌ای هستند و فرایند پیاده‌سازی آن‌ها از دانش موضوع پیچیده‌تر است و نیازمند الزامات سخت‌افزاری و نرم‌افزاری خاصی نیز هستند.

باید بینیم با چه هزینه مالی و زمانی می‌توانیم یک راه‌کار را عملیاتی کنیم. بحث عملیاتی شدن سامانه مدیریت تقلب در مقیاس مناسب نیاز شاپرک، فراتر از دانش روش‌های مدیریت تقلب است. به علاوه اینکه در بسیاری از حوزه‌ها دانش سطح بالا در کشور وجود دارد، اما آیا خروجی عملیاتی و محصول نهایی آن حوزه، متناسب با سطح دانش تئوریک موجود در کشور است؟

کشف تقلب هم از این موضوع مستثنی نیست. این یکی از مهم‌ترین مشکلات کشور در حوزه نرم‌افزار است؛ گاهی تصمیم می‌گیریم برای بستری راهکاری را پیاده‌سازی کنیم آنقدر پیاده‌سازی زمان‌بر می‌شود که دیگر بستر تغییر می‌کند و به جایی می‌رسیم که آن نیاز اولیه دیگر موضوعیت ندارد و باید پروژه جدیدی تعریف کنیم. ما امیدوار هستیم که در موضوع سامانه کشف تقلب بومی با این مشکل مواجه نشویم.

ضمنا شبکه پرداخت بسیار گسترده‌تر از یک PSP است و ارتباطات فرآیندی و فنی با نهادهای دیگر مانند بانک‌ها، اپراتورها، ثبت احوال و پست دارد. بنابراین تقلب در قلمرو شاپرک با تقلب در قلمرو PSP یا بانک متفاوت است، به‌نحوی‌که در شاپرک سناریوهایی مطرح می‌شود که نه تنها در PSP ها به تنهایی بلکه در هیچ سازمان دیگری در داخل کشور مطرح نیست. بنابراین راهکار یا سامانه مدیریت تقلب مناسب برای شاپرک راهکار خاصی است که بتواند این سطح از نیاز را پوشش دهد.

روند انتخاب سامانه کشف تقلب بومی به کجا رسیده است؟ تاکنون چه اقداماتی در خصوص انتخاب و بررسی سامانه‌های بومی انجام شده است؟

ما در تابستان فراخوانی برای شناسایی توانمندی شرکت‌های داخلی منتشر کردیم و پیشنهادهایی بر همین اساس ارسال‌شده که در حال بررسی آنها هستیم. تعدادی شرکت اعلام آمادگی کرده‌اند که همکاران ما در حال بررسی توانمندی آنها هستند.

درصورتی‌که شاپرک به این نتیجه برسد که توان داخلی پاسخگوی این نیاز است، متعاقبا از مجاری قانونی مثل هر پروژه‌ای برای مراحل بعدی انتخاب پیمانکار و تهیه و استقرار این سامانه اقدام خواهد کرد.

چه بازه زمانی را برای پیاده‌سازی کامل سامانه در شبکه متصورید؟

این بستگی به میزان آمادگی و عملیاتی بودن آن سامانه منتخب دارد. شاپرک آمادگی کامل دارد و قبلا بسترها را فراهم کرده است. اساسا یکی از نکاتی که قبلا هم در خصوص اهمیت تبدیل دانش کشف تقلب به محصول عملیاتی اشاره کردم همین است. هرقدر یک سامانه کشف تقلب، برای استقرار در شبکه شاپرک آماده‌تر باشد، یعنی آن قواعد و الگوهای مناسب این شبکه را تا بالاترین سطح ممکن از پیش آماده داشته باشد و بتواند از دیتا و بستر شاپرک استفاده کرده و قابلیت یادگیری و استخراج الگوهای دیگر را هم با بالاترین پرفورمنس داشته باشد، پروژه سریع‌تر پیش می‌رود.

اما اگر مثل بعضی شرکت‌های داخلی، تازه بعد از عقد قرارداد بخواهند سیستم را برای مشتری توسعه بدهند و مناسب‌سازی کنند، قطعا به مشکل بر خواهیم خورد. پیاده‌سازی چنین سیستمی قاعدتا زمان‌بر خواهد بود و یکباره اتفاق نمی‌افتد. سیستم باید مستقر شده و بخشی از قلمرو را رصد کند و به تدریج گسترش یافته و راهبری شود؛ نکات مثبت و منفی آن مشخص شده و بازخوردهای لازم گرفته شود اما این معادل نیست با اینکه آنچه بیشتر در سطح دانش است بخواهند به محصول تبدیل کنند.

در خلاء نبود سامانه چه اقداماتی از سوی شاپرک تاکنون در حوزه تقلبات مالی تدوین شده است؟

دغدغه کشف تقلب و مدیریت تخلفات همیشه برای شاپرک به عنوان رگولاتور شبکه پرداخت وجود داشته و یکی از الزامات شاپرک برای همه شرکت‌های PSP نیز بحث کنترل و تشخیص تقلب بوده است. بسیاری از الزامات فنی و اجرایی شاپرک هم در جهت پیشگیری از رخداد انواع سناریوهای تقلب اجرایی شده‌اند اما چون در یک سامانه یکپارچه نیستند ممکن است برای همگان قابل‌تشخیص نباشد.

همه PSPها موظف هستند در محدوده عملکرد خودشان، فرآیندهای مدیریت تقلب را اجرا کنند فرآیندهای پیشگیری و کشف تقلب در معاونت نظارت شاپرک با استفاده از ابزارهای موجود و دانشی که در سال‌های اخیر به دست آمده در حال اجرا است.

با توجه به داده‌های شاپرک و دید آن نسبت به شبکه پرداخت و الزامات مکتوب، سناریوهای متفاوتی از تخلف را پیگیری و بهبود دادیم. در خصوص نوع تراکنش، تعداد و عدد تراکنش‌های پذیرنده، فواصل تراکنش‌ها و مطابقت آن‌ها با صنف خود، زمان و مکان تراکنش، هویت پذیرنده و مشخصات آن، الگوهایی تعریف شده است و چک می‌شود و بعضا ابزارهایی هم برای بررسی اتوماتیک الگوها توسعه داده شده است.

ما نه فقط روی داده‌های کسب‌وکاری شاپرک یعنی داده‌های تراکنشی و سامانه جامع پذیرندگان تمرکز کردیم بلکه در حوزه SOC به خصوص در حوزه پذیرندگان اینترنتی اقداماتی انجام دادیم و در حال گسترش آن هستیم و پذیرندگان مشکوک اینترنتی را شناسایی می‌کنیم.

توضیحاتی که عرض کردم به معنای کامل بودن این پروسه نیست. بدیهی است که کشف تقلب در مقیاس شبکه شاپرک بدون بهره‌گیری از سامانه یکپارچه، قدرتمند و تخصصی مناسب برای این شبکه، کمبودهای فراوانی دارد و اساسا در بسیاری از سناریوها، بدون استفاده از سامانه نمی‌توان تقلب را پیشگیری یا کشف کرد. شاپرک به این موضوع واقف بوده و از سال‌های قبل برای رفع این نقیصه اقدام کرده و امیدواریم به نتیجه مطلوب برای شبکه پرداخت کشور برسیم.

آیا گستردگی بحث تقلب بانکی و تجربه استفاده از سامانه‌ها در حوزه بانکی نمی‌تواند برای شبکه پرداخت مفید باشد؟

اگر شرکتی توانسته نیاز بانک را در بحث مدیریت تقلب پوشش دهد احتمالا کاندیدای مناسبی برای عملیاتی کردن مدیریت تقلب در شبکه پرداخت است. اما سوال اینجاست آیا سیستم پیاده‌سازی شده در یک بانک قابلیت پیاده‌سازی در شاپرک را دارد؟ چقدر تفاوت بین این دو سیستم وجود دارد؟ به عقیده من ما در مورد دو فضای متفاوت صحبت می‌کنیم، چرا که هم داده‌ها و موجودیت‌ها متفاوت و هم سناریوهای تقلب در بانک با شبکه پرداخت شاپرک متفاوت است و اگر با دقت به فضا نگاه کنیم تفاوت‌ها بیشتر از شباهت‌ها است.

ویژگی سامانه کشف تقلب خوب چیست؟

مراجعه به تاریخچه سامانه کشف تقلب در شاپرک به شما این امکان را می‌دهد که بدانید از دید شاپرک یک سامانه مناسب چه ویژگی‌ها و قابلیت‌های فنی باید داشته باشد. سامانه کشف تقلب مطلوب شاپرک باید بتواند از مجموعه وسیعی از داده‌های ناهمگون اما مرتبط مثل داده‌های تراکنش‌ها، پذیرندگان، دارندگان کارت، ابزارهای پذیرش، توپولوژی و ترافیک شبکه پرداخت، خروجی SOC شاپرک و غیره تغذیه شود.

اما یکسری ویژگی‌ها مانند تجربه پیاده‌سازی در محیط‌های مشابه، پویایی، قابلیت توسعه بر اساس تغییرات شبکه شاپرک و مقیاس‌پذیر بودن جزو نیازمندی‌های عمومی است. اینکه چقدر سامانه مجهز به الگوها و روش‌های از پیش آماده و قابل بهره‌برداری در ابتدای کار است و چقدر نیاز به دخالت کاربر و تیم توسعه برای مدیریت سناریوها دارد فاکتور بسیار مهمی است.

سامانه باید بتواند طیف وسیعی از سناریوهای تقلب را با کمترین دخالت کاربر یا کمترین نیاز به تغییرات توسعه‌ای، پوشش دهد و قابلیت سازگاری و یادگیری را هم بر اساس دیتای گذشته و حال شاپرک با پرفورمنس بالا و در کمترین زمان داشته باشد. هرقدر قابلیت‌های این سامانه سریع‌تر بتواند تحویل شاپرک شود و سامانه‌ای نباشد که شاپرک را به صورت روزمره به تیم توسعه وابسته کند، مطلوب‌تر است.