رشد جرائم سایبری، لزوماً به معنای پایین بودن امنیت رمز دوم ثابت نیست / اجرای طرح رمز دوم یک‌بارمصرف چه چالش‌هایی دارد؟

امروزه هر عملی که با هدف رسیدن به «خیر جمعی» صورت بگیرد؛ پیشاپیش «حرمت شهروندی» را نقض کرده است. چون اراده‌های از پیش تعیین شده، افراد را در وضعیتی قرار می‌دهند که خیر یک فرد (دولت‌ها، سازمان‌ها، نهادها و غیره) تبدیل به هدفی جمعی می‌شود و دیگران دستاویزی می‌شوند برای رسیدن به آن هدف.

نویسنده: راه پرداخت در تاریخ 9 مرداد سال 1398 ساعت 10:44 3

ماهنامه عصرتراکنش / احتمالاً در خبرها خوانده‌اید که رمزهای دوم یک‌بارمصرف جایگزین رمزهای دوم ثابت می‌شوند. این خبر موجی از نگرانی و آشفتگی را برای دارندگان کارت‌های بانکی به همراه داشت. در آماری که بانک مرکزی در دی‌ماه 1397 منتشر کرد، در مجموع 310 میلیون کارت بانکی، توسط بانک‌ها صادر شده است. بدین ترتیب، اکثر مردم با کارت‌های بانکی سروکار دارند و تغییر در چگونگی استفاده از آنها، می‌تواند در سیستم بانکی کشور خلل ایجاد کند و مردم را به دردسر جدیدی بیندازد.

رمز دوم؛ تنها در ایران

ایران تنها کشور جهان است که از رمز دوم ثابت برای خدمات بدون کارت و غیرحضوری استفاده می‌کند. کشور ما در هیچکدام از سیستم‌های پرداخت بین‌المللی حضور ندارد و همین امر وضعیت ایران را خاص می‌کند. به‌طوری‌که تنها کشوری که رمز دوم در آن معنا دارد، کشور ماست. تقریباً یک دهه است که در ایران، مردم با رمز دوم از خدمات بانکی استفاده می‌کنند. شبکه پرداخت بانکی در ایران چون داخلی است و دسترسی به خارج از کشور ندارد، توانسته با شیوه خاص خودش در این سال‌ها با تعیین رمز دوم ـ که فقط دارنده کارت توانایی تغییر آن را دارد ـ وظایفش را تا حدود زیادی به‌خوبی انجام دهد.

در اکثر کشورهای جهان، چیزی تحت عنوان رمز دوم وجود ندارد و به رمز اول هم آنقدر احتیاجی نیست. مثلاً در کانادا تنها در خریدهای بالای یکصد دلار به رمز نیاز دارند. در خریدهای زیر یکصد دلار هم اگر حضوری باشد، با نزدیک کردن کارت بانکی به دستگاه کارتخوان خرید انجام می‌شود و در خرید اینترنتی و غیرحضوری هم با وارد کردن هویت صاحب کارت، شماره کارت و کد چهار رقمی (cvv2) خرید صورت می‌گیرد. در خرید اینترنتی اگر خرید بالای یکصد دلار باشد، از طریق بانک عامل پیامکی با مدت‌زمان محدود برای استفاده ارسال می‌شود تا فرد با وارد کردن آن از خدمات اینترنتی و بدون کارت بهره‌مند شود.

بانک مرکزی ایران هم سعی دارد فرایندی شبیه به دیگر کشورها را در دستور کار قرار دهد. بدین ترتیب که با غیرفعال کردن رمزهای ثابت کنونی، استفاده از رمزهای یک‌بارمصرف ـ که 60 ثانیه اعتبار دارند ـ را اجباری کند. دلیل طرح این موضوع و تلاش برای اجرایی کردن آن، بالا بردن «امنیت شبکه بانکی» بیان شده است. در سال‌های اخیر با رشد ناگهانی و نگران‌کننده جرائم سایبری در کشور روبه‌رو بوده‌ایم؛ به‌طوری‌که خبرگزاری ایسنا به نقل از معاون امور بین‌الملل و حقوقی پلیس فتا ناجا، سرهنگ رمضانی، می‌گوید: «برداشت‌های غیرمجاز در کشور ما رتبه اول جرائم سایبری را به خود اختصاص داده که مهم‌ترین روش‌های برداشت‌های غیرقانونی از راه دسترسی به کارت‌های بانکی، رمز دوم اینترنتی و ایجاد درگاه‌های جعلی (فیشینگ) است». البته این رشد جرائم اینترنتی در تمام کشورهای دنیا، به بحرانی جدی و دغدغه همگانی تبدیل شده است.

یک نکته که کارشناسان بانک مرکزی آن را نادیده گرفته‌اند، این است که رشد جرائم سایبری، لزوماً به معنای پایین بودن امنیت رمز دوم ثابت نیست. همان‌طور که رمز دوم ثابت نتوانسته از رشد این نوع جرم‌ها جلوگیری کند، مسلماً رمزهای یک‌بارمصرف هم نمی‌توانند. مگر «سیستم پرداخت» کشورهای پیشرفته مبتنی بر رمزهای یک‌بارمصرف نیست، پس چرا جرائم اینترنتی در آنجا کاهش که نمی‌یابد هیچ، روزبه‌روز هم فزونی می‌گیرد؟
حتی می‌توان ادعا کرد امنیت رمزهای دوم فعلی خیلی بیشتر از جایگزین‌های آن است. چون رمز را خودتان انتخاب می‌کنید و احتمال لو رفتن آن، کمتر از رمز یک‌بارمصرفی است که به گوشی شما پیامک می‌شود. بسیاری از ما، به‌راحتی از کارت‌بانکی‌مان عکس گرفته‌ایم و برای افراد زیادی فرستاده‌ایم. حال فرض کنید گوشی ما در این وسط به سرقت برود تا به بانک برسیم و کارت را باطل کنیم، حسابمان خالی شده است.

هویت فردی، شماره کارت و cvv2 در کشور ما با توجه رمز دوم ثابت، آنچنان امنیتی و مهم به حساب نمی‌آیند؛ اما با رمز پویا که از طریق پیامک یا اپلیکیشن برای ما ارسال می‌شود، دزدان تنها با داشتن سیم‌کارت ما می‌توانند همه‌چیز را تمام کنند. مگر اینکه بانک مرکزی به تمام بانک‌ها دستور دهد تا 310 میلیون کارت بانکی را جمع‌آوری کنند و کارت‌های جدیدی را به مشتریان خود تحویل دهند.

علیه همگانی شدن

شاید اگر این طرح، به شکل اجباری به بانک‌ها ابلاغ نمی‌شد، می‌توانستیم از آن به‌عنوان آزمایشی برای سنجش بسترهای موجود، دفاع کنیم. اگرچه فعال‌سازی رمزهای یک‌بارمصرف، آغاز نشده، متوقف شد، اما بیم آن می‌رود که باز هم این طرح با شکل و شمایلی جدید، اجرایی شود. به هر صورت چالش‌های بسیاری بر سر راه رمز دوم یک‌بارمصرف وجود دارد و با بخشنامه‌های ناگهانی نمی‌توان از سد چالش‌های پیش رو گذشت. هر عملی در دنیای واقع، به بسترهای لازم نیاز دارد. بستر شکل‌گیری این طرح هم ایران است و باید با توجه به پتانسیل‌های موجود در این باره تصمیم‌گیری شود.

به نظر می‌رسد، در اجباری شدن رمزهای دوم یک‌بارمصرف، به اصل «معیار شامل شوندگی بر اساس نیاز و توانایی افراد» اعتنایی نشده است. به شکلی که در این تصمیم نه به نیاز افراد جامعه توجه شده و نه به توانایی افراد مورد نظر. رابرت نوزیک، فیلسوف آمریکایی بحثی دارد تحت عنوان «اصل کانتی مصونیت از تعرض» یا «حرمت شهروندان» که معتقد است اعضای جامعه نباید ابزاری در جهت اهداف دیگران باشند؛ بلکه باید تک‌تک آنان هدف باشند.1 اما در این طرح، آن چیزی که بیش از همه اهمیت داشته، «امنیت سیستم بانکی» بوده است؛ نه شهروندان.

باید توجه داشت جمعیت قابل توجهی از کشور عملاً نمی‌توانند با رمزهای یک‌بارمصرف همگام شوند. افرادی که به علت کهولت سن، یادگیری شیوه‌های جدید اینترنتی برای آنها مشکل است، افرادی که جزء اقشار کم‌درآمد جامعه محسوب می‌شوند و توانایی خرید گوشی‌های هوشمند را ندارند و همچنین روستاییانی که دسترسی کامل به اینترنت ندارند و به‌طورکلی طبقات محروم و ناتوان جامعه، قربانی این طرح خواهند بود. سرانجام باید گفت نمی‌توان جرائم سایبری روزافزون در جامعه را نادیده گرفت، اما باید در طرح‌هایی که بخش زیادی از مردم را درگیر می‌کنند، نگاه جامع و کارشناسانه‌تری به افراد به‌مثابه «شهروند» داشت و به‌جای همگانی و اجباری کردن تصمیم‌هایی در این وسعت، باید به مردم اختیار داد که تصمیم بگیرند تا اراده‌شان در برابر اراده‌های کلان و سیستماتیک، خرد نشود.

پی‌نوشت:
1. نگاه کنید به: جعفر هزارجریبی، رضا صفری شالی، آناتومی رفاه اجتماعی (تهران، انتشارات جامعه و فرهنگ، 1391).