در گفت‌وگو با کارشناسان صنعت بانکداری و پرداخت مطرح شد / فناوری برای ارتقای امینت لازم است، اما کافی نه

نویسنده: راه پرداخت در تاریخ 7 مهر سال 1402 ساعت 14:23 0

مدیر دپارتمان راهکارهای مبتنی بر داده و هوش مصنوعی شرکت رادین، مدیرمحصول گمانیک، مدیرعامل شرکت داده‌کاوان هوشمند توسن و مالک محصول راهکارهای تشخیص تقلب و تخلف داتین درباره نقش فناوری در ارتقای امنیت و مبارزه با تقلب در صنعت بانکداری و پرداخت کشور صحبت کردند. آنها معتقدند که وضعیت امنیت در صنعت بانکداری و پرداخت کشور مطلوب نیست و فناوری در ارتقای امنیت لازم است اما کافی نیست.

نیلوفر نادری / امنیت یکی از مؤلفه‌های اصلی حفظ و توسعه کسب‌وکارهاست که مانند سپری دفاعی در برابر حملات احتمالی عمل می‌کند. این مؤلفه در صنعت بانکداری و پرداخت کشور مهم‌تر نیز می‌شود؛ چراکه بانک وظیفه حفاظت از داده‌‌ها و منابع مالی مشتریانش را دارد. ورود صنعت بانکداری و پرداخت کشور به حوزه تحول دیجیتال موجب شده تا صورت‌‌بندی این صنایع تغییر کند و برای رفع نیازهای خود به روش‌های مدرن و استفاده از فناوری نیازمند شوند.

با این وجود، برخی متخصصان فناوری را شمشیر دولبه‌ای می‌دانند که در کنار فوایدی که دارد، می‌تواند آسیب‌هایی نیز به همراه داشته باشد، اما برخی دیگر بر نقش پررنگ و غیرقابل انکار آن در توسعه زیرساخت‌ها و سامانه‌های کشف و شناسایی تقلب و تخلف در صنعت بانکداری و پرداخت کشور تأکید می‌کنند و بر این باورند که توسعه امنیت این صنایع بدون مداخله فناوری امکان‌پذیر نخواهد شد و گرچه ایجاد سامانه‌های کشف و شناسایی تقلب و تخلف، هزینه زیادی را بر دوش بانک‌‌ها و شرکت‌های پی‌اس‌پی می‌گذارد، اما در بلندمدت از تحمیل هزینه‌های بیشتر به آنها جلوگیری می‌کند.

به همین منظور به سراغ حمیدرضا مشایخ، مدیر دپارتمان راهکارهای مبتنی بر داده و هوش مصنوعی شرکت رادین؛ غزاله حسینی، مدیرمحصول گمانیک؛ مسعود علی‌اکبرزاده، مدیرعامل شرکت داده‌کاوان هوشمند توسن و علی زارع میرک‌آبادی، مالک محصول راهکارهای تشخیص تقلب و تخلف داتین رفتیم تا با آنها درباره وضعیت فعلی امنیت شبکه بانکی و پرداخت کشور و نقش فناوری در توسعه آن صحبت کنیم.

چندوجهی‌بودن مقوله امنیت

بنا بر صحبت‌های مسعود علی‌اکبرزاده، مدیرعامل شرکت داده‌کاوان هوشمند توسن، برای بررسی وضعیت دقیق‌تر امنیت در صنعت بانکی و پرداخت کشور باید این دو صنعت را جدا از یکدیگر مورد بررسی قرار داد؛ چراکه نیازمندی‌های امنیت و بلوغ حال حاضر در این دو صنعت با یکدیگر متفاوت است. او در این‌باره می‌گوید: «در سطح بلوغ امنیت در صنعت پرداخت به‌دلیل ماهیت پررنگ حضور پرداخت الکترونیکی در زندگی روزمره مردم و به تبع آن دسترس‌پذیری سهل‌تر این بستر توسط متخلفان، با چالش‌های فراوانی روبه‌رو هستیم. گرچه با توجه به مقتضیات صنعت پرداخت شاهد بلوغ امنیت بیشتری نسبت به صنعت بانکی هستیم، ولی در مجموع،‌ امنیت در این دو صنعت را در وضعیت قابل قبولی نمی‌بینم.»

به گفته علی‌اکبرزاده، نظام پرداخت در ایران شباهتی با نمونه‌های خارجی آن ندارد و به همین دلیل ارزیابی آن را با مدل‌های جهانی سخت می‌کند. همین تفاوت باعث شده تا مقوله امن‌سازی شبکه پرداخت نیز تا حد زیادی متناسب با شبکه بومی کشورمان تعریف شود. در صنعت پرداخت کوشیده‌اند تا با در نظر گرفتن مدل این صنعت در ایران، کارهایی برای افزایش امنیت سیستم انجام دهند؛ به‌عنوان نمونه، خلق رمز پویا برای پرداخت‌های اینترنتی یکی از این اقدامات بوده که گرچه بنا به آمار و در نگاه اول باعث امن‌تر شدن تراکنش‌های این حوزه شده، ولی بار اجرایی و مالی شدیدی را برای ذی‌نفعان این حوزه ایجاد کرده است. به عبارت دیگر مقوله امنیت می‌بایستی علاوه بر داشتن کارایی و اثربخشی، به‌صرفه نیز باشد.»

مدیرعامل شرکت داده‌کاوان هوشمند توسن بر این عقیده است که در صنعت بانکی کشور نیز جای کار زیادی وجود دارد و هنوز به سمت‌وسویی نرفته‌ایم که در لایه‌های گوناگون شاهد امنیت قابل قبولی باشیم و عمده توجه امنیتی به لایه‌های زیرساخت و ارتباط معطوف شده است.

او معتقد است جهان پیش روی ما به گونه‌ای است که عدم استفاده از فناوری در آن معنایی ندارد و نظام‌های بانکی و پرداخت نیز از این قاعده مستثنی نیستند و نه‌تنها برای توسعه امنیت خود، بلکه برای توسعه کلیت نظام‌هایشان به فناوری احتیاج دارند: «در جهان فعلی ما امنیت بدون مداخله فناوری ممکن نمی‌شود.»

علی‌اکبرزاده با بیان اینکه امنیت مقوله‌ای چندوجهی و تمام‌نشدنی است، توضیح می‌دهد: «یک بُعد آن، الزام وجود نظام حقوقی کارا و منسجم است که این مهم بر عهده حاکمیت است. همچنین امنیت یک بُعد فرهنگی دارد که دربرگیرنده آموزش به آحاد جامعه و ایجاد فرهنگ‌سازی برای جلوگیری از انجام رفتارهای پرخطر مالی است. زیرساخت‌های سخت‌افزاری و ارتباطی نیز یکی دیگر از ابعاد امنیت هستند که در ایران در مقایسه با سایر ابعاد مورد توجه بیشتری قرار گرفته است. علاوه بر این لایه کاربرد و خدمت نیز بخش مهمی است که مورد توجه قرار می‌گیرد تا خدمات ارائه‌شده در نرم‌افزارها از امنیت بالایی برخوردار باشد.»

علی‌اکبرزاده درباره به‌کارگیری هوش مصنوعی در افزایش امنیت نظام‌های بانکی و پرداخت کشور بیان می‌کند: «با توجه به تعدد و تنوع ارائه خدمات الکترونیکی و سوق‌دادن مردم به استفاده از خدمات غیرحضوری، شاهد استقبال بی‌نظیر مردم از ابزارهای دیجیتال هستیم و این یعنی با یک حجم تراکنش بالا مواجهیم. به موازات این مسئله شگردهای متقلبان نیز متناسب با خدمات جدید تغییر یافته و از فناوری‌های نوین و حتی حیله‌های جدید مبتنی بر مهندسی اجتماعی نیز استفاده می‌کنند. در این بین شیوه‌های سنتی شناسایی موارد مشکوک به تقلب که مبتنی بر قاعده تعریف می‌شوند، نمی‌توانند این‌گونه موارد را شناسایی کنند و لازم است با استفاده از تکنیک‌ها و الگوریتم‌های هوشمند و شناسایی الگوهای رفتاری مشتریان و موجودیت‌های حوزه بانکی و پرداخت تراکنش‌های مشکوک به تقلب را شناسایی و گزارش کرد یا حتی از انجام آن جلوگیری کرد. این کاری است که ما در داده‌کاوان هوشمند توسن نزدیک به ۱۰ سال است انجام می‌دهیم و در محصولات آنلاین و آفلاین خود اقدام به شناسایی و گزارش‌دهی و حتی جلوگیری از انجام تراکنش‌های مشکوک به تقلب می‌کنیم. این اقدامات در محصولی با عنوان سامانه جامع نظارت که متشکل از زیرسیستم‌های کشف تقلب آنلاین، کشف تقلب آفلاین، مبارزه با پول‌شویی، بازرسی، حسابرسی و تطبیق است، ارائه می‌شود.»

او اضافه می‌کند که بانک‌ها به توسعه فعالیت‌های عملیاتی خود علاقه‌ بیشتری نشان می‌دهند تا ایجاد زیرساخت‌های مبارزه با تقلب. به گفته علی‌اکبرزاده این مسئله به دو دلیل است؛ دلیل اول اینکه شبکه بانکداری و پرداخت ما تا از طرف نهادهای بالادستی و رگولاتور مجبور نشوند، علاقه‌ای به اجرای آن ندارند و عمدتاً بالا بردن امنیت را مساوی با هزینه می‌بینند و ترجیح می‌دهند هزینه خود را معطوف به مسائلی کنند که از سمت رگولاتور با اجبار بالاتری پیگیری می‌شود و از دیگر سو ریسک ناشی از تقلب و ناامن‌بودن تراکنش را بیشتر بر دوش مصرف‌کننده نهایی قرار می‌دهند. از این رو به سمت‌وسویی نمی‌روند که با استفاده از راهکارهای مبتنی بر هوش مصنوعی، امنیت شبکه‌های خود را به‌صورت حداکثری افزایش دهند. او می‌گوید: «در واقع اگر کلاهبرداری یا تقلبی صورت بگیرد، نهایتاً دارنده کارت یا حساب مقصر این اهمال شناخته می‌شود و کسی پیگیر این مهم نیست که چرا بانک یا شبکه پرداخت به حد کفایت از امنیت لازم برخوردار نیست تا اساساً شاهد برخی از این جرائم نباشیم.»

این‌گونه مسائل باعث می‌شود بانک‌ها از ظرفیت‌های موجود در هوش مصنوعی برای توسعه امنیت شبکه‌های خود استفاده نکنند. علی‌اکبرزاده در این‌باره می‌گوید: «گرچه ما در شرکت خود بیش از ۱۰ سال است که برای ارتقای امنیت شبکه‌های بانکی و پرداخت کشور ارائه خدمت می‌کنیم، اما تقاضای چندانی در بازار وجود ندارد و تازه این اواخر است که شاهد استقبال کارفرمایان از این محصولات هستیم. رگولاتور نیز باید قوانین اصولی و جدی را در این زمینه ایجاد کند تا استانداردهای حداقلی برای ارائه خدمت وجود داشته باشد.»

فناوری؛ تضمین‌‌کننده امنیت

بنا بر صحبت‌های حمیدرضا مشایخ، مدیر دپارتمان راهکارهای مبتنی بر داده و هوش مصنوعی شرکت رادین در حال حاضر وضعیت امنیت در سیستم پرداختی کشور اصلاً مطلوب نیست. او در این‌باره می‌گوید: «البته سیستم اینترنتی، خرید‌ها و تراکنش‌های اینترنتی در کشور ما عمر طولانی ندارد که بتواند باعث تقلب و تخلف شود. درست است که ما چند سالی می‌شود که فیشینگ و امثالهم را در کشور داریم، اما آنچه باعث افزایش ناگهانی تراکنش‌های آنلاین و سیستم غیرحضوری شد، کرونا بود و ما به‌تازگی از فاز کرونا خارج شده‌ایم و رفتار مردم به سمت تراکنش‌های آنلاین چرخش زیادی داشته است. در نتیجه اکنون همان زمانی است که صنعت بانکی کشور باید به سمت جلوگیری و کشف تقلب برود.»

به گفته او، در این راستا کمبودهایی وجود دارد؛ هم بانک‌ها و هم شرکت‌های پرداختی به پیاده‌سازی سیستم‌های جلوگیری از تقلب تمایل زیادی ندارند که علت اصلی آن هزینه‌هایی است که باید متقبل شوند. مشایخ توضیح می‌دهد: «با این وجود فشارهای خوبی از سمت بانک مرکزی و شاپرک به بانک‌ها و شرکت‌های پرداخت وارد شده که آنها را مجبور به داشتن سامانه شناسایی و مدیریت تقلب و تخلف می‌کند. اگر در همین راستا تمام بانک‌‌ها و شرکت‌های پی‌اس‌پی مجبور به استفاده از این سامانه‌ها شوند،‌ قبل از اینکه تعداد تراکنش‌های متقلبانه و متخلفانه زیاد شود، فرصت کافی برای مقابله با آن برای شبکه بانکی و پرداخت کشور فراهم خواهد بود.»

برخی بر این باورند که فناوری‌های جدید نقش بسزایی در افزایش امنیت، شناسایی تقلب‌ها و کاهش آنها دارد. مشایخ نیز معتقد است چنین فناوری‌هایی رفته‌رفته در شبکه بانکی و پرداخت کشور شناخته می‌شود که بخش عمده‌ای از این شناخت ناشی از اجبارها و فشارهای بانک مرکزی و شاپرک به وجود آمده است. او درباره نقش رگولاتور در استفاده از فناوری‌های جدیدی مانند هوش مصنوعی می‌گوید: «اگر رگولاتور متوجه اهمیت استفاده از این فناوری‌ها باشد و با کاربست قوانین حاکمیتی به مجریان شبکه پرداخت و تراکنش کشور فشار وارد کند و در این مسیر استمرار داشته باشد، شاهد موفقیت‌های زیادی خواهیم بود. همین حالا هم بسیاری از بانک‌ها و شرکت‌های پرداخت به سمت استفاده از هوش مصنوعی برای کشف تقلب و تخلف در سیستم‌های خود رفته‌اند.»

طبق صحبت‌های مشایخ، مهم‌ترین مسئله‌ای که باعث می‌شود نیازمند استفاده از هوش مصنوعی باشیم، پیدا کردن الگوهای رفتاری است که دسترسی به آنها از طریق روش‌های سنتی و در قالب قواعد و بررسی‌های عمیق از طریق انسان ممکن نیست: «تعداد تراکنش‌های روزانه کشور به چند صد میلیون می‌رسد و تعداد ان‌تی‌تی‌هایی که درگیر این تراکنش‌ها هستند نیز چند صد میلیون است. در نتیجه هیچ سیستمی به‌صورت سنتی امکان پیدا کردن الگوهای رفتاری افراد و تشخیص این را که کجا دارد رفتاری خارج از الگوهای مرسوم آن ان‌تی‌تی اتفاق می‌افتد، ندارد. برای همین است که نیاز به استفاده از هوش مصنوعی در شبکه تراکنش و پرداخت کشور به‌صورت قطعی برای مجریان مشهود شده است.»

او اضافه می‌کند که همچنان مقاومت‌هایی به لحاظ اجرایی وجود دارد. همچنین تعداد سامانه‌هایی که امکان استفاده درست از فناوری را به‌طور معقول و مؤثر داشته باشند، چندان زیاد نیست که البته به‌دنبال افزایش کاربری هوش مصنوعی در کشور افزایش پیدا خواهد کرد. مشایخ می‌گوید: «اما انتخاب شبکه پرداخت کشور در این زمینه این نیست که تعداد زیادی سامانه وجود داشته باشد، چون برای آن هزینه دارد؛ سامانه‌ای که بخواهد از فناوری‌های نوین استفاده کند، طبیعتاً گران قیمت خواهد بود و بانک‌ها و شبکه پرداخت کشور برای هزینه‌کردن مقاومت می‌کنند، مگر اینکه یا فایده این هزینه‌کردن به‌شدت ملموس باشد یا از سمت رگولاتور اجبار شده باشد.»

مشایخ ادامه می‌دهد: «ظاهر امر حاکی از این است که هر دوی این فاکتورها در حال انجام‌شدن است؛ رگولاتور در حال اجبار کردن استفاده از هوش مصنوعی است و خود بانک‌ها و شبکه پرداخت هم رفته‌رفته متوجه این قضیه شده‌اند که روش‌های قبلی پاسخگوی وضعیت کنونی‌شان نیست و جلوگیری از ضررهای بزرگ‌تر، اتلاف زمان و منابع و قیمت‌گذاری روی سامانه‌ها، مستلزم این است که ابتدا برای ایجاد سامانه‌هایی که مجهز به فناوری‌های نوین باشند، هزینه شود؛ حتی اگر هزینه تهیه نرم‌افزارها و سامانه‌ هنگفت باشد. کارکردهای فناوری در زمینه تشخیص تقلب و تخلف بدیهی و مشهود است و همان‌طور که گفته شد، روش‌های سنتی که در آن چند کارشناس به‌صورت دستی همه‌چیز را بررسی می‌کنند، پاسخگوی حجم زیاد تراکنش‌های موجود نیست؛ حتی روش‌های سنتی که در قالب فایل‌های اکسل بودند نیز امروز قابلیت پاسخگویی به این حجم زیاد تراکنش را ندارند.»

او معتقد است باید بازرس‌هایی باشند که بر اساس اولویت و ریسک تراکنش‌ها آنها را سریعاً بررسی کنند. در واقع باید به سمت سامانه‌های کشف تقلب آنلاین بروند و این‌طور نباشد که تراکنش متخلف بعد از ۲۴ ساعت شناسایی شود؛ باید کم‌کم به سمت بررسی آنلاین تراکنش‌ها رفت؛ چه در بانک‌ها و چه در پی‌اس‌پی‌ها.

مشایخ درباره شبهات موجود درباره فناوری و نقش آن در کاهش یا افزایش امنیت می‌گوید: «برای پاسخ به این سؤال که آیا فناوری با امنیت در تضاد است یا خیر، به نظر من اتفاقاً فناوری تضمین‌‌کننده امنیت است؛‌ اگر برنامه‌ریزی‌ها و استفاده از سامانه‌ها درست باشد، فناوری‌های جدیدی که به کار می‌روند، امنیت به‌مراتب بالاتری نسبت به نمونه‌های سنتی دارند و قرار نیست باعث کُند کردن عملیات‌های پرداختی و تراکنش‌های کشور شوند و فرایندهای پرداختی و تراکنش‌ها با همان سرعت ثابت و چه‌بسا بیشتر انجام می‌شود. تنها تغییری که ایجاد می‌شود این است که یک سامانه کمکی در کنار فرایندها قرار می‌گیرد تا به‌صورت لحظه‌ای یا با یک تأخیر معقول، کلیه تراکنش‌ها را بررسی کند و نه‌تنها باعث کاهش امنیت و ایجاد اختلال در شبکه نمی‌شود، بلکه باعث افزایش امنیت شبکه پرداخت کشور و در عین حال جلوگیری از تقلب، تخلف و ضررهای هنگفت ناشی از آن نیز می‌شود و دردسرهای روش‌های سنتی را که در شناسایی پول‌شویی و تقلب عملکرد کُندی داشتند، ندارد.»

او بیان می‌کند: «روش‌های سنتی امنیت را به خطر می‌اندازد و هزینه بیشتری را به سامانه‌ها،‌ بانک‌ها و شرکت‌های پرداخت تحمیل می‌کند. پس مسلم است که فناوری نه‌تنها باعث کاهش امنیت نمی‌شود، بلکه آن را افزایش نیز می‌دهد. کاربست روش‌های جدید مبتنی بر هوش مصنوعی، نیاز امروز شبکه بانکی و پرداخت کشور است؛ چراکه یکسری رفتارهای متخلفانه و متقلبانه به وسیله قواعد شناخته‌شده و از پیش تعیین‌شده قابل شناسایی نیست؛ رفتار متخلفان مدام به‌روزرسانی می‌شود و هر روز با رفتارهای جدیدی روبه‌رو هستیم که در قاعده‌های موجود نمی‌گنجند و هنوز برای آنها قاعده‌ای تعریف نشده است. در نتیجه وجود سامانه‌هایی که الگوهای رفتاری ان‌تی‌تی‌ها را شناسایی کرده و مشخص کنند که رفتار نابهنجاری در شبکه صورت گرفته یا نه، ضروری است.»

به گفته او، برای افرادی که به‌دنبال افزایش تقلب و تخلف در سیستم هستند، بدیهی است که بدون استفاده از هوش مصنوعی نمی‌توانند کاری کنند و کسی نمی‌تواند بگوید که من می‌توانم همان بازدهی و همان مقدار کشف موارد مشکوک را بدون استفاده از فناوری‌های نوین ارائه دهم. با این وجود لازم به ذکر است که استفاده از هوش مصنوعی به‌تنهایی معجزه نمی‌کند و پیاده‌سازی سیستم‌های کشف تقلب در بانک‌ها و شرکت‌‌های پی‌اس‌پی در کشور به‌صورت جزیره‌ای شاید تا حدودی بتواند جلودار تخلفات باشد، اما مسئله را حل نمی‌کند؛‌ چراکه ما نیازمند داده‌های یکپارچه از کل صنعت بانکی و پرداخت کشور هستیم.

او در این‌باره صحبت‌هایش را ادامه می‌دهد: «در واقع اگر بسیاری از پول‌شویی‌‌ها را بررسی کنیم، متوجه می‌شویم که این پول‌شویی‌ها در بین چند مؤسسه مالی انجام می‌شود و اگر کسی بخواهد پول‌شویی کند، در ساده‌ترین حالت آن پول کثیف را در چند حساب در بانک‌ها و مؤسسات مالی مختلف پخش می‌کند و دوباره در جای دیگری آن را تجمیع می‌کند. در نتیجه اگر هر بانک و مؤسسه‌ای بخواهد به‌تنهایی هوش مصنوعی را در سیستم‌هایش پیاده کند و به داده‌های سایر بانک‌ها و مؤسسات مالی دسترسی نداشته باشد، هیچ‌کدام از موارد پول‌شویی و تقلب شناسایی نخواهد شد. بنابراین علاوه بر اینکه همه اکنون تا حدودی متوجه اهمیت قضیه و استفاده از فناوری هستند، در کنارش باید به این سمت هم برویم که یک دیتابیس جامع و کامل که قاعدتاً در این شرایط باید بانک مرکزی و شاپرک باشند، کلیه تراکنش‌های کشور در تمامی مؤسسات و شرکت‌های پرداخت را زیر نظر بگیرد و بتواند با نگاه کلان به تراکنش‌هایی که در سطح شبکه پرداختی کشور انجام می‌شود، به‌صورت یکپارچه با استفاده از فناوری‌های نوین و هوش مصنوعی مواردی را کشف کند که تاکنون به‌دلیل جزیره‌ای‌بودن سیستم‌های شناسایی و کشف تقلب اصلاً قابلیت شناسایی را نداشتند.»

او در خاتمه می‌گوید: «اگر بخواهم جمع‌بندی کنم، علاوه بر اینکه همه متوجه نیاز به استفاده از فناوری‌های نوین هستیم، در عین حال باید این نکته را هم در نظر داشته باشیم که قرار نیست فناوری‌های نوین به‌تنهایی معجزه کنند. فناوری‌های نوین کارایی دارند که دیتای مناسب، باکیفیت و لازم در اختیارش قرار داده شود و اگر واقعاً دغدغه کشف تقلب و تخلف وجود دارد که به نظر می‌آید وجود دارد، باید به این سمت برویم که از بحث جزیره‌ای‌بودن داده خارج شویم و داده‌ها را به‌صورت متمرکز در یک مرکز معتبر مثل بانک مرکزی یا شاپرک قرار دهیم و یک سامانه مجهز به فناوری‌های نوین هم حتماً به‌صورت کلان شبکه پرداخت را رصد کند تا بتواند موارد مشکوک و متقلبانه را بیابد.

عدم بلوغ فرهنگ سازمانی در پذیرش عملیاتی کشف تقلب و تخلف

طبق صحبت‌های غزاله حسینی، مدیر محصول گمانیک، بحث امنیت گستردگی و پیچیدگی‌های بسیاری دارد که شاید مهم‌ترین آن موضوع «ناپایداری امنیتی» باشد. به گفته او، منظور از ناپایداری امنیتی این است که هر راهکاری برای افزایش امنیت یک حوزه، راهکارهای جدید برای عبور از مرزهای امنیتی را نیز به همراه دارد. از این رو برقراری امنیت در یک حوزه بیش از آنکه به معنای ایجاد پروتکل‌هایی برای عدم دسترسی به آن حوزه باشد، می‌بایست به‌صورت پویا امکان شناسایی و کاربرد شیوه‌ها و الگوهای جدید ناامن‌سازی را فراهم آورد.

او در این خصوص توضیح می‌دهد: «علاوه بر این، بحث امنیت در لایه‌های مختلف اجرایی و عملیاتی شکل و معنای متفاوتی دارد و به شیوه‌ها و با ابزارهای متفاوتی انجام می‌شود. مثلاً در لایه زیرساخت بانک بیشتر بحث‌ها مربوط به امن‌‌‌سازی شبکه‌ای است و در بحث نگهداری از اموال و سپرده‌ها و منابع مشتریان و بانک بیشتر به پروتکل‌های امنیت فیزیکی پرداخته می‌شود. در لایه عملیات بانکی نیز بحث امنیت بیشتر معطوف به امنیت سپرده‌ها و تراکنش‌هاست که از هر دو جنبه‌ سخت‌افزاری و نرم‌افزاری باید به آن توجه شود. از آنجا که شرکت آدانیک بیشتر در حوزه نرم‌افزاری و کشف تقلب فعالیت دارد، تخصص ما شناسایی الگوها و شیوه‌های به‌روز تخلف یا تقلب در عملیات بانکی بر اساس داده‌های تولیدشده در آنهاست.

این عملیات می‌تواند شامل فرایندهای درون‌بانکی و ستادی یا عملیات بانک در رابطه با مشتری باشد. در واقع تخصص شرکت آدانیک در این حوزه، شناسایی الگوها و شیوه‌هایی است که با وجود راهکارهای امنیتی به کار گرفته‌شده توسط بانک‌ها، به ایجاد ناامنی یا ریسک منجر می‌شود. در واقع مهم نیست که در مسئله امنیت، بانک‌ها چقدر قوی یا چقدر ضعیف باشند. چون تقریباً در یک جامعه نرمال بانک‌ها به‌عنوان مراکز انباشت و نگهداری سرمایه از پروتکل‌های امنیتی مشابه و نزدیک به یکدیگر استفاده می‌کنند که از سوی سازمان‌های نظارتی بالادستی تعیین می‌شوند. آنچه مهم است سرعت و چابکی بانک‌ها در شناسایی الگوها و شیوه‌هایی است که باعث ایجاد ناامنی شده یا برای بانک ایجاد ریسک می‌کنند.»

به عقیده حسینی، فناوری‌های جدید همان‌قدر که می‌توانند جهت ایجاد امنیت به کار گرفته شوند، به همان میزان نیز می‌توانند به ایجاد راهکارهای جدید برای عبور از پروتکل‌های امنیتی نیز منجر شوند. او در این‌باره می‌گوید: «به‌طور کلی، فناوری مانند شمشیر دولبه است و بسته به اینکه کجا و توسط چه افراد و گروه‌هایی استفاده شود، می‌تواند پیامدهای مثبت یا منفی به بار آورد. تاریخ بشر از این سرنوشت دوگانه فناوری انباشته است، اما در بحث کشف تقلب باید توجه داشت که با یک فرایند مواجه هستیم، نه صرفاً یک واکنش موقت و مقطعی؛ فرایندی که ما را از امر ناشناخته یا تخلف و تقلب در فرایندهای سازمانی به الگویی شناخته‌شده می‌رساند. به‌طور قطع در این فرایند فناوری‌های جدید امکان شناسایی دقیق‌تر و سریع‌تری را فراهم می‌آورند که نسبت به شیوه‌های سنتی مزایای بسیاری دارد.»

او با ذکر مثالی به این موضوع می‌پردازد: «مثلاً اگر در شیوه‌ سنتی شناسایی الگوهای برداشت مبلغ کم از تعداد زیادی حساب به‌صورت مکرر، تنها بعد از شکایت و اعلام مشتریان به مراجع قضایی ممکن بود، با استفاده از فناوری‌های جدید پردازش بیگ‌دیتا و با استفاده از مدل‌های هوشمند، شناسایی این الگو با صرف چند دقیقه و حتی به‌صورت آنلاین ممکن می‌شود.»

مدیر محصول گمانیک توضیح می‌دهد که استفاده از فناوری‌های هوش مصنوعی، پیش از آنکه مختص نظام بانکی و پرداخت باشد، بحثی مربوط به فرهنگ سازمانی است. برای توضیح این موضوع هم می‌توان به نقش فناوری‌هایی مانند هوش مصنوعی در فرهنگ سازمانی اشاره کرد. او می‌گوید: «در مواجهه با الگویی که از آن صحبت شد، دو رویکرد وجود دارد؛ تبدیل‌ آن به یک قاعده یا Rule که حدود مشخص و ثابتی دارد، یا تبدیل آن به مدلی بر اساس نسبت‌های میان ویژگی‌های شناسایی‌شده مانند مبلغ، تعداد تراکنش‌ها و تکرار برداشت وجه. از دید سازمانی روش اول هزینه کمتری دارد، ساده‌تر پیاده‌سازی می‌شود و چون بر اساس حدود ثابتی عمل می‌کند، نتیجه ثابت و از پیش مشخصی را هم تولید می‌کند که پاسخگوی نیاز سازمان‌های نظارتی بالادستی است.»

طبق توضیحات او، پیاده‌سازی و اجرایی‌کردن روش دوم نیازمند صرف هزینه اولیه بیشتر برای رسیدن به مدلی هوشمند است، اما بعد از ایجاد مدل بر اساس نسبت‌های پیش‌بینی‌شده، شناسایی تمامی الگوهای مشابه و نه‌فقط یک قاعده مشخص با حدود مشخص، ممکن می‌شود. او می‌گوید: «علاوه بر این می‌توان الگوهای ناشناخته ناهنجاری را نیز شناسایی کرد. این مسئله نه‌تنها حالت خاص و نیاز مقطعی سازمان‌های نظارتی را برآورده می‌کند، بلکه می‌تواند موارد مشابه را نیز که پیش از این ناشناخته بودند، شناسایی کند.

حال اگر فرهنگ سازمانی بر اساس رویکرد صرف هزینه کم و رسیدن به جواب خاص، صرفاً برای ارائه پاسخی به سازمان‌های نظارتی بالادستی باشد (که اغلب نیز همین‌گونه است)، سازمان‌ها سراغ روش اول می‌روند که مبتنی بر موارد شناخته‌شده و سناریوهای از پیش معلوم تقلب و تخلف است. اما اگر سازمان رویکردی دوراندیشانه‌تر داشته باشد و هدفش به جای پاسخگویی صرف به نظارت بالادستی و رضایت موقت، ایجاد زیرساختی برای شناسایی مداوم الگوهای تخلف و تقلب باشد، با صرف هزینه و انرژی بیشتر برای پیاده‌سازی و ایجاد مدل‌های هوشمند، ابزاری سریع برای شناسایی مداوم ناهنجاری‌های رخ‌داده در فرایندهای سازمانی خواهد داشت.»

بر اساس توضیحات حسینی، استفاده از هوش مصنوعی اگرچه در گام راه‌اندازی پیچیدگی‌ها و دشواری‌های بیشتری دارد، اما استفاده از مدل‌های هوشمند، سرعت و دقت شناسایی ناهنجاری‌های شبکه بانکی را افزایش می‌دهد. این مسئله نه‌تنها در بانک‌ها، بلکه در دیگر سازمان‌های مالی نیز مطرح است و با وجود کارهای ارزنده‌ای که در سال‌های اخیر برای هوشمندسازی کشف تقلب و تخلف انجام شده، هنوز فرهنگ سازمانی بلوغ لازم برای پذیرش عملیاتی آن را ندارد. او در ادامه می‌گوید: «به همین دلیل بسیاری از درخواست‌ها و ایده‌های سازمانی در زمینه استفاده از هوش مصنوعی بیش از آنکه بر اساس نیازهای واقعی با برنامه‌ریزی قدم‌به‌قدم و بر مبنای مشارکت‌های متخصصان عرصه فناوری و سازمان‌ها باشد، وجهی ایده‌آل‌گرایانه و تبلیغاتی دارد. از سوی دیگر در برخی سازمان‌ها علاوه بر بلوغ فرهنگی با نقص ملزومات زیرساختی و داده‌ها نیز مواجه هستیم که این نقص را نیز می‌توان با استفاده از روش‌های نوین داده‌پردازی به حداقل ممکن رساند.»

موردی که در بحث افزایش سطح امنیت باید مورد توجه واقع شود و معمولاً در صنعت بانکی مغفول مانده، این است که امنیت سپر دفاعی مجموعه است. حسینی با بیان این موضوع می‌گوید: «قطعاً کسب‌و‌کار بدون سپر دفاعی نمی‌تواند به چرخه‌ حیات خود ادامه دهد، ولی از طرفی اگر حفظ امنیت، فقط با رویکردهای سلبی مانند قطع دسترسی همراه باشد، موجب از دست رفتن نیروی پیشرانه‌ کسب‌و‌کار خواهد شد.»

مدیر محصول گمانیک توضیح می‌دهد که برای حفظ امنیت و در کنار آن پیش‌بردن کسب‌و‌کار نیاز است ابزاری در دسترس باشد تا فقط به‌صورت Reactive و تنها پس از شناسایی موارد نامطلوب واکنش نشان ندهد، بلکه حتی به‌صورت Proactive بتواند شرایط و وضعیت را مورد پایش قرار دهد و موارد ناهنجار را گزارش کند: «از فناوری رایج می‌توان برای پیاده‌سازی راهکار Reactive جهت جلوگیری از بروز موارد شناخته‌شده استفاده کرد. مثلاً می‌توان یک موتور قواعد (Rule Engine) به کار برد و از بروز موارد نامطلوب شناخته‌شده جلوگیری کرد، اما برای پیشبرد رویکرد Proactive نمی‌توان از راهکارهای گذشته استفاده کرد. در اینجا استفاده از هوش مصنوعی رخ می‌نمایاند.

هوش مصنوعی و یادگیری ماشین و به‌صورت خاص یادگیری بدون ناظر (Unsupervised Learning) این امکان را به ما می‌دهد تا علاوه بر موارد شناخته‌شده، قدم در وادی موارد ناشناخته گذاشته و با تکنیک‌های Outlier Detection موارد خارج از روند کلی را پیدا کرد. باید توجه داشت که استفاده از یادگیری ماشین و هوش مصنوعی در این حوزه، بدون چالش نخواهد بود. یکی از بزرگ‌ترین چالش‌ها حجم بالای داده‌های موجود (مثلاً داده‌های تراکنش‌ها) در این حوزه است که باعث می‌شود نتوان از رویکردهای معمول پیاده‌سازی و استفاده از یادگیری ماشین بهره برد. در اینجا فناوری به ما استفاده از زیرساخت مدیریت بیگ‌دیتا و استفاده از ابزارهای مرتبط با آن مانند موتور Apache Spark را پیشنهاد می‌دهد. این مسیری بوده که شرکت آدانیک در طراحی، پیاده‌سازی و بهبود محصول گمانیک طی کرده‌ است.»

آمادگی بخش خصوصی برای ارائه خدمت

علی زارع میرک‌آبادی، مالک محصول راهکارهای تشخیص تقلب و تخلف داتین، امنیت سیستم‌های مالی و بانکداری را یکی از مهم‌ترین مؤلفه‌های توسعه فضای کسب‌وکار‌ها می‌داند که بدون آن تصور جامعه‌ای بالنده و شکوفا دور از ذهن خواهد بود. او در این‌باره می‌گوید: «امنیت و سلامت سیستم‌های مالی از دو منظر قابل بررسی است؛ اول حفاظت از دارایی‌های مشتریان و تأمین امنیت‌ خاطر آنها و دوم مراقبت از مؤلفه‌های اقتصاد کلان. در مجموع می‌توان گفت که امنیت حساب و دارایی‌های مشتریان در سیستم‌های بانکی ایران از وضعیت مناسبی برخوردار است و آنچه بیشتر مورد سوء‌استفاده قرار می‌گیرد، در دو حوزه خاص نهفته است؛

حوزه اول سوءاستفاده مالی و کلاهبرداری‌هایی است که به ‌واسطه ناآگاهی و فریب افراد اتفاق می‌افتد. مانند کپی‌کردن کارت، برداشت رقم‌های خرد از حساب افراد، کلاهبرداری با پوشش اخذ بیعانه در پلتفرم‌های خریدوفروش آنلاین یا نصب بدافزار روی موبایل افراد به‌منظور دسترسی به رمز دوم. حوزه دوم، مبتنی بر مؤلفه‌های اقتصاد کلان است و ناشی از وضعیت اقتصادی عمومی و انتظار سودآوری بالاست که با سوء‌استفاده از بستر بانکی برای فرایندهایی همچون شرط‌بندی، اقدامات غیرقانونی برای پنهان‌ساختن میزان درآمد در برخی اصناف برای فرار مالیاتی (با استفاده از کارت اجاره‌ای)، تکمیل زنجیره تخلفاتی پول‌شویی و سرقت از کارت استفاده می‌شود.»

او بیان می‌کند که اگرچه حضور فناوری‌های نوین از یک سو باعث تسهیل امور و زندگی افراد شده، اما از سوی دیگر آسیب‌پذیری‌هایی را به وجود آورده که قبلاً وجود نداشته است: «بدون شک میزان منافع حاصل از فناوری‌های مالی با ریسک‌های تحمیلی قابل قیاس نیست. در گذشته بررسی تخلفات و تقلب‌ها با روش کارشناسی و انسان‌محور میسر بود، اما اکنون بدون فناوری اطلاعات نمی‌توان چنین تراکنش‌هایی را شناسایی و از وقوع آنها جلوگیری کرد. امروزه با استفاده از روش‌های مبتنی بر قاعده، هوش مصنوعی و گراف، زمینه برای شناسایی غیر‌آنلاین و آنلاین این‌گونه تخلفات هموار شده است.»

به گفته زارع، در حال حاضر شرکت‌های تأمین‌کننده نرم‌افزارهای بانکی با سرمایه‌گذاری در زمینه فناوری پیشرفت‌های قابل توجهی داشته‌اند؛ تا جایی که به‌طور مثال در داتین، با سرعت پردازشی کمتر از ۱۰۰ میلی‌ثانیه امکان بررسی و رد تراکنش‌های تخلف و تقلب فراهم شده و این در حالی است که کلیه تراکنش‌های کارت از این سامانه عبور می‌کنند. او در این‌باره توضیح می‌دهد: «همچنین برای شناسایی تراکنش‌های ناهنجار (احتمال سرقت از کارت) تمامی تراکنش‌های مالی فرد برای شناخت الگوی رفتاری او در پنجره‌های زمانی مختلف تحلیل شده و ورودی لازم به‌منظور تحلیل ناهنجاری آنلاین فراهم می‌شود. همچنین الگوریتم‌های مبتنی بر گراف و تحلیل شبکه در شناسایی خوشه‌های مختلف شرط‌بندی، پول‌شویی و… به ‌کار گرفته شده و از خروجی مناسبی برخوردار است. در نهایت می‌توان گفت امروزه شناسایی مشاغل، حساب‌های تجاری و سایر اطلاعات لازم برای توسعه اقتصادی کلان به کمک روش‌های فوق، کار غیرقابل وصولی نیست.»

او در خاتمه می‌گوید که همیشه بخش خصوصی به ‌واسطه محدودیت‌های کمتر، به‌‌ویژه در حوزه فناوری اطلاعات از صنعت مالی و رگولاتور جلوتر بوده و آماده ارائه خدماتی مؤثر برای ارتقای امنیت فردی و بهبود فضای کسب‌وکارهاست، اما به همراهی بیشتر بانک‌ها و مؤسسات مالی، نهادهای سیاست‌گذاری و مراجع قانونی نیاز دارد تا بتواند با سرعت بیشتری نسبت به پیاده‌سازی این الگوریتم‌ها و مدل‌ها اقدام کند.

منبع ماهنامه عصرتراکنش