راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

آینده نه به بانک که به بانکداری نیاز دارد / بانکداری با آغوش باز

موضوع بانکداری باز در یکی دو سال اخیر وارد نظام بانکی کشور شده و بانک‌های کشور در تلاش برای رسیدن به آن هستند اما رسیدن به لایه‌های مختلف این روند برای برخی بانک‌ها و شرکت‌های فناوری نسبت به برخی دیگر، بسیار جدی شده است/ یکی از پایه‌ای‌ترین فاکتورهای حاکمیت سرویس این است که هر سرویس یک صاحب داشته باشد و صاحب هر سرویسی یک (SLA) داشته باشد روی همان سرویس/ API یک لایه ارتباط با نرم‌افزار بانک است که چند ویژگی دارد: ۱- قابل‌دسترسی توسط عموم است. ۲- مستندات دارد. ۳- برای ارائه آن از استانداردهای متعارف مانند REST استفاده شده است/ API یکی از ابزارهای اجرایی کردن ایده‌های بانکداری باز است؛ یعنی ما به این نتیجه رسیدیم که اجرای بانکداری باز، کار API است/ تفکر مدیران، از چالش‌های API در ایران است. بسیاری از بانک‌ها و سازمان‌ها هنوز ضرورت و فوریت ارائه API را درک نکرده‌اند. به نظر من این ضرورت توسط مدیران باید حس شود.

به گزارش پایگاه خبری بانکداری الکترونیک، در سال‌های اخیر و به خصوص پس از روی کار آمدن دولت یازدهم بسیاری از علوم و روندهای نوین بانکداری پا به ایران گذاشته و شبکه بانکی کشور به شدت در حال اجرای فنی این روندهاست. یکی از این روندهای جدید «بانکداریِ باز» بر بستر APM ها است. موضوع بانکداری باز در یکی دو سال اخیر وارد نظام بانکی کشور شده و بانک‌های کشور در تلاش برای رسیدن به آن هستند اما رسیدن به لایه‌های مختلف این روند برای برخی بانک‌ها و شرکت‌های فناوری نسبت به برخی دیگر، بسیار جدی شده است. ضمن آنکه موضوع «حاکمیت سرویس» نیز در این سال‌ها بسیار موردتوجه قرار گرفته و اجرای آن، یکی از بزرگ‌ترین اهداف سازمان‌های مالی کشور است. بانک ملی ایران یکی از سازمان‌هایی که به‌طورجدی و گسترده در تلاش برای رسیدن به امکانات و ظرفیت‌های بانکداری باز و دستیابی کامل به حاکمیت سرویس است. در همین راستا یکی از کسانی که می‌توانست به‌طور تخصصی صحبت کند حمیدرضا مختاریان است که ما برای واکاوی این مباحث، با ایشان یک گفت‌وگوی مفصل ترتیب داده‌ایم؛ جان کلام معاون نرم‌افزار سداد پیش روی شماست.

Hamid-Mokhtarian-way2pay-index-a-94-10-13

می‌خواهیم درباره این لایه واسط با هم صحبت کنیم که آن‌وقت محصولاتی مثل بام روی آن سوار می‌شود و از این قبیل. من معتقدم که سداد از زیر سایه بانک ملی باید خارج شود یعنی از توان بانک ملی استفاده کند و برای جاهای دیگر هم کار کند و خود را محصور کارهای کوچک نکند. چند وقت پیش که در خدمت دکتر فاطمی بودم، صحبت از حاکمیت سرویس می‌کردند و می‌گفتند که ما داریم یک معماری را تعریف می‌کنیم که درواقع بتوانیم یک حاکمیت سرویس بین خودمان داشته باشیم، الآن به آن مرحله رسیده است؟

حاکمیت سرویس بسیار وسیع است و فاکتورهای بسیاری دارد ولی به نظر من یکی از پایه‌ای‌ترین فاکتورهای حاکمیت سرویس این است که هر سرویس یک صاحب داشته باشد و صاحب هر سرویسی یک (SLA) داشته باشد روی همان سرویس. این پایه‌ای‌ترین رکن حاکمیت سرویس است که ما تقریباً در همه سرویس‌هایمان یا به SLA رسیده‌ایم و یا در مراحل نهایی هستیم.

.

محورهای کلیدی تعریف شده در SLA کدم‌اند؟

اولین و مهم‌ترین آن، بودن و ارائه سرویس است. دوم، سرویس با کارایی مناسب و زمان درست ارائه شود و سوم، واکنش مشتری به سرویس است. حس رضایتمندی به حس مشعوف بودن و خوشحال بودن تغییر کند.

.

معماری که در بانک ملی تعریف کردید چطور بود؟

ما در بانک ملی یک معماری مرجع تعریف کردیم. در حوزه‌های مختلف بسیار پراکندگی داشتیم. حوزه‌های تکنولوژی، معماری، زبان برنامه‌نویسی و… . شما فرض کنید ما ویندوز، لینوکس، یونیکس، جاوا، سی‌شارپ، سی‌پلاس‌پلاس و خیلی برنامه‌های پراکنده داشتیم. از هر برنامه ترکیبی از زبان، پلتفرم و درواقع محیط استقرار زیاد بود. بالاخره یک کارگروه تشکیل و نظرات جمع‌بندی شد. از نظرات کارشناسان استفاده شد و به یک مستند معماری مرجع آینده بانک ملی رسیدیم و گفتیم از این به بعد در بانک ملی هر نرم‌افزاری بخواهد تولید شود، یا هر RFP که منتشر می‌شود این معماری مرجع آن است. سیستم‌های قبلی که قرار است از رده خارج شوند زمان‌بندی از رده خارج شدن اعلام شود و آن‌هایی که قرار نیست و برنامه‌ای ندارند که الآن از رده خارج شوند، پلن شوند و به سیستم معماری مرجع وارد شوند. ما در یک زمان‌بندی دو ساله شروع کردیم سیستم‌های قبلی را به معماری مرجع تبدیل کنیم و بقیه که تصمیم گرفته شده خارج کنیم با سیستم‌های جدیدتر جایگزین شود.

.

این کار معمولاً چقدر زمان می‌برد؟

ما تصمیم داریم در یک زمان‌بندی دوساله کل این معماری بانک ملی را به معماری مرجع تبدیل کنیم.

.

آن‌وقت این لایه واسطه که توانستید بام را روی آن داشته باشید احتمالاً محصولات دیگر هم روی آن قرار می‌گیرد. ساختار این لایه چگونه است؟

ما یک لایه داده، یک لایه سرویس، یک لایه API و یک لایه UI داریم که روی آن‌ها قرار می‌گیرد و مزیت این کار که در بام انجام شده، این است که بر خلاف بعضی جاهایی که من می‌شناسم و API بانکی ارائه می‌کنند اما خودشان به‌صورت داخلی از آن API استفاده نمی‌کنند، ما از همان API برای توسعه بام استفاده کردیم. در واقع متداول است که محصولات خود را با یک لایه دیگر یکپارچه می‌کنند و به دیگران می‌گویند بیایید از لایه API ما استفاده کنید. ما آمدیم در بام با لایه API خودمان نرم‌افزار بام را نوشتیم؛ یعنی کاری که ما در بام انجام دادیم در تئوری هر کسی می‌تواند با لایه API ما انجام دهد. خوبی آن این شد که خودش یک proof of concept شد یعنی اثبات این مسئله شد که این API خودش به‌تنهایی قابل‌استفاده است؛ یعنی اگر کسی روزی آمد از این API استفاده کند، حداقل می‌داند که ما یک بار خودمان از آن استفاده کردیم و این‌طور نیست که API یی که ما نوشتیم کسی بخواهد استفاده کند و آنگاه بینند که مستنداتش آماده نیست، کار نمی‌کند یا آن کارایی لازم را ندارد. به دلیل اینکه خودش یک لایه بالاتر از سرویس است ولی ما با علم این کار را کردیم. چون ما می‌توانستیم بام را به یک لایه درونی‌تر وصل کنیم، اما اتفاقاً ما آمدیم آن را به لایه API وصل کردیم.

.

این هم انعطاف‌پذیری را بالا می‌برد و هم می‌تواند تجربه‌ای باشد برای کارهای دیگر.

به نکته خیلی خوبی اشاره کردید. انعطاف‌پذیری را بالا می‌برد، به خاطر اینکه ما به API وصل هستیم و به محدودیت‌های لایه‌های پایین‌تر وصل نیستیم؛ یعنی هرکسی این API را به ما بدهد، ما می‌توانیم بام را به او بدهیم.

.

لطفاً به لحاظ فنی API را برای ما توضیح دهید.

 API یک لایه ارتباط با نرم‌افزار بانک است که چند ویژگی دارد: ۱- قابل‌دسترسی توسط عموم است. ۲- مستندات دارد. اینکه مستندات داشته باشد یعنی اگر سیستمی که همه چیزش شبیه API باشد ولی مستندات نداشته باشد واقعاً API نیست. API باید مستندات داشته باشد، مثال داشته باشد، روش داشته باشد. ۳- برای ارائه آن از استانداردهای متعارف مانند REST استفاده شده است.

.

گویا API بانکداری هم در جهان مطرح شده و خود آن ظاهراً به یک استاندارد رسیده است.

الآن دارد می‌رسد. شاید هنوز به آن حد صددرصد نرسیده است. در دنیا دو کار خیلی مهم در حوزه استانداردسازی API بانکداری می‌شود. یکی را کمیسیون اروپا که بازوی اجرایی اتحادیه اروپاست انجام می‌دهد به نام PSD2 و یکی دیگر هم انگلیس انجام می‌دهد که هر دوی آن‌ها برای سال‌های ۲۰۱۶ و ۲۰۱۷ یک برنامه‌ریزی دارند که استاندارد بانکداری باز را با استفاده از API در کشورهای خود مطرح کنند.

.

چرا می‌گویید بنکینگ API؟ چرا API بنکینگ نمی‌گویید؟

به خاطر اینکه اصل را بانک می‌گیریم و API را به آن منتسب می‌کنیم.

.

درواقع این‌ها اختلاف نظرهاست دیگر؛ یعنی این اختلاف نظر است که می‌گویند این اول باشد یا دوم.

بله دو جور می‌شود تصویر کرد. یکی اینکه بگوییم یک بانک وجود دارد و این بانک دارد یک API را ارائه می‌دهد. یک جور دیگر هست که می‌گوید اصلاً بانک چه کسی است؟ ما یک سری سرویس‌ها داریم، API ها داریم و تمرکز می‌کنیم و می‌گوییم این API اصل داستان است و درواقع یک روش بانکداری است که بانکداری با استفاده از API است. یا اینکه یک بانک وجود دارد که API ارائه می‌دهد. به نظر من بنکینگ API در حال حاضر درست‌تر است؛ یعنی اینکه الآن یک بانک وجود دارد که می‌خواهد خدماتش را از طریق API به فضای بیرونی ارائه دهد. در آینده ممکن است بگوییم بانکی وجود ندارد. درواقع فقط بنکینگ وجود دارد که همان بحثی است که چند وقت پیش بیل گیتس مطرح کرد و گفت ما در آینده به بانک احتیاج نداریم اما به بانکداری نیاز داریم.

.

بله دقیقاً، سؤال بعدی من هم در این مورد بود که آیا می‌شود API را درواقع فصل جدیدی بانکداری دانست؟ ما یک بانکداری باز داشتیم، حالا این یک لایه روی بانکداری باز است؛ یعنی فصل جدیدی از بانکداری باز است؟

بله من هم همین تصور را دارم. API یکی از ابزارهای اجرایی کردن ایده‌های بانکداری باز است؛ یعنی ما به این نتیجه رسیدیم که بانکداری باز را چگونه به اجرا برسانیم؛ که کار API است. API هم مدل‌های مختلفی دارد. مثلاً API خصوصی یا API داخلی، API برای شرکا و API عمومی یا API باز.

این‌ها درواقع در یک طیفی قرار می‌گیرند که نقطه آغاز و پایان و کاربری هر کدام را مشخص می‌کند؛ و اینکه کدام API می‌تواند بانکداری باز را اجرایی کند؛ که از بین آن‌ها، API عمومی یا API باز مناسب‌ترین گزینه‌ها هستند چون ممکن است ما API داخلی یا API خصوصی را داشته باشیم اما منجر به بانکداری باز نمی‌شوند.

API عمومی و API باز برای دیگران قابل‌استفاده است ولی API داخلی مربوط به داخل سازمان (بانک) می‌شود. یک API که هیچ‌کس از وجود آن خبر ندارد، در واقع شرط اول که دسترسی عمومی است را ندارد.

.

چرا API فصل جدیدی از بانکداری محسوب می‌شود؟ آیا روش‌های دیگری به‌غیراز API وجود دارد؟

به‌جز API باز، داده باز هم هست که ما در مورد آن کمتر صحبت می‌کنیم. یک مثال در این خصوص می‌زنم که نشان می‌دهد داده باز چگونه می‌تواند سازمان را به یک سازمان باز تبدیل کند؛ در دنیا سازمان‌های حمل‌ونقل عمومی و شهرداری‌ها با یکدیگر یک فرمت اطلاعات درآوردند که در این فرمت اطلاعات تعداد و مکان ایستگاه‌های اتوبوس، ایستگاه‌های مترو، زمان‌بندی حرکت مترو و اتوبوس و… آمده است. این‌ها در این فرمت توافق کردند که اطلاعات سیستم حمل‌ونقل عمومی‌شان را ارائه کنند. حالا نتیجه آن چه می‌شود؟ فرضاً یک اپلیکیشن موبایلی می‌خواهید بنویسید که در شهر تهران مسیریابی کند و یک پیشنهاد بدهد که شما با استفاده از وسایل حمل‌ونقل عمومی از نقطه A به نقطه B بروید. کافی است شهرداری تهران در آن فرمت خاص استاندارد توافق شده، از داده بازاستفاده کند و هرکسی می‌تواند از آن استفاده کند و یک اپلیکیشن بنویسد و لازم نیست که API بدهد. با داده باز در واقع شهرداری می‌شود شهرداری باز. در بانکداری هم داده‌هایی از این نوع داریم مثل مکان شعب و خودپردازها، این که کدام‌یک از خودپردازهای شما کار می‌کند، آن چنان اطلاعات محرمانه‌ای هم نیست. مشتری پای خودپرداز می‌رود و متوجه خرابی آن می‌شود ولی ما در بانک‌ها می‌ترسیم که این اطلاعات را باز و عمومی کنیم. درصورتی‌که اشتراک‌گذاری این اطلاعات هیچ ضربه‌ای به سازمان نمی‌زند. حال ممکن است خبر منتشر شود که تعدادی از خودپردازهای فلان بانک خوابیده است درصورتی‌که اگر بقیه بانک‌ها هم اطلاعاتشان را بدهند وضعیت مشابهی دارند و یا حتی اگر بانک فرضی خیلی هم وضعش خراب است به هرحال حرف درستی است و باید درست کند حتی اگر اطلاعات هم ندهد، عموم مردم متوجه این موضوع می‌شوند.

.

تازه می‌توان نکته مثبت آن را دید که زمانی که همه فعال هستند. همیشه به‌عنوان یک امتیاز مثبت از این می‌شود استفاده کرد. نمی‌شود که همیشه نکته منفی آن را دید.

بله بعد، کلی از این جوان‌ها که می‌خواهند در این حوزه‌ها فکر کنند و کارهای جالب کنند می‌توانند از این اطلاعات استفاده کنند، پیشنهاد بدهند. نزدیک‌ترین خودپرداز بدون مشکل در یک ماه پیش را پیدا کنند و اعلام کنند؛ یعنی تحلیل‌هایی کنند و پیشنهادهایی بدهند که مشتریان راضی‌تر شوند. در کل منافع آن در درازمدت به مضراتش می‌چربد.

.

غیر از اوپن دیتا شکل دیگری در رابطه با بانکداری باز وجود دارد؟

تا جایی که من میدانم همین دوتاست.

.

من فکر می‌کنم که کلاً علاوه بر حوزه بانکی، سایر خدمات نیز به سمت اوپنینگ می‌روند؛ مانند شهرداری باز، حمل‌ونقل باز و خیلی چیزهای دیگر؛ یعنی اینکه دیگران محصول تعریف کنند؟

من بعضاً برای اینکه بخواهم اول بانکداری باز را توضیح دهم، می‌گویم بانکداری باز یعنی بانکداری با آغوش باز. بانک‌ها یک آدم‌های بسته‌ای بودند مثل یک پدر اخمو بودند که بچه نمی‌توانست برود سراغش. حس و حال‌پذیرنده‌ای نداشتند. بانک‌ها همیشه یک حصاری دور خودشان داشتند. شما یک جلسه می‌خواستید با مدیران بانک‌ها بگذارید باید از هفت‌خوان رستم می‌گذشتید. حصار بانک‌ها در دنیا شکسته شده است.

.

در واقع بانکداری همیشه می‌ماند ولی بانک، معنای سنتی خود را از دست می‌دهد.

نقطه بعدی این است که دیگر هر کسی بانک خودش را دارد؛ یعنی به تعداد آدم‌های دنیا بانک داریم. هرکسی می‌تواند بانک مرکزی خود را داشته باشد.

.

بحث اولیه خود را به اتمام برسانیم که به بحث بام بپردازیم.

به‌صورت کلی درباره بانکداری باز، API باز و داده باز و تأثیر آن در رابطه با اینکه یک بانکداری باز شود صحبت شد و گفتیم روش بانکداری باز فقط تکنولوژی نیست آدم‌ها و نحوه تعامل آن نیز مهم است و همین سیستم نوبت‌دهی شعب، یک زمانی سیستم نوبت‌دهی نبود و سیستم صف حاکم بود. کم‌کم به خاطر شأن و شئونات مشتری صندلی در شعب گذاشته شد که ابتدا فلزی بود و الآن حالت مبله پیدا کرده. الآن کاری که داریم انجام می‌دهیم این است که اطلاعات مربوط به شعبه و اطلاعات مربوط به نوبت‌دهی شعبه را اپن کنیم و در اختیار دیگران بگذاریم.

.

API چالش‌های متفاوتی دارد از جمله رگولاتوری؛ به نظر شما کسب‌وکار بانکی چگونه می‌تواند این مسئله را تسهیل کند؟

الآن روی این حوزه قوانین و مقرراتی وجود ندارد و من هم به بچه‌های استارت‌آپی توصیه کردم سریعاً از این فضا استفاده کنند. هنوز قوانین آن‌چنانی مثل شتاب و… که لیست بلندبالایی از مقررات و بخشنامه‌ها درباره این ابزارها می‌بینید، راجع به API ایجاد نشده است. رگولیشن خوب باید وجود داشته باشد ولی متأسفانه بعضی وقت‌ها ما بیش‌ازحد رگولیت می‌کنیم و بیش‌ازحد بازدارنده می‌شویم؛ و وقتی محدودیت ایجاد می‌کنیم طبعاً نوآوری نمی‌تواند شکل بگیرد.

.

بحث بسیار مهم دیگر، بحث امنیت است. این را چگونه ارزیابی می‌کنید؟

امنیت از جمله مسائلی است که API به دنبال خودش دارد چون در API شما دارید به یک سازمان دیگر به‌غیراز بانک با یک واسطه اجازه می‌دهید از طرف شما با بانک شما یک‌سری امور انجام دهد. به همین دلیل باید یکسری تمهیداتی در سیستم‌های پشتیبان دیده شود از جمله نحوه اجازه دادن، تعداد، سقف‌ها، تناوب در همه این‌ها، همچنین نسخه پشتیبان، سیستم ضد تقلب، در سیستم‌های ضد پول‌شویی، تشخیص تقلب، برای این‌ها باید یک زنجیره‌ای وجود داشته باشد که شما وقتی API را می‌گذارید درست کار کند. طوری نشود که بعد از ارائه API یکی ادعا کند که همه دارند با آن چیزهای ناجور و غیرقانونی می‌فروشند. ولی به هر حال همیشه حرف‌وحدیث روی آن‌ها وجود دارد و ممکن است یک‌دفعه رگولاتور دستور دهد که همه آن‌ها را بندند.

.

مثل پرداخت‌های واسط؟

بله مثل انواع و اقسام پرداخت‌هایی که در کشور کار می‌کنند و به دلیل نبود رگولیشن در یک زمانی وارد چرخه کسب‌وکار شدند و حالا که می‌خواهند رگولیشن بگذارند یک روز می‌بندنشان و یک روز بازشان می‌کنند؛ و بالاخره مشکلات جدی‌ای در کسب‌وکارهای آن‌ها ایجاد می‌شود.

.

خیلی‌ها به آن‌ها هم وابسته هستند.

همین وابسته بودن خیلی‌ها به آن‌ها باعث شده است که این‌ها الآن زنده بمانند.

.

از دیگر چالش‌های API بعد از امنیت چیست؟

تفکر مدیران و تفکر کسب‌وکار یکی دیگر از چالش‌هاست. اینکه مدیران ما بپذیرند API در مسیر آینده کسب‌وکارشان مهم است. بسیاری از بانک‌ها و سازمان‌ها هنوز ضرورت و فوریت ارائه API را درک نکرده‌اند. به نظر من این ضرورت توسط مدیران باید حس شود. متأسفانه یا خوشبختانه ما کشوری هستیم که تکنولوژی محور هستیم و آدم‌های تکنولوژیکی‌مان توسعه را زودتر از بازار و آدم‌های کسب‌وکارمان درک می‌کنند. یک نمونه آن همین API است تلاش فنی زیاد می‌شود مثل یک ماشین دو دیفرانسیل است که درواقع دیفرانسیل جلو درگیر نیست و دیفرانسیل عقب در یک جای ناجور افتاده و دور خودش می‌چرخد. چاره‌ای نیست جز اینکه دو دیفرانسیل را درگیر کنیم. معمولاً اتفاقی که برایمان می‌افتد این است که در این چاله‌ها می‌افتیم و مدت زیادی در آن‌گیر می‌کنیم به دلیل اینکه با هم هم‌سو نیستم و در مدل‌های کسب‌وکاری‌مان جایگاه API را تعریف نکرده‌ایم. در یک نگاه واقعی درآمدهای مشاع و غیر مشاع داریم، تقریباً همه بانک‌ها دوست دارند درآمد غیرمشاعشان افزایش پیدا کند. خوب یک راه افزایش درآمد غیرمشاع کارمزد است و کارمزد هم یک راه آن ارائه سرویس‌های جدیدی مثل API است.

.

این یعنی رفتن به سمت اصلاح مدل کسب‌وکار؟

بله یعنی راه بیفتیم و کار تعریف کنیم و درآمد جدید ایجاد کنیم. به تعبیر دیگر مدل کسب‌وکار را از روی رقابت بر سر سود و تفاوت نرخ سود سپرده و تسهیلات به سمت مدل خدمت بیاوریم و جایگاه بانکمان را عوض کنیم. این تفکر باید در مدیریت کسب‌وکار بانک شکل بگیرد متأسفانه ما هنوز مشکلی که داریم این است که مدیران کسب‌وکاری بانک‌های ما راجع به این موضوع به‌صورت جدی فکر نمی‌کنند.

.

حتماً راه‌کار هم برای این چالش‌ها پیش‌بینی‌شده است؟ برای امنیت و…

ما باید امنیت را سطح‌بندی کنیم و امنیت را به شکل مدیریت ریسک ببینیم مثلاً بگوییم ریسک هر فرایند یا محصول چقدر است، مثلاً سرویس‌های اطلاع‌رسانی داریم که ‌مانده است و ما می‌خواهیم ‌مانده بگیریم ‌مانده را نباید با همان الزاماتی در نظر بگیریم که انتقال پول را می‌خواهیم ببینیم. بلکه باید بر اساس ریسک هر فرایند پیش‌بینی‌های لازم امنیتی را انجام دهیم.

.

در بام شما آنجا صفحه‌کلید مجازی ندارید، یا بعضی‌ها می‌گویند که درواقع امنیت آن کم است. لطفاً در مورد این موضوع توضیح دهید.

در رابطه با صفحه‌کلید مجازی من توضیحی می‌دهم. صفحه‌کلید مجازی تکنولوژی‌ای است که هدف آن جلوگیری از ذخیره رمز عبور توسط برنامه‌های مخرب است. صفحه‌کلید مجازی چگونه جلوی این مسئله را می‌گیرد؟ برنامه‌های مخرب و کیلاگرها بر روی کامپیوتر میزبان نصب می‌شود و صفحه‌کلید را زیر نظر می‌گیرند. به‌طوری که شما هر کلیدی بر روی صفحه‌کلید بزنید این‌ها را ذخیره می‌کنند. برای همین بانک یک صفحه‌کلید مجازی هم پیش‌بینی می‌کند که در بخش رمز عبور با انتخاب خانه‌های صفحه‌کلید به‌وسیله موس، این مشکل حل شود. این یک پیش‌فرض است. از سوی دیگر دیدیم کیلاگرهایی هم وجود دارند که این روش مانع کار آن‌ها نمی‌شود و ما بعد از مدتی دیدیم که این روش هم جوابگو نیست؛ یعنی کلاه‌بردار بر اساس راهکار جدید ما، روش خود را اصلاح کرد و روشی برای دور زدن آن‌ها پیدا می‌کند.

سابقه این موضوع بیش از ۱۰ سال است. ما آمدیم صفحه‌کلیدهای مجازی گذاشتیم که عین صفحه‌کلیدهای واقعی بود و بعد از مدتی آمدند و گفتند که کیلاگرها، کیلاگر نیستند موس لاگر هستند یعنی زمانی که کلیک می‌کنید، جای موس و محل کلیک موس را می‌گیرد. به همین دلیل در صفحه‌کلیدهای مجازی جدید جای کلیدها را بهم‌ریخته کردند که جای هر کلید مشخص نباشد. آیا مشکل حل شد؟ حل نشد. بازی دزد و پلیس شد. این بازی ادامه پیدا کرد. کیلاگرها آمدند هرجایی که کلیک می‌شد، دور آن را یک اسکرین‌شات می‌گیرند و ذخیره می‌کنند، درواقع با این حال که کلیدها هم تصادفی چیده می‌شود اما شما تا کلیک می‌کنید دور آن را یک دایره می‌کشد و ذخیره می‌کند. ما در ایران در اینجا متوقف شدیم اما این بازی در دنیا ادامه پیدا کرد. برای مقابله با این روش کیلاگرها، صفحه‌کلیدهای مجازی جدید به جای اینکه تصویر نشان دهند، با یک فرکانسی این تصاویر را خاموش و روشن می‌کنند با فرکانسی که چشم انسان می‌بیند ولی کیلاگر همیشه آن را نمی‌بیند، وقتی روشن و خاموش می‌شود برای چشم انسان قابل‌تشخیص هست ولی کیلاگر با یک احتمالی یا خاموش یا روشن آن را می‌بیند و ۵۰ درصد این کلیدها را نمی‌تواند بگیرد. ولی کیلاگرها اینجا هم متوقف نمی‌شوند و ویدئو می‌گیرند.

الآن کیلاگرها به جایی رسیده‌اند که با هر کاری که در صفحه‌کلید مجازی می‌شود انجام داد مقابله کرده‌اند تا حدی که دنیا صفحه‌کلید مجازی را حذف کرده است. الآن ۱۰ تا بانک برتر در دنیا هیچ‌کدامشان کیلاگر ندارند. من یک گزارش نوشتم که ۱۰ تا کیلاگر برتر دنیا را در این گزارش آورده‌ام و تمام این ۱۰ تا کیلاگر برتر تمام قابلیت‌هایی که من می‌گویم را دارند یعنی فضای تهدیدی وجود دارد و ما فکر می‌کنیم راه‌حلی برای آن داریم اما این راه‌حل درست نیست. دقیقاً مثل این می‌ماند که هوا در تهران آلوده است. گفتند که کسانی که بیماری‌های قلبی دارند، در مراکز آلوده تهران در قسمت‌های مرکزی نروند مگر اینکه از ماسک استفاده کنند. حالا من نوعی بیماری قلبی دارم و تصمیم گرفتم که ماسک بزنم و به مراکز آلوده شهر بروم. اگر این ماسک محافظت کامل نداشته باشد چه اتفاقی می‌افتد؟ خیلی فجیع است. یک دلیلی که من نگذاشتم صفحه‌کلید مجازی باشد و این نظر شخصی من بوده است. به خاطر این است که من اگر به کاربر این سیگنال را بدهم که صفحه‌کلید مجازی از رمز عبور او محافظت می‌کند و او در کافی‌نت یا جایی که امن نیست، جایی که حدس می‌زند کیلاگر باشد، با صفحه‌کلید مجازی من رمز عبور را وارد کند، بزرگ‌ترین خیانت را در حق کاربرم کرده‌ام. من به کاربرم می‌گویم که هیچ محافظتی در مقابل کافی‌نت ندارم. ما برخلاف کسانی که به کاربر خود می‌گویند اگر به کافی‌نت رفتید از صفحه‌کلید مجازی استفاده کنید ما می‌گوییم که به کافی‌نت نروید

.

چون خطر در هر حال وجود دارد؟

خطر هست. پس می‌گوییم از کامپیوتر، گوشی و سایر تجهیزات شخصی خود برای استفاده از سیستم استفاده کنید و در جایی که امن نیست از سیستم استفاده نکنید.

.

درواقع صفحه‌کلید مجازی پیشگیری نمی‌کند؟

خیر، پیشگیری و محافظت نمی‌کند و اگر ما این را چه صریح و چه ضمنی بگوییم که چیزی طراحی کردیم که محافظت می‌کند خیانت کردیم.

.

شما لایه‌های امنیتی دیگری را پیش‌بینی کردید؟

ما توصیه می‌کنیم آنتی‌ویروس داشته باشید. ما توصیه می‌کنیم در جاهای آلوده نروید، در کافی‌نت وارد اینترنت بانکتان نشوید. مثلاً با کامپیوترهای عمومی وارد اینترنت بانکتان نشوید، این‌ها توصیه‌های امنیتی ماست.

.

به لحاظ امنیتی هم آن چیزی را که ضروری است را پیش‌بینی کردید؟

ما توصیه می‌کنیم داشتن یک آنتی‌ویروس به‌روز خیلی خیلی بهتر از استفاده از صفحه‌کلید مجازی است و نرفتن در فضاهای آلوده بسیار توصیه می‌شود. آن تهدیدهایی که در فضاهای آلوده وجود دارد، مانند ریزگردهایی است که ماسکی برای جلوگیری از آن وجود ندارد. حالا یکی صادقانه می‌گوید که ببخشید ما ماسکی معتبر نداریم و یکی می‌گوید که این ماسک‌ها را بزنید و می‌فروشد؛ و ما هم چون الآن قابلیتی نداریم که ارائه بدهیم بنابراین می‌گوییم که در این فضاها نروید و استفاده نکنید.

.

در مورد بام چه نکاتی را دارید که بگویید؟

راجع به امنیت به‌صورت مشخص ما در واقع اعتقاد داریم تا یک جایی می‌توانیم هم امنیت و هم راحتی را بالا ببریم به‌دلیل اینکه بعضی وقت‌ها این تصور وجود دارد که امنیت مقابل راحتی است.

.

شما تلاش دارید که این دو مقوله با هم باشد؟ مثل دو بال پرنده که هر دو با هم و در کنار هم باشد؟

بله از یک جایی به بعد ممکن است شما به قدری راحتی و امنیت را بهینه کنید که به یک نقطه ماکزیمم تعادل بین این‌ها برسید ولی به نظر من ما هنوز تا رسیدن به این نقطه فاصله داریم. ما بعضی وقت‌ها بی‌دلیل مسئله را سخت کردیم، ولی امنیت را بالا نبردیم. مثال آن را هم گفتم مانند صفحه‌کلید مجازی؛ یعنی کاربر با انتخاب صفحه‌کلید بهم‌ریخته برای امنیت سختی را به جان می‌خرد و آن را انتخاب می‌کند، ولی تضمین امنیتی نیست.

.

بانک ملی روی بام یک حساب جدا باز کرده است، چون می‌تواند خیلی خدمات را در خود داشته باشد. درواقع می‌شود یک بانک کامل که همه خدمات را در خود دارد؟

بام قرار است مثل بام عمل کند که یک چتری باشد روی همه سرویس‌هایی که در بانک ملی ارائه می‌شود. کاری که ما می‌خواهیم با شرکت‌ها و مجموعه‌های دیگر انجام بدهیم این است که می‌خواهیم بستر UI یا همان واسط کاربری را ارائه دهیم که هر کاری که می‌خواهند انجام دهند ولی UI آن‌ها در محیط ماست؛ یعنی در عین حال که با ما یکپارچه هستند در واقع واسط کاربری هم دست خودشان هست؛ یعنی اگر زمانی بخواهند می‌توانند فیلدی را اضافه یا کم کنند، نحوه نمایش اضافه کنند و یا بر اساس برندینگ خودشان، یک‌جور دیگر نمایش بدهند.

.

یعنی استاندارد کلی تعریف می‌شود ولی بقیه آن دست خودشان است.

ببینید برای مثال نمونه آن خودپردازهاست. الآن خودپردازها UI Open نیستند. نگاه کنید خیلی بانک‌ها عین هم هستند، معلوم است که بانک‌ها نمی‌توانند آن را تغییر دهند. ولی در UI Open شما این تغییر را در اختیار خود کاربران می‌گذارید.

.

در بحث بام، در واقع شما یک سبد خدمات دارید، من می‌شنویم که این سبد خدمت هنوز کامل نیست. به‌طور مثال من می‌خواهم پرداخت‌های دوره‌ای دارم و می‌توانم صبر کنم و درصدی از حساب خودش کسر شود و برود.

ببینید. بام یک مدل توسعه چابک دارد. مدل توسعه چابک به شما می‌گوید که شما از هر جایی که می‌توانید سرویس را بدهید. این مدل توسعه چابک برخلاف مدل‌های قبلی است که آبشاری بود، یعنی همه مراحل از تحلیل و طراحی، پیاده‌سازی، تست و انتقال انجام می‌شد تا زمانی که می‌رسیدید به تکامل و قرار دادن محصول در اختیار مشتری ولی در مدل توسعه چابک می‌گوییم شما قابلیت را ارائه بدهید، قابلیتی که به درد مشتری می‌خورد و سپس قابلیت‌های دوم و سوم را اضافه کنید. در واقع به جای اینکه شما یک پروژه‌ای داشته باشید که در تاریخی پروژه تمام می‌شود، یک محصول دارید که زنده است و به مرور زمان توسعه پیدا می‌کند. مدل بام هم همین است. در حال‌حاضر کمبودهایی وجود دارد که به مرور زمان در قالب ویژگی‌های جدید به سامانه بام اضافه خواهند شد. به‌هرحال آن چیزی که ما در مورد بام فکر می‌کنیم این است که یک سامانه پویاست و به مرور زمان با افزودن ویژگی‌ها و قابلیت‌های جدید این کمبودها برطرف خواهند شد.

.

و توسط خود مشتری می‌تواند به مرور حل شود؟

بله بام همیشه باید توسعه پیدا کند. بام آمده است که همیشه در حال رشد باشد برخلاف آن نگاهی که ما معمولاً به پروژه‌هایی داریم که اسم آن‌ها بانکداری اینترنتی است، سامانه بام فقط یک سامانه بانکداری اینترنتی صرف نیست بلکه محصولی است که همیشه باید در حال رشد و اضافه شدن قابلیت‌ها به خود باشد در حال‌حاضر نسبت به محصول رقیبش که در آن بانک وجود دارد یک قابلیت کم دارد که آن قابلیت قرار است هفته دیگر افزوده شود. این ویژگی هم پرداخت اقساط تسهیلات است. این پرداخت اقساط تسهیلات به یک دلایلی به مشکلاتی برخورد کرد که ما در یک مقطعی حدود یک ماه پیش آن را راه انداختیم. به یک مشکلاتی برخورد کردیم و ما این قابلیت را از محصول خارج کردیم، این قابلیت از هفته آینده به محصول دوباره اضافه می‌شود. درصورتی‌که این قابلیت افزوده شود تقریباً همه کارهایی که قبلاً مشتری می‌توانست انجام بدهد، به‌علاوه کارهای دیگر قابل انجام است و این کمبود نسبت به محصول موجود رفع می‌شود و محصول در مسیری می‌افتد که کلی گزینه اضافه‌تر نیز دارد.

.

آیا می‌شود گفت بام در بانک ملی فصل جدیدی از بانکداری است؟

قطعاً این‌طور است. اصلاً یک نگاه جدیدی به بانک ملی به وجود آمده است. اداراتی که درگیر کار شدند هرکدام یک‌گوشه‌ای از کار را گرفتند همه بخش‌ها کمک کردند. اداره امنیت و توسعه، اداره عملیات، اداره اطلاعات، اداره بازاریابی، اداره دعاوی و حقوقی، اداره روابط عمومی، اداره سازمان روش‌ها، اداره بازرسی، همه این‌ها هرکدام درگیر این پروژه و کار بودند و هر کدام در بخشی از کار کمک کردند تا این پروژه انجام شود.

.

درواقع لایف‌استایل خدمات بانک ملی تغییر کرده است؟

بله همین‌طور است.

.

این مسئله باعث شد که در شرکت خدمات نیز درزمینهٔ ارائه خدماتش به بانک ملی تحول ایجاد شود؟

ما مایل هستیم با شرکت خدمات مانند دو بال برای پرواز بانک ملی در سپهر ارائه خدمات بانکی عمل کنیم.

.

ممکن است در عمل چنین اتفاقی بیفتد؟

شرکت خدمات و هر شرکت دیگر مثل توسن در یک مقطعی فکر می‌کنند که دارند یک ‌بخشی از بازار خود را از دست می‌دهند؛ یعنی می‌گویند ما قبلاً بانکداری اینترنتی می‌دادیم بانک‌ها همه می‌خواهند برای خودشان بانکداری اینترنتی بدهند که مهم‌ترین آن هم در واقع لایه UI بوده است؛ یعنی نمی‌خواستند همه شبیه همدیگر باشند، می‌خواستند یک تغییری داشته باشند اما هر کاری که می‌کردند در نهایت نگاه می‌کردند می‌دیدند که همه شبیه همدیگر هستند. فکر کنید یک بانک می‌خواهد بگوید که من بانک دیجیتال آینده، بانک اینترنتی پیشرو و… هستم بعد می‌دید که همه بانک‌ها این‌جوری هستند؛ مانند بانک‌های دیگر بالاخره بانک‌ها می‌خواهند یک تمایز ایجاد کنند که در ذهن مشتری متمایز باشند. مردم درزمینهٔ کار با بانکداری اینترنتی بانک‌های مختلف تجربه دارند بالاخره همه لاگین می‌کنند و می‌بینند. حالا فکر کنید همه این بانک‌ها که می‌خواستند تمایز ایجاد کنند، شبیه هم بودند. این باعث می‌شود که قابلیت جدیدی نسبت به بانک دیگر برای عرضه به مشتری نداشتند.

.

نکته‌ای دیگر که شما در فاز بعدی بام بیشتر روی آن تأکید داشته باشید، علاوه بر محصولاتی که خودتان تعریف می‌کنید، این است که محصولاتی از بیرون بیاید و روی بام سوار شود.

دقیقاً، در حال حاضر هم ما کلی محصول از بیرون روی بام گذاشته‌ایم. اصلاً مدل توسعه بام، مدل متمرکز نیست، مدل توزیع‌شده است. در حال حاضر و در بحث کارت اعتباری همین اتفاق افتاده است. شرکت پیشگامان یک شرکت بیرونی بانک است (شرکت کارت اعتباری) ایشان می‌خواهند امور کارت اعتباری را در دست بگیرند می‌خواهند صورت‌حساب کارت اعتباری بدهند، در سطح UI، می‌توانند این‌ها را خودشان بنویسند و در سامانه بام ارائه شود.

.

آیا من هم می‌توانم از بیرون یک چنین کاری انجام دهم؟

بله. برای اینکه مراحل بلوغ تدریجی انجام شود، کاری که قرار است کسی از بیرون انجام بدهد را اول خودتان از داخل انجام دهید. مثلاً در سداد این موضوع توزیع شده است. روی بام یک تیم کار نمی‌کند، بلکه پنج تیم بر روی بام کار می‌کنند. این‌ها هر کدام یک مجموعه از قابلیت‌ها را دارند توسعه می‌دهند که مستقل از یکدیگر هستند. به‌طور مثال یک تیم روی صورت‌حساب کار می‌کند، یکی بر روی انتقال پول. به‌طور مثال صورت‌حساب به جایی می‌رسد که یک نسخه جدید ارائه دهد، منتظر انتقال پول نمی‌ماند، نسخه خود را ارائه می‌دهد؛ یعنی نسخه مشتری آپدیت شده و صورت‌حساب جدید می‌آید. دو روز بعد انتقال پول می‌رسد. این در توسعه، با توجه به مشکلاتی که در سازمان‌های مختلف من دیده‌ام که توسعه نرم‌افزاری چه مشکلاتی دارد، این کار به شدت سرعت را افزایش می‌دهد، به خاطر اینکه وقتی همه به نوعی منتظر یکدیگر می‌مانند، زمان‌های انتظار به شدت زیاد می‌شود، مشکل یک نفر باعث می‌شود که کل نسخه دچار مشکل می‌شود و برگردد و مثلاً فکر کنید همه صبر کردند و همه به نتیجه رسیده‌اند، آن‌وقت می‌بینند که صورت‌حساب باگ دارد. چون در نسخه جدید همه این‌ها به هم چسبیده‌اند، برگرداندن این‌ها دیگر سخت است. ولی اگر شما بتوانید پله‌پله این را جلو ببرید. اگر زمانی مشکل داشت، همین مشکل را یک قدم به عقب بیاورید نه اینکه کل را یک قدم به جلو و یک‌باره همه را به عقب برگردانید.

.

بله خیلی سخت می‌شود، مثل این می‌ماند که شما در یک کمدی چیزی دارید که وقتی نیاز دارید همه کمد را خالی کنید آن را در بیاورید و دوباره سرجایشان بگذارید. درصورتی‌که می‌توانید یک عدد از آن را در بیاورید، درست کنید و دوباره سر جایش بگذارید.

بله نگاه ماژولار که می‌گوییم همین است. ما بالاخره ماژول‌ها را در حد سرویس در نرم‌افزارمان داریم. لایه UI ماژولار کم داشتیم که در واقع واسط کاربری بام ماژولار شده است.

.

و سؤال آخر، مدل کسب‌وکار آن چگونه است؟ درواقع ما چقدر می‌توانیم برای بانک کسب درآمد داشته باشیم. برای این مسئله هم تدبیری اندیشیده شده است؟

ببینید، وقتی ما به دیگران اجازه بدهیم که بتوانند در فضای بانک وارد شوند و چیزی بگذارند، می‌توانیم این فضا را اجاره دهیم، بفروشیم یا به ازای هر تراکنش کارمزد بگیریم. این فضا می‌تواند به سمتی برود که ایجاد درامد کند. حتی می‌توانیم این فضا را رایگان بدهیم به دلیل اینکه مشتری این فضا را دوست دارد و تعداد مشتریان ما را زیاد می‌کند و می‌تواند سبد محصولات ما را کامل کند. ترکیب این‌ها درواقع می‌تواند مدل کسب‌وکار و درآمد بانک از API را شکل دهد.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.