.
آخرین رویدادها

مدیر عامل شرکت کاشف: بانک‌ها و نهادهای تنظیم‌کننده مقررات  نقش به سزایی در ایجاد فرهنگ صحیح استفاده از خدمات مبتنی بر بانکداری باز و ارتقای سطح آگاهی کاربران دارند.

1398/1/18 يكشنبه
ارائه‌دهندگان خدمات پرداخت اعم از بانک یا فراهم‌کنندگان خدمات پرداخت طرف سوم، باید چارچوبی چابک برای مدیریت مخاطرات در اختیار داشته باشند که شامل اقداماتی برای کاهش مخاطره، مواجهه با آسیب‌پذیری‌های موجود و انطباق به هنگام با مخاطرات نوظهور در آینده باشد. در این میان، علاوه بر پرداختن به اصول و کنترل‌های امنیتی رایج در سیستم‌های اطلاعاتی، می‌بایست سازوکارهای جدیدی متناسب با ویژگی‌های خاص خدمات مبتنی بر بانکداری باز استفاده شوند. به‌عنوان‌مثال، درحالی‌که احراز هویت مشتریان همواره یکی از کنترل‌های امنیتی مهم در سیستم‌های پرداخت بوده است، ولی به دلیل ماهیت غیرحضوری و مبتنی بر اینترنت سیستم‌های خدمات مبتنی بر بانکداری باز و حضور واسطه‌های جدید بین بانک و مشتریان، سازوکارهای احراز هویت باید قوی‌تر و با قابلیت اطمینان بیشتر، طراحی و پیاده‌سازی شوند.

مدیر عامل شرکت کاشف:

بانک‌ها و نهادهای تنظیم‌کننده مقررات  نقش به سزایی در ایجاد فرهنگ صحیح استفاده از خدمات مبتنی بر بانکداری باز و ارتقای سطح آگاهی کاربران دارند.

آقای مهندس کاظمینیا! به نظر شما توسعه بانکداری باز در کشور با چه چالش‌هایی مواجه است؟

درحالی‌که تا به امروز بانک‌ها مجاز به اشتراک یا افشای اطلاعات مشتریان نبوده‌اند، اما زیربنای بانکداری باز بر پایه به اشتراک‌گذاری داده‌های حساب مشتریان بنا شده است؛ به‌نحوی‌که مؤسسات اعتباری با کسب رضایت مشتری، اجازه دارند اطلاعات او را با طرف‌های سومی به اشتراک بگذارند. بدیهی است چنین تغییری چالش‌های جدیدی را پیش روی نظام‌های بانکداری و پرداخت قرار می‌دهد.

بر اساس گزارش منتشرشده توسط «موسسه گارتنر» در سال 2018، مهم‌ترین چالش‌های پیش روی توسعه خدمات مبتنی بر بانکداری باز، «فرهنگ»، «امنیت» و «مدل‌های کسب درآمد جدید» می‌باشند. در این گزارش همچنین، از «تنظیم مقررات» و «مخاطره شهرت که به‌واسطه همکاری با شرکت‌های تأمین‌کننده طرف سوم برای بانک‌ها ایجاد می‌شود» به‌عنوان دیگر چالش‌های بانکداری باز نام برده شده است.

در ایران نیز چالش‌های مشابهی در فضای بانکداری باز وجود دارد؛ اگرچه با توجه به شرایط خاص حاکم بر نظام بانکی و پرداخت کشور، اولویت آن‌ها متفاوت خواهد بود. تجربه نشان می‌دهد در کشور ما، کاربران پذیرش بالایی در استفاده از خدمات پرداخت نوآورانه دارند و البته به‌سادگی نیز در معرض مخاطرات مهندسی اجتماعی قرار می‌گیرند. از سوی دیگر در صنعت پرداخت الکترونیکی، امنیت هنوز جایگاه مناسب خود را نیافته است و باوجود اقداماتی که تاکنون در حوزه تنظیم مقررات صورت پذیرفته، برای دستیابی به مقرراتی منسجم و ایجاد انضباط در فضای کسب‌وکارهای مبتنی بر بانکداری باز، نیاز به تلاشی مضاعف است. به‌عنوان نمونه هنوز موضوعاتی مانند رفع مناقشات و رسیدگی به شکایات احتمالی میان کاربران، فراهم‌کنندگان خدمات طرف سوم و بانک‌ها و همچنین تعیین چارچوبی برای پذیرش شرکت‌های فراهم‌کننده خدمات طرف سوم در زیست‌بوم بانکداری باز، تعیین تکلیف نشده است.

همچنین در ایران با چالشی کاملاً بومی هم مواجه هستیم و آن ایجاد همزیستی میان زیست‌بوم بانکداری باز با شبکه قدرتمند پرداخت کارتی کشور است. این امر ممکن است منجر به تغییر برخی از زیرساخت‌های فنی و مدل‌های کسب‌وکار شود.
 

یکی از نگرانی‌های بانک‌ها و فراهم‌کنندگان خدمات پرداخت طرف سوم، ایجاد محدودیت در مدل‌های کسب‌وکار مبتنی بر بانکداری باز و از بین رفتن جاذبه‌های آن به‌واسطه تنظیم مقررات برای این حوزه است. آیا این نگرانی درست است؟ رویکرد نهاد تنظیم‌کننده مقررات در این زمینه چگونه باید باشد؟

این نگرانی قابل‌درک است. رویکرد نهادهای تنظیم‌کننده مقررات در این زمینه، باید به‌ شیوه‌ای باشد که بدون مانع‌تراشی و ایجاد محدودیت برای تولید ابزارهای نوآورانه در صنعت پرداخت، زمینه لازم را برای توسعه فناوری‌های مالی امن ایجاد نماید. این امر مستلزم آن است که الزامات تنظیم‌شده تا حد امکان، مستقل از مدل‌های کسب‌وکار و فناوری‌های اطلاعاتی و ارتباطی بوده و قادر باشد نقش‌آفرینان جدید نظام پرداخت کشور را به‌خوبی حمایت کند. برای نمونه، الزامات می‌توانند به نحوی تنظیم شوند تا نهادهای تابعه در صورت التزام به مدیریت مخاطرات امنیتی و بهره‌گیری از سازوکار پایش و مقابله با تقلب، از معافیت‌های ویژه‌ای در برابر محدودیت‌های ایجادشده به‌واسطه الزامات، برخوردار شوند. از سوی دیگر باید با ایجاد یک نظام تشویق و تنبیه مناسب، بانک‌ها و شرکت‌های طرف سوم را به امن سازی خدمات و تقویت قابلیت‌های کشف تقلب ترغیب نمود.

در صحبت‌های خود به نکته مهمی در خصوص نرخ تقلب در بانکداری باز اشاره کردید. سؤال اینجاست که استفاده از بانکداری باز چه مخاطراتی در بر دارد؟

به‌غیراز مخاطرات شناخته‌شده در حوزه بانکداری الکترونیکی، ارائه واسط‌های نرم‌افزاری از طرف بانک‌ها، زمینه ظهور مخاطرات جدیدی را مهیا می‌سازد که از آن جمله می‌توان به فنون جدید حملات سایبری همچون سوءاستفاده از آسیب‌پذیری‌های فنی موجود در واسط‌های نرم‌افزاری ارائه‌شده و همچنین مهندسی اجتماعی کاربران برای استفاده از برنامه‌های کاربردی جعلی اشاره کرد. بانک‌ها و نهادهای تنظیم‌کننده مقررات می‌توانند نقش به سزایی در ایجاد فرهنگ صحیح استفاده از خدمات مبتنی بر بانکداری باز و ارتقای سطح آگاهی کاربران ایفا کنند.

از سوی دیگر ذخیره حجم زیادی از اطلاعات مشتریان بانک‌های مختلف نزد فراهم‌کنندگان خدمات پرداخت طرف سوم، این تأمین‌کنندگان را به اهداف جذابی برای انواع اقدامات مجرمانه تبدیل خواهد کرد. بدیهی است رخنه به زیرساخت‌های اطلاعاتی فراهم‌کنندگان خدمات پرداخت طرف سوم، به‌مراتب ساده‌تر و سودمند‌تر از دسترسی به زیرساخت‌های اطلاعاتی چندین بانک است.

 تبدیل‌شدن فراهم‌کنندگان خدمات پرداخت طرف سوم به واسطه‌ای برای انتقال اطلاعات به سایر اشخاص ثالث، بدون اطلاع بانک و رضایت مشتری، از دیگر مخاطرات این حوزه است.

همچنین در خدمات مبتنی بر بانکداری باز، استفاده از ابزارهای چندمنظوره نظیر تلفن‌های هوشمند، کامپیوترهای شخصی و تبلت که از جذابیت زیادی میان مشتریان خدمات بانکی برخوردار است نیز هدفی مناسب برای انجام فعالیت‌های مجرمانه به شمار می‌رود. اطلاعات حساس ذخیره‌شده در این ابزارها همواره در معرض خطرند. علاوه براین، مهاجمان این امکان را خواهند داشت که از طریق رخنه به ابزارهای مورداستفاده کاربر، کنترل آن را به دست گرفته و با جعل هویت وی به واسط‌های نرم‌افزاری ارائه‌دهنده خدمات پرداخت دست یابند.

اما درنهایت باید به این مهم توجه داشت که همه مخاطرات قابل پیش‌بینی نیستند و چشم‌انداز مخاطرات امنیتی در بانکداری باز با منسوخ شدن فناوری‌های امنیتی قدیمی و ابداع شگردهای مجرمانه جدید توسعه خواهد یافت. در چنین شرایطی زیست‌بوم بانکداری باز باید قابلیت شناسایی و مواجهه به هنگام با مخاطرات و تهدیدات در حال ظهور را داشته باشند.
 

با توجه به مواردی که عنوان کردید، چه اقداماتی می‌توان برای کاهش مخاطرات متصور برای خدمات مبتنی بر بانکداری باز انجام داد؟

یک رویکرد استراتژیک مناسب در مقابله با مخاطرات، به‌کارگیری رویکرد دفاع در عمق است که در لایه‌های مختلف، تمام اجزای سیستم پرداخت مبتنی بر بانکداری باز اعم از افراد، فرآیندها و فناوری‌ها را پوشش می‌دهد. در این رویکرد، بیش از یک کنترل برای هر مخاطره در نظر گرفته می‌شود و هر لایه سعی در جبران آسیب‌پذیری‌های لایه قبلی خود را داشته و از آن محافظت می‌کند.

ارائه‌دهندگان خدمات پرداخت اعم از بانک یا فراهم‌کنندگان خدمات پرداخت طرف سوم، باید چارچوبی چابک برای مدیریت مخاطرات در اختیار داشته باشند که شامل اقداماتی برای کاهش مخاطره، مواجهه با آسیب‌پذیری‌های موجود و انطباق به هنگام با مخاطرات نوظهور در آینده باشد. در این میان، علاوه بر پرداختن به اصول و کنترل‌های امنیتی رایج در سیستم‌های اطلاعاتی، می‌بایست سازوکارهای جدیدی متناسب با ویژگی‌های خاص خدمات مبتنی بر بانکداری باز استفاده شوند. به‌عنوان‌مثال، درحالی‌که احراز هویت مشتریان همواره یکی از کنترل‌های امنیتی مهم در سیستم‌های پرداخت بوده است، ولی به دلیل ماهیت غیرحضوری و مبتنی بر اینترنت سیستم‌های خدمات مبتنی بر بانکداری باز و حضور واسطه‌های جدید بین بانک و مشتریان، سازوکارهای احراز هویت باید قوی‌تر و با قابلیت اطمینان بیشتر، طراحی و پیاده‌سازی شوند.

پایش مستمر تراکنش‌ها هم در خدمات مبتنی بر بانکداری باز، به‌منظور کشف و مواجهه به هنگام با رفتارهای پرمخاطره اهمیت ویژه‌ای دارد. داده‌های حاصل از این پایش می‌بایست به مراکز مشخصی گزارش شوند تا پس از انجام تحلیل‌های لازم، دانش حاصل از آن با سایر ذی‌نفعان زیست‌بوم بانکداری باز به اشتراک گذاشته شود. علاوه بر آن نباید فراموش کرد که موفقیت در رویاروییِ اثربخش با مخاطرات این حوزه، منوط به جلب مشارکت تمامی ذی‌نفعان است.

نقش کاربران در زیست‌بوم بانکداری باز چیست و چگونه باید از خود در برابر خطرات احتمالی این فضای جدید محافظت کنند؟

در بانکداری باز کاربران برای بهره‌مندی از خدمات نوین، جذاب و فناورانه ارائه‌شده توسط فراهم‌کننده خدمات طرف سوم، مجوز یا رضایت دسترسی به‌حساب خود را به این خدمت دهندگان ارائه می‌کنند. دسترسی به حساب مشتریان توسط کسب‌وکارهای طرف سوم، آن‌هم در غیاب الزامات و خط‌مشی‌های امنیتی، به پاشنه آشیل بانکداری باز بدل خواهد شد، به‌طوری‌که شاهد ظهور نسل جدیدی از شیوه‌های کلاه‌برداری خواهیم بود. به‌عنوان نمونه، کلاه‌برداران با نوید دریافت خدمات بانکی خاص نظیر وام بانکی با بهره پایین، افراد را به ارائه اطلاعات حساب خود ترغیب می‌نمایند.

به عبارتی حضور کسب‌وکارهای متنوع در فضای بانکداری باز، ارائه بی‌چون‌وچرای اعتبارنامه‌های امنیتی را به امری عادی برای مشتریان بدل می‌کند و این موضوع تبعات زیان‌باری به دنبال خواهد داشت؛ لذا کاربران باید توجه داشته باشند که اطلاعات حساب خود را برای چه منظوری و در اختیار چه کسانی قرار می‌دهند. همچنین ورود نهادهای نظارتی و تبیین معیارهایی برای اعتباربخشی به فراهم‌کننده خدمات طرف سوم و یا اتخاذ الزامات محدودکننده‌ای در انتقال اعتبارنامه‌ها، بسیاری از این مخاطرات را کاهش می‌دهد.

منبع :


نسخه قابل چاپ
درگاه ها و پورتال ها ی معتبر
.
آخرین رویدادها