فناوری؛ مؤلفهای لازم اما نه کافی
بررسی نقش فناوری در ارتقای امنیت و مبارزه با تقلب در صنعت بانکداری و پرداخت کشور در گفتوگو با متخصصان این حوزه
عصر تراکنش ۷۳ / امنیت یکی از مؤلفههای اصلی حفظ و توسعه کسبوکارهاست که مانند سپری دفاعی در برابر حملات احتمالی عمل میکند. این مؤلفه در صنعت بانکداری و پرداخت کشور مهمتر نیز میشود؛ چراکه بانک وظیفه حفاظت از دادهها و منابع مالی مشتریانش را دارد. ورود صنعت بانکداری و پرداخت کشور به حوزه تحول دیجیتال موجب شده تا صورتبندی این صنایع تغییر کند و برای رفع نیازهای خود به روشهای مدرن و استفاده از فناوری نیازمند شوند.
با این وجود، برخی متخصصان فناوری را شمشیر دولبهای میدانند که در کنار فوایدی که دارد، میتواند آسیبهایی نیز به همراه داشته باشد، اما برخی دیگر بر نقش پررنگ و غیرقابل انکار آن در توسعه زیرساختها و سامانههای کشف و شناسایی تقلب و تخلف در صنعت بانکداری و پرداخت کشور تأکید میکنند و بر این باورند که توسعه امنیت این صنایع بدون مداخله فناوری امکانپذیر نخواهد شد و گرچه ایجاد سامانههای کشف و شناسایی تقلب و تخلف، هزینه زیادی را بر دوش بانکها و شرکتهای پیاسپی میگذارد، اما در بلندمدت از تحمیل هزینههای بیشتر به آنها جلوگیری میکند.
به همین منظور به سراغ حمیدرضا مشایخ، مدیر دپارتمان راهکارهای مبتنی بر داده و هوش مصنوعی شرکت رادین؛ غزاله حسینی، مدیرمحصول گمانیک؛ مسعود علیاکبرزاده، مدیرعامل شرکت دادهکاوان هوشمند توسن و علی زارع میرکآبادی، مالک محصول راهکارهای تشخیص تقلب و تخلف داتین رفتیم تا با آنها درباره وضعیت فعلی امنیت شبکه بانکی و پرداخت کشور و نقش فناوری در توسعه آن صحبت کنیم.
چندوجهیبودن مقوله امنیت
بنا بر صحبتهای مسعود علیاکبرزاده، مدیرعامل شرکت دادهکاوان هوشمند توسن، برای بررسی وضعیت دقیقتر امنیت در صنعت بانکی و پرداخت کشور باید این دو صنعت را جدا از یکدیگر مورد بررسی قرار داد؛ چراکه نیازمندیهای امنیت و بلوغ حال حاضر در این دو صنعت با یکدیگر متفاوت است. او در اینباره میگوید: «در سطح بلوغ امنیت در صنعت پرداخت بهدلیل ماهیت پررنگ حضور پرداخت الکترونیکی در زندگی روزمره مردم و به تبع آن دسترسپذیری سهلتر این بستر توسط متخلفان، با چالشهای فراوانی روبهرو هستیم. گرچه با توجه به مقتضیات صنعت پرداخت شاهد بلوغ امنیت بیشتری نسبت به صنعت بانکی هستیم، ولی در مجموع، امنیت در این دو صنعت را در وضعیت قابل قبولی نمیبینم.»
به گفته علیاکبرزاده، نظام پرداخت در ایران شباهتی با نمونههای خارجی آن ندارد و به همین دلیل ارزیابی آن را با مدلهای جهانی سخت میکند. همین تفاوت باعث شده تا مقوله امنسازی شبکه پرداخت نیز تا حد زیادی متناسب با شبکه بومی کشورمان تعریف شود. در صنعت پرداخت کوشیدهاند تا با در نظر گرفتن مدل این صنعت در ایران، کارهایی برای افزایش امنیت سیستم انجام دهند؛ بهعنوان نمونه، خلق رمز پویا برای پرداختهای اینترنتی یکی از این اقدامات بوده که گرچه بنا به آمار و در نگاه اول باعث امنتر شدن تراکنشهای این حوزه شده، ولی بار اجرایی و مالی شدیدی را برای ذینفعان این حوزه ایجاد کرده است. به عبارت دیگر مقوله امنیت میبایستی علاوه بر داشتن کارایی و اثربخشی، بهصرفه نیز باشد.»
مدیرعامل شرکت دادهکاوان هوشمند توسن بر این عقیده است که در صنعت بانکی کشور نیز جای کار زیادی وجود دارد و هنوز به سمتوسویی نرفتهایم که در لایههای گوناگون شاهد امنیت قابل قبولی باشیم و عمده توجه امنیتی به لایههای زیرساخت و ارتباط معطوف شده است.
او معتقد است جهان پیش روی ما به گونهای است که عدم استفاده از فناوری در آن معنایی ندارد و نظامهای بانکی و پرداخت نیز از این قاعده مستثنی نیستند و نهتنها برای توسعه امنیت خود، بلکه برای توسعه کلیت نظامهایشان به فناوری احتیاج دارند: «در جهان فعلی ما امنیت بدون مداخله فناوری ممکن نمیشود.»
علیاکبرزاده با بیان اینکه امنیت مقولهای چندوجهی و تمامنشدنی است، توضیح میدهد: «یک بُعد آن، الزام وجود نظام حقوقی کارا و منسجم است که این مهم بر عهده حاکمیت است. همچنین امنیت یک بُعد فرهنگی دارد که دربرگیرنده آموزش به آحاد جامعه و ایجاد فرهنگسازی برای جلوگیری از انجام رفتارهای پرخطر مالی است. زیرساختهای سختافزاری و ارتباطی نیز یکی دیگر از ابعاد امنیت هستند که در ایران در مقایسه با سایر ابعاد مورد توجه بیشتری قرار گرفته است. علاوه بر این لایه کاربرد و خدمت نیز بخش مهمی است که مورد توجه قرار میگیرد تا خدمات ارائهشده در نرمافزارها از امنیت بالایی برخوردار باشد.»
علیاکبرزاده درباره بهکارگیری هوش مصنوعی در افزایش امنیت نظامهای بانکی و پرداخت کشور بیان میکند: «با توجه به تعدد و تنوع ارائه خدمات الکترونیکی و سوقدادن مردم به استفاده از خدمات غیرحضوری، شاهد استقبال بینظیر مردم از ابزارهای دیجیتال هستیم و این یعنی با یک حجم تراکنش بالا مواجهیم. به موازات این مسئله شگردهای متقلبان نیز متناسب با خدمات جدید تغییر یافته و از فناوریهای نوین و حتی حیلههای جدید مبتنی بر مهندسی اجتماعی نیز استفاده میکنند. در این بین شیوههای سنتی شناسایی موارد مشکوک به تقلب که مبتنی بر قاعده تعریف میشوند، نمیتوانند اینگونه موارد را شناسایی کنند و لازم است با استفاده از تکنیکها و الگوریتمهای هوشمند و شناسایی الگوهای رفتاری مشتریان و موجودیتهای حوزه بانکی و پرداخت تراکنشهای مشکوک به تقلب را شناسایی و گزارش کرد یا حتی از انجام آن جلوگیری کرد. این کاری است که ما در دادهکاوان هوشمند توسن نزدیک به ۱۰ سال است انجام میدهیم و در محصولات آنلاین و آفلاین خود اقدام به شناسایی و گزارشدهی و حتی جلوگیری از انجام تراکنشهای مشکوک به تقلب میکنیم. این اقدامات در محصولی با عنوان سامانه جامع نظارت که متشکل از زیرسیستمهای کشف تقلب آنلاین، کشف تقلب آفلاین، مبارزه با پولشویی، بازرسی، حسابرسی و تطبیق است، ارائه میشود.»
او اضافه میکند که بانکها به توسعه فعالیتهای عملیاتی خود علاقه بیشتری نشان میدهند تا ایجاد زیرساختهای مبارزه با تقلب. به گفته علیاکبرزاده این مسئله به دو دلیل است؛ دلیل اول اینکه شبکه بانکداری و پرداخت ما تا از طرف نهادهای بالادستی و رگولاتور مجبور نشوند، علاقهای به اجرای آن ندارند و عمدتاً بالا بردن امنیت را مساوی با هزینه میبینند و ترجیح میدهند هزینه خود را معطوف به مسائلی کنند که از سمت رگولاتور با اجبار بالاتری پیگیری میشود و از دیگر سو ریسک ناشی از تقلب و ناامنبودن تراکنش را بیشتر بر دوش مصرفکننده نهایی قرار میدهند. از این رو به سمتوسویی نمیروند که با استفاده از راهکارهای مبتنی بر هوش مصنوعی، امنیت شبکههای خود را بهصورت حداکثری افزایش دهند. او میگوید: «در واقع اگر کلاهبرداری یا تقلبی صورت بگیرد، نهایتاً دارنده کارت یا حساب مقصر این اهمال شناخته میشود و کسی پیگیر این مهم نیست که چرا بانک یا شبکه پرداخت به حد کفایت از امنیت لازم برخوردار نیست تا اساساً شاهد برخی از این جرائم نباشیم.»
اینگونه مسائل باعث میشود بانکها از ظرفیتهای موجود در هوش مصنوعی برای توسعه امنیت شبکههای خود استفاده نکنند. علیاکبرزاده در اینباره میگوید: «گرچه ما در شرکت خود بیش از ۱۰ سال است که برای ارتقای امنیت شبکههای بانکی و پرداخت کشور ارائه خدمت میکنیم، اما تقاضای چندانی در بازار وجود ندارد و تازه این اواخر است که شاهد استقبال کارفرمایان از این محصولات هستیم. رگولاتور نیز باید قوانین اصولی و جدی را در این زمینه ایجاد کند تا استانداردهای حداقلی برای ارائه خدمت وجود داشته باشد.»
فناوری؛ تضمینکننده امنیت
بنا بر صحبتهای حمیدرضا مشایخ، مدیر دپارتمان راهکارهای مبتنی بر داده و هوش مصنوعی شرکت رادین در حال حاضر وضعیت امنیت در سیستم پرداختی کشور اصلاً مطلوب نیست. او در اینباره میگوید: «البته سیستم اینترنتی، خریدها و تراکنشهای اینترنتی در کشور ما عمر طولانی ندارد که بتواند باعث تقلب و تخلف شود. درست است که ما چند سالی میشود که فیشینگ و امثالهم را در کشور داریم، اما آنچه باعث افزایش ناگهانی تراکنشهای آنلاین و سیستم غیرحضوری شد، کرونا بود و ما بهتازگی از فاز کرونا خارج شدهایم و رفتار مردم به سمت تراکنشهای آنلاین چرخش زیادی داشته است. در نتیجه اکنون همان زمانی است که صنعت بانکی کشور باید به سمت جلوگیری و کشف تقلب برود.»
به گفته او، در این راستا کمبودهایی وجود دارد؛ هم بانکها و هم شرکتهای پرداختی به پیادهسازی سیستمهای جلوگیری از تقلب تمایل زیادی ندارند که علت اصلی آن هزینههایی است که باید متقبل شوند. مشایخ توضیح میدهد: «با این وجود فشارهای خوبی از سمت بانک مرکزی و شاپرک به بانکها و شرکتهای پرداخت وارد شده که آنها را مجبور به داشتن سامانه شناسایی و مدیریت تقلب و تخلف میکند. اگر در همین راستا تمام بانکها و شرکتهای پیاسپی مجبور به استفاده از این سامانهها شوند، قبل از اینکه تعداد تراکنشهای متقلبانه و متخلفانه زیاد شود، فرصت کافی برای مقابله با آن برای شبکه بانکی و پرداخت کشور فراهم خواهد بود.»
برخی بر این باورند که فناوریهای جدید نقش بسزایی در افزایش امنیت، شناسایی تقلبها و کاهش آنها دارد. مشایخ نیز معتقد است چنین فناوریهایی رفتهرفته در شبکه بانکی و پرداخت کشور شناخته میشود که بخش عمدهای از این شناخت ناشی از اجبارها و فشارهای بانک مرکزی و شاپرک به وجود آمده است. او درباره نقش رگولاتور در استفاده از فناوریهای جدیدی مانند هوش مصنوعی میگوید: «اگر رگولاتور متوجه اهمیت استفاده از این فناوریها باشد و با کاربست قوانین حاکمیتی به مجریان شبکه پرداخت و تراکنش کشور فشار وارد کند و در این مسیر استمرار داشته باشد، شاهد موفقیتهای زیادی خواهیم بود. همین حالا هم بسیاری از بانکها و شرکتهای پرداخت به سمت استفاده از هوش مصنوعی برای کشف تقلب و تخلف در سیستمهای خود رفتهاند.»
طبق صحبتهای مشایخ، مهمترین مسئلهای که باعث میشود نیازمند استفاده از هوش مصنوعی باشیم، پیدا کردن الگوهای رفتاری است که دسترسی به آنها از طریق روشهای سنتی و در قالب قواعد و بررسیهای عمیق از طریق انسان ممکن نیست: «تعداد تراکنشهای روزانه کشور به چند صد میلیون میرسد و تعداد انتیتیهایی که درگیر این تراکنشها هستند نیز چند صد میلیون است. در نتیجه هیچ سیستمی بهصورت سنتی امکان پیدا کردن الگوهای رفتاری افراد و تشخیص این را که کجا دارد رفتاری خارج از الگوهای مرسوم آن انتیتی اتفاق میافتد، ندارد. برای همین است که نیاز به استفاده از هوش مصنوعی در شبکه تراکنش و پرداخت کشور بهصورت قطعی برای مجریان مشهود شده است.»
او اضافه میکند که همچنان مقاومتهایی به لحاظ اجرایی وجود دارد. همچنین تعداد سامانههایی که امکان استفاده درست از فناوری را بهطور معقول و مؤثر داشته باشند، چندان زیاد نیست که البته بهدنبال افزایش کاربری هوش مصنوعی در کشور افزایش پیدا خواهد کرد. مشایخ میگوید: «اما انتخاب شبکه پرداخت کشور در این زمینه این نیست که تعداد زیادی سامانه وجود داشته باشد، چون برای آن هزینه دارد؛ سامانهای که بخواهد از فناوریهای نوین استفاده کند، طبیعتاً گران قیمت خواهد بود و بانکها و شبکه پرداخت کشور برای هزینهکردن مقاومت میکنند، مگر اینکه یا فایده این هزینهکردن بهشدت ملموس باشد یا از سمت رگولاتور اجبار شده باشد.»
مشایخ ادامه میدهد: «ظاهر امر حاکی از این است که هر دوی این فاکتورها در حال انجامشدن است؛ رگولاتور در حال اجبار کردن استفاده از هوش مصنوعی است و خود بانکها و شبکه پرداخت هم رفتهرفته متوجه این قضیه شدهاند که روشهای قبلی پاسخگوی وضعیت کنونیشان نیست و جلوگیری از ضررهای بزرگتر، اتلاف زمان و منابع و قیمتگذاری روی سامانهها، مستلزم این است که ابتدا برای ایجاد سامانههایی که مجهز به فناوریهای نوین باشند، هزینه شود؛ حتی اگر هزینه تهیه نرمافزارها و سامانه هنگفت باشد. کارکردهای فناوری در زمینه تشخیص تقلب و تخلف بدیهی و مشهود است و همانطور که گفته شد، روشهای سنتی که در آن چند کارشناس بهصورت دستی همهچیز را بررسی میکنند، پاسخگوی حجم زیاد تراکنشهای موجود نیست؛ حتی روشهای سنتی که در قالب فایلهای اکسل بودند نیز امروز قابلیت پاسخگویی به این حجم زیاد تراکنش را ندارند.»
او معتقد است باید بازرسهایی باشند که بر اساس اولویت و ریسک تراکنشها آنها را سریعاً بررسی کنند. در واقع باید به سمت سامانههای کشف تقلب آنلاین بروند و اینطور نباشد که تراکنش متخلف بعد از ۲۴ ساعت شناسایی شود؛ باید کمکم به سمت بررسی آنلاین تراکنشها رفت؛ چه در بانکها و چه در پیاسپیها.
مشایخ درباره شبهات موجود درباره فناوری و نقش آن در کاهش یا افزایش امنیت میگوید: «برای پاسخ به این سؤال که آیا فناوری با امنیت در تضاد است یا خیر، به نظر من اتفاقاً فناوری تضمینکننده امنیت است؛ اگر برنامهریزیها و استفاده از سامانهها درست باشد، فناوریهای جدیدی که به کار میروند، امنیت بهمراتب بالاتری نسبت به نمونههای سنتی دارند و قرار نیست باعث کُند کردن عملیاتهای پرداختی و تراکنشهای کشور شوند و فرایندهای پرداختی و تراکنشها با همان سرعت ثابت و چهبسا بیشتر انجام میشود. تنها تغییری که ایجاد میشود این است که یک سامانه کمکی در کنار فرایندها قرار میگیرد تا بهصورت لحظهای یا با یک تأخیر معقول، کلیه تراکنشها را بررسی کند و نهتنها باعث کاهش امنیت و ایجاد اختلال در شبکه نمیشود، بلکه باعث افزایش امنیت شبکه پرداخت کشور و در عین حال جلوگیری از تقلب، تخلف و ضررهای هنگفت ناشی از آن نیز میشود و دردسرهای روشهای سنتی را که در شناسایی پولشویی و تقلب عملکرد کُندی داشتند، ندارد.»
او بیان میکند: «روشهای سنتی امنیت را به خطر میاندازد و هزینه بیشتری را به سامانهها، بانکها و شرکتهای پرداخت تحمیل میکند. پس مسلم است که فناوری نهتنها باعث کاهش امنیت نمیشود، بلکه آن را افزایش نیز میدهد. کاربست روشهای جدید مبتنی بر هوش مصنوعی، نیاز امروز شبکه بانکی و پرداخت کشور است؛ چراکه یکسری رفتارهای متخلفانه و متقلبانه به وسیله قواعد شناختهشده و از پیش تعیینشده قابل شناسایی نیست؛ رفتار متخلفان مدام بهروزرسانی میشود و هر روز با رفتارهای جدیدی روبهرو هستیم که در قاعدههای موجود نمیگنجند و هنوز برای آنها قاعدهای تعریف نشده است. در نتیجه وجود سامانههایی که الگوهای رفتاری انتیتیها را شناسایی کرده و مشخص کنند که رفتار نابهنجاری در شبکه صورت گرفته یا نه، ضروری است.»
به گفته او، برای افرادی که بهدنبال افزایش تقلب و تخلف در سیستم هستند، بدیهی است که بدون استفاده از هوش مصنوعی نمیتوانند کاری کنند و کسی نمیتواند بگوید که من میتوانم همان بازدهی و همان مقدار کشف موارد مشکوک را بدون استفاده از فناوریهای نوین ارائه دهم. با این وجود لازم به ذکر است که استفاده از هوش مصنوعی بهتنهایی معجزه نمیکند و پیادهسازی سیستمهای کشف تقلب در بانکها و شرکتهای پیاسپی در کشور بهصورت جزیرهای شاید تا حدودی بتواند جلودار تخلفات باشد، اما مسئله را حل نمیکند؛ چراکه ما نیازمند دادههای یکپارچه از کل صنعت بانکی و پرداخت کشور هستیم.
او در اینباره صحبتهایش را ادامه میدهد: «در واقع اگر بسیاری از پولشوییها را بررسی کنیم، متوجه میشویم که این پولشوییها در بین چند مؤسسه مالی انجام میشود و اگر کسی بخواهد پولشویی کند، در سادهترین حالت آن پول کثیف را در چند حساب در بانکها و مؤسسات مالی مختلف پخش میکند و دوباره در جای دیگری آن را تجمیع میکند. در نتیجه اگر هر بانک و مؤسسهای بخواهد بهتنهایی هوش مصنوعی را در سیستمهایش پیاده کند و به دادههای سایر بانکها و مؤسسات مالی دسترسی نداشته باشد، هیچکدام از موارد پولشویی و تقلب شناسایی نخواهد شد. بنابراین علاوه بر اینکه همه اکنون تا حدودی متوجه اهمیت قضیه و استفاده از فناوری هستند، در کنارش باید به این سمت هم برویم که یک دیتابیس جامع و کامل که قاعدتاً در این شرایط باید بانک مرکزی و شاپرک باشند، کلیه تراکنشهای کشور در تمامی مؤسسات و شرکتهای پرداخت را زیر نظر بگیرد و بتواند با نگاه کلان به تراکنشهایی که در سطح شبکه پرداختی کشور انجام میشود، بهصورت یکپارچه با استفاده از فناوریهای نوین و هوش مصنوعی مواردی را کشف کند که تاکنون بهدلیل جزیرهایبودن سیستمهای شناسایی و کشف تقلب اصلاً قابلیت شناسایی را نداشتند.»
او در خاتمه میگوید: «اگر بخواهم جمعبندی کنم، علاوه بر اینکه همه متوجه نیاز به استفاده از فناوریهای نوین هستیم، در عین حال باید این نکته را هم در نظر داشته باشیم که قرار نیست فناوریهای نوین بهتنهایی معجزه کنند. فناوریهای نوین کارایی دارند که دیتای مناسب، باکیفیت و لازم در اختیارش قرار داده شود و اگر واقعاً دغدغه کشف تقلب و تخلف وجود دارد که به نظر میآید وجود دارد، باید به این سمت برویم که از بحث جزیرهایبودن داده خارج شویم و دادهها را بهصورت متمرکز در یک مرکز معتبر مثل بانک مرکزی یا شاپرک قرار دهیم و یک سامانه مجهز به فناوریهای نوین هم حتماً بهصورت کلان شبکه پرداخت را رصد کند تا بتواند موارد مشکوک و متقلبانه را بیابد.
عدم بلوغ فرهنگ سازمانی در پذیرش عملیاتی کشف تقلب و تخلف
طبق صحبتهای غزاله حسینی، مدیر محصول گمانیک، بحث امنیت گستردگی و پیچیدگیهای بسیاری دارد که شاید مهمترین آن موضوع «ناپایداری امنیتی» باشد. به گفته او، منظور از ناپایداری امنیتی این است که هر راهکاری برای افزایش امنیت یک حوزه، راهکارهای جدید برای عبور از مرزهای امنیتی را نیز به همراه دارد. از این رو برقراری امنیت در یک حوزه بیش از آنکه به معنای ایجاد پروتکلهایی برای عدم دسترسی به آن حوزه باشد، میبایست بهصورت پویا امکان شناسایی و کاربرد شیوهها و الگوهای جدید ناامنسازی را فراهم آورد.
او در این خصوص توضیح میدهد: «علاوه بر این، بحث امنیت در لایههای مختلف اجرایی و عملیاتی شکل و معنای متفاوتی دارد و به شیوهها و با ابزارهای متفاوتی انجام میشود. مثلاً در لایه زیرساخت بانک بیشتر بحثها مربوط به امنسازی شبکهای است و در بحث نگهداری از اموال و سپردهها و منابع مشتریان و بانک بیشتر به پروتکلهای امنیت فیزیکی پرداخته میشود. در لایه عملیات بانکی نیز بحث امنیت بیشتر معطوف به امنیت سپردهها و تراکنشهاست که از هر دو جنبه سختافزاری و نرمافزاری باید به آن توجه شود. از آنجا که شرکت آدانیک بیشتر در حوزه نرمافزاری و کشف تقلب فعالیت دارد، تخصص ما شناسایی الگوها و شیوههای بهروز تخلف یا تقلب در عملیات بانکی بر اساس دادههای تولیدشده در آنهاست.
این عملیات میتواند شامل فرایندهای درونبانکی و ستادی یا عملیات بانک در رابطه با مشتری باشد. در واقع تخصص شرکت آدانیک در این حوزه، شناسایی الگوها و شیوههایی است که با وجود راهکارهای امنیتی به کار گرفتهشده توسط بانکها، به ایجاد ناامنی یا ریسک منجر میشود. در واقع مهم نیست که در مسئله امنیت، بانکها چقدر قوی یا چقدر ضعیف باشند. چون تقریباً در یک جامعه نرمال بانکها بهعنوان مراکز انباشت و نگهداری سرمایه از پروتکلهای امنیتی مشابه و نزدیک به یکدیگر استفاده میکنند که از سوی سازمانهای نظارتی بالادستی تعیین میشوند. آنچه مهم است سرعت و چابکی بانکها در شناسایی الگوها و شیوههایی است که باعث ایجاد ناامنی شده یا برای بانک ایجاد ریسک میکنند.»
به عقیده حسینی، فناوریهای جدید همانقدر که میتوانند جهت ایجاد امنیت به کار گرفته شوند، به همان میزان نیز میتوانند به ایجاد راهکارهای جدید برای عبور از پروتکلهای امنیتی نیز منجر شوند. او در اینباره میگوید: «بهطور کلی، فناوری مانند شمشیر دولبه است و بسته به اینکه کجا و توسط چه افراد و گروههایی استفاده شود، میتواند پیامدهای مثبت یا منفی به بار آورد. تاریخ بشر از این سرنوشت دوگانه فناوری انباشته است، اما در بحث کشف تقلب باید توجه داشت که با یک فرایند مواجه هستیم، نه صرفاً یک واکنش موقت و مقطعی؛ فرایندی که ما را از امر ناشناخته یا تخلف و تقلب در فرایندهای سازمانی به الگویی شناختهشده میرساند. بهطور قطع در این فرایند فناوریهای جدید امکان شناسایی دقیقتر و سریعتری را فراهم میآورند که نسبت به شیوههای سنتی مزایای بسیاری دارد.»
او با ذکر مثالی به این موضوع میپردازد: «مثلاً اگر در شیوه سنتی شناسایی الگوهای برداشت مبلغ کم از تعداد زیادی حساب بهصورت مکرر، تنها بعد از شکایت و اعلام مشتریان به مراجع قضایی ممکن بود، با استفاده از فناوریهای جدید پردازش بیگدیتا و با استفاده از مدلهای هوشمند، شناسایی این الگو با صرف چند دقیقه و حتی بهصورت آنلاین ممکن میشود.»
مدیر محصول گمانیک توضیح میدهد که استفاده از فناوریهای هوش مصنوعی، پیش از آنکه مختص نظام بانکی و پرداخت باشد، بحثی مربوط به فرهنگ سازمانی است. برای توضیح این موضوع هم میتوان به نقش فناوریهایی مانند هوش مصنوعی در فرهنگ سازمانی اشاره کرد. او میگوید: «در مواجهه با الگویی که از آن صحبت شد، دو رویکرد وجود دارد؛ تبدیل آن به یک قاعده یا Rule که حدود مشخص و ثابتی دارد، یا تبدیل آن به مدلی بر اساس نسبتهای میان ویژگیهای شناساییشده مانند مبلغ، تعداد تراکنشها و تکرار برداشت وجه. از دید سازمانی روش اول هزینه کمتری دارد، سادهتر پیادهسازی میشود و چون بر اساس حدود ثابتی عمل میکند، نتیجه ثابت و از پیش مشخصی را هم تولید میکند که پاسخگوی نیاز سازمانهای نظارتی بالادستی است.»
طبق توضیحات او، پیادهسازی و اجراییکردن روش دوم نیازمند صرف هزینه اولیه بیشتر برای رسیدن به مدلی هوشمند است، اما بعد از ایجاد مدل بر اساس نسبتهای پیشبینیشده، شناسایی تمامی الگوهای مشابه و نهفقط یک قاعده مشخص با حدود مشخص، ممکن میشود. او میگوید: «علاوه بر این میتوان الگوهای ناشناخته ناهنجاری را نیز شناسایی کرد. این مسئله نهتنها حالت خاص و نیاز مقطعی سازمانهای نظارتی را برآورده میکند، بلکه میتواند موارد مشابه را نیز که پیش از این ناشناخته بودند، شناسایی کند.
حال اگر فرهنگ سازمانی بر اساس رویکرد صرف هزینه کم و رسیدن به جواب خاص، صرفاً برای ارائه پاسخی به سازمانهای نظارتی بالادستی باشد (که اغلب نیز همینگونه است)، سازمانها سراغ روش اول میروند که مبتنی بر موارد شناختهشده و سناریوهای از پیش معلوم تقلب و تخلف است. اما اگر سازمان رویکردی دوراندیشانهتر داشته باشد و هدفش به جای پاسخگویی صرف به نظارت بالادستی و رضایت موقت، ایجاد زیرساختی برای شناسایی مداوم الگوهای تخلف و تقلب باشد، با صرف هزینه و انرژی بیشتر برای پیادهسازی و ایجاد مدلهای هوشمند، ابزاری سریع برای شناسایی مداوم ناهنجاریهای رخداده در فرایندهای سازمانی خواهد داشت.»
بر اساس توضیحات حسینی، استفاده از هوش مصنوعی اگرچه در گام راهاندازی پیچیدگیها و دشواریهای بیشتری دارد، اما استفاده از مدلهای هوشمند، سرعت و دقت شناسایی ناهنجاریهای شبکه بانکی را افزایش میدهد. این مسئله نهتنها در بانکها، بلکه در دیگر سازمانهای مالی نیز مطرح است و با وجود کارهای ارزندهای که در سالهای اخیر برای هوشمندسازی کشف تقلب و تخلف انجام شده، هنوز فرهنگ سازمانی بلوغ لازم برای پذیرش عملیاتی آن را ندارد. او در ادامه میگوید: «به همین دلیل بسیاری از درخواستها و ایدههای سازمانی در زمینه استفاده از هوش مصنوعی بیش از آنکه بر اساس نیازهای واقعی با برنامهریزی قدمبهقدم و بر مبنای مشارکتهای متخصصان عرصه فناوری و سازمانها باشد، وجهی ایدهآلگرایانه و تبلیغاتی دارد. از سوی دیگر در برخی سازمانها علاوه بر بلوغ فرهنگی با نقص ملزومات زیرساختی و دادهها نیز مواجه هستیم که این نقص را نیز میتوان با استفاده از روشهای نوین دادهپردازی به حداقل ممکن رساند.»
موردی که در بحث افزایش سطح امنیت باید مورد توجه واقع شود و معمولاً در صنعت بانکی مغفول مانده، این است که امنیت سپر دفاعی مجموعه است. حسینی با بیان این موضوع میگوید: «قطعاً کسبوکار بدون سپر دفاعی نمیتواند به چرخه حیات خود ادامه دهد، ولی از طرفی اگر حفظ امنیت، فقط با رویکردهای سلبی مانند قطع دسترسی همراه باشد، موجب از دست رفتن نیروی پیشرانه کسبوکار خواهد شد.»
مدیر محصول گمانیک توضیح میدهد که برای حفظ امنیت و در کنار آن پیشبردن کسبوکار نیاز است ابزاری در دسترس باشد تا فقط بهصورت Reactive و تنها پس از شناسایی موارد نامطلوب واکنش نشان ندهد، بلکه حتی بهصورت Proactive بتواند شرایط و وضعیت را مورد پایش قرار دهد و موارد ناهنجار را گزارش کند: «از فناوری رایج میتوان برای پیادهسازی راهکار Reactive جهت جلوگیری از بروز موارد شناختهشده استفاده کرد. مثلاً میتوان یک موتور قواعد (Rule Engine) به کار برد و از بروز موارد نامطلوب شناختهشده جلوگیری کرد، اما برای پیشبرد رویکرد Proactive نمیتوان از راهکارهای گذشته استفاده کرد. در اینجا استفاده از هوش مصنوعی رخ مینمایاند.
هوش مصنوعی و یادگیری ماشین و بهصورت خاص یادگیری بدون ناظر (Unsupervised Learning) این امکان را به ما میدهد تا علاوه بر موارد شناختهشده، قدم در وادی موارد ناشناخته گذاشته و با تکنیکهای Outlier Detection موارد خارج از روند کلی را پیدا کرد. باید توجه داشت که استفاده از یادگیری ماشین و هوش مصنوعی در این حوزه، بدون چالش نخواهد بود. یکی از بزرگترین چالشها حجم بالای دادههای موجود (مثلاً دادههای تراکنشها) در این حوزه است که باعث میشود نتوان از رویکردهای معمول پیادهسازی و استفاده از یادگیری ماشین بهره برد. در اینجا فناوری به ما استفاده از زیرساخت مدیریت بیگدیتا و استفاده از ابزارهای مرتبط با آن مانند موتور Apache Spark را پیشنهاد میدهد. این مسیری بوده که شرکت آدانیک در طراحی، پیادهسازی و بهبود محصول گمانیک طی کرده است.»
آمادگی بخش خصوصی برای ارائه خدمت
علی زارع میرکآبادی، مالک محصول راهکارهای تشخیص تقلب و تخلف داتین، امنیت سیستمهای مالی و بانکداری را یکی از مهمترین مؤلفههای توسعه فضای کسبوکارها میداند که بدون آن تصور جامعهای بالنده و شکوفا دور از ذهن خواهد بود. او در اینباره میگوید: «امنیت و سلامت سیستمهای مالی از دو منظر قابل بررسی است؛ اول حفاظت از داراییهای مشتریان و تأمین امنیت خاطر آنها و دوم مراقبت از مؤلفههای اقتصاد کلان. در مجموع میتوان گفت که امنیت حساب و داراییهای مشتریان در سیستمهای بانکی ایران از وضعیت مناسبی برخوردار است و آنچه بیشتر مورد سوءاستفاده قرار میگیرد، در دو حوزه خاص نهفته است؛
حوزه اول سوءاستفاده مالی و کلاهبرداریهایی است که به واسطه ناآگاهی و فریب افراد اتفاق میافتد. مانند کپیکردن کارت، برداشت رقمهای خرد از حساب افراد، کلاهبرداری با پوشش اخذ بیعانه در پلتفرمهای خریدوفروش آنلاین یا نصب بدافزار روی موبایل افراد بهمنظور دسترسی به رمز دوم. حوزه دوم، مبتنی بر مؤلفههای اقتصاد کلان است و ناشی از وضعیت اقتصادی عمومی و انتظار سودآوری بالاست که با سوءاستفاده از بستر بانکی برای فرایندهایی همچون شرطبندی، اقدامات غیرقانونی برای پنهانساختن میزان درآمد در برخی اصناف برای فرار مالیاتی (با استفاده از کارت اجارهای)، تکمیل زنجیره تخلفاتی پولشویی و سرقت از کارت استفاده میشود.»
او بیان میکند که اگرچه حضور فناوریهای نوین از یک سو باعث تسهیل امور و زندگی افراد شده، اما از سوی دیگر آسیبپذیریهایی را به وجود آورده که قبلاً وجود نداشته است: «بدون شک میزان منافع حاصل از فناوریهای مالی با ریسکهای تحمیلی قابل قیاس نیست. در گذشته بررسی تخلفات و تقلبها با روش کارشناسی و انسانمحور میسر بود، اما اکنون بدون فناوری اطلاعات نمیتوان چنین تراکنشهایی را شناسایی و از وقوع آنها جلوگیری کرد. امروزه با استفاده از روشهای مبتنی بر قاعده، هوش مصنوعی و گراف، زمینه برای شناسایی غیرآنلاین و آنلاین اینگونه تخلفات هموار شده است.»
به گفته زارع، در حال حاضر شرکتهای تأمینکننده نرمافزارهای بانکی با سرمایهگذاری در زمینه فناوری پیشرفتهای قابل توجهی داشتهاند؛ تا جایی که بهطور مثال در داتین، با سرعت پردازشی کمتر از ۱۰۰ میلیثانیه امکان بررسی و رد تراکنشهای تخلف و تقلب فراهم شده و این در حالی است که کلیه تراکنشهای کارت از این سامانه عبور میکنند. او در اینباره توضیح میدهد: «همچنین برای شناسایی تراکنشهای ناهنجار (احتمال سرقت از کارت) تمامی تراکنشهای مالی فرد برای شناخت الگوی رفتاری او در پنجرههای زمانی مختلف تحلیل شده و ورودی لازم بهمنظور تحلیل ناهنجاری آنلاین فراهم میشود. همچنین الگوریتمهای مبتنی بر گراف و تحلیل شبکه در شناسایی خوشههای مختلف شرطبندی، پولشویی و… به کار گرفته شده و از خروجی مناسبی برخوردار است. در نهایت میتوان گفت امروزه شناسایی مشاغل، حسابهای تجاری و سایر اطلاعات لازم برای توسعه اقتصادی کلان به کمک روشهای فوق، کار غیرقابل وصولی نیست.»
او در خاتمه میگوید که همیشه بخش خصوصی به واسطه محدودیتهای کمتر، بهویژه در حوزه فناوری اطلاعات از صنعت مالی و رگولاتور جلوتر بوده و آماده ارائه خدماتی مؤثر برای ارتقای امنیت فردی و بهبود فضای کسبوکارهاست، اما به همراهی بیشتر بانکها و مؤسسات مالی، نهادهای سیاستگذاری و مراجع قانونی نیاز دارد تا بتواند با سرعت بیشتری نسبت به پیادهسازی این الگوریتمها و مدلها اقدام کند.