راه پرداخت
رسانه فناوری‌های مالی ایران

سرانجام ستاره و مربع چه شد

لیلا حنارود؛ ماهنامه پیوست / امنیت؛ واژه‌ای که هر اقدامی را مجاز می‌کند. از شنود گرفته تا متوقف کردن کسب‌وکار، هر مدیری می‌تواند با استفاده از این واژه هر طرحی را پیش برد. بسیاری از سرویس‌ها و خدمات به دلیل تأمین نشدن امنیت زیرساختی‌شان از ارائه بازماندند و بسیاری دیگر بعد از ارائه در یک دوره زمانی با استفاده از همین واژه متوقف شدند. سرویس یواِس‌اِس‌دی (USSD) نیز جزو همین دسته به شمار می‌آید.

بانک مرکزی تقریباً شش ماه پیش در یک دستورالعمل اعلام کرد این سرویس به دلیل مشکلات امنیتی‌اش از اول مهرماه متوقف می‌شود. این رویه ابلاغ دستورالعمل از سوی رگولاتور کمی عجیب بود چرا که در دوره‌های گذشته یک شب پیش از اجرایی شدن یک تصمیم نظر رگولاتور اعلام می‌شد و در یک دوره بسیار کوتاه حداکثر دو تا سه روز مجری باید زیرساخت‌های اجرای یک دستورالعمل را فراهم می‌کرد؛ اما ابلاغ زودتر دستورالعمل این فرصت را ایجاد کرد تا بخش‌های مختلف درگیر در این پروژه بتوانند شرایطی را پیش آورند که امکان امن کردن بیشتر بستر انتقال اطلاعات یواِس‌اِس‌دی را مهیا کنند و بدون اینکه این سرویس به‌صورت کامل از بسته خدمات قابل‌ارائه شرکت‌های پرداخت الکترونیک (PSP) خارج شود، توسعه آن نیز در همین سطح باقی بماند.

در شرایط فعلی مقرر شده شرایطی فراهم شود که استفاده‌کننده کدهای دستوری دیگر نیازی به وارد کردن شماره کارتشان نداشته باشند و فقط رمز دوم خود را برای پرداخت قبض یا خرید شارژ وارد کنند. این تصمیم بانک مرکزی که نیازمند ثبت‌نام متقاضیان و استفاده‌کنندگان از این سرویس در شبکه بانکی است، موجب خواهد شد در صورت مشخص شدن اطلاعات یا لو رفتن آن‌ها نیز اطلاعات به‌دست‌آمده قابل‌استفاده نباشد.

بررسی‌های صورت گرفته از سوی بانک مرکزی نشان می‌دهد از کل تراکنش‌های انجام‌شده بر بستر یواِس‌اِس‌دی ۹۰ درصد آن برای خرید شارژ و فقط ۱۰ درصد برای پرداخت قبوض است. در اصل مشتری یا استفاده‌کننده از این بستر برای یک خرید پنج‌هزارتومانی علاوه بر وارد کردن شماره کارت خود رمز دوم خود را نیز وارد می‌کند. تمامی این انتقال اطلاعات بر بستر اپراتورهای غیر رمزگذاری‌شده منتقل می‌شود که این روند انتقال اطلاعات خلاف استانداردهای بانک مرکزی است. طی سال‌های گذشته بانک مرکزی به‌صورت مکرر بر صیانت از اطلاعات مشتریان بانکی تأکید کرده است. این در حالی است که به سادگی و در شرایط فعلی امکان دستیابی به این اطلاعات وجود دارد هرچند اپراتورها این امکان را رد می‌کنند.

در ابتدای ابلاغ دستورالعمل بانک مرکزی مبنی بر توقف ارائه سرویس کدهای دستوری شرکت‌های ارائه‌دهنده خدمات پرداخت به این تصمیم بانک مرکزی و شاپرک اعتراض کردند که اگر این سرویس مشکل امنیتی دارد پس چرا تاکنون مشکلی برای آن پیش نیامده است.

طبق گفته ارائه‌دهندگان این سرویس از سوی شرکت‌های پرداخت الکترونیک و اپراتورها تاکنون هیچ گزارش امنیتی‌ای بر بستر یواِس‌اِس‌دی گزارش نشده است، البته کارشناسان بانک مرکزی نیز این گفته را تأیید می‌کنند و می‌گویند این بدان معنا نیست که در آینده نیز چنین مشکلی پیش نخواهد آمد. خطر بالقوه آن وجود دارد و باید جلو بالفعل شدن آن را گرفت. طبق نظر کارشناسان بانک مرکزی استانداردهای بین‌المللی برای انتقال اطلاعات بانکی در روند انتقال اطلاعات در کدهای دستوری رعایت نمی‌شود.

مشاور امنیتی رئیس‌کل بانک مرکزی گفت: «طبق اطلاعات ما حدود ۱۰ میلیون نفر از مردم از یواِس‌اِس‌دی استفاده می‌کنند، با توجه به اینکه برای انتقال اطلاعات از طریق یواِس‌اِس‌دی باید شماره کارت و رمز دوم کارت بانکی را وارد کرد، در اصل اطلاعات ۹ تا ۱۰ میلیون کارت بانکی در اختیار اپراتورهای تلفن همراه قرار دارد. این خودش یک خطر بالقوه است. هر لحظه ممکن است کسی تصمیم بگیرد و از این اطلاعات سوءاستفاده کند.»

مجید نوری افزود: «متأسفانه اطلاعات در شبکه اپراتوری تلفن همراه رمزگذاری نمی‌شود و باز منتقل می‌شود، برای اینکه امکان رمزگذاری دیتا روی شبکه GSM وجود داشته باشد باید سیم‌کارت‌های موجود در بازار تغییر کند. در اصل با سیم‌کارت‌هایی که هم‌اکنون در اختیار مردم است امکان رمزگذاری دیتای بانکی وجود ندارد. دیتای بانکی هم‌اکنون تا زمانی که به دست اپراتور برسد باز منتقل می‌شود و اگر کسی تصمیم بگیرد روی شبکه بنشیند و از این اطلاعات استفاده کند می‌تواند آن‌ها را بخواند. ما باید مانع این اتفاق شویم.»

البته اپراتورهای تلفن همراه طی سال‌های گذشته به‌صورت مکرر اعلام کرده‌اند دیتا به‌صورت رمزنگاری‌شده منتقل می‌شود و شبکه کاملاً امن است. برای اثبات این گفته خود نیز مدیرعامل همراه اول در نامه‌ای به رئیس‌کل بانک مرکزی با تأکید بر امن بودن بستر ارتباطی این اپراتور گفت: «طی سال‌های ۹۲ تا ۹۵ زیرساخت ارتباطی یواِس‌اِس‌دی امن همراه اول به‌عنوان بستر ارتباطی انتخابات توسط وزارت کشور نیز مورد بهره‌برداری قرار گرفته است.»

وحید صدوقی در نامه خود به رئیس‌کل بانک مرکزی تأکید کرد: «با توجه به تعامل همیشگی همراه اول و بانک مرکزی و اهمیت موضوع امنیت برای این شرکت انتظار می‌رفت در صورت بروز نقص امنیتی، موضوع با همراه اول در میان گذاشته و راه‌حلی برای رفع آن تدارک دیده می‌شد اما به‌رغم تعامل همیشگی همراه اول با دستگاه‌های نظارتی این حوزه، تاکنون هیچ موردی از مصادیق این دغدغه به همراه اول گزارش نشده است.»

البته مدیران بانک مرکزی معتقدند تا پیش از ابلاغ این بخشنامه بارها تذکرات امنیتی در مورد یواِس‌اِس‌دی را به اپراتورها داده بودند اما اپراتورها به دلیل اینکه می‌توانستند از این بستر استفاده کنند اقدامی برای ایمن کردن آن انجام نداده بودند اما تصمیم نهایی بانک مرکزی و شاپرک مبنی بر محدود کردن آن موجب شد اپراتورهای تلفن همراه نیز به تکاپو بیفتند تا این بازار بالقوه را از دست ندهند.

مدیرعامل همراه اول در نامه خود به رئیس‌کل بانک مرکزی اعلام کرده است: «همراه اول آمادگی تعامل نظارت و رفع دغدغه‌های بانک مرکزی را داشته و با توجه به جایگاه اپراتوری همراه اول و نقش دولت هم به‌عنوان ناظر و هم به‌عنوان سهامدار مجموعه بزرگ مخابرات ایران انتظار همکاری و تعامل بهتر و بیشتر از سمت مجموعه تصمیم‌گیر و شرکت‌های وابسته به بانک مرکزی را دارد. با وجود عدم انعکاس حتی یک مورد مشکل ناشی از نقص امنیتی در سیستم‌های همراه اول پروژه‌های ارتقای سطح امنیتی این حوزه در سطح شرکت همراه اول تعریف شده و تا شهریورماه ۹۵ قابل‌ارائه و نظارت توسط بانک مرکزی خواهد بود.»

بانک مرکزی در این دور از تصمیم‌گیری برای یواِس‌اِس‌دی هرچند همچنان بر نظر ناامن بودن این بستر ایستاده است و چندان آن را تأیید نمی‌کند و به مردم توصیه می‌کند از بسترهای دیگر بهره برند اما تا زمان گسترده و فراگیرتر شدن استفاده از گوشی‌های هوشمند امکان استفاده از این بستر را به‌صورت محدود برای کاربرانی که هنوز به دیتای موبایل و همچنین گوشی هوشمند دسترسی ندارند، باز گذاشته است.

بانک مرکزی امیدوار است طی سال‌های آینده به‌صورت تدریجی استفاده از این روش متوقف شود و مردم خود به سمت استفاده از اینترنت روی گوشی موبایل روند یا با فراهم شدن امکان استفاده از کیف پول همراه دیگر اصلاً نیازی به استفاده از کدهای دستوری نباشد؛ و این داستان شاهنامه با پایانی خوش به پایان رسد.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.