پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
چه کسانی میخواهند ماجرای لو رفتن اطلاعات ۳ میلیون کارت بانکی بار دیگر تکرار شود؟
امید بانکی، کارشناس بانکداری الکترونیکی؛ ایسنا / فروردینماه سال ۹۱ بود که بمب خبری نظام بانکی ایران در دل یکی از بزرگترین شرکتهای فعال وقت ترکید: «اطلاعات ۳ میلیون کارت بانکی لو رفت!» هر چند این اتفاق نتیجه خیانت یک فرد در یک شرکت بود، اما تمام مقامات و مسئولین کشوری انگشت اتهام را به سمت بانک مرکزی نشانه رفتند که چرا بانک مرکزی نظارت کافی برای پیشگیری از چنین مواردی را نداشته است.
همین اتفاق باعث تغییرات زیادی در سازوکارهای نظارتی بانک مرکزی شد و هر روز بیشازپیش به سختگیریهای نظارتی خود افزود تا امنیت حسابهای مردم را به حداکثر مقدار ممکن برساند. در همین راستا، بانک مرکزی اخیراً طی بخشنامهای سعی کرد جلوی یکی از بسترها با پتانسیل بالا برای تکرار ماجرای افشای اطلاعات میلیونی کارتهای بانکی را بگیرد که متأسفانه برخی سعی دارند جلوی این حرکت سنجیده ولی دیرهنگام بانک مرکزی را بگیرند.
داستان از چه قرار است؟
بانک مرکزی ایران دوم بهمنماه ۹۶، در بخشنامهای اعلام کرد: «اطلاعات حساس کارت مردم، نظیر رمز دوم آنها، نباید از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیرهسازی یا مشاهده آن توسط عواملی غیر از بانک یا ارائهدهنده خدمات پرداخت وجود دارد، مبادله شوند.» هر چند در بخشنامه بانک مرکزی حرفی از تکنولوژی USSD یا همان ستاره-عدد-مربعها نیامده است، ولی اصلیترین بستری که در دایره مخاطب این بخشنامه قرار میگیرد، بستر USSD است.
به زبان سادهتر بخواهیم بگوییم، در تراکنشهای پرداختی بر بستر USSD در شیوه مرسوم فعلی در کشور، اطلاعات حساس کارت بانکی مردم بدون اینکه متناسب با استانداردهای لازم، رمزنگاری شود تبادل میشود که میتوان از این اطلاعات به سادگی سوءاستفاده کرد و میتوان گفت استفاده از تکنولوژی USSD به شیوه فعلی در صنعت بانکداری و پرداخت کشور، ناامن بوده و مانند آتش زیر خاکستر است؛ هرچند تا امروز مشکل امنیتی حادی روی آن نیفتاده است، ولی چه کسی میتواند تضمین کند که ماجرای مشابه افشای اطلاعات ۳ میلیون کارت بانکی سال ۹۱، این بار با گستردگی و فراگیری بیشتر تکرار نشود؟ در سال ۹۱، فقط ۹۰ میلیون کارت بانکی در دست مردم بود و اکنون بیش از ۲۰۰ میلیون کارت بانکی در دست مردم است و آن هم با اقبال و استفاده روزمره چندین برابری و اگر بانک مرکزی بهعنوان یک نهاد ناظر راههای تکرار این فاجعه را نبندد، بعدی نیست شاهد یک فاجعه بزرگ ملی در کشور باشیم و مسلماً دوباره همه انگشتهای اتهام به سمت بانک مرکزی نشانه خواهد رفت همانطور که در ماجرای مؤسسات غیر مجاز با وجود اینکه بانک مرکزی بارها هشدار داده بود، سرانجام در نقطه اتهام قرار گرفت.
چه کسانی میخواهند اطلاعات حسابهای مردم را در خطر بیندازند؟
در ماجرای مؤسسات غیرمجاز نیز عدهای تا آخرین لحظه سعی در گمراه کردن مردم و سپردهگذاران داشتند؛ در ماجرای USSD هم ظاهراً روند مشابهی در حال طی شدن است و برخی سعی دارند بخشنامه بانک مرکزی را تحتالشعاع قرار دهند. باید بپرسیم آیا این افراد که مردم را به استفاده از این بستر تشویق میکنند، از امنیت آن هم باخبر هستند؟ اگر باخبر باشند مطمئناً چنین دفاعی نمیکنند و اگر هم بیخبر هستند که باید آنها را آگاه کرد که ناخواسته از یک خلأ امنیتی دفاع نکنند. سؤال بعدی از این افراد این است که آیا تضمین میکنند که فاجعه افشای اطلاعات کارتهای بانکی سال ۹۱ تکرار نشود و اگر تکرار شود چه کسی مسئول این فاجعه خواهد بود؟
بانک مرکزی باید ۳ سال پیش این بخشنامه را ابلاغ میکرد
برخی این سؤال را مطرح میکنند که اگر این بستر ناامن است پس چرا تاکنون بانک مرکزی اقدامی نکرده است؟ این نقدی است که صد درصد به بانک مرکزی وارد است که چرا با تأخیر به فکر این موضوع افتاده است و این توقع میرفت این بخشنامه را حداقل ۳ سال پیش ابلاغ میکرد. توجیه بانک مرکزی این است که با توجه به محیا نبودن بسترهای مناسب جایگزین، تاکنون ابلاغ این بخشنامه را به تعویق انداخته بود ولی اکنون با توجه به توسعه بستر اینترنت همراه و گسترش تلفنهای همراه هوشمند، اپلیکیشنهای پرداخت همراه جایگزینی بسیار بهتر و امنتر برای انجام این تراکنشها هستند. اکنون که بر همه واضح است که USSD بستر ناامنی است، آیا باید همچنان به ادامه این مسیر پرخطر پافشاری کنیم؟
آیا باید بستر را برای تکرار ماجرای سال ۹۱ آماده کنیم؟
برخی نیز این موضوع را مطرح میکنند که هنوز در روستاهای دورافتاده کشور به دلیل عدم دسترسی به اینترنت بستر جایگزین مناسبی برای تکنولوژی USSD ندارند؛ در این خصوص باید گفت که طبق آمارهای موجود، تلگرام ۴۰ میلیون کاربر ایرانی دارد و این بهخوبی میتواند نشان دهد که تقریباً حتی در دورافتادهترین روستاها نیز هم به اینترنت دسترسی دارند و هم به تلفنهای همراه هوشمند و اتفاقاً اگر روستاییانی به اینترنت دسترسی ندارند این کمکاری اپراتورهای تلفن همراه است و نمیتوانند این کمکاری خود را با به خطر انداختن امنیت سیستم بانکی بپوشانند. نکته مهمتر این است که حتی اگر برخی از روستاها به اینترنت دسترسی نداشته باشند، آیا باید تمام سیستم بانکی را در معرض چنین ریسک بزرگی قرار داد؟
متأسفانه در چند روز گذشته، فشارهای گوناگونی به این حرکت مثبت بانک مرکزی وارد شده است و تلاشهایی در راستای برگرداندن این بخشنامه صورت گرفته است که از بانک مرکزی بهعنوان یک نهاد ناظر و حافظ منافع مردم در نظام بانکی کشور این انتظار میرود که در برابر این فشارها در برابر یک حرکت درست، مقاومت کند تا در آینده نزدیک یک بار دیگر ماجرای افشای اطلاعات ۳ میلیون کارت بانکی تکرار نشود.