آیا می‌توان امنیت اطلاعات کارت را بر بستر USSD ایجاد کرد؟

موبنا – بانک مرکزی در دوم بهمن‌ماه با ابلاغ بخش‌نامه ای فروش شارژ و قبوض ویژه در بستر USSD را متوقف و از هفتم همین ماه مجوز مانده گیری بر آپ های موبایلی را صادر کرد. در این بخش‌نامه این رویکرد باهدف صیانت از اطلاعات دارندگان کارت، ارتقا امنیت و بهبود خدمات بدون حضور کارت ذکر شده است.

اما در این میان بسیاری از فعالان این بازار که بخش عمده‌ای از درآمدشان از این بخش تأمین می‌شود معتقدند که بانک مرکزی به‌جای پاک کردن صورت‌مسئله و ایجاد محدودیت بر بستر USSD باید امنیت این بخش را افزایش می‌داد اما بحث مشخص در این بخش این است که آیا حفاظت از اطلاعات کارت و رمز مشتریان در بستر USSD به‌طور کامل وجود دارد یا خیر؟

هر چند بانک مرکزی  با طراحی سامانه پیوند تلاش هایی را برای  ارتقای امنیت  انجام داد  اما نتوانست به‌طور کامل آن را در بستر USSD برقرار کند بر همین اساس خبرنگار ایبِنا به سراغ مدیر امنیت شرکت شاپرک رفت تا پاسخ روشنی کسب شود.

مشروح گفت وگو با افشین لامعی مدیر امنیت شرکت شاپرک را در ادامه بخوانید:

ریسک بالای تبادل اطلاعات کارت در کانال های فاقد رمزنگاری

مدیر امنیت شرکت شاپرک در خصوص توقف فروش شارژ بر بستر USSD و این‌که این روند به‌صورت موقتی است یا در آینده با امنیت بالاتر بازگشایی می‌شود، گفت: تبادل اطلاعات کارت بر بسترهای مختلفی انجام می‌شود. یکی از راهکارها و الزامات استاندارد برای کاهش ریسک در این‌گونه تبادلات، استفاده از رمزنگاری است. لذا کانال‌هایی که رمزنگاری مبدأ تا مقصد پشتیبانی نمی‌کنند، ازجمله USSD، برای تبادل اطلاعات کارت مناسب نیستند.

افشین لامعی افزود: همواره نوعی تضاد بین امنیت و سهولت استفاده از سرویس برای مشتری وجود دارد. با این‌حال آنچه به‌عنوان سهولت استفاده در USSD گفته می‌شود، تا حدودی عادت مشتریان به استفاده از این کانال است.

وی اظهار داشت: با گسترش نفوذ اینترنت پرسرعت و گوشی‌های هوشمند در حال حاضر کانال‌های دسترسی دیگری مثل اپلیکیشن های موبایل وجود دارد که می‌تواند در صورت رعایت استانداردهای امنیتی، ازجمله رمزنگاری اطلاعات حساس از مبدأ تا مقصد و یا نشان‌گذاری، به‌عنوان جایگزین مورداستفاده قرار گیرد و تجربه کاربری جذاب‌تری را هم به کاربران ارائه کند.

لامعی در پاسخ به این پرسش که فرایند رمزنگاری مبدأ تا مقصد در بستر USSD امکان‌پذیر است یا خیر، گفت: USSD یک پروتکل پیام‌رسانی است. در این‌گونه پروتکل‌ها، الگوریتم استاندارد رمزنگاری پیام‌ها یا باید در داخل خود پروتکل پشتیبانی شود یا اینکه یک روش رمزنگاری استاندارد، از طریق بستر تبادل پیام‌ها به پروتکل اضافه شود. هیچ‌یک از این دو مورد در ساختار فعلی USSD پشتیبانی نمی‌شود.

 نوآوری در حوزه الگوریتم‌های رمز، ادعای سنگینی است

 وی در پاسخ به این پرسش که منظور از رمزنگاری در بخشنامه بانک مرکزی، چه روش‌ها و الگوریتم‌هایی است، گفت: سیاست ابلاغ‌شده، سیاست درستی است. اما اینکه کدام روش رمزنگاری، یک روش استاندارد به‌حساب می‌آید، در دنیای امنیت موضوع واضح و بدون ابهامی است و قرار هم نیست روش رمزنگاری جدیدی اختراع شود. نوآوری در حوزه الگوریتم‌های رمز، ادعای سنگینی است که بدون طی کردن مسیر طولانی و پیچیده آکادمیک و سپس صنعتی آن، قابل‌پذیرش نیست.

وی در پاسخ به این پرسش که آیا با راه‌اندازی سامانه پیوند امنیت در بستر USSD تأمین نشد، تصریح کرد: سامانه پیوند در مقطعی که اجرا شد، بهبود خوبی در بحث امنیت ایجاد کرد اما نتوانست مشکل را به‌طور کامل رفع کند.

ایجاد یک سیستم نشان گذاری به منظور برقراری امنیت در کانال هایی که امکان رمز نگاری ندارند

مدیر امنیت شرکت شاپرک خاطرنشان کرد: در کانال‌هایی که امکان رمزنگاری از مبدأ تا مقصد ندارد، باید یک سیستم نشان‌گذاری که همه ویژگی‌های فنی لازم را داشته باشد طراحی و اجرا شود. در این صورت است که آن کانال از قلمرو اطلاعات کارت که مستلزم رعایت استانداردهای سخت‌گیرانه امنیتی است، خارج می‌شود.

به نظر می‌رسد، برقراری کامل امنیت به‌ منظور محافظت از اطلاعات کارت به‌ صورت نقطه‌ به‌ نقطه و از مبدا تا مقصد در ساختار فعلی بستر USSD امکان‌پذیر نیست و این امکان وجود ندارد.