وضعيت محدود شدن سرويس‌هاي USSD به پرداخت قبوض بررسي شد

*نا امنی #

این روزها مساله محدود شدن سرویس‌های USSD تنها به پرداخت قبوض آن‌هم به دلیل ناامنی از سوی بانک مرکزی بسیار عجیب و شبهه آور است.

05 فوریه 2018

زمان تقریبی مطالعه 6 دقیقه

موبنا – سرویس‌های USSD از سال‌ها پیش مورد استفاده قرار گرفته و به عنوان روش‌های آسان برای انجام عملیات الکترونیکی و بانکی در اختیار مردم بوده‌اند. حتی بسیار مشاهده شده که از طریق بیلبوردهای شهری و صدا و سیما تبلیغات گسترده‌ای برای آن‌ها صورت می‌گرفت. حالا به یک‌باره بانک مرکزی در بخشنامه‌ای اعلام کرده که این سرویس‌ها امنیت لازم را ندارند و امنیت آن‌ها تنها محدود به پرداخت قبوض است! گفته‌ای که مبنای منطقی آن به هیچ وجه مشخص و شفاف نیست. اگر بحث عدم امنیت برای این سرویس‌ها درست باشد، چگونه ممکن است در بحث پرداخت قبوض امنیت لازم را داشته باشند؟ ناامن بودن بستری که روزانه حدود پنج میلیون تراکنش در آن انجام می‌شود و ماهانه ۱۴۰ میلیون و سالانه بیش از ۱.۶ میلیارد تراکنش را میزبانی می‌کند و بر خلاف ادعای مدیران بانک مرکزی، حتی یک مورد لو رفتن اطلاعات بانکی در بستر آن رخ نداده است و با توجه به گزارش‌های پلیس فتا و گزارش‌های بانکی نیز تا به امروز مشکل جدی در این زمینه مطرح نشده است، از کجا و چگونه به وجود می‌آید؟ در این میان چه کسی باید در قبال اعتماد سال‌های گذشته مردم که به طور گسترده از این سرویس‌ها استفاده کرده‌اند، پاسخگو باشد؟

قرار بود از نیمه بهمن امسال تراکنش‌های فاقد رمزنگاری از مبدا تا مقصد وجود نداشته باشد
بخشنامه بانک مرکزی نه تنها برای مردم مشغولیت فکری ایجاد می‌کند بلکه اعتماد آن‌ها را نیز از بین می‌برد
اگر ناامنی وجود داشت و مشکلات حادی به این دلیل تا به امروز رخ داده بود، به طور حتم پلیس وارد عمل می‌شد
وزیر ارتباطات: اگر اپراتورها نتوانند از عهده تضمین امنیت بسترهای USSD برآیند، نباید این شیوه ادامه پیدا کند

بخشنامه بانک مرکزی
این‌طور که مطرح شده اعمال محدودیت بر سرویس‌های USSD در راستای بخشنامه اخیر بانک مرکزی است. به تازگی بانک مرکزی بخشنامه‌ای به بانک‌ها ابلاغ کرده که در نتیجه تغییراتی در انجام تراکنش‌های مالی، دسترسی به حساب‌ مشتریان بانک‌ها برای عواملی غیر از بانک یا ارائه دهنده خدمات پرداخت محدود شده و از امنیت بالاتری برخوردار می‌شود. بر اساس بخشنامه بانک مرکزی، نباید اطلاعات حساس کارت مشتریان از جمله رمز دوم آن‌ها از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیره‌سازی یا مشاهده آن توسط عواملی غیر از بانک یا ارائه‌دهنده خدمات پرداخت وجود دارد، مبادله شود. بر این اساس قرار بود از نیمه بهمن امسال تراکنش‌های فاقد رمزنگاری از مبداتا مقصد وجود نداشته باشد، مگر برای پرداخت قبوض عمومی از جمله آب، برق، گاز و تلفن شهری. همچنین قرار شده است در صورت اجرای این مصوبه تراکنش‌های مربوط به خرید شارژ یا قبض‌های ویژه در شبکه‌های شتاب و شاپرک نیز پذیرش و پردازش نشود، به عبارتی اطلاعات رمزنگاری شده هستند که پذیرش می‌شوند. در این حالت پردازش از کدهای USSD که اطلاعات در آنجا به صورت رمزنگاری نیستند، محدود به پرداخت قبوض عمومی می‌شود و اپلیکیشن‌هایی که خود بانک‌ها طراحی کردند، جایگزین آن‌ها خواهند شد.
نگرانی از ورشکستگی بانک‌ها
به دلیل اینکه شمار بسیار بالای تراکنش و اقبال شدید مردم به استفاده از این شیوه پرداخت است، مسئولان بانکی را نگران کرده و موجب شکل گیری بخشنامه جدید بانک مرکزی شده؛ این جملات را یک کارشناس حوزه فناوری به «تابناک» گفته و ادامه داده است: «چون ایشان می‌ترسند با رونق بیشتر USSD، بانک‌ها ورشکست شوند و بنابر آن می‌خواهند با دستاویز قرار دادن بحث امنیت که برای مردم بسیار اهمیت دارد، این تراکنش‌ها را به بانک‌ها بازگردانند و مانع از ورشکست شدن‌شان شوند». جالب اینجاست که استفاده از این سرویس‌هادر بسیاری از کشورهای دنیا به صورت گسترده انجام می گیرد و مردم برای بسیاری از خریدها و انجام امور الکترونیک خود از این سرویس‌ها بهره می‌گیرند.
ضرر برای دولت
نکته جالب این است که در بخشنامه بانک مرکزی ذکر شده که این روش‌ها تنها برای پرداخت قبوض امنیت دارد؛ حال این سوال پیش می‌آید که اگر بحث عدم امنیت مطرح است، چگونه ممکن است در برخی موارد امنیت وجود داشته باشد و در برخی موارد دیگرچنین نباشد؟ این یکی از شبهاتی است که می‌توان به این بخشنامه وارد کرد. از سوی دیگر برخی کارشناسان معتقدند که این بخشنامه به ضرر دولت نیز هست زیرا بر اساس مصوبات بالادستی، دولت از محل همه تراکنش‌های بانکی درصدی دریافت می‌کند که با بخشنامه اخیر، این درصد هم قطع خواهد شد. این در حالی است که در همه تراکنش‌های صورت گرفته بر این بستر، شفافیت مالی در بالاترین حد خود قرار دارد و امثال مالیات بر ارزش افزوده دقیق محاسبه و پرداخت می‌شود که این بخشنامه این شفافیت‌ها را نیز از بین خواهد برد.
سرویس‌هایی با مجوز بانک مرکزی
در همین خصوص روز گذشته وزیر ارتباطات و فناوری اطلاعات درباره مباحث اخیر مطرح شده در مورد قطع سرویس USSD در کشور تاکید کرد و گفت: اگر اپراتورها نتوانند از عهده تضمین امنیت بسترهای USSD برآیند، به‌طور حتم نظر ما نیز این است که این شیوه ادامه پیدا نکند. در هر صورت تصمیم بانک مرکزی در کلیت خودش تصمیم درستی است و اینکه امنیت را در خدمات بانکی لحاظ کنیم یک ضرورت درست است؛ چراکه اکنون در بستر USSD، از دکل مخابراتی تا شبکه بانکی، اطلاعات کارت مشتریان را در دست دارند و این خود یک مخاطره به شمار می‌رود. USSD از ابتدا با مجوز خود بانک مرکزی به وجود آمد. بخش عمده‌ای از خرید مردم از خدمات اپراتورها روی بستر USSD انجام می‌شود؛ بنابراین زمانی که سرویسی دارای محبوبیت در بهره‌برداری است اگر بخواهیم تغییراتی در آن انجام دهیم، باید تاثیراتش را در بازار بسنجیم. با این حال باید ملاحظات را در انجام این گونه تغییرات در نظر گرفت.
تضمین امنیت بستر USSD
آذری جهرمی ادامه داد: همان‌طور که بانک مرکزی تنظیم‌کننده روابط بانکی در کشور است، ما هم به عنوان وزارت ارتباطات، تنظیم‌کننده مقرارت ارتباطاتی در کشور هستیم. در صحبتی که با آقای دکتر سیف داشتیم، برای ایشان تشریح کردیم که این اقدام تبعاتی به همراه دارد و به همین خاطر اعضای سازمان تنظیم مقررات ارتباطات نشست مفصلی با مسئولان بانک مرکزی داشتند و اپراتورها گفتند که اگر مساله امنیت این تراکنش‌هاست ، ما آن را امن می‌کنیم. قرار شد تا اقداماتی را سازمان تنظیم مقررات ارتباطات در جهت خواسته‌های بانک مرکزی انجام دهد تا امنیت بستر USSD تضمین شود. در همین راستا کمیته‌ای نیز برای پیگیری خواسته‌های بانک مرکزی تشکیل شده است. البته مباحثی میان دو گروه در بازار که بر اپلیکیشن‌ها و USSD‌ها کار می‌کنند وجود دارد و چون این دو دسته با هم رقابت دارند، هر کدام سعی می‌کنند بازار دیگری را از آن خود کنند. اینکه آن‌ها با یکدیگر رقابت می‌کنند، مساله نیست بلکه مساله این است که مردم از این مجرا آسیب نبینند.
عدم امنیت سرویس‌ها تایید شده نیست
درباره بحث ناامنی این سرویس‌ها که از سوی بانک مرکزی مطرح شده است، سید مهدی میرمهدی کمیجانی، رییس اتحادیه فناوران یارانه به «قانون» می‌گوید: اینکه اعلام شده این سرویس‌ها امنیت لازم را ندارند از نظر ما تاییدشده نیست و ما هیچ مشکلی در عملکرد آن‌ها نمی بینیم. متاسفانه وقتی سخنی بیان می‌شود و به مطبوعات و صدا وسیما نیز راه پیدا می‌کند، هیچ توضیحی به مردم داده نمی‌شود که پیش‌زمینه سخن مطرح شده چیست. در حال حاضر نیز که بانک مرکزی بحث عدم امنیت این سرویس‌ها را مطرح می‌کند، مشاهده می‌کنید که سال‌هاست این سرویس‌ها در حال فعالیت هستند، بدون اینکه هیچ مشکلی برای مردم از طریق استفاده از آن‌ها ایجاد شده باشد. حتی در بسیاری موارد رضایت کامل مردم از استفاده از این سرویس‌ها نیز وجود داشته است. در حالی‌که اکنون مطرح شدن این بحث باعث شده که مردم بعد از سال‌ها دوباره به استفاده از پول نقد روی بیاورند و این کار درست نیست. به هر حال ما به هیچ‌وجه عدم امنیت این سرویس‌ها را تایید نمی‌کنیم و امنیت آن‌ها از نظر ما صد در صد تضمین شده است. همان‌طور که مشاهده می کنید تا به امروز نیز این سیستم‌ها به درستی کار کرده‌اند.
احتمال وجود پشت پرده‌
رییس اتحادیه فناوران یارانه ادامه ‌می‌دهد: اگر ناامنی وجود داشت و در این مورد مشکلات حادی تا به امروز رخ داده بود، به طور حتم پلیس وارد عمل می‌شد و تذکرات لازم را می‌داد؛ بنابراین دلیل محدود شدن استفاده از آن‌ها به طور یقین نامنی آن‌ها نیست و دلیل دیگری دارد که در این زمینه بانک مرکزی با مردم صادقانه صحبت نمی‌کند. به هر حال امکان دارد این مساله پشت پرده‌هایی داشته باشد که ما از آن مطلع نیستیم. این حرکت بانک مرکزی نه تنها برای مردم مشغولیت فکری ایجاد می‌کند بلکه اعتماد آن‌ها را نیز از بین می‌برد. این اعتماد به سادگی به دست نیامده بود و اگر قرار باشد یک شبه بحث امنیت مطرح شود و مردم را با این مسائل درگیر کنند، منصفانه نیست.