*نا امنی #
این روزها مساله محدود شدن سرویسهای USSD تنها به پرداخت قبوض آنهم به دلیل ناامنی از سوی بانک مرکزی بسیار عجیب و شبهه آور است.
موبنا – سرویسهای USSD از سالها پیش مورد استفاده قرار گرفته و به عنوان روشهای آسان برای انجام عملیات الکترونیکی و بانکی در اختیار مردم بودهاند. حتی بسیار مشاهده شده که از طریق بیلبوردهای شهری و صدا و سیما تبلیغات گستردهای برای آنها صورت میگرفت. حالا به یکباره بانک مرکزی در بخشنامهای اعلام کرده که این سرویسها امنیت لازم را ندارند و امنیت آنها تنها محدود به پرداخت قبوض است! گفتهای که مبنای منطقی آن به هیچ وجه مشخص و شفاف نیست. اگر بحث عدم امنیت برای این سرویسها درست باشد، چگونه ممکن است در بحث پرداخت قبوض امنیت لازم را داشته باشند؟ ناامن بودن بستری که روزانه حدود پنج میلیون تراکنش در آن انجام میشود و ماهانه ۱۴۰ میلیون و سالانه بیش از ۱.۶ میلیارد تراکنش را میزبانی میکند و بر خلاف ادعای مدیران بانک مرکزی، حتی یک مورد لو رفتن اطلاعات بانکی در بستر آن رخ نداده است و با توجه به گزارشهای پلیس فتا و گزارشهای بانکی نیز تا به امروز مشکل جدی در این زمینه مطرح نشده است، از کجا و چگونه به وجود میآید؟ در این میان چه کسی باید در قبال اعتماد سالهای گذشته مردم که به طور گسترده از این سرویسها استفاده کردهاند، پاسخگو باشد؟
قرار بود از نیمه بهمن امسال تراکنشهای فاقد رمزنگاری از مبدا تا مقصد وجود نداشته باشد
بخشنامه بانک مرکزی نه تنها برای مردم مشغولیت فکری ایجاد میکند بلکه اعتماد آنها را نیز از بین میبرد
اگر ناامنی وجود داشت و مشکلات حادی به این دلیل تا به امروز رخ داده بود، به طور حتم پلیس وارد عمل میشد
وزیر ارتباطات: اگر اپراتورها نتوانند از عهده تضمین امنیت بسترهای USSD برآیند، نباید این شیوه ادامه پیدا کند
بخشنامه بانک مرکزی
اینطور که مطرح شده اعمال محدودیت بر سرویسهای USSD در راستای بخشنامه اخیر بانک مرکزی است. به تازگی بانک مرکزی بخشنامهای به بانکها ابلاغ کرده که در نتیجه تغییراتی در انجام تراکنشهای مالی، دسترسی به حساب مشتریان بانکها برای عواملی غیر از بانک یا ارائه دهنده خدمات پرداخت محدود شده و از امنیت بالاتری برخوردار میشود. بر اساس بخشنامه بانک مرکزی، نباید اطلاعات حساس کارت مشتریان از جمله رمز دوم آنها از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیرهسازی یا مشاهده آن توسط عواملی غیر از بانک یا ارائهدهنده خدمات پرداخت وجود دارد، مبادله شود. بر این اساس قرار بود از نیمه بهمن امسال تراکنشهای فاقد رمزنگاری از مبداتا مقصد وجود نداشته باشد، مگر برای پرداخت قبوض عمومی از جمله آب، برق، گاز و تلفن شهری. همچنین قرار شده است در صورت اجرای این مصوبه تراکنشهای مربوط به خرید شارژ یا قبضهای ویژه در شبکههای شتاب و شاپرک نیز پذیرش و پردازش نشود، به عبارتی اطلاعات رمزنگاری شده هستند که پذیرش میشوند. در این حالت پردازش از کدهای USSD که اطلاعات در آنجا به صورت رمزنگاری نیستند، محدود به پرداخت قبوض عمومی میشود و اپلیکیشنهایی که خود بانکها طراحی کردند، جایگزین آنها خواهند شد.
نگرانی از ورشکستگی بانکها
به دلیل اینکه شمار بسیار بالای تراکنش و اقبال شدید مردم به استفاده از این شیوه پرداخت است، مسئولان بانکی را نگران کرده و موجب شکل گیری بخشنامه جدید بانک مرکزی شده؛ این جملات را یک کارشناس حوزه فناوری به «تابناک» گفته و ادامه داده است: «چون ایشان میترسند با رونق بیشتر USSD، بانکها ورشکست شوند و بنابر آن میخواهند با دستاویز قرار دادن بحث امنیت که برای مردم بسیار اهمیت دارد، این تراکنشها را به بانکها بازگردانند و مانع از ورشکست شدنشان شوند». جالب اینجاست که استفاده از این سرویسهادر بسیاری از کشورهای دنیا به صورت گسترده انجام می گیرد و مردم برای بسیاری از خریدها و انجام امور الکترونیک خود از این سرویسها بهره میگیرند.
ضرر برای دولت
نکته جالب این است که در بخشنامه بانک مرکزی ذکر شده که این روشها تنها برای پرداخت قبوض امنیت دارد؛ حال این سوال پیش میآید که اگر بحث عدم امنیت مطرح است، چگونه ممکن است در برخی موارد امنیت وجود داشته باشد و در برخی موارد دیگرچنین نباشد؟ این یکی از شبهاتی است که میتوان به این بخشنامه وارد کرد. از سوی دیگر برخی کارشناسان معتقدند که این بخشنامه به ضرر دولت نیز هست زیرا بر اساس مصوبات بالادستی، دولت از محل همه تراکنشهای بانکی درصدی دریافت میکند که با بخشنامه اخیر، این درصد هم قطع خواهد شد. این در حالی است که در همه تراکنشهای صورت گرفته بر این بستر، شفافیت مالی در بالاترین حد خود قرار دارد و امثال مالیات بر ارزش افزوده دقیق محاسبه و پرداخت میشود که این بخشنامه این شفافیتها را نیز از بین خواهد برد.
سرویسهایی با مجوز بانک مرکزی
در همین خصوص روز گذشته وزیر ارتباطات و فناوری اطلاعات درباره مباحث اخیر مطرح شده در مورد قطع سرویس USSD در کشور تاکید کرد و گفت: اگر اپراتورها نتوانند از عهده تضمین امنیت بسترهای USSD برآیند، بهطور حتم نظر ما نیز این است که این شیوه ادامه پیدا نکند. در هر صورت تصمیم بانک مرکزی در کلیت خودش تصمیم درستی است و اینکه امنیت را در خدمات بانکی لحاظ کنیم یک ضرورت درست است؛ چراکه اکنون در بستر USSD، از دکل مخابراتی تا شبکه بانکی، اطلاعات کارت مشتریان را در دست دارند و این خود یک مخاطره به شمار میرود. USSD از ابتدا با مجوز خود بانک مرکزی به وجود آمد. بخش عمدهای از خرید مردم از خدمات اپراتورها روی بستر USSD انجام میشود؛ بنابراین زمانی که سرویسی دارای محبوبیت در بهرهبرداری است اگر بخواهیم تغییراتی در آن انجام دهیم، باید تاثیراتش را در بازار بسنجیم. با این حال باید ملاحظات را در انجام این گونه تغییرات در نظر گرفت.
تضمین امنیت بستر USSD
آذری جهرمی ادامه داد: همانطور که بانک مرکزی تنظیمکننده روابط بانکی در کشور است، ما هم به عنوان وزارت ارتباطات، تنظیمکننده مقرارت ارتباطاتی در کشور هستیم. در صحبتی که با آقای دکتر سیف داشتیم، برای ایشان تشریح کردیم که این اقدام تبعاتی به همراه دارد و به همین خاطر اعضای سازمان تنظیم مقررات ارتباطات نشست مفصلی با مسئولان بانک مرکزی داشتند و اپراتورها گفتند که اگر مساله امنیت این تراکنشهاست ، ما آن را امن میکنیم. قرار شد تا اقداماتی را سازمان تنظیم مقررات ارتباطات در جهت خواستههای بانک مرکزی انجام دهد تا امنیت بستر USSD تضمین شود. در همین راستا کمیتهای نیز برای پیگیری خواستههای بانک مرکزی تشکیل شده است. البته مباحثی میان دو گروه در بازار که بر اپلیکیشنها و USSDها کار میکنند وجود دارد و چون این دو دسته با هم رقابت دارند، هر کدام سعی میکنند بازار دیگری را از آن خود کنند. اینکه آنها با یکدیگر رقابت میکنند، مساله نیست بلکه مساله این است که مردم از این مجرا آسیب نبینند.
عدم امنیت سرویسها تایید شده نیست
درباره بحث ناامنی این سرویسها که از سوی بانک مرکزی مطرح شده است، سید مهدی میرمهدی کمیجانی، رییس اتحادیه فناوران یارانه به «قانون» میگوید: اینکه اعلام شده این سرویسها امنیت لازم را ندارند از نظر ما تاییدشده نیست و ما هیچ مشکلی در عملکرد آنها نمی بینیم. متاسفانه وقتی سخنی بیان میشود و به مطبوعات و صدا وسیما نیز راه پیدا میکند، هیچ توضیحی به مردم داده نمیشود که پیشزمینه سخن مطرح شده چیست. در حال حاضر نیز که بانک مرکزی بحث عدم امنیت این سرویسها را مطرح میکند، مشاهده میکنید که سالهاست این سرویسها در حال فعالیت هستند، بدون اینکه هیچ مشکلی برای مردم از طریق استفاده از آنها ایجاد شده باشد. حتی در بسیاری موارد رضایت کامل مردم از استفاده از این سرویسها نیز وجود داشته است. در حالیکه اکنون مطرح شدن این بحث باعث شده که مردم بعد از سالها دوباره به استفاده از پول نقد روی بیاورند و این کار درست نیست. به هر حال ما به هیچوجه عدم امنیت این سرویسها را تایید نمیکنیم و امنیت آنها از نظر ما صد در صد تضمین شده است. همانطور که مشاهده می کنید تا به امروز نیز این سیستمها به درستی کار کردهاند.
احتمال وجود پشت پرده
رییس اتحادیه فناوران یارانه ادامه میدهد: اگر ناامنی وجود داشت و در این مورد مشکلات حادی تا به امروز رخ داده بود، به طور حتم پلیس وارد عمل میشد و تذکرات لازم را میداد؛ بنابراین دلیل محدود شدن استفاده از آنها به طور یقین نامنی آنها نیست و دلیل دیگری دارد که در این زمینه بانک مرکزی با مردم صادقانه صحبت نمیکند. به هر حال امکان دارد این مساله پشت پردههایی داشته باشد که ما از آن مطلع نیستیم. این حرکت بانک مرکزی نه تنها برای مردم مشغولیت فکری ایجاد میکند بلکه اعتماد آنها را نیز از بین میبرد. این اعتماد به سادگی به دست نیامده بود و اگر قرار باشد یک شبه بحث امنیت مطرح شود و مردم را با این مسائل درگیر کنند، منصفانه نیست.
منبع: روزنامه قانون