چالش ستاره مربعها چگونه حل می شود؟
بخشنامه اخیر بانک مرکزی در مورد اعمال محدودیت برای سیستمهای پرداخت مبتنی بر کدهای USSD یا همان ستاره مربعها باعث شد که این سیستم پرداخت بیش از گذشته زیر ذره بین کارشناسان برود و راهکارهایی برای حفظ امنیت این کدها مورد بررسی قرار گیرد.
موبنا – همزمان با اعلام بخشنامه بانک مرکزی مبنی بر انحلال خدمات پرداخت مبتنی بر کدهای USSD، برخی کارشناسان بانکداری الکترونیک این اتفاق را حرکتی در جهت تضمین امنیت بیشتر اطلاعات حسابهای بانکی مشتریان تلقی کردند امری که البته شاید به تنهایی برای بستن مجرای USSD کافی به نظر نرسد چراکه حالا بسیاری از شهروندان در نقاط روستایی که دسترسی به اینترنت در آنجا ضعیفتر است، از طریق همین USSDها اقدام به خرید شارژ تلفن میکنند که با بسته شدن این فضا احتمالا متحمل مشکلاتی خواهند شد.
اساسا زمانی که به یک تکنولوژی اجازه گسترش و فعالیت داده میشود، بعد از مدتی آنقدر در بین مردم اصطلاحا جا باز میکند که دیگر برچیدنش بسیار سخت میشود؛ ضمن اینکه ممکن است بسیاری از کسبوکارها هم فعالیتشان را بر پایه آن فناوری بنا کنند که اینجا دیگر باید قبل از هر اقدامی به تبعات تصمیماتی همچون برچیدن USSDها فکر کرد.
اپراتورها تضمین امنیت نکنند USSDها قطع میشوند
وزیر ارتباطات و فناوری اطلاعات درباره مباحث اخیر مطرح شده در مورد قطع سرویس USSD در کشور تاکید کرد که اگر اپراتورها نتوانند از عهده تضمین امنیت بسترهای USSD بربیایند، قطعا نظر ما هم این است که این شیوه ادامه پیدا نکند.
محمدجواد آذری جهرمی معتقد است که تصمیم بانک مرکزی در کلیت خودش تصمیم درستی است و اینکه امنیت را در خدمات بانکی لحاظ کنیم یک ضرورت درست است. چراکه اکنون در بستر USSD، از دکل مخابراتی تا شبکه بانکی، اطلاعات کارت مشتریان را در دست دارند و این خود یک مخاطره است.
USSD از ابتدا با مجوز خود بانک مرکزی به وجود آمده است و بخش عمدهای از خرید مردم از خدمات اپراتورها برروی بستر USSD انجام میشود و به گفته جهرمی زمانی که سرویسی دارای محبوبیت در بهرهبرداری است، اگر بخواهیم تغییراتی در آن انجام دهیم، باید تاثیرات آن را در بازار نیز بسنجیم.
وزیر ارتباطات باوجود تایید نگاه بانک مرکزی درباره لحاظ کردن مسائل امنیتی مشتریان بانکها تاکید دارد که با این حال باید ملاحظات را در انجام اینگونه تغییرات در نظر گرفت. در حال حاضر بعد از USSD ها بیشترین خرید شارژها از خرید دستگاههای POS انجام میشود، اما خرید از طریق دستگاههای POS گاهی گزارش شده تا سقف ۱۵۰۰ تومان درباره کارت شارژهای ۱۰ هزار تومانی برای مشتریان هزینه داشته است.
وی این اتفاق را موجب کاهش بازار حوزه ICT و متضرر شدن مردم دانست و گفت: به همین ترتیب اقتصاد حوزه ارتباطات و فناوری اطلاعات کوچکتر میشود و علت آن هم کاهش خرید مردم از خدمات این حوزه است که ما نمیتوانیم در قبال این مساله بیتفاوت باشیم.
وزیر ارتباطات اخیرا در اظهاراتی با اشاره به تفاهمی میان اپراتورهای تلفن همراه و شرکتهای پرداخت الکترونیک (PSP) به پیشنهادی اشاره کرد که بر اساس آن، مدل امنیتی برای تراکنشها با قرار دادن یک اپلت روی سیمکارت صورت گیرد تا ملاحظات بانک مرکزی برای امنیت این روش پرداخت الکترونیک محقق شود؛ هم اکنون این راهکار رگولاتوری در دست بررسی و انجام است.
USSD برای دوران گذار بود
از سوی دیگر برخی از کارشناسان حوزه بانکداری الکترونیک با اشاره به وضع محدودیتهای جدید برای فعالیت های مرتبط با USSDها، این فناوری را مربوط به دوران گذار بانکداری الکترونیک توصیف می کنند که حالا هم زمان آنها به سر آمده است.
ایمان اسلامیان، با بیان اینکه USSD عملا به دوران گذار توسعه فناوریهای بانکداری الکترونیکی مربوط بودهاند، گفت: برخی از کشورها حتی به خاطر سرعت بالای اینترنت و اقتصادی دیجیتالی خود اساسا تجربه USSDها را از سر نگذراندهاند، چرا که این فناوری ضعفهای امنیتی جدی را در خود دارد.
بر این اساس تجربه USSD در کشور، مناسب زمانی بود که اینترنت رایج نبود؛ در آن زمان، فناوری USSD تنها مجرای جایگزین برای پرداختهای خرد به شمار میرفت که به گفته تحلیلگران برخی از شرکتها با استفاده از این فناوری و حتی اخذ کارمزد بیشتر از بانکها و بعضا مشتریان توانستند به سودهای کلانی دست پیدا کنند. اپلیکیشنهای اینترنتی میتواند توسط شرکتهای کوچک برای ارائه خدمات بانکی بانکها به مردم طراحی شود که این هم برای بانکها و هم برای شرکتها سودآور است و هم مردم از خدمات آن منتفع میشود.
در شرایطی که امروزه بانکداری باز در دنیا در حال توسعه است، در این نوع بانکداری بانکها ارائه خدمات خود را به صورت منعطف طراحی میکنند و API خود را در خدمت طراحان فین تکها و شرکتهای کوچک برای ارائه خدمات به کاربران و مشتریان قرار میدهد. همانطور که در حال حاضر نیز بسیاری از خدمات بانکها به صورت آنلاین در دسترس مشتریان قرار دارد. تمام بانکها به دلیل در اولویت بودن ارائه سرویس سعی میکنند تا راهکارهای موقتی را ارائه دهند و به صورت موقتی امنیت را در اولویت قرار ندهند و گرنه در صورت وجود زیرساختهای اینترنتی، اپلیکیشنهای بانکها از ضریب امنیتی بسیار بالایی برخوردارند.
تکلیف مناطق دورافتاده با قطع USSD چه میشود؟
اما مصطفی امیری – کارشناس حوزه بانکداری الکترونیکی در پاسخ به این ابهام که آیا ضعف اینترنت در نقاط دورافتاده و روستایی باعث به مشکل خوردن مردم برای دریافت خدماتی چون خرید شارژ میشود اظهار کرد: الان در بسیاری از نقاط کشور اینترنت ۴G وجود دارد و در نقاط شهری و حتی بینشهری و جادهای هم اینترنت وجود دارد و امروزه در سبد خانوار قرار گرفته است و نمیتواند بهانهای برای عدم اجرای این طرح بانک مرکزی باشد.
وی اضافه کرد: حتی اگر قبول کنیم در بعضی از نقاط در مورد اینترنت مشکلاتی وجود دارد اما باید پذیرفت که امروزه حدود شش میلیون دستگاه POS در کشور توزیع شده است، ضمن اینکه تعداد زیادی هم دستگاههای خودپرداز در اقصی نقاط کشور وجود دارد. امروزه تنها در چند کشور آفریقایی و افغانستان است که فناوری مشابه فناوریهای USSD مورد استفاده قرار میگیرد و واقعیت این است که سیستم USSD برای بسیاری از کشورها ناشناخته است، به طوری که حتی برخی از این کشورها آن را تجربه هم نکردند.
ضرر اپراتورها از بسته شدن بستر USSD
اما محمد جلالیان با اشاره به همزمانی اجرای دو طرح تسویهحساب ۲۴ ساعت یکبار تراکنشها با حذف USSDها، اظهار کرده است که احتمال میرود این همزمانی باعث شود تا برای مدت کوتاهی مقوله USSDها از توجه خارج شود، اما واقعیت این است که بانک مرکزی در اجرای طرح حذف USSDها جدی است و بعد از اینکه مسائل مربوط به پذیرندههای کارتهای بانکی حل شود دوباره توجهها به سمت USSD جلب شود.
این کارشناس بانکداری الکترونیک با بیان اینکه استفاده از USSD در سالهای اخیر رو به رشد بوده است، اضافه کرد: البته بانک مرکزی سیستمها را به گونهای طراحی کرده است که اگر اتفاقی هم بیفتد ابعاد گستردهای پیدا نمیکند. با افزایش ضریب نفوذ اینترنت در کشور و آشنایی بیشتر شهروندان با آن میتوان به تدریج USSDها را به طور کامل کنار زد.
طبق اظهارات جلالیان بانک مرکزی در سالهای اخیر برخی تراکنشها و اعلام موجودی از طریق این بستر را ممنوع کرده بود؛ محدود کردن سرویس USSD البته غیرقابل پیشبینی نبود. به این خلأ امنیتی باید زیادهخواهی اپراتورها در استفاده از سرویس USSD را اضافه کرد. آنها با فروش شارژ از این مجرا میزان توزیع و درآمدشان بیشتر شده است ضمن اینکه دیگر هزینه بالای چاپ و توزیع کارتهای کاغذی شارژ را هم متحمل نمیشوند.
بر این اساس اگر بستر USSD برای اپراتورها فراهم نبود، آنها باید هزینه بیشتری را برای توزیع شارژ متحمل میشدند؛ اما آنها علاوه بر این کارمزد فروش شارژ خود را از طریق بستر USSD از شبکه بانکی هم دریافت میکنند که عملا باعث میشود که خود شرکتها و اپراتورها هزینه توزیع شارژ را پرداخت کنند، بانکها این هزینه را متقبل شوند.
نمیشود USSDها را یک شبه برچید
اما رییس سازمان نظام صنفی رایانهای کشور، درباره مباحث مربوط به محدودیت USSDها میگوید: اگر حاشیهها را کنار بزنیم، وقتی بانکها یکسری مسائل را میگویند، قطعا یک چیزی وجود داشته که این مسائل مطرح شده و اینگونه نیست که کسی بخواهد از روی مسائل غیرواقعی مطلبی را بیان کند؛ چون USSDها داشتند کارشان را میکردند.
ناصرعلی سعادت با اشاره به توافق صورت گرفته بین وزارت ارتباطات و فناوری اطلاعات و بانک مرکزی برای توقف حذف USSD ها اظهار کرد: باید بیشتر برروی این مساله کار تحقیقاتی صورت گیرد تا بتوان به تصمیم درست و جامعی رسید. واقعیت این است که مسئولان ما در این حوزه باید دور هم جمع شوند و مشکلات مربوط به این قضیه را پیگیری و حل کنند. نمیتوان اینگونه مسائل را یک شبه حل کرد، چراکه بسیاری از کسبوکارها بر اساس آنها بنا شدهاند.
او درباره فراگیری استفاده از کدها مبتنی بر USSD نیز اضافه کرد: مردم میآیند و درگیر این خدمات میشوند؛ تجارتها هم اساس کارشان را برروی این ثروتها بنا میکنند. اینها باعث میشود تا نتوان به طور ناگهانی این سرویسها را قطع کرد بلکه باید به این گونه مسائل حاشیهای هم توجه شود.
اخیرا بانک مرکزی بخشنامهای به بانکها ابلاغ کرد مبنی بر اینکه در نتیجه تغییراتی در انجام تراکنشهای مالی، دسترسی به حساب مشتریان بانکها برای عواملی غیر از بانک یا ارایه دهنده خدمات پرداخت محدود شده و از امنیت بالاتری برخوردار میشود.
بر اساس بخشنامه بانک مرکزی نباید اطلاعات حساس کارت مشتریان از جمله رمز دوم آنها از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیره سازی یا مشاهده آن توسط عواملی غیر از بانک یا ارایه دهنده خدمات پرداخت وجود دارد، مبادله شود. بر این اساس قرار بود از نیمه بهمن ماه امسال تراکنشهای فاقد رمزنگاری از مبدأ تا مقصد حذف شود، مگر برای پرداخت قبوض عمومی از جمله آب، برق، گاز و تلفن شهری که البته با مذاکراتی که وزارت ارتباطات با بانک مرکزی انجام داده، این موضوع فعلا متوقف شده است و این سوال وجود دارد که سرنوشت این کدها چه خواهد شد؟
در هر حال در صورت اجرای این مصوبه، تراکنشهای مربوط به خرید شارژ یا قبضهای ویژه در شبکههای شتاب و شاپرک نیز پذیرش و پردازش نمیشود. به عبارتی فقط اطلاعات رمزنگاری شده پذیرش میشود. در این حالت پردازش از کدهای USSD که اطلاعات در آنجا به صورت رمزنگاری نیستند، به پرداخت قبوض عمومی محدود میشود و این اپلیکیشنهایی که خود بانکها طراحی کردند، جایگزین آنها خواهند شد.
منبع: ایسنا