ناامنی USSD بهانهای برای سرپا نگهداشتن بانکها؟
بعد از بخشنامه بانک مرکزی برای توقف USSD چند روزی است که در رسانهها و شبکههای اجتماعی این موضوع مطرح است که فقط در کشور ایران و کنیا USSD استفاده میشود و کارشناسان متعددی بر عدم امنیت این کدهای دستوری تأکید کردهاند. بیشتر کارشناسان این حوزه معتقدند که خرید شارژ با بستر USSD از اول اشتباه بوده است و میگویند این کار باید در ایران هم متوقف شود.
سرویس فناوری فردا: بعد از بخشنامه بانک مرکزی برای توقف USSD چند روزی است که در رسانهها و شبکههای اجتماعی این موضوع مطرح است که فقط در کشور ایران و کنیا USSD استفاده میشود و کارشناسان متعددی بر عدم امنیت این کدهای دستوری تأکید کردهاند؛ بیشتر کارشناسان این حوزه معتقدند که خرید شارژ با بستر USSD از اول اشتباه بوده و میگویند این کار باید در ایران هم متوقف شود.
کدهای دستوری پرداخت در ایران، بیشک یک الگوبرداری ناشیانه از استفاده از کدهای دستوری در کشورهای کمتر توسعه یافته است و این الگوبرداری ناصحیح از شرکتهایی مانند mpesa است، در این الگوبرداری کسی توجه نکرد که پرداختهای این سیستمها بر مبنای میزان شارژ نقدی سیمکارت انجام میشود نه بر اساس پرداخت آنلاین کارتی و در این نوع پرداختها در هیچ کجای دنیا از کاربر اطلاعات شماره کارت و رمز دریافت نمیشود.
بر اساس بخشنامه بانک مرکزی هم نباید اطلاعات حساس کارت مشتریان از جمله رمز دوم آنها از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیرهسازی یا مشاهده آن توسط عواملی غیر از بانک یا ارائهدهنده خدمات پرداخت وجود دارد، مبادله شود. اما نکته جالب این است که در بخشنامه بانک مرکزی ذکر شده که این روشها تنها برای پرداخت قبوض امنیت دارد؛ حال این سؤال پیش میآید که اگر بحث عدم امنیت مطرح است، چگونه ممکن است در برخی موارد امنیت وجود داشته باشد و در برخی موارد دیگر چنین نباشد؟
درخصوص مشکلات امنیتی کدهای دستوری باید گفت، این کدها امکان رمزنگاری ندارند و وقتی شماره کارت و رمز از طریق آنها ارسال میشود دو اتفاق رخ میدهد. اینکه در مسیر قابلیت شنود وجود دارد و دوم اینکه از محلی عبور میکند که اپراتور موبایل است و این محل تحت کنترل و نظارت ناظر پولی کشور یعنی بانک مرکزی نیست. در این شرایط از دو جهت خطر وجود دارد؛ اول اینکه قابل هک هستند و دوم آنکه چون تحت نظارت بانک مرکزی نیست امکان سوءاستفاده احتمالی در سایر ارگانها وجود دارد. درواقع بخاطر اینکه تحت نظارت بانک مرکزی نیستند امکان این وجود دارد که توسط کارمندان و یا افرادی که پیشنیازهای بانک مرکزی را ندارند و بررسی لازم روی آنها انجام نشده مورد سوءاستفاده قرار بگیرد. ولی خطر اصلی همان خطر اول یعنی مشکل plain text و رمزنگاری نشده بودن آنها است که باعث میشود هر کسی در مسیر بتواند آنها را شنود کند.
در گذشته موارد خیلی خیلی کمی از سوءاستفاده از مشکلات امنیتی کدهای دستوری گزارش شده است. خوشبختانه در این حوزه آنقدر سوء استفاده بزرگ نشده بود و خیلی شناخته شده نبوده است. در دنیا هم سالهاست که این روش دیگر منسوخ شده که شما پرداخت را روی کانال USSD انجام دهید. به خاطر اینکه روش های بسیار گوناگونی به موازات این کدها ایجاد شده که هم از نظر استفاده راحتتر است و هم اینکه از نظر امنیتی بسیار بالاتر است. مخصوصا اینکه شما در فضای پرداخت که وارد میشوید یک سری استانداردهای امنیتی در دنیا وجود دارد. برای اینکه بتوانید آنها را رعایت کنید نیازمند آن هستیم که تکنولوژیهای خود را ارتقاء دهیم. USSD از اولین تکنولوژیهای مخابراتی استفاه میکند که در گوشیهای قدیمی هم وجود داشته است. برای ارتقاء امنیتی پرداختها لازم است که از تکنولوژیهای قدیمی که ساپورت لازم برای استانداردهای امنیتی جدید را ندارند فاصله بگیریم.
روز یکشنبه وزیر ارتباطات و فناوری اطلاعات درباره مباحث اخیر مطرح شده در مورد قطع سرویس USSD در کشور تأکید کرد و گفت: «اگر اپراتورها نتوانند از عهده تضمین امنیت بسترهای USSD برآیند، بهطور حتم نظر ما نیز این است که این شیوه ادامه پیدا نکند. در هر صورت تصمیم بانک مرکزی در کلیت خودش تصمیم درستی است و اینکه امنیت را در خدمات بانکی لحاظ کنیم یک ضرورت درست است؛ چراکه اکنون در بستر USSD، از دکل مخابراتی تا شبکه بانکی، اطلاعات کارت مشتریان را در دست دارند و این خود یک مخاطره به شمار میرود. اما باید گفت که USSD از ابتدا با مجوز خود بانک مرکزی به وجود آمد. بخش عمدهای از خرید مردم از خدمات اپراتورها روی بستر USSD انجام میشود؛ بنابراین زمانی که سرویسی دارای محبوبیت در بهرهبرداری است اگر بخواهیم تغییراتی در آن انجام دهیم، باید تأثیراتش را در بازار بسنجیم. با این حال باید ملاحظات را در انجام این گونه تغییرات در نظر گرفت.»
آذری جهرمی ادامه داد: «همانطور که بانک مرکزی تنظیمکننده روابط بانکی در کشور است، ما هم به عنوان وزارت ارتباطات، تنظیمکننده مقرارت ارتباطاتی در کشور هستیم. در صحبتی که با آقای دکتر سیف داشتیم، برای ایشان تشریح کردیم که این اقدام تبعاتی به همراه دارد و به همین خاطر اعضای سازمان تنظیم مقررات ارتباطات نشست مفصلی با مسئولان بانک مرکزی داشتند و اپراتورها گفتند که اگر مسئله امنیت این تراکنشهاست، ما آن را امن میکنیم. قرار شد تا اقداماتی را سازمان تنظیم مقررات ارتباطات در جهت خواستههای بانک مرکزی انجام دهد تا امنیت بستر USSD تضمین شود. در همین راستا کمیتهای نیز برای پیگیری خواستههای بانک مرکزی تشکیل شده است. البته مباحثی میان دو گروه در بازار که بر اپلیکیشنها و USSD ها کار میکنند وجود دارد و چون این دو دسته با هم رقابت دارند، هر کدام سعی میکنند بازار دیگری را از آن خود کنند. اینکه آنها با یکدیگر رقابت میکنند، مسئله نیست بلکه مسئله این است که مردم از این مجرا آسیب نبینند.»
این در حالی است که رئیس اتحادیه فناوران یارانه در رابطه با ناامنی USSD گفته: «اگر ناامنی وجود داشت و در این مورد مشکلات حادی تا به امروز رخ داده بود، به طور حتم پلیس وارد عمل میشد و تذکرات لازم را میداد؛ بنابراین دلیل محدود شدن استفاده از آنها به طور یقین نامنی آنها نیست و دلیل دیگری دارد که در این زمینه بانک مرکزی با مردم صادقانه صحبت نمیکند. به هر حال امکان دارد این مسئله پشت پردههایی داشته باشد که ما از آن مطلع نیستیم. این حرکت بانک مرکزی نه تنها برای مردم مشغولیت فکری ایجاد میکند بلکه اعتماد آنها را نیز از بین میبرد. این اعتماد به سادگی به دست نیامده بود و اگر قرار باشد یک شبه بحث امنیت مطرح شود و مردم را با این مسائل درگیر کنند، منصفانه نیست.»
بسیاری از افراد بر این باورند که بانک مرکزی ناامنی USSD را بهانهای برای سرپا نگه داشتن بانکها کرده تا از ورشکستی رهایی یابند؛ زیرا شمار بسیار بالای تراکنش و اقبال شدید مردم به استفاده از این شیوه پرداخت است و همین موضوع مسئولان بانکی را نگران کرده است. و موجب شکل گیری بخشنامه جدید بانک مرکزی شده تا بتوانند این تراکنشها را دوباره به بانکها برگرداند.