چالش ستاره مربع‌ها چگونه حل می شود؟

بخشنامه اخیر بانک مرکزی در مورد اعمال محدودیت برای سیستم‌های پرداخت مبتنی بر کد‌های USSD یا همان ستاره مربع‌ها باعث شد که این سیستم پرداخت بیش از گذشته زیر ذره بین کارشناسان برود و راهکار‌هایی برای حفظ امنیت این کد‌ها مورد بررسی قرار گیرد.

کد خبر : 783805
خبرگزاری ایسنا: بخشنامه اخیر بانک مرکزی در مورد اعمال محدودیت برای سیستم‌های پرداخت مبتنی بر کد‌های USSD یا همان ستاره مربع‌ها باعث شد که این سیستم پرداخت بیش از گذشته زیر ذره بین کارشناسان برود و راهکار‌هایی برای حفظ امنیت این کد‌ها مورد بررسی قرار گیرد.
همزمان با اعلام بخشنامه بانک مرکزی مبنی بر انحلال خدمات پرداخت مبتنی بر کد‌های USSD، برخی کارشناسان بانکداری الکترونیک این اتفاق را حرکتی در جهت تضمین امنیت بیشتر اطلاعات حساب‌های بانکی مشتریان تلقی کردند امری که البته شاید به تنهایی برای بستن مجرای USSD کافی به نظر نرسد چراکه حالا بسیاری از شهروندان در نقاط روستایی که دسترسی به اینترنت در آنجا ضعیف‌تر است، از طریق همین USSD‌ها اقدام به خرید شارژ تلفن می‌کنند که با بسته شدن این فضا احتمالا متحمل مشکلاتی خواهند شد. اساسا زمانی که به یک تکنولوژی اجازه گسترش و فعالیت داده می‌شود، بعد از مدتی آنقدر در بین مردم اصطلاحا جا باز می‌کند که دیگر برچیدنش بسیار سخت می‌شود؛ ضمن اینکه ممکن است بسیاری از کسب‌وکار‌ها هم فعالیتشان را بر پایه آن فناوری بنا کنند که اینجا دیگر باید قبل از هر اقدامی به تبعات تصمیماتی همچون برچیدن USSD‌ها فکر کرد. اپراتور‌ها تضمین امنیت نکنند USSD‌ها قطع می‌شوند وزیر ارتباطات و فناوری اطلاعات درباره مباحث اخیر مطرح شده در مورد قطع سرویس USSD در کشور تاکید کرد که اگر اپراتور‌ها نتوانند از عهده تضمین امنیت بستر‌های USSD بربیایند، قطعا نظر ما هم این است که این شیوه ادامه پیدا نکند. محمدجواد آذری جهرمی معتقد است که تصمیم بانک مرکزی در کلیت خودش تصمیم درستی است و این‌که امنیت را در خدمات بانکی لحاظ کنیم یک ضرورت درست است. چراکه اکنون در بستر USSD، از دکل مخابراتی تا شبکه بانکی، اطلاعات کارت مشتریان را در دست دارند و این خود یک مخاطره است. USSD از ابتدا با مجوز خود بانک مرکزی به وجود آمده است و بخش عمده‌ای از خرید مردم از خدمات اپراتور‌ها برروی بستر USSD انجام می‌شود و به گفته جهرمی زمانی که سرویسی دارای محبوبیت در بهره‌برداری است، اگر بخواهیم تغییراتی در آن انجام دهیم، باید تاثیرات آن را در بازار نیز بسنجیم. وزیر ارتباطات باوجود تایید نگاه بانک مرکزی درباره لحاظ کردن مسائل امنیتی مشتریان بانک‌ها تاکید دارد که با این حال باید ملاحظات را در انجام اینگونه تغییرات در نظر گرفت. در حال حاضر بعد از USSD‌ها بیشترین خرید شارژ‌ها از خرید دستگاه‌های POS انجام می‌شود، اما خرید از طریق دستگاه‌های POS گاهی گزارش شده تا سقف ۱۵۰۰ تومان درباره کارت شارژ‌های ۱۰ هزار تومانی برای مشتریان هزینه داشته است. وی این اتفاق را موجب کاهش بازار حوزه ICT و متضرر شدن مردم دانست و گفت: به همین ترتیب اقتصاد حوزه ارتباطات و فناوری اطلاعات کوچک‌تر می‌شود و علت آن هم کاهش خرید مردم از خدمات این حوزه است که ما نمی‌توانیم در قبال این مساله بی‌تفاوت باشیم. وزیر ارتباطات اخیرا در اظهاراتی با اشاره به تفاهمی میان اپراتور‌های تلفن همراه و شرکت‌های پرداخت الکترونیک (PSP) به پیشنهادی اشاره کرد که بر اساس آن، مدل امنیتی برای تراکنش‌ها با قرار دادن یک اپلت روی سیم‌کارت صورت گیرد تا ملاحظات بانک مرکزی برای امنیت این روش پرداخت الکترونیک محقق شود؛ هم اکنون این راهکار رگولاتوری در دست بررسی و انجام است. USSD برای دوران گذار بود از سوی دیگر برخی از کارشناسان حوزه بانکداری الکترونیک با اشاره به وضع محدودیت‌های جدید برای فعالیت‌های مرتبط با USSD ها، این فناوری را مربوط به دوران گذار بانکداری الکترونیک توصیف می‌کنند که حالا هم زمان آن‌ها به سر آمده است. ایمان اسلامیان، با بیان این‌که USSD عملا به دوران گذار توسعه فناوری‌های بانکداری الکترونیکی مربوط بوده‌اند، گفت: برخی از کشور‌ها حتی به خاطر سرعت بالای اینترنت و اقتصادی دیجیتالی خود اساسا تجربه USSD‌ها را از سر نگذرانده‌اند، چرا که این فناوری ضعف‌های امنیتی جدی را در خود دارد. بر این اساس تجربه USSD در کشور، مناسب زمانی بود که اینترنت رایج نبود؛ در آن زمان، فناوری USSD تنها مجرای جایگزین برای پرداخت‌های خرد به شمار می‌رفت که به گفته تحلیلگران برخی از شرکت‌ها با استفاده از این فناوری و حتی اخذ کارمزد بیشتر از بانک‌ها و بعضا مشتریان توانستند به سود‌های کلانی دست پیدا کنند. اپلیکیشن‌های اینترنتی می‌تواند توسط شرکت‌های کوچک برای ارائه خدمات بانکی بانک‌ها به مردم طراحی شود که این هم برای بانک‌ها و هم برای شرکت‌ها سودآور است و هم مردم از خدمات آن منتفع می‌شود. در شرایطی که امروزه بانکداری باز در دنیا در حال توسعه است، در این نوع بانکداری بانک‌ها ارائه خدمات خود را به صورت منعطف طراحی می‌کنند و API خود را در خدمت طراحان فین تک‌ها و شرکت‌های کوچک برای ارائه خدمات به کاربران و مشتریان قرار می‌دهد. همانطور که در حال حاضر نیز بسیاری از خدمات بانک‌ها به صورت آنلاین در دسترس مشتریان قرار دارد. تمام بانک‌ها به دلیل در اولویت بودن ارائه سرویس سعی می‌کنند تا راهکار‌های موقتی را ارائه دهند و به صورت موقتی امنیت را در اولویت قرار ندهند و گرنه در صورت وجود زیرساخت‌های اینترنتی، اپلیکیشن‌های بانک‌ها از ضریب امنیتی بسیار بالایی برخوردارند. تکلیف مناطق دورافتاده با قطع USSD چه می‌شود؟ اما مصطفی امیری - کارشناس حوزه بانکداری الکترونیکی در پاسخ به این ابهام که آیا ضعف اینترنت در نقاط دورافتاده و روستایی باعث به مشکل خوردن مردم برای دریافت خدماتی، چون خرید شارژ می‌شود اظهار کرد: الان در بسیاری از نقاط کشور اینترنت ۴G وجود دارد و در نقاط شهری و حتی بین‌شهری و جاده‌ای هم اینترنت وجود دارد و امروزه در سبد خانوار قرار گرفته است و نمی‌تواند بهانه‌ای برای عدم اجرای این طرح بانک مرکزی باشد. وی اضافه کرد: حتی اگر قبول کنیم در بعضی از نقاط در مورد اینترنت مشکلاتی وجود دارد، اما باید پذیرفت که امروزه حدود شش میلیون دستگاه POS در کشور توزیع شده است، ضمن این‌که تعداد زیادی هم دستگاه‌های خودپرداز در اقصی نقاط کشور وجود دارد. امروزه تنها در چند کشور آفریقایی و افغانستان است که فناوری مشابه فناوری‌های USSD مورد استفاده قرار می‌گیرد و واقعیت این است که سیستم USSD برای بسیاری از کشور‌ها ناشناخته است، به طوری که حتی برخی از این کشور‌ها آن را تجربه هم نکردند. ضرر اپراتور‌ها از بسته شدن بستر USSD اما محمد جلالیان با اشاره به همزمانی اجرای دو طرح تسویه‌حساب ۲۴ ساعت یکبار تراکنش‌ها با حذف USSD‌ها، اظهار کرده است که احتمال می‌رود این همزمانی باعث شود تا برای مدت کوتاهی مقوله USSD‌ها از توجه خارج شود، اما واقعیت این است که بانک مرکزی در اجرای طرح حذف USSD‌ها جدی است و بعد از این‌که مسائل مربوط به پذیرنده‌های کارت‌های بانکی حل شود دوباره توجه‌ها به سمت USSD جلب شود. این کارشناس بانکداری الکترونیک با بیان این‌که استفاده از USSD در سال‌های اخیر رو به رشد بوده است، اضافه کرد: البته بانک مرکزی سیستم‌ها را به گونه‌ای طراحی کرده است که اگر اتفاقی هم بیفتد ابعاد گسترده‌ای پیدا نمی‌کند. با افزایش ضریب نفوذ اینترنت در کشور و آشنایی بیشتر شهروندان با آن می‌توان به تدریج USSD‌ها را به طور کامل کنار زد. طبق اظهارات جلالیان بانک مرکزی در سال‌های اخیر برخی تراکنش‌ها و اعلام موجودی از طریق این بستر را ممنوع کرده بود؛ محدود کردن سرویس USSD البته غیرقابل پیش‌بینی نبود. به این خلأ امنیتی باید زیاده‌خواهی اپراتور‌ها در استفاده از سرویس USSD را اضافه کرد. آن‌ها با فروش شارژ از این مجرا میزان توزیع و درآمدشان بیشتر شده است ضمن اینکه دیگر هزینه بالای چاپ و توزیع کارت‌های کاغذی شارژ را هم متحمل نمی‌شوند. بر این اساس اگر بستر USSD برای اپراتور‌ها فراهم نبود، آن‌ها باید هزینه بیشتری را برای توزیع شارژ متحمل می‌شدند؛ اما آن‌ها علاوه بر این کارمزد فروش شارژ خود را از طریق بستر USSD از شبکه بانکی هم دریافت می‌کنند که عملا باعث می‌شود که خود شرکت‌ها و اپراتور‌ها هزینه توزیع شارژ را پرداخت کنند، بانک‌ها این هزینه را متقبل شوند. نمی‌شود USSD‌ها را یک شبه برچید اما رییس سازمان نظام صنفی رایانه‌ای کشور، درباره مباحث مربوط به محدودیت USSD‌ها می‌گوید: اگر حاشیه‌ها را کنار بزنیم، وقتی بانک‌ها یکسری مسائل را می‌گویند، قطعا یک چیزی وجود داشته که این مسائل مطرح شده و اینگونه نیست که کسی بخواهد از روی مسائل غیرواقعی مطلبی را بیان کند؛ چون USSD‌ها داشتند کارشان را می‌کردند. ناصرعلی سعادت با اشاره به توافق صورت گرفته بین وزارت ارتباطات و فناوری اطلاعات و بانک مرکزی برای توقف حذف USSD‌ها اظهار کرد: باید بیشتر برروی این مساله کار تحقیقاتی صورت گیرد تا بتوان به تصمیم درست و جامعی رسید. واقعیت این است که مسئولان ما در این حوزه باید دور هم جمع شوند و مشکلات مربوط به این قضیه را پیگیری و حل کنند. نمی‌توان اینگونه مسائل را یک شبه حل کرد، چراکه بسیاری از کسب‌وکار‌ها بر اساس آن‌ها بنا شده‌اند. او درباره فراگیری استفاده از کد‌ها مبتنی بر USSD نیز اضافه کرد: مردم می‌آیند و درگیر این خدمات می‌شوند؛ تجارت‌ها هم اساس کارشان را برروی این ثروت‌ها بنا می‌کنند. این‌ها باعث می‌شود تا نتوان به طور ناگهانی این سرویس‌ها را قطع کرد بلکه باید به این گونه مسائل حاشیه‌ای هم توجه شود. اخیرا بانک مرکزی بخشنامه‌ای به بانک‌ها ابلاغ کرد مبنی بر این‌که در نتیجه تغییراتی در انجام تراکنش‌های مالی، دسترسی به حساب مشتریان بانک‌ها برای عواملی غیر از بانک یا ارایه دهنده خدمات پرداخت محدود شده و از امنیت بالاتری برخوردار می‌شود. بر اساس بخشنامه بانک مرکزی نباید اطلاعات حساس کارت مشتریان از جمله رمز دوم آن‌ها از مسیر‌هایی که فاقد رمزنگاری مناسب بوده و امکان ذخیره سازی یا مشاهده آن توسط عواملی غیر از بانک یا ارایه دهنده خدمات پرداخت وجود دارد، مبادله شود. بر این اساس قرار بود از نیمه بهمن ماه امسال تراکنش‌های فاقد رمزنگاری از مبدأ تا مقصد حذف شود، مگر برای پرداخت قبوض عمومی از جمله آب، برق، گاز و تلفن شهری که البته با مذاکراتی که وزارت ارتباطات با بانک مرکزی انجام داده، این موضوع فعلا متوقف شده است و این سوال وجود دارد که سرنوشت این کد‌ها چه خواهد شد؟ در هر حال در صورت اجرای این مصوبه، تراکنش‌های مربوط به خرید شارژ یا قبض‌های ویژه در شبکه‌های شتاب و شاپرک نیز پذیرش و پردازش نمی‌شود. به عبارتی فقط اطلاعات رمزنگاری شده پذیرش می‌شود. در این حالت پردازش از کد‌های USSD که اطلاعات در آنجا به صورت رمزنگاری نیستند، به پرداخت قبوض عمومی محدود می‌شود و این اپلیکیشن‌هایی که خود بانک‌ها طراحی کردند، جایگزین آن‌ها خواهند شد.
لینک کوتاه :

با دوستان خود به اشتراک بگذارید: