ناامنی USSD بهانه‌ای برای سرپا نگه‌داشتن بانک‌ها؟

سرویس فناوری فردا: بعد از بخشنامه بانک مرکزی برای توقف USSD چند روزی است که در رسانه‌ها و شبکه‌های اجتماعی این موضوع مطرح است که فقط در کشور ایران و کنیا USSD استفاده می‌شود و کارشناسان متعددی بر عدم امنیت این کدهای دستوری تأکید کرده‌اند؛ بیشتر کارشناسان این حوزه معتقدند که خرید شارژ با بستر USSD از اول اشتباه بوده و می‌گویند این کار باید در ایران هم متوقف شود.

کدهای دستوری پرداخت در ایران، بی‌شک یک الگوبرداری ناشیانه از استفاده از کدهای دستوری در کشورهای کمتر توسعه یافته است و این الگوبرداری ناصحیح از شرکت‌هایی مانند mpesa است، در این الگوبرداری کسی توجه نکرد که پرداخت‌های این سیستم‌ها بر مبنای میزان شارژ نقدی سیم‌کارت انجام می‌شود نه بر اساس پرداخت آنلاین کارتی و در این نوع پرداخت‌ها در هیچ کجای دنیا از کاربر اطلاعات شماره کارت و رمز دریافت نمی‌شود.

بر اساس بخشنامه بانک مرکزی هم نباید اطلاعات حساس کارت مشتریان از جمله رمز دوم آن‌ها از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیره‌سازی یا مشاهده آن توسط عواملی غیر از بانک یا ارائه‌دهنده خدمات پرداخت وجود دارد، مبادله شود. اما نکته جالب این است که در بخشنامه بانک مرکزی ذکر شده که این روش‌ها تنها برای پرداخت قبوض امنیت دارد؛ حال این سؤال پیش می‌آید که اگر بحث عدم امنیت مطرح است، چگونه ممکن است در برخی موارد امنیت وجود داشته باشد و در برخی موارد دیگر چنین نباشد؟

درخصوص مشکلات امنیتی کدهای دستوری باید گفت، این کدها امکان رمزنگاری ندارند و وقتی شماره کارت و رمز از طریق آنها ارسال می‌شود دو اتفاق رخ می‌دهد. اینکه در مسیر قابلیت شنود وجود دارد و دوم اینکه از محلی عبور می‌کند که اپراتور موبایل است و این محل تحت کنترل و نظارت ناظر پولی کشور یعنی بانک مرکزی نیست. در این شرایط از دو جهت خطر وجود دارد؛ اول اینکه قابل هک هستند و دوم آنکه چون تحت نظارت بانک مرکزی نیست امکان سوء‌استفاده احتمالی در سایر ارگان‌ها وجود دارد. درواقع بخاطر اینکه تحت نظارت بانک مرکزی نیستند امکان این وجود دارد که توسط کارمندان و یا افرادی که پیش‌نیازهای بانک مرکزی را ندارند و بررسی لازم روی آنها انجام نشده مورد سوء‌استفاده قرار بگیرد. ولی خطر اصلی همان خطر اول یعنی مشکل plain text و رمزنگاری نشده بودن آنها است که باعث می‌شود هر کسی در مسیر بتواند آنها را شنود کند.

در گذشته موارد خیلی خیلی کمی از سوء‌استفاده از مشکلات امنیتی کدهای دستوری گزارش شده است. خوشبختانه در این حوزه آنقدر سوء استفاده بزرگ نشده بود و خیلی شناخته شده نبوده است. در دنیا هم سال‌هاست که این روش دیگر منسوخ شده که شما پرداخت را روی کانال USSD انجام دهید. به خاطر اینکه روش های بسیار گوناگونی به موازات این کدها ایجاد شده که هم از نظر استفاده راحت‌تر است و هم اینکه از نظر امنیتی بسیار بالاتر است. مخصوصا اینکه شما در فضای پرداخت که وارد می‌شوید یک سری استانداردهای امنیتی در دنیا وجود دارد. برای اینکه بتوانید آنها را رعایت کنید نیازمند آن هستیم که تکنولوژی‌های خود را ارتقاء دهیم. USSD از اولین تکنولوژی‌های مخابراتی استفاه می‌کند که در گوشی‌های قدیمی هم وجود داشته است. برای ارتقاء امنیتی پرداخت‌ها لازم است که از تکنولوژی‌های قدیمی که ساپورت لازم برای استانداردهای امنیتی جدید را ندارند فاصله بگیریم.

روز یکشنبه وزیر ارتباطات و فناوری اطلاعات درباره مباحث اخیر مطرح شده در مورد قطع سرویس USSD در کشور تأکید کرد و گفت: «اگر اپراتورها نتوانند از عهده تضمین امنیت بسترهای USSD برآیند، به‌طور حتم نظر ما نیز این است که این شیوه ادامه پیدا نکند. در هر صورت تصمیم بانک مرکزی در کلیت خودش تصمیم درستی است و اینکه امنیت را در خدمات بانکی لحاظ کنیم یک ضرورت درست است؛ چراکه اکنون در بستر USSD، از دکل مخابراتی تا شبکه بانکی، اطلاعات کارت مشتریان را در دست دارند و این خود یک مخاطره به شمار می‌رود. اما باید گفت که USSD از ابتدا با مجوز خود بانک مرکزی به وجود آمد. بخش عمده‌ای از خرید مردم از خدمات اپراتورها روی بستر USSD انجام می‌شود؛ بنابراین زمانی که سرویسی دارای محبوبیت در بهره‌برداری است اگر بخواهیم تغییراتی در آن انجام دهیم، باید تأثیراتش را در بازار بسنجیم. با این حال باید ملاحظات را در انجام این گونه تغییرات در نظر گرفت.»

آذری جهرمی ادامه داد: «همان‌طور که بانک مرکزی تنظیم‌کننده روابط بانکی در کشور است، ما هم به عنوان وزارت ارتباطات، تنظیم‌کننده مقرارت ارتباطاتی در کشور هستیم. در صحبتی که با آقای دکتر سیف داشتیم، برای ایشان تشریح کردیم که این اقدام تبعاتی به همراه دارد و به همین خاطر اعضای سازمان تنظیم مقررات ارتباطات نشست مفصلی با مسئولان بانک مرکزی داشتند و اپراتورها گفتند که اگر مسئله امنیت این تراکنش‌هاست، ما آن را امن می‌کنیم. قرار شد تا اقداماتی را سازمان تنظیم مقررات ارتباطات در جهت خواسته‌های بانک مرکزی انجام دهد تا امنیت بستر USSD تضمین شود. در همین راستا کمیته‌ای نیز برای پیگیری خواسته‌های بانک مرکزی تشکیل شده است. البته مباحثی میان دو گروه در بازار که بر اپلیکیشن‌ها و USSD ها کار می‌کنند وجود دارد و چون این دو دسته با هم رقابت دارند، هر کدام سعی می‌کنند بازار دیگری را از آن خود کنند. اینکه آن‌ها با یکدیگر رقابت می‌کنند، مسئله نیست بلکه مسئله این است که مردم از این مجرا آسیب نبینند.»

این در حالی است که رئیس اتحادیه فناوران یارانه در رابطه با ناامنی USSD گفته: «اگر ناامنی وجود داشت و در این مورد مشکلات حادی تا به امروز رخ داده بود، به طور حتم پلیس وارد عمل می‌شد و تذکرات لازم را می‌داد؛ بنابراین دلیل محدود شدن استفاده از آن‌ها به طور یقین نامنی آن‌ها نیست و دلیل دیگری دارد که در این زمینه بانک مرکزی با مردم صادقانه صحبت نمی‌کند. به هر حال امکان دارد این مسئله پشت پرده‌هایی داشته باشد که ما از آن مطلع نیستیم. این حرکت بانک مرکزی نه تنها برای مردم مشغولیت فکری ایجاد می‌کند بلکه اعتماد آن‌ها را نیز از بین می‌برد. این اعتماد به سادگی به دست نیامده بود و اگر قرار باشد یک شبه بحث امنیت مطرح شود و مردم را با این مسائل درگیر کنند، منصفانه نیست.»

بسیاری از افراد بر این باورند که بانک مرکزی ناامنی USSD را بهانه‌ای برای سرپا نگه داشتن بانک‌ها کرده تا از ورشکستی رهایی یابند؛ زیرا شمار بسیار بالای تراکنش و اقبال شدید مردم به استفاده از این شیوه پرداخت است و همین موضوع مسئولان بانکی را نگران کرده است. و موجب شکل گیری بخشنامه جدید بانک مرکزی شده تا بتوانند این تراکنش‌ها را دوباره به بانک‌ها برگرداند.