تاریخ انتشار: ۸ خرداد ۱۳۹۷ - ۰۸:۲۷

تلفن‌ هاي همراه هوشمند اين روزها به ابزاري جدايي ناپذير از زندگي مردم بدل و باعث سهولت در انجام بسياري از كارها از جمله تراكنش ‌هاي بانكي شده‌اند. يكي از اين خدمات كه بسيار نيز مورد توجه مردم قرار گرفته بود، استفاده از كدهاي دستوري USSD بود كه از آنجايي نياز به نصب هيچ نرم‌افزاري نداشت و تنها با شماره‌گيري چند كد قابل استفاده بود، مورد توجه مردم قرار گرفت.

اما بعد از مدت‌ها استفاده از اين كدها بانك مركزي اعلام كرد كه اين كدها ناامن هستند؛ جالب اينجاست كه براي اين كدها تبليغات گسترده‌اي نيز صورت مي‌گرفت. با اين وجود چندي پيش بانك مركزي اعلام كرد كه اين سامانه ‌ها امنيت لازم را ندارند و اين بانك از طريق شركت شاپرك ابلاغيه‌اي مبني بر لغو پرداخت از طريق سرويس USSD به دليل ناامن بودن به تمامي ‌شركت‌هاي پرداخت الكترونيكي (PSp) ارسال كرد. بر اساس آن ابلاغيه تمامي‌ شركت‌هاي پرداخت الكترونيكي موظف به تغيير روش به منظور استفاده از اين سرويس شدند و از ابتداي دي 95 سامانه پيوند بانك مركزي به صورت آزمايشي و سپس دايمي فعال شد.

نكته مورد توجه اين است كه در مورد اين كدها صحبت‌هاي ضد و نقيضي به ميان مي‌آيد؛ از طرفي برخي كارشناسان حوزه آي‌تي، اين كدها را ناامن دانسته و اقدام بانك مركزي را تاييد مي‌كنند؛ از سوي ديگر برخي ديگر از كارشناسان معتقدند كه عدم امنيت در اين كدها وجود ندارد.

** توقف خدمات منتفي است
بهمن سال گذشته بود كه وزير ارتباطات و فناوري اطلاعات درباره مباحث مطرح شده در مورد قطع سرويس USSD در كشور تاكيد كرد كه اگر اپراتورها نتوانند از عهده تضمين امنيت بسترهاي USSD بربيايند، نظر ما هم اين است كه اين شيوه ادامه پيدا نكند. اما چندي بعد وزير ارتباطات از تفاهم با رييس كل بانك مركزي خبر داد و گفت: موضوع توقف خدمات پرداخت با استفاده از كدهاي دستوري USSD اكنون منتفي شود. محمدجواد آذري جهرمي، وزير ارتباطات و فناوري اطلاعات در توييتي اعلام كرد كه در تفاهمي كه با ولي‌‌ا...سيف، رييس كل بانك مركزي داشته است، بنا شد با رعايت الزاماتي از سوي اپراتورهاي تلفن همراه، موضوع توقف خدمات پرداخت با استفاده از كدهاي دستوري USSD درحال حاضرمنتفي شود.

** اقدام از طريق سامانه پيوند
در همين راستا بانك مركزي دستورالعملي را ارائه داد كه در آن آمده بود: «تمامي مشتريان بانك كه قصد بهره‌ مندي از خدمات USSD را دارند، بايد نسبت به اتصال شماره كارت خود به شماره تلفن همراه از طريق سامانه پيوند اقدام كنند و جهت اتصال كارت بانكي به سامانه پيوند بانك مركزي ابتدا دارنده كارت بانكي بايد وارد وب سايت بانك صادركننده شده و وارد بخش ثبت نام سامانه پيوند شود».

پس از آن بانك‌ها نيز يك به يك به مشتريان خود اعلام كردند در صورت تمايل براي استفاده از اين سامانه، با مراجعه به سامانه بانك مورد نظر و وارد كردن شماره همراه يا شماره كارت اقدام كنند.

** ريزش مشتريان
در خصوص امنيت اين كدها چندي پيش ايمان اسلاميان كارشناس بانكداري الكترونيك گفته بود: پرداخت‌هاي الكترونيكي و نوآوري‌هاي مالي باعث تسهيل و ظرفيت‌سازي در عرصه ارائه خدمات مالي شده تا خدمات مالي موجود، بهينه و بهبود يابد. در كنار اين موضوعات، بحث مديريت ريسك و تضمين امنيت اين خدمات مطرح است زيرا با توجه به تجربيات گذشته و برخي مشكلات پيش آمده، بانك مركزي به عنوان مقام ناظر به موضوع كدهاي دستوري USSD ورود كرد.

يكي از ظرفيت‌هايي كه درچند سال اخير در كشور ما ارائه شده، دريافت خدمات مبتني بر بستر كانال‌هاي USSD بود كه شهروندان مي‌توانستند با استفاده از اين كدها، خدمات خريد شارژ، پرداخت قبض و .. را انجام دهند. اما با توجه به پايين بودن ضريب امنيتي اين طرح و عدم نظارت بانك مركزي بر آن، در مقطعي اين طرح متوقف و محدود شد و در نهايت اين نتيجه حاصل شد كه بايد اين كانال زير چتر امنيتي بانك مركزي قرار گيرد. البته با اين اقدام بانك مركزي، مشتريان اين كدها ريزش كردند كه به نظر من دو دليل عمده دارد؛ در درجه اول روند ثبت نام و ورود شماره همراه محدوديت‌ها و مشكلاتي ايجاد خواهد كرد زيرا پيش از اين مشتريان بدون هيچ گونه قيد و شرطي از اين خدمات استفاده مي‌كردند.

همچنين، پيشرفت چشمگير خدمات بانكداري الكترونيك است زيرا اكنون با ارائه خدمات از طريق موبايل بانك‌ها، بسياري از مشتريان خدمات خود را به جاي سامانه پيوند از اين طريق انجام مي دهند.

** اهميت اقتصادي كدها
اما با اين اوصاف وضعيت امنيت كدهاي دستوري كماكان در بلاتكليفي به سر مي‌برد. در همين باره حسين فلاح جوشقاني، رييس سازمان تنظيم مقررات و ارتباطات راديويي گفته كه بحث امنيت كدهاي دستوري بلاتكليف به شمار مي‌رود و وزارت ارتباطات منتظر گزارش بخش فني بانك مركزي در خصوص امنيت كدهاي دستوري براي ابلاغ به اپراتورهاست. وي درباره اهميت اقتصادي كدهاي دستوري گفت: بخش بزرگي از اقتصاد شركت‌هاي ارائه دهنده خدمات ارتباطات و فناوري اطلاعات از جمله اپراتورها در زمينه پرداخت به بحث USSD مربوط است و بستن اين روش مي‌تواند اقتصاد و درآمدهاي آن‌ها را به صورت جدي به خصوص در زمينه خريد شارژ كه بيشترين سهم تراكنش‌هاي خُرد الكترونيكي را دارد، تحت تاثير قرار دهد. اهميت اقتصادي USSD و توجه ويژه وزير ارتباطات و فناوري اطلاعات به اين موضوع برگزاري جلسه‌اي از سوي سازمان تنظيم مقررات با مسئولان بانك مركزي را به دنبال داشت كه در نهايت توافق شد تا زماني كه كيف پول موبايلي به صورت كلان در كشور ارائه نشده و زيرساخت‌ها به صورت كامل آماده نيستند، كدهاي دستوري مشروط به نظر بانك مركزي مبني بر افزايش امنيت فعاليت داشته باشد.

بعد از گذشت حدود دو ماه از مذاكره با بانك مركزي به عنوان رگولاتور حوزه مالي كشور هيچ دستاوري به صورت خاص حاصل نشده است، بحث امنيت كدهاي دستوري بلاتكليف به شمار مي‌رود؛ چرا كه بانك مركزي درخواست افزايش امنيت كانال پرداخت از طريق كدهاي دستوري را داشته و همچنان هيچ گزارش شفافي در حوزه امنيت از بخش فني بانك مركزي ارائه نشده تا در نهايت از طريق وزارت ارتباطات و فناوري اطلاعات و سازمان تنظيم مقررات و ارتباطات راديويي تصميم نهايي به شركت‌هاي اپراتور ابلاغ شود.

** اين درگاه‌ ها از نظر فني ناامن هستند
در همين خصوص به سراغ يك كارشناس فعال در حوزه آي تي رفتيم، اين كارشناس كه تاكيد داشت نامي از وي ذكر نشود در خصوص بحث امنيت اين كدها به «قانون» گفت: اين مبحث از چند جهت قابليت بررسي دارد؛ يعني زيرساخت ‌هاي فني و مسائل انتفاعي آن بايد مورد بررسي قرار گيرد. نكته مهمي كه در اين ميان مطرح است، اين است كه اگر اين سامانه‌ها ناامن هستند اطلاعاتي كه وارد آن‌ها مي‌شود در اختيار چه كسي قرار مي‌گيرد. در خصوص بحث امنيت بايد گفت كه امنيت يك موضوع نسبي است و هرچقدر هم كه محكم شود دوباره احتمال نفوذ به آن وجود دارد.

از لحاظ فني اين درگاه‌ ها ناامن هستند. البته علاوه بر اين درگاه‌ ها تلفن‌بانك‌ها نيز ناامن هستند اما اپليكيشن ‌هايي كه در حال حاضر با خدمات مشابه اين درگاه‌ها وجود دارند از امنيت كامل برخوردار هستند كه به منظور رفع مشكل امنيت اين درگاه‌ها طراحي شده‌اند. اين موضوع كه تا به امروز وضعيت اين درگاه‌ ها به طور كامل مشخص نشده است به سياست ‌هاي دولت بازمي‌گردد. يكي از دلايل ناامني اين كدها اين است كه در آن‌ها علاوه بر امكان جابه‌جايي پول امكان جابه‌جايي اطلاعات و گزارش‌گيري نيز وجود دارد. براي مثال من به عنوان سرويس‌گيرنده از يك شركت خدماتي مي‌توانم با استفاده از USSD آن سرويس را مورد تراكنش و بررسي قرار دهم.

** استفاده روزانه يك بار از هر كارت
در راستاي حفظ بيشتر امنيت، روز گذشته بانك مركزي ضوابط جديدي در چارچوب كدهاي دستوري تحت عنوان USSD تصويب و به بانك‌ها در جهت محدوديت استفاده از اين سرويس ابلاغ كرده است.

طبق اين ضوابط هر كارت بانكي تنها يك بار در روز براي خريد شارژ، بسته‌هاي اينترنت يا پرداخت قبض قابل استفاده است و در صورت نياز به تراكنش براي خريد شارژ و غيره براي بار دوم بايد از كارت بانكي ديگري استفاده شود. بخشنامه جديد بانك مركزي روز گذشته توسط شركت شاپرك ابلاغ شده و همچنين هفته گذشته نيز ممنوعيت تراكنش زير دوهزار تومان از طريق تراكنش‌هاي موبايلي به بانك‌ها ابلاغ شد. اين اهداف در راستاي ايجاد محدوديت و كاهش كاربران كدهاي USSD به دليل منسوخ شدن و عدم امنيت لازم با هدف مهاجرت به اپليكيشن ‌هاي پرداخت و كيف پول‌هاي الكترونيكي است. هدف بانك مركزي تعامل براي ارائه خدمات نوين بر اساس مصوبه هيات دولت و راه‌اندازي سرويس‌هاي جديد در بستر بانكي علاوه بر كاهش هزينه‌هاي پردازشي پرداخت خُرد است.

*منبع: روزنامه قانون؛ 1397.3.8
**گروه اطلاع رساني**9117**2002