چالش ستاره مربع‌ها چگونه حل می شود؟

عصر کالا- بخشنامه اخیر بانک مرکزی در مورد اعمال محدودیت برای سیستم‌های پرداخت مبتنی بر کدهای USSD یا همان ستاره مربع‌ها باعث شد که این سیستم پرداخت بیش از گذشته زیر ذره بین کارشناسان برود و راهکارهایی برای حفظ امنیت این کدها مورد بررسی قرار گیرد.

چالش ستاره مربع‌ها چگونه حل می شود؟
نسخه قابل چاپ
پنجشنبه ۲۶ بهمن ۱۳۹۶ - ۱۰:۲۷:۰۰

    به گزارش پایگاه خبری «عصر کالا» به نقل از ایسنا، همزمان با اعلام بخشنامه بانک مرکزی مبنی بر انحلال خدمات پرداخت مبتنی بر کدهای USSD، برخی کارشناسان بانکداری الکترونیک این اتفاق را حرکتی در جهت تضمین امنیت بیشتر اطلاعات حساب‌های بانکی مشتریان تلقی کردند امری که البته شاید به تنهایی برای بستن مجرای USSD کافی به نظر نرسد چراکه حالا بسیاری از شهروندان در نقاط روستایی که دسترسی به اینترنت در آنجا ضعیف‌تر است، از طریق همین USSDها اقدام به خرید شارژ تلفن می‌کنند که با بسته شدن این فضا احتمالا متحمل مشکلاتی خواهند شد.
    اساسا زمانی که به یک تکنولوژی اجازه گسترش و فعالیت داده می‌شود، بعد از مدتی آنقدر در بین مردم اصطلاحا جا باز می‌کند که دیگر برچیدنش بسیار سخت می‌شود؛ ضمن اینکه ممکن است بسیاری از کسب‌وکارها هم فعالیتشان را بر پایه آن فناوری بنا کنند که اینجا دیگر باید قبل از هر اقدامی به تبعات تصمیماتی همچون برچیدن USSDها فکر کرد.
    اپراتورها تضمین امنیت نکنند USSDها قطع می‌شوند
    وزیر ارتباطات و فناوری اطلاعات درباره مباحث اخیر مطرح شده در مورد قطع سرویس USSD در کشور تاکید کرد که اگر اپراتورها نتوانند از عهده تضمین امنیت بسترهای USSD بربیایند، قطعا نظر ما هم این است که این شیوه ادامه پیدا نکند.
    محمدجواد آذری جهرمی معتقد است که تصمیم بانک مرکزی در کلیت خودش تصمیم درستی است و این‌که امنیت را در خدمات بانکی لحاظ کنیم یک ضرورت درست است. چراکه اکنون در بستر USSD، از دکل مخابراتی تا شبکه بانکی، اطلاعات کارت مشتریان را در دست دارند و این خود یک مخاطره است.
    USSD از ابتدا با مجوز خود بانک مرکزی به وجود آمده است و بخش عمده‌ای از خرید مردم از خدمات اپراتورها برروی بستر USSD انجام می‌شود و به گفته جهرمی زمانی که سرویسی دارای محبوبیت در بهره‌برداری است، اگر بخواهیم تغییراتی در آن انجام دهیم، باید تاثیرات آن را در بازار نیز بسنجیم.
    وزیر ارتباطات باوجود تایید نگاه بانک مرکزی درباره لحاظ کردن مسائل امنیتی مشتریان بانک‌ها تاکید دارد که با این حال باید ملاحظات را در انجام اینگونه تغییرات در نظر گرفت. در حال حاضر بعد از USSD ها بیشترین خرید شارژها از خرید دستگاه‌های POS انجام می‌شود، اما خرید از طریق دستگاه‌های POS گاهی گزارش شده تا سقف 1500 تومان درباره کارت شارژهای 10 هزار تومانی برای مشتریان هزینه داشته است.
    وی این اتفاق را موجب کاهش بازار حوزه ICT و متضرر شدن مردم دانست و گفت: به همین ترتیب اقتصاد حوزه ارتباطات و فناوری اطلاعات کوچک‌تر می‌شود و علت آن هم کاهش خرید مردم از خدمات این حوزه است که ما نمی‌توانیم در قبال این مساله بی‌تفاوت باشیم.
    وزیر ارتباطات اخیرا در اظهاراتی با اشاره به تفاهمی میان اپراتورهای تلفن همراه و شرکتهای پرداخت الکترونیک (PSP) به پیشنهادی اشاره کرد که بر اساس آن، مدل امنیتی برای تراکنشها با قرار دادن یک اپلت روی سیم‌کارت صورت گیرد تا ملاحظات بانک مرکزی برای امنیت این روش پرداخت الکترونیک محقق شود؛ هم اکنون این راهکار رگولاتوری در دست بررسی و انجام است.
    USSD برای دوران گذار بود
    از سوی دیگر برخی از کارشناسان حوزه بانکداری الکترونیک با اشاره به وضع محدودیت‌های جدید برای فعالیت های مرتبط با USSDها، این فناوری‌ را مربوط به دوران گذار بانکداری الکترونیک توصیف می کنند که حالا هم زمان آنها به سر آمده است.
    ایمان اسلامیان، با بیان این‌که USSD عملا به دوران گذار توسعه فناوری‌های بانکداری الکترونیکی مربوط بوده‌اند، گفت: برخی از کشورها حتی به خاطر سرعت بالای اینترنت و اقتصادی دیجیتالی خود اساسا تجربه USSDها را از سر نگذرانده‌اند، چرا که این فناوری ضعف‌های امنیتی جدی را در خود دارد.
    بر این اساس تجربه USSD در کشور، مناسب زمانی بود که اینترنت رایج نبود؛ در آن زمان، فناوری USSD تنها مجرای جایگزین برای پرداخت‌های خرد به شمار می‌رفت که به گفته تحلیلگران برخی از شرکت‌ها با استفاده از این فناوری و حتی اخذ کارمزد بیشتر از بانک‌ها و بعضا مشتریان توانستند به سودهای کلانی دست پیدا کنند. اپلیکیشن‌های اینترنتی می‌تواند توسط شرکت‌های کوچک برای ارائه خدمات بانکی بانک‌ها به مردم طراحی شود که این هم برای بانک‌ها و هم برای شرکت‌ها سودآور است و هم مردم از خدمات آن منتفع می‌شود.
    در شرایطی که امروزه بانکداری باز در دنیا در حال توسعه است، در این نوع بانکداری بانک‌ها ارائه خدمات خود را به صورت منعطف طراحی می‌کنند و API خود را در خدمت طراحان فین تک‌ها و شرکت‌های کوچک برای ارائه خدمات به کاربران و مشتریان قرار می‌دهد. همانطور که در حال حاضر نیز بسیاری از خدمات بانک‌ها به صورت آنلاین در دسترس مشتریان قرار دارد. تمام بانک‌ها به دلیل در اولویت‌ بودن ارائه سرویس سعی می‌کنند تا راهکارهای موقتی را ارائه دهند و به صورت موقتی امنیت را در اولویت قرار ندهند و گرنه در صورت وجود زیرساخت‌های اینترنتی، اپلیکیشن‌های بانک‌ها از ضریب امنیتی بسیار بالایی برخوردارند.
    تکلیف مناطق دورافتاده با قطع USSD چه می‌شود؟
    اما مصطفی امیری - کارشناس حوزه بانکداری الکترونیکی در پاسخ به این ابهام که آیا ضعف اینترنت در نقاط دورافتاده و روستایی باعث به مشکل خوردن مردم برای دریافت خدماتی چون خرید شارژ می‌شود اظهار کرد: الان در بسیاری از نقاط کشور اینترنت 4G وجود دارد و در نقاط شهری و حتی بین‌شهری و جاده‌ای هم اینترنت وجود دارد و امروزه در سبد خانوار قرار گرفته است و نمی‌تواند بهانه‌ای برای عدم اجرای این طرح بانک مرکزی باشد.
    وی اضافه کرد: حتی اگر قبول کنیم در بعضی از نقاط در مورد اینترنت مشکلاتی وجود دارد اما باید پذیرفت که امروزه حدود شش میلیون دستگاه POS در کشور توزیع شده است، ضمن این‌که تعداد زیادی هم دستگاه‌های خودپرداز در اقصی نقاط کشور وجود دارد. امروزه تنها در چند کشور آفریقایی و افغانستان است که فناوری مشابه فناوری‌های USSD مورد استفاده قرار می‌گیرد و واقعیت این است که سیستم USSD برای بسیاری از کشورها ناشناخته است، به طوری که حتی برخی از این کشورها آن را تجربه هم نکردند.
    ضرر اپراتورها از بسته شدن بستر USSD
    اما محمد جلالیان با اشاره به همزمانی اجرای دو طرح تسویه‌حساب 24 ساعت یکبار تراکنش‌ها با حذف USSD‌ها، اظهار کرده است که احتمال می‌رود این همزمانی باعث شود تا برای مدت کوتاهی مقوله USSD‌ها از توجه خارج شود، اما واقعیت این است که بانک مرکزی در اجرای طرح حذف USSD‌ها جدی است و بعد از این‌که مسائل مربوط به پذیرنده‌های کارت‌های بانکی حل شود دوباره توجه‌ها به سمت USSD جلب شود.
    این کارشناس بانکداری الکترونیک با بیان این‌که استفاده از USSD در سال‌های اخیر رو به رشد بوده است، اضافه کرد: البته بانک مرکزی سیستم‌ها را به گونه‌ای طراحی کرده است که اگر اتفاقی هم بیفتد ابعاد گسترده‌ای پیدا نمی‌کند. با افزایش ضریب نفوذ اینترنت در کشور و آشنایی بیشتر شهروندان با آن می‌توان به تدریج USSD‌ها را به طور کامل کنار زد.
    طبق اظهارات جلالیان بانک مرکزی در سال‌های اخیر برخی تراکنش‌ها و اعلام موجودی از طریق این بستر را ممنوع کرده بود؛ محدود کردن سرویس USSD البته غیرقابل پیش‌بینی نبود. به این خلأ امنیتی باید زیاده‌خواهی اپراتورها در استفاده از سرویس USSD را اضافه کرد. آنها با فروش شارژ از این مجرا میزان توزیع و درآمدشان بیشتر شده است ضمن اینکه دیگر هزینه بالای چاپ و توزیع کارت‌های کاغذی شارژ را هم متحمل نمی‌شوند.
    بر این اساس اگر بستر USSD برای اپراتورها فراهم نبود، آنها باید هزینه بیشتری را برای توزیع شارژ متحمل می‌شدند؛ اما آنها علاوه بر این کارمزد فروش شارژ خود را از طریق بستر USSD از شبکه بانکی هم دریافت می‌کنند که عملا باعث می‌شود که خود شرکت‌ها و اپراتورها هزینه توزیع شارژ را پرداخت کنند، بانک‌ها این هزینه را متقبل شوند.
    نمی‌شود USSDها را یک شبه برچید
    اما رییس سازمان نظام صنفی رایانه‌ای کشور، درباره مباحث مربوط به محدودیت USSD‌ها می‌گوید: اگر حاشیه‌ها را کنار بزنیم، وقتی بانک‌ها یکسری مسائل را می‌گویند، قطعا یک چیزی وجود داشته که این مسائل مطرح شده و اینگونه نیست که کسی بخواهد از روی مسائل غیرواقعی مطلبی را بیان کند؛ چون USSDها داشتند کارشان را می‌کردند.
    ناصرعلی سعادت با اشاره به توافق صورت گرفته بین وزارت ارتباطات و فناوری اطلاعات و بانک مرکزی برای توقف حذف USSD ها اظهار کرد: باید بیشتر برروی این مساله کار تحقیقاتی صورت گیرد تا بتوان به تصمیم درست و جامعی رسید. واقعیت این است که مسئولان ما در این حوزه باید دور هم جمع شوند و مشکلات مربوط به این قضیه را پیگیری و حل کنند. نمی‌توان اینگونه مسائل را یک شبه حل کرد، چراکه بسیاری از کسب‌وکارها بر اساس آنها بنا شده‌اند.
    او درباره فراگیری استفاده از کدها مبتنی بر USSD نیز اضافه کرد: مردم می‌آیند و درگیر این خدمات می‌شوند؛ تجارت‌ها هم اساس کارشان را برروی این ثروت‌ها بنا می‌کنند. اینها باعث می‌شود تا نتوان به طور ناگهانی این سرویس‌ها را قطع کرد بلکه باید به این گونه مسائل حاشیه‌ای هم توجه شود.
    اخیرا بانک مرکزی بخشنامه‌ای به بانک‌ها ابلاغ کرد مبنی بر این‌که در نتیجه تغییراتی در انجام تراکنش‌های مالی، دسترسی به حساب‌ مشتریان بانک‌ها برای عواملی غیر از بانک یا ارایه دهنده خدمات پرداخت محدود شده و از امنیت بالاتری برخوردار می‌شود.
    بر اساس بخشنامه بانک مرکزی نباید  اطلاعات حساس کارت  مشتریان از جمله رمز دوم آنها از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیره سازی یا مشاهده آن توسط عواملی غیر از بانک یا ارایه دهنده خدمات پرداخت وجود دارد، مبادله شود. بر این اساس قرار بود از نیمه بهمن ماه امسال تراکنش‌های فاقد رمزنگاری از مبدأ تا مقصد حذف شود، مگر برای پرداخت قبوض عمومی از جمله آب، برق، گاز و تلفن شهری که البته با مذاکراتی که وزارت ارتباطات با بانک مرکزی انجام داده، این موضوع فعلا متوقف شده است و این سوال وجود دارد که سرنوشت این کدها چه خواهد شد؟
    در هر حال در صورت اجرای این مصوبه، تراکنش‌های مربوط به خرید شارژ یا قبض‌های ویژه در شبکه‌های شتاب و شاپرک نیز پذیرش و پردازش نمی‌شود. به عبارتی فقط اطلاعات رمزنگاری شده پذیرش می‌شود. در این حالت پردازش از کدهای USSD که اطلاعات در آنجا به صورت رمزنگاری نیستند، به پرداخت قبوض عمومی محدود می‌شود و این اپلیکیشن‌هایی که خود بانک‌ها طراحی کردند، جایگزین آنها خواهند شد.

    برچسب ها
    پورسعیدخلیلی
    مطالب مرتبط
    مطالب مرتبط بیشتر