انتقاد از دستور توقف کدهای کوتاه دستوری

به گزارش واحد فناوری اطلاعات سایبربان؛ مدیرعامل یک شرکت تابعه همراه اول با انتقاد از دستورالعمل بانک مرکزی برای توقف کدهای کوتاه دستوری (USSD) از مهرماه، گفت: چندین راه‌حل ساده برای رفع دغدغه امنیتی USSD وجود دارد.

مهرداد خطیبی با انتقاد از نحوه اطلاع‌رسانی ابلاغیه جدید USSD (کدهای کوتاه دستوری) برای توقف این بستر از مهرماه، گفت: تاکنون نامه یا ابلاغیه‌ای از شاپرک و یا هیچ نهاد قانون‌گذاری دیگری دریافت نکرده‌ایم و هیچ درخواست مذاکره‌ای برای کمک به رفع دغدغه‌های مطرح‌شده به این شرکت واصل نشده است.

این ارائه‌دهنده سرویس‌های USSD روی همراه اول افزود: خدمات مالی و پرداخت مبتنی بر USSD، حدود 5 سال است که توسط جیرینگ و با مشارکت بانک‌ها و PSPها در حال ارائه است و به‌رغم انجام چندین میلیون تراکنش موفق روزانه، تاکنون حتی یک گزارش دال بر بروز تخلف یا سرقت اطلاعات محرمانه کارت‌های بانکی وجود ندارد، پدیده‌ای که در سایر بسترهای به‌اصطلاح امن ارائه خدمات، زیاد به گوش می‌رسد.

*پاسخ به دغدغه امنیت USSD

خطیبی در پاسخ به دغدغه‌های امنیتی مطرح‌شده برای ارائه خدمات مالی و پرداخت بر بستر USSD، گفت: به‌جز در اولین پروسه ثبت کارت‌بانکی در انتهای یک تراکنش موفق مبتنی بر USSD که شماره کارت‌بانکی و رمز دوم کارت در یک session و در قالب تراکنش‌های جداگانه دریافت می‌شوند (فقط یک‌بار به ازای هر ثبت کارت)، در سایر تراکنش‌هایی که توسط مشترکان بر این بستر اتفاق می‌افتد، صرفاً رمز دوم کارت دریافت می‌شود.

وی بیان کرد: پس‌ازآن شماره کارت‌بانکی به‌صورت توکن یا alias code ارسال می‌شود. پس به‌جز اولین تراکنش ثبت کارت، صرفاً رمز دوم کارت در اختیار شنود کننده متخصص قرار خواهد گرفت که قابل سوءاستفاده نخواهد بود.

*دو پیشنهاد برای افزایش امنیت USSD

وی خاطرنشان کرد: علاوه بر این برای رفع دغدغه‌های امنیتی می‌توان طی یک اطلاع‌رسانی عمومی از مشترکان USSD بخواهیم که برای انجام تراکنش بر این بستر، حتماً باید رمز دوم بانکی خود را با مراجعه به ATM بانک خود تغییر دهند و برای بالا بردن ضریب امنیت هم می‌توان پس از اعلان عمومی، در سمت PSP و شاپرک از پذیرش هرگونه تراکنش بر این بستر با رمز دوم قبلی، ممانعت کرد.

وی افزود: برای مشترکانی که می‌خواهند برای اولین بار، کارت‌بانکی خود را برای استفاده از خدمات بستر USSD ثبت کنند، راه‌حل‌هایی وجود دارد که به‌عنوان‌مثال می‌توان از، ثبت کارت‌بانکی بر بستر USSD و الزام کاربر به تغییر رمز دوم برای انجام اولین تراکنش و عدم پذیرش تراکنش با رمز دوم زمان ثبت کارت بر این بستر از آن یادکرد.

وی گفت: اگر اصرار به پیچیده کردن فرآیند امن‌سازی داریم، ما آمادگی خود را برای ارتقای امنیت تراکنش‌ها با روش اضافه کردن اپلت (Applet) روی سیم‌کارت اعلام می‌کنیم، اگرچه هزینه قابل‌توجهی را در سمت اپراتور، شبکه پرداخت و استفاده‌کنندگان، به همراه خواهد داشت؛ چراکه ضمن لزوم اعمال تغییر در شبکه اپراتور و شبکه پرداخت، سیم‌کارت مشترکان هم باید به‌احتمال‌زیاد برای افزودن اپلت تغییر کند.

اپلت برنامه‌ای مانند OTP بانکی و پیام‌های رمز شده است که روی حافظه امن سیم‌کارت نصب می‌شود. این برنامه آفلاین است و برای به‌روزرسانی از بستر امن اختصاصی اپراتور تلفن همراه استفاده می‌کند.

مدیرعامل جیرینگ گفت: در صورت توافق برای اجرای این مدل، روش خرید و پرداخت بر این بستر به‌سادگی قبل خواهد بود و هیچ‌گونه پیچیدگی و زحمتی به کاربر تحمیل نمی‌شود، ضمن آنکه راه برای فعال کردن امکان خرید و مانده گیری بر این بستر که از مهرماه سال گذشته و به بهانه امنیت متوقف شد، فراهم خواهد شد.

*سهم درآمد PSPتا از USSD از اپراتور بیشتر است

خطیبی گفت: در حال حاضر بالای 80 درصد حجم ریالی و تعدادی مورداستفاده از سرویس‌های USSD مربوط به خرید شارژ تلفن همراه است، حداقل می‌توان انتظار داشت که به مشترکانی که از روش‌های غیرحضوری همانند خرید از درگاه USSD اقدام به خرید می‌کنند، احترام گذاشته شود، نه اینکه بدون ارائه طرح عملیاتی جایگزین، به‌یک‌باره خبر از محدودسازی USSD داده شود.

وی عنوان کرد: شرکت‌های پرداخت الکترونیکی که اکنون جایگاه و درآمد خوبی در صنعت پرداخت کشور دارند، فراموش نکنند که بخش بزرگی از رشد خود را مدیون همکاری با اپراتورهای تلفن همراه هستند، حال شاید برخی سود این همکاری را یک‌طرفه جلوه دهند، که اگر قضاوت درستی نسبت به حجم سرمایه‌گذاری انجام‌شده طرفین معامله وجود داشته باشد، کفه ترازو به نفع شبکه پرداخت است نه اپراتور! و بد نیست، به ارزش سهام برخی از شرکت‌های PSP هم، قبل و بعد از استفاده از USSD نگاهی بیندازیم.

*انتقاد از توقف سامانه سپاس

وی همچنین از توقف سامانه سپاس (پرداخت الکترونیک سیار) خبر داد و گفت: چند سالی بود که اپراتورهای تلفن‌ همراه، منتظر ابلاغ آیین‌نامه سپاس بودند اما پس از چند سال و به‌رغم انجام فرآیند تست با کیف پول جیرینگ، بانک مرکزی بدون ارائه کردن طرح یا مسیری جایگزین، خبر توقف پروژه سپاس را منتشر کرد.

*ممنوعیت ورود اپراتورها به شبکه پرداخت/ انحصار شبکه پرداخت پایان یابد

وی با اشاره به ممانعت ورود اپراتورها به شبکه پرداخت از سوی بانک مرکزی، گفت: در حال حاضر و در دیگر سوی میدان، رگولاتور مخابراتی اقدام به ارائه مجوز اپراتور مجازی (MVNO) می‌کند و همین شرکت‌های PSP و برخی از شرکت‌های وابسته با بانک‌ها، برای دریافت مجوز اپراتور مجازی، اقدام کرده‌اند. اما شبکه بانکی از ورود رقبای بانکی و شبکه پرداخت به حوزه خود، نگران است. درحالی‌که بهتر است فرصت را برای ارائه خدمات بهتر و رقابتی‌تر به مشترکان تلفن همراه مغتنم بداند.

وی بیان کرد: شرکت‌های PSP و وابسته بانکی، در طول سال‌های قبل و در جریان همکاری با اپراتورها از همین بستر USSD، با جمع‌آوری اطلاعات محرمانه اپراتورها ازجمله شماره تلفن همراه، میزان مصرف شارژ و غیره، اقدام به شناسایی مشترکان پرمصرف اپراتورها کرده‌اند و اکنون آماده‌اند تا با اجرایی شدن مجوز MVNO و عملیاتی شدن MNP، به مدد دارا بودن پروفایل مخابراتی و مالی، مشترکان ارزشمند اپراتورها را تصاحب کنند.

وی گفت: رگولاتور بانکی نیز همانند همتای مخابراتی خود بهتر است، به انحصار PSPهای فعلی برای ارائه خدمات پرداخت پایان دهد و در فضایی مثبت و با حفظ نظارت مؤثر، نسبت به اعطای مجوز به شرکت‌های توانمند اقدام کند.