مدیر عامل جیرینگ گفت: در صورت تعامل برای رفع دغدغههای امنیتی USSD به راحتی میتوان گره را با دست باز کرد نه دندان چرا که ما معتقدیم آسایش مشترکان و کاربران شبکه بانکی از هر چیزی مهمتر است.
اردیبهشت ماه سال جاری بخشنامهای توسط شرکت شبکه الکترونیکی پرداخت کارت یا همان "شاپرک" به شرکتهای ارائه دهنده خدمات پرداخت (PSP) ابلاغ و در آن گفته شد که از مهر ماه امسال استفاده از بستر USSD برای انجام تراکنشهای بانکی ممنوع میشود و به جای آن باید از روشهای ایمن و جایگزین استفاده گرددد.
در سومین بند از آن ابلاغیه که با امضای مدیرعامل شاپرک مهر شده، آمده بود «از تاریخ اول مهر ماه 1395 استفاده از بستر فعلی USSD برای انجام تراکنشهای بانکی ممنوع شده و شرکتهای ارائه دهنده خدمات صرفاً مجاز به پذیرش و پرداخت تراکنشهای بانکی از روشهای جایگزین و ایمن خواهند بود. متعاقباً روش مذکور پس از تأیید بانک محترم مرکزی ج.ا.ا. به شرکتها ابلاغ خواهد شد.»
کدهای USSD یک روش ارسال پیام در شبکه تلفن همراه است که با شمارههایی مثل *…# میان کاربران تلفن همراه شناخته و امروزه مانور زیادی روی آنها داده میشود.
با توجه به ادبیات به کار رفته در ابلاغیه مذکور به سادگی میتوان حدس زد که احتمالاً این بستر از لحاظ امنیتی برای تراکنشهای بانکی و جابجایی اطلاعات مالی مناسب نیست.
علیرغم اینکه چنین ابلاغیهای موجب شکلگیری برخی دغدغهها در سطح جامعه شد اما هنوز توضیحی درباره روشهای جایگزین و ایمن، داده نشده است.
با این حال هر یک از بازیگران این حوزه از زمان ابلاغیه مذکور، اقدام به اظهارنظر و تحلیل کارشناسی چنین تصمیمگیری کردهاند.
*جیرینگ ابلاغیهای دریافت نکرده است*
مهرداد خطیبی -مدیرعامل شرکت جیرینگ- هم با ابراز شگفتی از نحوه اطلاعرسانی ابلاغیه جدید USSD در نشست خبری اظهار کرد: جیرینگ به عنوان ارایه دهنده سرویسهای مبتنی بر تلفن همراه از جمله زیرساخت USSD در کشور، تاکنون نامه یا ابلاغیهای از شاپرک یا هیچ نهاد قانونگذاری دیگری دریافت نکرده و هیچ درخواست مذاکرهای برای کمک به رفع دغدغههای مطرح شده به این شرکت واصل نشده است.
وی با بیان اینکه پنج سالی میشود خدمات مالی و پرداخت مبتنی بر USSD توسط جیرینگ و با مشارکت بانکها و PSPها در حال ارائه است، ابراز کرد: فعالیت بازیگران این عرصه، آمار تراکنش موفق روزانه را به چندین میلیون رسانیده اما با این حال حتی یک گزارش مبنی بر بروز تخلف یا سرقت اطلاعات محرمانه کارتهای بانکی مخابره نشده است.
او با ابراز گلایهمندی از اقدام صورت گرفته توسط شاپرک، گفت: بهتر بود به جای رسانهای کردن این دغدغه و مشوش کردن بی مورد ذهن جامعه، موضوع در فضایی تعاملی با جیرینگ و سایر متولیان ارائه این خدمت مطرح و راهکار منطقی برای رفع دغدغههای مطرح شده، اتخاذ میشد.
*راهکار ایمنسازی تراکنشهای USSD*
این مدیر شرکت خدمات پرداخت همراه بر بستر USSD درباره مشکلات امنیتی مدنظر مسئولان بانک مرکزی و شاپرک، عنوان کرد: بهتر است برای بررسی این موضوع فرض محال کنیم که امنیت USSD، صفر است.
وی افزود: در اولین مرحله از ثبت کارت بانکی در انتهای یک تراکنش موفق که شماره کارت بانکی و رمز دوم کارت در یک مرحله با تراکنشهای جداگانه دریافت میشود، در سایر تراکنشهایی که توسط مشترکان بر این بستر اتفاق میافتد، صرفا رمز دوم کارت دریافت میگردد.
خطیبی خاطر نشان کرد: پس از آن شماره کارت بانکی به صورت توکن یا alias code ارسال میشود. پس اگر اولین تراکنش ثبت کارت را کنار بگذاریم، صرفا رمز دوم کارت در اختیار شنود کننده متخصص قرار خواهد گرفت که قابل سواستفاده نخواهد بود.
این فعال حوزه USSD درباره سناریو دیگر نیز یادآور شد: با راهکارهای سادهای میتوان طی یک اطلاعرسانی عمومی از مشترکان USSD خواست تا برای انجام تراکنش بر این بستر، حتما باید رمز دوم بانکی خود را با مراجعه به ATM بانک خود تغییر دهند و برای بالا بردن ضریب امنیت هم میتوان پس از اعلان عمومی، در سمت PSP و شاپرک از پذیرش هرگونه تراکنش بر این بستر با رمز دوم قبلی، ممانعت کرد. به این ترتیب دغدغه امنیتی مرتفع میشود.
او با انتقاد از عملکرد بانک مرکزی که به بهانه امنیت USSD آسایش 25 میلیون مشترک تلفن همراه را سلب کرد، عنوان کرد: در صورت تعامل برای رفع دغدغههای امنیتی USSD به راحتی میتوان گره را با دست باز کرد نه دندان چرا که ما معتقدیم آسایش مشترکان و کاربران شبکه بانکی از هر چیزی مهمتر است.
خطیبی در پاسخ به این سوال که در ابلاغیه شاپرک بیان شده که ارایه سرویس USSD با روش فعلی از اول مهرماه امسال امکانپذیر نیست، با این حساب چه تغییراتی قرار است لحاظ شود؟، گفت: تاکنون هیچ ابلاغیهای دریافت نکردهایم.
وی افزود: بنده هم مانند سایر بازیگران حوزه پرداخت، ابلاغیه شاپرک را در سایتهای خبری مشاهده کردهام و از جزییات آن بیاطلاع هستم؛ البته اینکه چرا جیرینگ به عنوان سرویسدهنده اصلی باید از این موضوع بیاطلاع باشد، برای من هم جای تعجب دارد.
این بازیگر حوزه خدمات USSD خاطرنشان کرد: اگر بخواهیم موضوع را خیلی پیچیده کنیم، باید گفت که ارتقای امنیت تراکنش از گوشی تا بستر تحویل اطلاعات به شبکه پرداخت بانکی با افزودن اپلت بر روی سیمکارت میسر است.
وی گفت: همه میدانند که امنیت مقولهای نسبی است لذا هزینه تامین امنیت باید با ریسک تهدیدات امنیتی، تناسب داشته باشد که با فرض امنیت صفر USSD در صورت تغییر رمز دوم در انجام اولین تراکنش، امنیت تقریبا 100 درصد خواهد شد ولی اگر اصرار به پیچیده کردن فرآیند امنسازی باشد، آمادگی خود را برای ارتقای امنیت تراکنشها با روش اضافه کردن اپلت بر روی سیمکارت اعلام میکنیم.
خطیبی افزود: این موضوع هزینه قابل توجهی را در سمت اپراتور، شبکه پرداخت و استفادهکنندگان به همراه خواهد داشت چرا که ضمن لزوم اعمال تغییر در شبکه اپراتور و شبکه پرداخت، سیمکارت مشترکان هم باید به احتمال زیاد برای افزودن اپلت تغییر کند.
مدیرعامل جیرینگ گفت: در صورت توافق برای اجرای این مدل، روش خرید و پرداخت بر این بستر به سادگی قبل خواهد بود و هیچگونه پیچیدگی و زحمتی به کاربر تحمیل نمیشود، ضمن آنکه راه برای فعال کردن امکان خرید و ماندهگیری بر این بستر که از مهرماه سال گذشته و به بهانه امنیت متوقف شد، فراهم خواهد شد.
*بانک مرکزی ناسپاس شد*
وی با اظهار تاسف از هدر رفتن فرصتهای بیشمار برای ارائه خدمات بهتر به کاربران به واسطه فقر قانون طی سالهای گذشته، اظهار کرد: چند سالی بود که اپراتورهای تلفنهمراه، منتظر ابلاغ آییننامه "سپاس" بودند تا بتوانند به حوزه پرداخت همراه که امروزه یکی از دغدغههای اساسی کشور محسوب میشود، ورود کنند اما پس از چند سال و به رغم انجام فرآیند تست با کیفپول جیرینگ، بانک مرکزی بدون ارایه کردن طرح یا مسیری جایگزین، خبر توقف پروژه سپاس را منتشر کرد.
*بیشترین کاربرد USSD در چه زمینهای است؟*
خطیبی با بیان اینکه بالای 80 درصد حجم ریالی و تعدادی مورد استفاده از سرویسهای USSD مربوط به خرید شارژ تلفن همراه است، بیان کرد: شرکتهای پرداخت الکترونیکی که اکنون جایگاه و درآمد خوبی در صنعت پرداخت کشور دارند، فراموش نکنند که بخش بزرگی از رشد خود را مدیون همکاری با اپراتورهای تلفن همراه هستند.
وی افزود: حال شاید برخی سود این همکاری را یک طرفه جلوه دهند که اگر قضاوت درستی نسبت به حجم سرمایهگذاری انجام شده طرفین معامله وجود داشته باشد، کفه ترازو به نفع شبکه پرداخت است نه اپراتور؛ بد نیست به ارزش سهام برخی از شرکتهای PSP هم قبل و بعد از استفاده از USSD نگاهی بیندازیم.
اپراتورها، رقیب بانکها نیستند!
این مدیر حوزه خدمات همراه مبتنی بر USSD با اشاره به ممانعت ورود اپراتورها به شبکه پرداخت از سوی بانک مرکزی، گفت: در حال حاضر و در دیگر سوی میدان، رگولاتور مخابراتی اقدام به ارایه مجوز اپراتور مجازی میکند و همین شرکتهای PSP و برخی از شرکتهای وابسته با بانکها، برای دریافت مجوز اپراتور مجازی، اقدام کردهاند. آیا تصور این است که ما هم همانند شبکه بانکی باید از ورود رقبای بانکی و شبکه پرداخت به حوزه خود، نگران و مضطرب باشیم؟!
*آیا جیرینگ باید از ورود PSPها به حوزه اپراتورهای مجازی مضطرب باشد؟*
وی افزود: آیا قانونگذار حوزه مخابرات باید از ورود شرکتهای وابسته بانکی به شبکه مخابراتی جلوگیری کند یا فرصت را برای ارائه خدمات بهتر و رقابتیتر به مشترکان تلفنهمراه مغتنم شمارد؟
او خاطر نشان کرد: این در حالیاست که شرکتهای PSP و وابسته بانکی، در طول سالهای قبل و در جریان همکاری با اپراتورها از همین بستر USSD، با جمعآوری اطلاعات محرمانه اپراتورها از جمله شماره تلفنهمراه، میزان مصرف شارژ و غیره، اقدام به شناسایی مشترکان پرمصرف اپراتورها کردهاند و اکنون آمادهاند تا با اجرایی شدن مجوز MVNO و عملیاتی شدن MNP (ترابردپذیری شمارههایی همراه)، به مدد دارا بودن پروفایل مخابراتی و مالی، مشترکان ارزشمند اپراتورها را تصاحب کنند.
خطیبی گفت: رگولاتور بانکی نیز همانند همتای مخابراتی خود باید به انحصار PSPهای فعلی برای ارائه خدمات پرداخت پایان دهد و در فضایی مثبت و با حفظ نظارت موثر، نسبت به اعطای مجوز به شرکتهای توانمند اقدام کند.