گزارش روزنامه ایران از توقف طرح تعطیلی ستاره مربع ها
محمدجواد آذری جهرمی از منتفی شدن توقف کدهای دستوری تلفن های همراه (USSD) خبر داد. وی در توئیتر نوشت: در تفاهمی که با ولیالله سیف رئیس کل
بانک مرکزی داشتم، بنا شد با رعایت الزاماتی از سوی اپراتورهای تلفن همراه، موضوع توقف خدمات پرداخت با استفاده از کدهای دستوری موبایل فعلاً منتفی شود. همچنین آذری جهرمی در گفت و گو با یکی از خبرگزاری ها منتفی شدن قطع کدهای دستوری را منوط به تضمین امنیت آن از سوی اپراتورهای تلفن همراه دانست.
خبر قطع USSD (کدهای دستوری تلفن همراه، کدهایی است که با * شروع و با # تمام میشوند. با استفاده از این کدها، کاربر براحتی و در فضایی ساده فعالیتهایی از قبیل انتقال وجه، اعلام موجودی، خرید شارژ و پرداخت قبوض را انجام میدهد) .اواخر هفته گذشته رمضانعلی سبحانیفر رئیس کمیته مخابرات مجلس شورای اسلامی این خبررا رسانهای کرد و گفت: بانک مرکزی به تازگی و در سکوت خبری طبق بخشنامه ای تصمیم به قطع سرویس کدهای دستوری تلفن همراه از
15 بهمن ماه (روز گذشته)بدون اطلاع قبلی گرفته است که بیشتر برای شارژ اعتباری سیمکارتهای تلفن همراه استفاده میشود. این کار در سال جدید موجب به وجود آمدن مشکلات عدیدهای برای صاحبان سیمکارتهای اعتباری میشود. وی تصمیم بانک مرکزی را عجولانه دانست و افزود: مسئولان بانک مرکزی برای پیاده کردن چنین ایدهای که میلیونها نفر از مالکان سیمکارت اعتباری در اپراتورهای سه گانه را درگیر میکند باید تدبیر بیشتری بهکار بگیرند و تا وقتی که سرویس یا سرویسهای جایگزین بهتری ارائه نشود، نباید سرویس USSD قطع شود چرا که در غیر این صورت مقامات مسئول را به مجلس فراخواهیم خواند.
ناامن بودن بستر کدهای دستوری
خبر منتفی شدن توقف قطع کدهای دستوری را وزیر ارتباطات در حالی اعلام کرد که پیش از آن وی از بانک مرکزی درخواست کرده بود که قطع کدهای دستوری به مدت 4 ماه به تعویق افتد. خبر تعویق 4 ماهه را نیز محمدرضا فرنقیزاد مدیرکل روابط عمومی وزارت ارتباطات و فناوری اطلاعات اعلام کرد و گفت: وزارت ارتباطات نیز ضرورت امنسازی بسترهای مبادلات مالی را تأیید میکند ولی مذاکرهای بین وزیر ارتباطات و بانک مرکزی صورت گرفته است تا اجرای بخشنامه قطع سرویس کدهای دستوری تلفن های همراه به مدت 4 ماه به تعویق افتد. وی افزود: اجرای فوری این طرح میتواند در روند کاری و زندگی مردم اختلال ایجاد کند، از اینرو قرار شد تا راهکارهای لازم برای انجام تدابیر مد نظر بانک مرکزی در خصوص ایجاد بسترهای امن برای انجام تراکنشهای بانکی اندیشیده شود.
ناصر حکیمی معاون فناوریهای نوین بانک مرکزی معتقد است کدهای دستوری امنیت لازم را برای نقل و انتقالهای مالی ندارند و قطع این سرویس برای حرکت به سمت مسیرهای امنتر تراکنشها و ایمنسازی نقل و انتقال مالی مردم صورت میگیرد. حکیمی گفت: زمانی که کاربر کد دستوری را وارد میکند، شماره کارت و رمز آن به همان صورتی که خوانده میشود در سیستمها ذخیره میشود در صورتی که نباید بجز کاربر کسی از آنها مطلع باشد از اینرو بسیار ناامن است و از این طریق پولشویی و کلاهبرداری صورت میگیرد. وی افزود: در دو سال اخیر بسترهای امن بانکی (مانند اپلیکیشنهای مالی) ایجاد شده و میتوان از آنها استفاده کرد از سوی دیگر حتی در دورافتادهترین نقاط کشور نیز دستگاه POS وجود دارد بنابراین مردم میتوانند از این دستگاهها برای خرید شارژ اعتباری استفاده کنند.
حتی در همین راستا محمدجواد آذری جهرمی وزیر ارتباطات و فناوری اطلاعات نیز از اقدام بانک مرکزی برای محدودسازی مبادلات مالی از کدهای دستوری تلفن های همراه حمایت کرد و گفت: این اقدام بانک مرکزی با هدف افزایش امنیت انجام میشود ومتوقفسازی به نفع همه کاربران خواهد بود، چرا که باید مراقب آسیبهایی که ممکن است متوجه مردم شود، باشیم. البته حسین فلاح جوشقانی رئیس سازمان تنظیم مقررات و ارتباطات رادیویی (رگولاتوری)معتقد است که میتوان ریسکهای کدهای دستوری را مرتفع کرد. در بخشی از نامهای که وی به بانک مرکزی نوشته است به رفع ریسکهای کدهای دستوری تلفنهای همراه اشاره کرده است. فلاح گفته چالشهای امنیتی کد دستوری USSD در زمستان سال گذشته نیز مطرح و با عملیاتی شدن سامانه پیوند و یکپارچه شدن کدهای دستوری ریسکهای آن مرتفع شد.
دسترسی به اطلاعات با تغییر یک کلمه
درباره اینکه چرا بستر کدهای دستوری تلفن های همراه ناامن است «ایران» به سراغ کارشناسان رفت و نظر آنها را جویا شد. در همین راستا مهدی عبادی کارشناس پرداخت الکترونیک معتقد است خدمات USSD بستری مناسب و امن برای ارائه خدمات بانکی نیست. عبادی با بیان مثالی گفت: در سال 91 یک فردی بهدلیل خیانت به شرکتش اطلاعات 3 میلیون کاربر بانک را منتشر کرد. فعالیت بانکی رویUSSD دقیقاً همین مشکلات را در بردارد، چرا که ثبت و لاگ کردن دیتای کارت بانکی کاربران در سرویسهای USSD با تغییر تنها یک کلمه از N به Y امکان پذیر است. به عبارتی حتی یک برنامه نویس نیز میتواند با ایجاد تغییر گفته شده به اطلاعات و رمز دوم کارت کاربر دسترسی یابد بنابراین به این ترتیب اطلاعات مشتریان فاش شده و امکان کلاهبرداری از حسابهای بانکی شهروندانی که از این سرویس استفاده میکنند، میسر میشود از اینرو استفاده از این بستر دیگر منطقی نیست. مهدی عبادی افزود: از ابتدا نباید روی این بستر ناامن خدمات بانکی ارائه میشد و حال که به هزار دلیل و پایین بودن ضریب نفوذ اینترنت بر این بستر خدمات بانکی ارائه میشود، دیگر نباید ادامه پیدا کند چون در حال حاضر ضریب نفوذ اینترنت روی تلفن های همراه بشدت افزایش یافته بنابراین کشور از وضع اضطرار خارج شده است. این کارشناس پرداخت الکترونیک با بیان اینکه به اپراتورها 2 سال فرصت داده شده بود تا بهدنبال راهکاری مناسب و امن به جای USSD باشند، گفت: به اپراتورها این انتقاد وارد است که چرا در مدت دوسال گذشته اقدام مؤثری انجام ندادهاند و الزامات را رعایت نکردهاند، آنها اگر دغدغه امنیت داشتند میتوانستند تغییر عمدهای در شبکههای خود ایجاد کرده و جنس کسب و کار خود را تغییر دهند.
مهدی عبادی در ادامه قطع سرویس ناامن USSD را برای اپراتورها یک فرصت دانست و گفت: این میتواند برای اپراتورها محرک خوبی باشد تا شبکههای اینترنت تلفن همراه خود را بیشتر از پیش حتی تا نقاط دورافتاده و روستاها گسترش دهند. از سوی دیگر باعث میشود از نظر امنیتی نیز در نقطه امن قرار بگیریم و مهم تر اینکه فعالیت تنوع خدمات بانکی روی اپلیکیشنها افزایش پیدا میکند.
عبادی کارشناس پرداخت الکترونیک درباره این سؤال که قطع خدمات USSD میتواند برای قشری از مردم که به اینترنت دسترسی ندارند مشکل ایجاد کند، گفت: اپراتورها میتوانند خرید شارژ را از وابستگی به اینترنت خارج کنند کاری که یکی از اپراتورها انجام داده است به صورت آفلاین به کاربران خود شارژ میدهد. از سوی دیگر اکنون دور و بر هر فردی که از تلفن همراه معمولی نیز استفاده میکند فردی وجود دارد که دارای تلفن همراه هوشمند باشد و برای آنها شارژ اعتباری تهیه کند بنابراین راه حل جایگزین وجود دارد.
این کارشناس پرداخت الکترونیک درباره مخالفتهایی که با قطع شدن USSDها میشود نیز گفت: مخالفتها از سوی اپراتورها نیست، بلکه از سوی شرکتهای تابعه اپراتورها است که تمام تجارت خود را روی خدمات USSD سوار کردهاند و حال که این سرویس ناامن در حال قطع شدن است، کسب و کار خود را در خطر میبینند. اپراتورها نیز نباید اجازه دهند شرکتهای تابعه آنها بهدلیل کسب و کار خود، ابزارهای ناامن را حفظ کنند، چرا که در این میان بحث اطلاعات کاربران و سوءاستفاده و کلاهبرداری از اموال مردم وجود دارد. نباید درباره اطلاعات کاربران و سوءاستفاده مالی و کلاهبرداری از اموال مردم سکوت یا احساساتی برخورد کرد، بلکه باید گفتوگو کرد و با منطق مهندسی جلوی استفاده از این خدمت نا امن را گرفت.
اپهای مالی رمزگذاری شده جایگزین USSD
در بین گفتههای مسئولان بانکداری و کارشناسان، استفاده از اپلیکیشنهای بانکها به جای استفاده از کد USSD به میان آمده است. آنها استفاده از «فین تک»ها را بستر امنی برای تراکنشهای مالی میدانند. میلاد جهاندار دبیر انجمن فین تکها درباره جایگزینی اپلیکیشنها به جای USSD گفت: همه کارشناسان حوزه پرداخت میدانند که سرویس USSD برای شهروندان خطرناک است و میتواند اطلاعات کاربران را فاش کند و بستری بسیار ناامن است بنابراین اگر دوباره مانند سال 91 اطلاعات کارت بانکی شهروندان از طریق کدهای دستوری فاش شود، بیاعتمادی عمومی نسبت به کل نظام مالی کشور ایجاد میشود. جهاندار افزود: اپلیکیشنهای مالی دارای بستر امنی هستند، چرا که همه چیز در آن به صورت رمزگذاری شده است و امکان دسترسی به شماره کارت و پسورد کاربر وجود ندارد از اینرو اگر شهروندان از اپلیکیشنهای مالی (فین تک ها) استفاده کنند اطلاعات مالی آنها در امان میماند و امکان کلاهبرداری از کارت آنها وجود ندارد. کسانی که کسب و کار خود را بر بستر کد USSD برنامهریزی کردهاند میتوانند به جای آن از اپها استفاده کنند. وقتی مردم بدانند که بسترناامنی برای خدمات بانکی وجود دارد قطعاً بسترهای امن را انتخاب میکنند. اپلیکیشنهایی که خدمات مالی ارائه میدهند قابل اعتماد هستند. گفتنی است روزنامه ایران به سراغ اپراتورهای تلفن همراه رفت تا نظر آنان را درباره قطع این سرویس و رعایت الزامات آن بداند اما اپراتورها حاضر به گفتوگو در این زمینه نشدند و اعلام کردند که قرار است فقط وزارت ارتباطات و فناوری اطلاعات در این باره اظهار نظر کند.
نیم نگاه
ناصر حکیمی معاون فناوری بانک مرکزی : کدهای دستوری امنیت لازم را برای نقل و انتقال های مالی ندارند . زمانی که کاربر کد دستوری را وارد می کند، شماره کارت و رمز آن به همان صورتی که خوانده می شود در سیستم ها ذخیره می شود
مهدی عبادی کارشناس پرداخت الکترونیک: به اپراتورها 2 سال فرصت داده شده بود تا به دنبال راهکاری مناسب و امن به جای USSD باشند. به اپراتورها این انتقاد وارد است که چرا در مدت دوسال گذشته اقدام مؤثری انجام نداده اند
میلاد جهاندار دبیر انجمن «فین تک» ها:اپلیکیشن های مالی دارای بستر امنی هستند، چرا که همه چیز در آن به صورت رمزگذاری شده است و امکان دسترسی به شماره کارت و پسورد کاربر وجود ندارد