ایجاد زیرساخت برای امن کردن USSD
ایستانیوز:یک کارشناس بانکی در مورد پیامدهای اجرای طرح توقف USSDها میگوید: اگرچه این اقدام بانک مرکزی در راستای ارتقای امنیت پرداخت الکترونیکی صورت گرفت، اما در شرایطی که هنوز زیرساختهای اینترنت برای تمامی نقاط فراهم نیست، احتمالا کاربران را دچار مشکل خواهد کرد.
کد خبر: 234923
ساعت ۹:۵۵ - ۱۳۹۶/۱۱/۱۶
به گزارش پایگاه اطلاع رسانی بازارهای مالی(ایستانیوز)،طی هفته گذشته ابلاغیه بانک مرکزی به بانکهای کشور مبنی بر توقف خدمات روی کدهای دستوری (USSD) تا پانزدهم بهمن جاری خبرساز شد و بانک مرکزی این بخشنامه را برای ارتقای امنیت پرداخت الکترونیک ابلاغ کرد. همچنین گفته شد که برای ارتقای امنیت باید اپلیکیشنهای بانکی جایگزین شود؛ پیش از این نیز گزارشهایی درباره ناامنبودن بستر ارتباطی USSD منتشر شده و کارشناسان امر نظرات متعددی در اینباره داشتند. اغلب آنها معتقدند که ارتباط گوشی با حسابهای بانکی بهشکل غیررمز صورت میگیرد که در نهایت میتواند منجر به سرقت رمز دوم مشترکان و دزدی از حساب آنها شود. با این حال وزیر ارتباطات و فناوری اطلاعات با انتشار توئیتی خبر از منتفیبودن بحث «حذف خدمات USSD» داد. وزیر ارتباطات و فناوری اطلاعات با بیان اینکه USSD از ابتدا با مجوز خود بانک مرکزی به وجود آمده است، بیان کرد: زمانی که سرویسی دارای محبوبیت در بهرهبرداری است، اگر بخواهیم تغییراتی در آن انجام دهیم، باید تاثیرات آن را در بازار نیز بسنجیم. احمد حاتمی یزد، کارشناس بانکی در مورد پیامدهای اجرای این ابلاغیه در گفتوگو با «آرمان» میگوید:« اگرچه این اقدام بانک مرکزی در راستای ارتقای امنیت پرداخت الکترونیکی صورت گرفت، اما در شرایطی که هنوز زیرساختهای اینترنت برای تمامی نقاط فراهم نیست، احتمالا کاربران را دچار مشکل خواهد کرد.»
بانک مرکزی اخیرا ابلاغیهای صادر کرده بود که پردازش کدهای USSD محدود به پرداخت قبوض و اپلیکیشنهایی میشد که خود بانک طراحی کرده، اما مجددا این ابلاغیه لغو شد در حالی که برای ایجاد امنیت خدمات بانکی صادر شده بود. نظر شما در مورد این اقدام بانک مرکزی چیست؟
بر اساس بخشنامه بانک مرکزی نباید اطلاعات حساب کارت مشتریان از جمله رمز دوم آنها از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیره سازی یا مشاهده آن توسط عواملی غیراز بانک یا ارائهدهنده خدمات پرداخت وجود دارد، مبادله شود. هدف بانک مرکزی از این اقدام این بود که جا به جایی و نقل و انتقالات مالی طی 24 ساعت صورت گیرد و سرعت گردش نقدینگی کاهش یابد و از این طریق بتواند کنترلی روی مبدا و مقصد پولهای کلانی که جا به جا میشوند، داشته باشد. بهنظر من این به هیچعنوان سیاست درستی نیست و به اهداف خود نمیرسد. بانک مرکزی تصور میکرد سرعتی که در گردش پول توسط سیستمهای الکترونیک به وجود آمده است میتواند به بازار ارز لطمه وارد کند چراکه باعث بالا رفتن سرعت در خرید و فروش ارز میشود و نرخها را بهصورت لحظهای جابهجا میکنند. چنین اقدامی منطقی نیست. افرادی که با بازار ارز آشنایی دارند میدانند که سرعت نقل و انتقال وجوه در اروپا از ثانیه هم کمتر است و چنین مسالهای که بانک مرکزی تصور داشت، امکانپذیر نیست. بنابراین این تصمیم درستی از سوی بانک مرکزی نبود.
این ابلاغیه در صورت اجرا شدن چه پیامدهایی برای سیستم بانکی و کاربران میتوانست بههمراه داشته باشد؟
اگرچه این اقدام بانک مرکزی در راستای ارتقای امنیت پرداخت الکترونیکی صورت گرفت، اما در شرایطی که هنوز زیرساختهای اینترنت برای تمامی نقاط فراهم نیست، احتمالا کاربران را دچار مشکل خواهد کرد. همچنین نارضایتی مشتریان را در پی خواهد داشت و بسیاری از فروشندگانی که دارای دستگاه پوز هستند مجبور به دریافت پول نقد میشوند تا نسبت به دریافت وجه خود اطمینان داشته باشند. اگر در همان لحظه پول به حساب فروشندگان واریز نشود این نگرانی برای آنها ایجاد خواهد شد که ممکن است موفق به دریافت پول خود نشوند، چراکه آنها با مشتریان خود آشنایی ندارند تا به آنها اثبات کنند کارتشان جعلی یا فاقد اعتبار بوده است. بنابراین این ابلاغیه که صادر شده از اشتباهات بانک مرکزی یا سیستم معاونت فناوری اطلاعات بود که سپس تصمیم به لغو آن گرفته شد.
در صورت ایجاد محدودیت برای پردازش این کدها، میتوان سرویسهایی را جایگزین کرد یا خیر؟
نیازی به حذف و جایگزین کردن سرویسهای جدید وجود ندارد. توصیه من بهعنوان یک کارشناس و حتی از طرف مردمی که از این اقدام بانک مرکزی ناراضی بودند این است که این سرویسها حذف نشوند. حذف این سیاست اصلا بهصلاح نخواهد بود. درواقع من منعکسکننده حرفهای مردم هستم. امروز بانکداری الکترونیک بسیار حائز اهمیت است و در تمام دنیا مورد توجه قرار گرفته است، چراکه از شفافیت بیشتری برخوردار است. در همین راستا، هدف از اقداماتی که برای امنیت بانکداری الکترونیک انجام میشود، کسب رضایت و اعتماد مشتریان است که حتما باید مدنظر مسئولان مربوطه قرار گیرد. برای مثال میتوانم به سیستم چکاوک اشاره داشته باشم که این سیستم کاملا رضایت بخش بود و باید خاطرنشان کنم که عملکرد مناسبی نیز داشت. در عین حال سیستم چکاوک یکی از ابزارهای کنترل بانک مرکزی نیز محسوب میشد، چراکه این سیستم از این مزیت ویژه برخوردار بود که هر گاه هر بانکی در وضعیت مناسبی نبود و حساب آن منفی میشد بانک مرکزی میتوانست بهعنوان یک عمل انضباطی حساب این بانکها را ببندد و بانکهایی که در وضعیت مناسبی هستند به کار خود ادامه دهند. با ایجاد محدودیت برای این کدها بانک مرکزی این ابزار تنبیهی و انضباطی را هم از دست میداد. بنابراین بانک مرکزی بهتر است با همان روش قبل بانکهایی که عملکرد آنها براساس ضوابط و مقررات نیست و دارای حساب منفی هستند، تحت فشار قرار دهد. در صورت اجرای ابلاغیهای که صادر شده بود تمام بانکها تحت فشار قرار میگرفتند.