بانک مرکزی در بخشنامهای اعلام کرد که کدهای USSD بهدلیل برخوردار نبودن از امنیت کافی کنار گذاشتهمیشوند.
بانک مرکزی در بخشنامهای اعلام کرد که کدهای USSD بهدلیل برخوردار نبودن از امنیت کافی کنار گذاشتهمیشوند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، جایگزینی کدهای USSD با اپلیکیشنهای بانکی با هدف ارتقای امنیت پرداخت الکترونیکی صورت گرفت، اما برخی کارشناسان معتقدند در شرایطی که هنوز زیرساختهای اینترنت برای تمامی نقاط فراهم نیست، این تصمیم احتمالا کاربران تلفنهای همراه اعتباری را حداقل برای دریافت شارژ دچار مشکل خواهدکرد.
اخیرا بانک مرکزی بخشنامهای به بانکها ابلاغ کرد که درنتیجه تغییراتی در انجام تراکنشهای مالی، دسترسی به حساب مشتریان بانکها برای عواملی غیر از بانک یا ارائهدهنده خدمات پرداخت محدود شده و با هدف تامین امنیت حساب کاربران، پردازش از کدهای ussd محدود به پرداخت قبوض عمومی میشود و اپلیکیشنهایی که خود بانکها طراحی کردند، جایگزین بانکها خواهند شد.
بر اساس بخشنامه بانک مرکزی نباید اطلاعات حساس کارت مشتریان ازجمله رمز دوم آنها از مسیرهایی که فاقد رمزنگاری مناسب است و امکان ذخیرهسازی یا مشاهده آن توسط عواملی غیر از بانک یا ارائهدهنده خدمات پرداخت وجود دارد، مبادله شود. بر این اساس از نیمه بهمنماه امسال تراکنشهای فاقد رمزنگاری از مبدأ تا مقصد وجود نخواهد داشت. درواقع پرداختهایی که با استفاده از کدهای ussd انجام میشدند از این تاریخ تنها با استفاده از اپلیکیشن بانکها ممکن خواهدبود.
این تصمیم بانک مرکزی را میتوان در راستای افزایش امنیت در مبادلات بدون کارت دانست. کمااینکه ارتقای امنیت در پرداختهای الکترونیکی شبکه بانکی حتی مورد توجه محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات، نیز قرار گرفتهاست و وی اخیرا با اشاره به ٤٢ میلیارد تومان کلاهبرداری و تراکنش غیرمجاز در فضای الکترونیکی و شکایتهای مربوط به برداشتهای غیرمجاز بانکی، اظهار کردهبود: از شبکه بانکی میخواهم که به ارتقای امنیت در حوزه الکترونیک توجه ویژه داشتهباشند. با توجه به فراگیری پرداخت الکترونیک باید روال بهگونهای باشد که اعتماد مردم به این حوزه خدشهدار نشود، زیرا اگر قرار باشد رونق اقتصادی در کسبوکارهای مجازی ایجاد شود، این اعتماد از عوامل مهم خواهدبود.
همچنین اخیرا مرکز ماهر از زیرمجموعههای سازمان فناوری اطلاعات در راستای ارائه توصیههای امنیتی بهمنظور مقابله با ریسکهای امنیتی برنامکها و حفظ امنیت و حریم خصوصی استفادهکنندگان در حوزه بازارهای توزیع برنامههای گوشیهای هوشمند در خصوص برنامههای موبایلی و فروشگاههایی که این برنامهها در اختیار کاربران قرار میدهند هشدار دادهبود این فروشگاهها باید از انتشار برنامکهایی که از بستر ussd برای انجام تراکنشهای مالی خود استفاده میکنند، خودداری کنند.
اگرچه ارتقای امنیت حوزه پرداخت همواره مورد تاکید کارشناسان و مسئولان مربوط بوده و پرداختهای الکترونیکی نیز با توجه به گسترش بانکداری الکترونیکی و سهولت استفاده از این خدمات و بعضا بدون نیاز به اینترنت، روزبهروز به استفاده از چنین خدماتی میافزاید به نظر میرسد راهی که برای افزایش امنیت در نظر گرفته شدهاست، بدون یک خدمت جایگزین، شرایط را برای کاربران دشوارتر خواهدکرد. شاید یکی از مهمترین کاربردهای کدهای ussd مورد استفاده دارندگان شمارههای اعتباری اپراتورها برای گرفتن شارژ اعتباری باشد.
رمضانعلی سبحانیفر، رئیس کمیته مخابرات مجلس، با اشاره به قطع سرویس ussd شارژ اعتباری اپراتورهای همراه از ۱۵ بهمنماه، اظهار کرد: با قطع این سرویس برای شارژ اعتباری سیمکارت خود باید حضورا به دفاتر پیشخوان یا دفاتر دولت الکترونیک یا سایر فروشندگان مراجعه کنند. چنین ایدهای که میلیونها نفر از مالکان سیمکارتهای اعتباری را در اپراتورهای همراه اول، ایرانسل و رایتل درگیر میکند، باید با تدبیر بیشتری انجام شود و تا وقتی که سرویس یا سرویسهای جایگزین بهتری ارائه نشود نباید سرویس ussd قطع شود.
البته اخیرا محمدرضا فرنقیزاد، مدیرکل روابط عمومی وزارت ارتباطات و فناوری اطلاعات، از انجام مذاکرهای بین وزیر ارتباطات و بانک مرکزی خبر داد که بر مبنای آن، با توجه به اینکه اجرای فوری این بخشنامه (قطع سرویس ussd) میتواند در روند کاری و زندگی مردم اختلال ایجاد کند، ظاهرا قرار شده این بخشنامه تا چهار ماه به حالت تعلیق درآید و طی این مدت استفاده از این سرویس امکانپذیر باشد تا راهکارهای لازم برای انجام تدابیر مدنظر بانک مرکزی در خصوص ایجاد بسترهای امن برای انجام تراکنشهای بانکی اندیشیده شود. البته وزارت ارتباطات ضرورت امنسازی بسترهای مبادلات مالی را تایید میکند.
پیش از این نیز مهرماه سال ۹۴ بود که بانک مرکزی با مصوبهای تنها امکان خرید شارژ تلفن همراه و پرداخت قبوض تا سقف ۲۰۰ هزار تومان بهوسیله کدهای USSD را باز گذاشت و سایر خریدهای غیرضروری روی این بستر را مسدود کرد. علت این تصمیم آیندهاندیشی درباره عدم امنیت کافی بسترهای USSD اعلامشد. همان زمان یک ارائهدهنده راهحلهای پرداخت خرد الکترونیک درباره علت اتخاذ این تصمیم چنین گفت: ارتباط موبایل با BTS بر بستر USSD ناامن است و با شبیهسازی این ارتباط امکان سرقت شماره کارت و رمز دوم کارت وجود دارد. بهدلیل ناامنی از ابتدا نیز بانک مرکزی تمایلی برای توسعه بسترهای USSD نداشت اما به دلیل اینکه جایگزینی وجود نداشت کدهای USSD توسعه پیدا کردند. از این رو استفاده از بستر USSD در شبکه بانکی توصیه نمیشود و معمولا برای کاربردهایی مانند رایگیری در برنامهها مورد استفاده قرار میگیرد.
پس از آن در سال 95 تصمیم بانک مرکزی دچار تغییرات جدیدی شد. شاپرک مصوبهای از بانک مرکزی به شرکتهای PSP ابلاغ کردکه بهوسیله آن اعلام شد: «از اول مهرماه سال ۱۳۹۵ استفاده از بستر فعلی USSD برای انجام تراکنشهای بانکی ممنوع شده و شرکتهای ارائهدهنده خدمات پرداخت صرفا مجاز به پذیرش و پردازش تراکنشهای بانکی از روشهای جایگزین و ایمن خواهند بود.»
امروز نیز بانک مرکزی بار دیگر در بخشنامهای خبر از حذف کدهای USSD داد که با واکنشهای گوناگونی همراه بودهاست و در روزهای آینده در این مورد بیشتر خواهیم شنید.