کدهای USSD به دلیل امنیت پایین حذف خواهند شد؟

نود فناوری-اولین اقدم مقابله با این خدمات از مهرماه سال گذشته برای مشترکان بانک‌ها کلید خورد و بانک مرکزی طی ابلاغیه‌ای از همه بانک‌ها خواست تا ارایه خدمات اعم از صورتحساب و انتقال وجه روی بستر USSD را از دسترس خارج کنند. البته در آن روز‌ها بنا بود تا این محدودیت موقتی باشد و پس از مدتی دوباره در دسترس عموم قرار گیرد؛ حالا بماند که تا به امروز این اتفاق نیفتاده است و همچنان دسترسی به حساب‌ها و تراکنش‌های بانکی از این طریق میسر نیست و حتی قرار است گستره این محدودیت‌ها گریبانگیر مشترکان تلفن همراه نیز شود.

هفته گذشته بانک مرکزی اعلام کرد: « به منظور صیانت از اطلاعات دارندگان کارت، ارتقاء امنیت و بهبود خدمات بدون حضور کارت در شبکه شتاب اقداماتی را انجام می‌‌دهد که بر اساس آن، از روز یکشنبه پانزدهم بهمن ماه ۱۳۹۶ تراکنش‌‌های فاقد رمزنگاری از مبدا تا مقصد در مسیر‌های بدون حضور کارت صرفاً برای پرداخت قبوض عمومی‌ نظیر قبوض آب، برق، گاز و تلفن شهری مجاز است و تراکنش‌‌های مربوط به خرید شارژ و یا قبوض ویژه در شبکه‌‌های شتاب و شاپرک پذیرش و پردازش نخواهد شد و در صورت مشاهده ارسال تراکنش‌‌های غیرمجاز توسط بانک و یا ارائه دهنده خدمات پرداخت مسیر متناظر بانک با موسسه متخلف به صورت کامل برای تمامی‌ تراکنش‌‌ها در شبکه‌‌های شتاب و شاپرک مسدود می‌‌شود.»

بعد از اعلام این خبر نارضایتی‌هایی نسبت به آن مطرح شد و مسئولان وزارت ارتباطات خواستار به تعویق انداختن آن برای مدت چهار ماه شدند، که گفته می‌شود مدیران بانک مرکزی با آن موافقت نکرده و همچنان بر اجرایی شدن آن مصر هستند.

پس از اعلام مخالفت‌ها با این ابلاغیه مسئولان بانک مرکزی موضع‌گیری خاصی نکرده و ترجیح می‌دهند تا درباره اجرایی شدن یا نشدن آن صحبت صریح و شفافی نکنند.

ناصر حکیمی‌ معاون فناوری‌های نوین بانک مرکزی درگفت‌وگو با اقتصادآنلاین با بیان اینکه مطابق استاندارد ‌هانی، نباید اطلاعات حساس کارت به صورت ساده یا غیر رمز شده روی شبکه یا سیستم‌ها رد و بدل یا ذخیره شود، گفت: بعضی از سرویس‌های مخابراتی نظیر کد‌های دستوری به صورت ذاتی plain text هستند یعنی داده‌ها به صورت رمز نشده ارسال و ذخیره سازی می‌شوند و این ایراد مهمی‌ است چون اطلاعات حساس که باید فقط در اختیار مشتری و بانک باشد در جا‌های دیگر نظیر اپراتور‌ها ذخیره شده و قابل بازیابی است.

وی افزود: نفس این عمل ایراد دارد و تا قبل از سرویس‌های داده، امکان دیگری برای پرداخت‌های همراه نبود؛ بنابراین بانک‌ها این سرویس را برای خدمات محدودی استفاده کردند و رشد آن سریع بود.

حکیمی‌ ادامه داد: حالا که بستر‌های امن وجود دارد، دیگر نیازی به استفاده از بستر‌های قدیمی‌ و ناامن نیست و باید مهاجرت صورت گیرد و در مهاجرت به گونه‌ای عمل خواهد شد که خللی در خدمات دریافتی مردم اتفاق نیفتد.

معاون فناوری‌های نوین بانک مرکزی در پاسخ به این سوال که با توجه به اینکه مسئولان وزارت ارتباطات درخواست برای به تعویق افتادن توقف USSD ‌ها به بانک مرکزی ارایه دادند آیا این درخواست اجرایی می‌شود؟ گفت: امن سازی باید در هر صورت اتفاق بیفتد.

درحالی که این مقام مسئول بر لزوم عدم اختلال در خدمات دریافتی مردم تاکید دارد، کارشناسان معتقدند که محدود کردن کد‌های USSD خدمات به مشترکان را با چالش مواجه خواهد کرد.

فربد دامنافشان کارشناس فناوری اطلاعات در این باره به اقتصادآنلاین می‌گوید: بدون شک با قطع کد‌های USSD خدمات به مردم و به ویژه مشترکان اپراتور‌ها با مشکل مواجه خواهد شد.

وی افزود: سطح اطلاع‌رسانی در این زمینه بسیار پایین بود و هنوز معلوم نیست که آیا این محدودیت‌ها از فردا اجرایی خواهد شد یا خیر؟ و به نظر من این موضوع چندان خوشایند نیست.

حسین صالح‌زاده کارشناس بانکداری الکترونیک نیز در پاسخ به علت عدم امنیت در خدمات USSD به اقتصادآنلاین می‌‌گوید: این کد‌ها از نظر سطح امنیتی، بسیار ضعیف عمل می‌‌کنند و در بیشتر کشور‌ها استفاده از آن‌ها منسوخ شده به حساب می‌‌آید .

وی افزود : البته این کد‌ها همچنان در دنیا استفاده می‌شوند ، اما نه در موارد حساس بانکی؛ چون واقعا امنیت استانداردی ندارد.

صالحزاده با بیان اینکه خدمات حساس بانکی بر بستر USSD در ایران هم باید مسدود شود گفت: به طور کلی می‌‌توان گفت که خط مشی بانک مرکزی درست است؛ اما بهتر بود قبل از اعلام خبر مسدودسازی، راه‌هایی ساده‌تری را برای مشترکان فراهم و بعد ارایه خدمات بر بستر USSD را مسدود کند .

این کارشناس افزود: درحال حاضر برای پرداخت صورتحساب قبوض یا خرید شارژ برای سیم‌کارت‌های اعتباری، باید رمز دوم کارت بانک از مشترکان دریافت شود که اگر هکر ها بتوانند به گوشی مشترک نفوذ کنند، به راحتی می‌‌توانند حساب وی را در چند ثانیه خالی کنند.

وی اظهار کرد: علاوه بر این هکر‌ها می‌توانند به اطلاعات رد و بدل شده بین مشترک و بانک دسترسی پیدا کنند که این موضوع نیز بسیار نگران کننده است و بهترین کار برای مبارزه با آن ، محدودیت برای کد‌های USSD است.