به گزارش ایران اکونومیست، تا پیش از عدم نفوذ اینترنت در کشور، اپراتورهای موبایل امکان USSD را برای تبادلات مالی به وجود آوردند. این امکان که برای ارسال دستورهای شبکه اپراتورهای موبایل ایجاد شده بود دارای امنیت بسیار پایینی بود و برای استفاده در شبکه بانکی مناسب نبود. بانک مرکزی در جدیدترین بخشنامه خود که هفته گذشته منتشر کرده است، این بستر را محدود کرده و عملیات بانکی غیر از پرداخت قبض بر روی این شبکه و سایر درگاههای ناامن را ممنوع اعلام کرده است.
عضو هیات مدیره شرکت بهسازان ابلاغ این بخشنامه از سوی بانک مرکزی را از منظر امنیتی بسیار ارزشمند دانست و گفت: این موضوع به یکسال پیش بازمیگردد که قرار بود بانک مرکزی استانداردهای USSD را تغییر دهد و شرکتهای پرداخت را ملزم کند که سرویس USSD را محدود کنند و با پروتکلهای مناسبی این کار را پیش ببرند. خوشبختانه سرانجام بانک مرکزی به طور رسمی تصمیم گرفت این کانال غیرامن را محدود کند.
رسول لطفی آذر افزود: ما نباید نگران سهولت سرویس و خدمات باشیم زیرا سرویسهای امن و مناسبتری برای تبادلات مالی وجود دارند، در حالی که USSD در حد یک سرویس نظرسنجی یا برای انتقال یک سری درخواست میـ تواند مناسب باشد ولی برای پرداخت کانال مناسبی نیست.
وی تاکید کرد: مشتریان بانکها باید از محیطهای امن برای تراکنشهای مالی خود استفاده کنند. یک کارشناس حوزه امنیت بانکداری الکترونیک نیز در خصوص بخشنامه مذکور گفت: برخی سیستمهایی که این چندسال در ایران راهاندازی شدهاند بر اساس شرایط، مقتضیات و نیازهای آن دوره ایجاد شدند و فشار بازار باعث میشد آنها جلو بروند، در دنیا نیز به همین شکل است که سرویسها جلوتر از استانداردها پیش میروند.
در ایران هم سرویسهایی در حوزه بانکی به وجود آمدند که به علت سهولت و سادگی مورد استقبال واقع شدند مانند سرویس فروش شارژ روی درگاه USSD که PSP ها با تبلیغات فراوان روی این سرویس درآمد زیادی بابت این فروش شارژ به دست آوردند.
وی ادامه داد: اما بانک مرکزی همواره دنبال امن کردن یا محدود کردن آن بود که در این راستا پروژه پیوند سال پیش راهاندازی شد و تا حد زیادی برای ارتقای امنیت این سرویس مفید واقع شد.
پس از ایجاد سامانه پیوند به PSPها ابلاغ شد نباید شماره کارت فرد را دریافت کرده و رجیستر انجام دهند، بلکه میتوانند شماره موبایل و رمز را دریافت کرده و شماره موبایل را به پیوند بدهند و شماره کارت را دریافت کنند که این باعث میشد شماره کارت روی کانال USSD تبادل نشود که این تا حد زیادی امنیت را بالا میبرد ولی کافی نبود.
این کارشناس افزود: بخشنامه جدید بانک مرکزی گفته تراکنش روی کانالی که رمزنگاری نقطه به نقطه انجام نداده غیرمجازاست این بدین معنی است که تراکنش روی کانال USSD غیرمجاز است زیرا USSD امکان رمزنگاری اند تو اند ندارد.
به گفته وی، تلفن بانک و یا درکاههای دیکیر نیز مشمول این قانون میشوند. وی در مورد مفهوم رمزنگاری گفت: رمزنگاری نقطه به نقطه یعنی دیتای تراکنش باید از نقطه اول (مشتری) رمز شده و به نقطه بعدی که اولین سوئیج پذیرندگی (بانک یا PSP) است منتقل شود که این تعبیر برای اپلیکشنهای بانکی انجامپذیر است.
این کارشناس ضمن اعلام راهاندازی فاز دوم سامانه پیوند بر مبنای توکنیزاسیون گفت: در فاز دوم پیوند به جای شماره کارت توکن تبادل میشود که این سامانه را کامل تر و امنیت آن را بیشتر میکند.
وی در پایان تاکید کرد: امنیت تدریجی و تعاملی به وجود میآید و امنسازی یکباره سیستمها به خصوص آنهایی که کاربران از آن استفاده میکنند مثل عوض کردن چرخ قطاری در حال حرکت دشوار و پیچیده است.