کانال USSD ناامن است

بانک مرکزی از دو سال قبل نسبت به ناامن بودن کانال یو‌اس‌اس‌دی هشدار داده بود. چرا این هشدارها جدی گرفته نشد؟

کد خبر : 60593
تاریخ انتشار : یکشنبه 15 بهمن 1396 - 6:32

 

به گزارش پایگاه خبری “ججین” به نقل از خبرگزاری تسنیم، این روزها در رسانه‌ها بحث‌های زیادی درباره حذف کدهای یواس‌اس‌دی مطرح‌شده است. دو طرف درگیر ماجرا هستند؛ یک‌طرف بانک مرکزی، بانک‌ها و شرکت‌های پرداخت و طرف دیگر وزارت ارتباطات، اپراتورها، شرکت‌های زیرمجموعه اپراتورها و شرکت‌های پرداختی که صرفا در بستر ناامن یواس‌اس‌دی فعالیت می‌کند. استدلال طرف اول ناامن بودن کانال یواس‌اس‌دی است و استدلال طرف دوم این است که با محدود کردن این کانال امکان شارژ از طرق دیگر ممکن است برای همه امکان‌پذیر نباشد.

ناگهان عده‌ای از حقوق مصرف‌کننده گفتند و نگران این شدند‌که در دورترین نقطه ایران ممکن است کسی نتواند راه دیگری غیر از یواس‌اس‌دی برای خرید شارژ تلفن همراه از اپراتورها پیدا نکند؛ گویی این وظیفه بانک مرکزی است که با به حراج گذاشتن امنیت ۸۰ میلیون ایرانی زمینه فروش شارژ اپراتورها را فراهم کند. برخی هم سعی کردند دوز دراماتیک ماجرا را زیاد کنند و بگویند که یواس‌اس‌دی ابزار کار خیر است و آن‌ها که می‌خواهند این کانال ناامن را محدود کنند ابزار کار خیر را محدود کرده‌اند؛ این در حالی است که  همه می‌دانیم مهم‌ترین کاربرد یواس‌اس‌دی خرید شارژ اپراتورهاست نه انجام کار خیر؛ البته با یو‌اس‌اس‌دی کماکان می‌توان قبض‌های خدماتی را از طریق یواس‌ای‌دی پرداخت کرد که با استدلال بانک مرکزی مبنی بر ناامن بودن این کانال بهتر است همین امکان را هم از روی یو‌اس‌اس‌دی بردارند.

برخی مطرح می‌کنند که چطور ناگهان بانک مرکزی متوجه ناامن بودن این کانال شده است؛ نکته همین‌جاست. این اولین باری نیست که بانک مرکزی بر روی ناامن بودن یواس‌اس‌دی دست گذاشته است.  بارها و بارها بانک مرکزی نسبت به ناامن بودن یو‌اس‌اس‌دی هشدار داده است. مهرماه سال ۱۳۹۴ یعنی بیشتر از دو سال پیش بانک مرکزی به علی اصغر عمیدیان رئیس وقت سازمان تنظیم مقررات و ارتباطات رادیویی نامه‌ای نوشت و در آن خواسته بود ارائه خدمات بانکداری و پرداخت بر بستر یواس‌اس‌دی صرفاً توسط بانک‌ها و شرکت‌های پرداخت دارای مجوز پرداخت انجام شود. بانک مرکزی همان زمان هم گفته بود که بستر یو‌اس‌اس‌دی امن نیست و اطلاعات حساس مشتریان بانک‌ها در آن ذخیره و نگهداری می‌شود و ممکن است زمینه سواستفاده را فراهم کند. در آن زمان به سازمان تنظیم مقررات گفته شده بود به‌جز بانک‌ها و شرکت‌های دارای مجوز کسی حق دسترسی به اطلاعات حساس مالی مردم را ندارد؛ بنابراین بانک مرکزی حداقل دو سال است که نسبت به ناامن بودن این بستر هشدار داده است.

اگر کسانی با نادیده گرفتن هشدارهای بانک مرکزی کسب‌وکارهایی بر دهانه آتش‌فشان راه انداخته‌اند آیا بانک مرکزی مقصر است؟ هرچند انتقادهایی به بانک مرکزی وارد است ولی اجازه دهید در این‌یک مورد خاص اسیر استدلال کسانی که ناگهان حامی حقوق مصرف‌کننده شده‌اند، نشویم. اگر مانند موسسه‌های مالی غیرمجاز فردا مسائل و مشکلاتی برای مردم رخ داد همین دوستان نمی‌آیند بگویند که وظیفه بانک مرکزی بود برخورد با مسیرهای ناامن نبود؟ واقعا چه درصدی از مردم نیاز مبرم به یو‌اس‌اس‌دی دارند که قطع شدن آن زندگی‌شان را مختل می‌کند؟ آیا این طور نیست که برخی کسب‌وکارها که با امنیت مردم بازی می‌کنند در حال از دست دادن بازارشان هستند و اکنون دست به دامن این شده‌اند که کسی نمی‌تواند در جاهایی که خدمات همین اپراتورها درست کار نمی‌کند شارژ بخرد؟

از همان سال ۹۴ و حتی قبل‌تر برخی شرکت‌ها و دستگاه‌های زیرمجموعه اپراتورهای تلفن همراه، خدماتی را ارائه می‌دادند که در فرایند آن‌ها اخذ داده‌های حساس تراکنش‌ها صورت می‌گرفت. ازآنجایی‌که بنا به قانون، اخذ، ذخیره یا پردازش این داده‌ها باید از طریق مؤسسات دارای مجوز از بانک مرکزی، صورت گیرد، بهتر بود همان زمان تمام اپراتورهای تلفن ثابت و همراه دارای پروانه از سازمان تنظیم مقررات و ارتباطات رادیویی هرگونه ارائه خدمات بانکی یا پرداخت در بسترهای مخابراتی در هر شکل و فرایندی را صرفاً توسط بانک‌ها و مؤسسات اعتباری و ارائه‌دهندگان خدمات پرداخت دارای مجوز از بانک مرکزی انجام می‌دادند. آن‌هایی که می‌گویند بانک مرکزی ناگهان به این فضا ورود کرده دو سال زمان داشته‌اند در اسرع وقت خدمات سایر شرکت‌ها، نهادها و دستگاه‌هایی که کار بانکداری و پرداخت انجام می‌دادند را متوقف کنند. چرا در این دو سال باز ادامه دادند؟

همین امروز هم ادامه شرایط فعلی که موجب نشت اطلاعات حساس مشتریان بانک‌ها در خارج از شبکه پرداخت و نظام بانکی نظیر اپراتورها، شرکت‌های واسط ارائه‌دهنده خدمت و … می‌گردد، ممکن است تبعات و آسیب‌های جدی به اعتماد و اطمینان عمومی در استفاده از ابزارهای پرداخت الکترونیکی وارد نماید. در صورت رخ دادن ماجرایی مانند افشای اطلاعات ۳ میلیون کارت بانکی چه کسی پاسخگوست؟

طبق ماده یک قانون تنظیم بازار غیرمتشکل پولی مصوب ۳۰ دی‌ماه ۱۳۸۳ مجلس شورای اسلامی، اشتغال به عملیات بانکی توسط اشخاص حقیقی و یا حقوقی تحت هر عنوان و تأسیس و ثبت هرگونه تشکل برای انجام عملیات بانکی، بدون دریافت مجوز از بانک مرکزی جمهوری اسلامی ایران ممنوع بوده و بر اساس مفاد بند ب ماده ۱۱ و بند ۱۰ ماده ۱۴ قانون پولی و بانکی کشور (مصوب ۱۳۵۱)، «نظارت بر بانک‌ها و مؤسسات اعتباری» و «رسیدگی به عملیات و حساب‌ها و اسناد و مدارک بانک‌ها و اخذ هرگونه اطلاعات و آمار از بانک‌ها با توجه به لزوم حفظ اسرار حرفه‌ای» از وظایف بانک مرکزی به شمار می‌رود. عملیات بانکی در این قانون به امر واسطه‌گری بین عرضه‌کنندگان و متقاضیان وجوه و اعتبار به‌صورت دریافت انواع وجود سپرده، ودیعه و موارد مشابه تحت هر عنوان و اعطای وام اعتبار و سایر تسهیلات و صدور کارت‌های الکترونیکی پرداخت و کارت‌های اعتباری اطلاق می‌شود.

* رضا قربانی، تحلیلگر بانکداری الکترونیک

 


 

 

 

 

ارسال نظر شما
مجموع نظرات : 0 در انتظار بررسی : 0 انتشار یافته : ۰
  • نظرات ارسال شده توسط شما، پس از تایید توسط مدیران سایت منتشر خواهد شد.
  • نظراتی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
  • نظراتی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.