فناوری اطلاعات

مدیرعامل جیرینگ: گره USSD با دست باز می شود نه دندان/جیرینگ ابلاغیه‌ای از شاپرک نگرفته است

منبع: تسنیم
مدیر عامل جیرینگ گفت: در صورت تعامل برای رفع دغدغه‌های امنیتی USSD به راحتی می‌توان گره را با دست باز کرد نه دندان چرا که ما معتقدیم آسایش مشترکان و کاربران شبکه بانکی از هر چیزی مهم‌تر است.
 
اردیبهشت ماه سال جاری بخشنامه‌ای توسط شرکت شبکه الکترونیکی پرداخت کارت یا همان "شاپرک" به شرکت‌‌های ارائه دهنده خدمات پرداخت (PSP) ابلاغ و در آن گفته شد که از مهر ماه امسال استفاده از بستر USSD برای انجام تراکنش‌های بانکی ممنوع می‌شود و به جای آن باید از روش‌های ایمن و جایگزین استفاده گرددد.
 
در سومین بند از آن ابلاغیه که با امضای مدیرعامل شاپرک مهر شده، آمده بود «از تاریخ اول مهر ماه 1395 استفاده از بستر فعلی USSD برای انجام تراکنش‌های بانکی ممنوع شده و شرکت‌های ارائه دهنده خدمات صرفاً مجاز به پذیرش و پرداخت تراکنش‌های بانکی از روش‌های جایگزین و ایمن خواهند بود. متعاقباً روش مذکور پس از تأیید بانک محترم مرکزی ج.ا.ا. به شرکت‌ها ابلاغ خواهد شد.»
 
کدهای USSD یک روش ارسال پیام در شبکه تلفن همراه است که با شماره‌‌هایی مثل *…# میان کاربران تلفن همراه شناخته و امروزه مانور زیادی روی آنها داده می‌شود.
 
با توجه به ادبیات به کار رفته در ابلاغیه مذکور به سادگی می‌توان حدس زد که احتمالاً این بستر از لحاظ امنیتی برای تراکنش‌های بانکی و جابجایی اطلاعات مالی مناسب نیست.
 
علی‌رغم اینکه چنین ابلاغیه‌ای موجب شکل‌گیری برخی دغدغه‌ها در سطح جامعه شد اما هنوز توضیحی درباره روش‌های جایگزین و ایمن، داده نشده است.
 
با این حال هر یک از بازیگران این حوزه از زمان ابلاغیه مذکور، اقدام به اظهارنظر و تحلیل کارشناسی چنین تصمیم‌گیری کرده‌اند.
 
*جیرینگ ابلاغیه‌ای دریافت نکرده است*
 
مهرداد خطیبی -مدیرعامل شرکت جیرینگ- هم با ابراز شگفتی از نحوه اطلاع‌رسانی ابلاغیه جدید USSD در نشست خبری اظهار کرد: جیرینگ به عنوان ارایه دهنده سرویس‌های مبتنی بر تلفن همراه از جمله زیرساخت USSD در کشور، تاکنون نامه یا ابلاغیه‌ای از شاپرک یا هیچ نهاد قانون‌گذاری دیگری دریافت نکرده و هیچ درخواست مذاکره‌ای برای کمک به رفع دغدغه‌های مطرح شده به این شرکت واصل نشده است.
 
وی با بیان اینکه پنج سالی می‌شود خدمات مالی و پرداخت مبتنی بر USSD توسط جیرینگ و با مشارکت بانک‌ها و PSPها در حال ارائه است، ابراز کرد: فعالیت بازیگران این عرصه، آمار تراکنش موفق روزانه را به چندین میلیون رسانیده اما با این حال حتی یک گزارش مبنی بر بروز تخلف یا سرقت اطلاعات محرمانه کارت‌های بانکی مخابره نشده است.
 
او با ابراز گلایه‌مندی از اقدام صورت گرفته توسط شاپرک، گفت: بهتر بود به جای رسانه‌ای کردن این دغدغه و مشوش کردن بی مورد ذهن جامعه، موضوع در فضایی تعاملی با جیرینگ و سایر متولیان ارائه این خدمت مطرح و راهکار منطقی برای رفع دغدغه‌های مطرح شده، اتخاذ می‌شد.
 
*راهکار ایمن‌سازی تراکنش‌های USSD*
 
این مدیر شرکت خدمات پرداخت همراه بر بستر USSD درباره مشکلات امنیتی مدنظر مسئولان بانک مرکزی و شاپرک، عنوان کرد: بهتر است برای بررسی این موضوع فرض محال کنیم که امنیت USSD، صفر است.
 
وی افزود: در اولین مرحله از ثبت کارت بانکی در انتهای یک تراکنش موفق که شماره کارت بانکی و رمز دوم کارت در یک مرحله با تراکنش‌های جداگانه دریافت می‌شود، در سایر تراکنش‌هایی که توسط مشترکان بر این بستر اتفاق می‌افتد، صرفا رمز دوم کارت دریافت می‌گردد.
 
خطیبی خاطر نشان کرد: پس از آن شماره کارت بانکی به صورت توکن یا alias code ارسال می‌شود. پس اگر اولین تراکنش ثبت کارت را کنار بگذاریم، صرفا رمز دوم کارت در اختیار شنود کننده متخصص قرار خواهد گرفت که قابل سواستفاده نخواهد بود.
 
این فعال حوزه USSD درباره سناریو دیگر نیز یادآور شد: با راهکارهای ساده‌ای می‌توان طی یک اطلاع‌رسانی عمومی از مشترکان USSD خواست تا برای انجام تراکنش بر این بستر، حتما باید رمز دوم بانکی خود را با مراجعه به ATM بانک خود تغییر دهند و برای بالا بردن ضریب امنیت هم می‌توان پس از اعلان عمومی، در سمت PSP و شاپرک از پذیرش هرگونه تراکنش بر این بستر با رمز دوم قبلی، ممانعت کرد. به این ترتیب دغدغه امنیتی مرتفع می‌شود.
 
او با انتقاد از عملکرد بانک مرکزی که به بهانه امنیت USSD آسایش 25 میلیون مشترک تلفن همراه را سلب کرد، عنوان کرد: در صورت تعامل برای رفع دغدغه‌های امنیتی USSD به راحتی می‌توان گره را با دست باز کرد نه دندان چرا که ما معتقدیم آسایش مشترکان و کاربران شبکه بانکی از هر چیزی مهم‌تر است.
 
خطیبی در پاسخ به این سوال که در ابلاغیه شاپرک بیان شده که ارایه سرویس USSD با روش فعلی از اول مهرماه امسال امکانپذیر نیست، با این حساب چه تغییراتی قرار است لحاظ شود؟، گفت: تاکنون هیچ ابلاغیه‌ای دریافت نکرده‌ایم.
 
وی افزود: بنده هم مانند سایر بازیگران حوزه پرداخت، ابلاغیه شاپرک را در سایت‌های خبری مشاهده کرده‌ام و از جزییات آن بی‌اطلاع هستم؛ البته اینکه چرا جیرینگ به عنوان سرویس‌دهنده اصلی باید از این موضوع بی‌اطلاع باشد، برای من هم جای تعجب دارد.
 
این بازیگر حوزه خدمات USSD خاطرنشان کرد: اگر بخواهیم موضوع را خیلی پیچیده کنیم، باید گفت که ارتقای امنیت تراکنش از گوشی تا بستر تحویل اطلاعات به شبکه پرداخت بانکی با افزودن اپلت بر روی سیم‌کارت میسر است.
 
وی گفت: همه می‌دانند که امنیت مقوله‌ای نسبی است لذا هزینه تامین امنیت باید با ریسک تهدیدات امنیتی، تناسب داشته باشد که با فرض امنیت صفر USSD در صورت تغییر رمز‌ دوم در انجام اولین تراکنش، امنیت تقریبا 100 درصد خواهد شد ولی اگر اصرار به پیچیده کردن فرآیند امن‌سازی باشد، آمادگی خود را برای ارتقای امنیت تراکنش‌ها با روش اضافه کردن اپلت بر روی سیم‌کارت اعلام می‌کنیم.
 
خطیبی افزود: این موضوع هزینه قابل توجهی را در سمت اپراتور، شبکه پرداخت و استفاده‌کنندگان به همراه خواهد داشت چرا که ضمن لزوم اعمال تغییر در شبکه اپراتور و شبکه پرداخت، سیم‌کارت مشترکان هم باید به احتمال زیاد برای افزودن اپلت تغییر کند.
 
مدیرعامل جیرینگ گفت: در صورت توافق برای اجرای این مدل، روش خرید و پرداخت بر این بستر به سادگی قبل خواهد بود و هیچ‌گونه پیچیدگی و زحمتی به کاربر تحمیل نمی‌شود، ضمن آنکه راه برای فعال کردن امکان خرید و مانده‌گیری بر این بستر که از مهرماه سال گذشته و به بهانه امنیت متوقف شد، فراهم خواهد شد.
 
*بانک مرکزی ناسپاس شد*
 
وی با اظهار تاسف از هدر رفتن فرصت‌های بی‌شمار برای ارائه خدمات بهتر به کاربران به واسطه فقر قانون طی سال‌های گذشته، اظهار کرد: چند سالی بود که اپراتورهای تلفن‌همراه، منتظر ابلاغ آیین‌نامه "سپاس" بودند تا بتوانند به حوزه پرداخت همراه که امروزه یکی از دغدغه‌های اساسی کشور محسوب می‌شود، ورود کنند اما پس از چند سال و به رغم انجام فرآیند تست با کیف‌پول جیرینگ، بانک مرکزی بدون ارایه کردن طرح یا مسیری جایگزین، خبر توقف پروژه سپاس را منتشر کرد.
 
*بیشترین کاربرد USSD در چه زمینه‌ای است؟*
 
خطیبی با بیان اینکه بالای 80 درصد حجم ریالی و تعدادی مورد استفاده از سرویس‌های USSD مربوط به خرید شارژ تلفن همراه است، بیان کرد: شرکت‌های پرداخت الکترونیکی که اکنون جایگاه و درآمد خوبی در صنعت پرداخت کشور دارند، فراموش نکنند که بخش بزرگی از رشد خود را مدیون همکاری با اپراتورهای تلفن همراه هستند.
 
وی افزود: حال شاید برخی سود این همکاری را یک طرفه جلوه دهند که اگر قضاوت درستی نسبت به حجم سرمایه‌گذاری انجام شده طرفین معامله وجود داشته باشد، کفه ترازو به نفع شبکه پرداخت است نه اپراتور؛ بد نیست به ارزش سهام برخی از شرکت‌های PSP هم قبل و بعد از استفاده از USSD نگاهی بیندازیم.
 
اپراتورها، رقیب بانک‌ها نیستند!
 
این مدیر حوزه خدمات همراه مبتنی بر USSD با اشاره به ممانعت ورود اپراتورها به شبکه پرداخت از سوی بانک مرکزی، گفت: در حال حاضر و در دیگر سوی میدان، رگولاتور مخابراتی اقدام به ارایه مجوز اپراتور مجازی می‌کند و همین شرکت‌های PSP و برخی از شرکت‌های وابسته با بانک‌ها، برای دریافت مجوز اپراتور مجازی، اقدام کرده‌اند. آیا تصور این است که ما هم همانند شبکه بانکی باید از ورود رقبای بانکی و شبکه پرداخت به حوزه خود، نگران و مضطرب باشیم؟!
 
*آیا جیرینگ باید از ورود PSPها به حوزه اپراتورهای مجازی مضطرب باشد؟*
 
وی افزود: آیا قانون‌گذار حوزه مخابرات باید از ورود شرکت‌های وابسته بانکی به شبکه مخابراتی جلوگیری کند یا فرصت را برای ارائه خدمات بهتر و رقابتی‌تر به مشترکان تلفن‌همراه مغتنم شمارد؟
 
او خاطر نشان کرد: این در حالی‌است که شرکت‌های PSP و وابسته بانکی، در طول سال‌های قبل و در جریان همکاری با اپراتورها از همین بستر USSD، با جمع‌آوری اطلاعات محرمانه اپراتورها از جمله شماره تلفن‌همراه، میزان مصرف شارژ و غیره، اقدام به شناسایی مشترکان پرمصرف اپراتورها کرده‌اند و اکنون آماده‌اند تا با اجرایی شدن مجوز MVNO و عملیاتی شدن MNP (ترابردپذیری شماره‌هایی همراه)، به مدد دارا بودن پروفایل مخابراتی و مالی، مشترکان ارزشمند اپراتورها را تصاحب کنند.
 
خطیبی گفت: رگولاتور بانکی نیز همانند همتای مخابراتی خود باید به انحصار PSPهای فعلی برای ارائه خدمات پرداخت پایان دهد و در فضایی مثبت و با حفظ نظارت موثر، نسبت به اعطای مجوز به شرکت‌های توانمند اقدام کند.

​​