بانک مرکزی «یو‌اس‌اس‌دی» را هوا می‌کند؟

درباره یک بخشنامه مناقشه‌برانگیز که موافقان و مخالفان زیادی دارد اما استدلال‌های موافقانش قوی‌تر است
بانک مرکزی «یو‌اس‌اس‌دی» را هوا می‌کند؟
۱۵ بهمن ۱۳۹۶ بدون دیدگاه فین تک رسول قربانی https://goo.gl/drcHwY
فروردین‌ماه سال ۹۱ بود که بمب خبری نظام بانکی ایران در دل یکی از بزرگ‌ترین شرکت‌های فعال وقت ترکید: «اطلاعات ۳ میلیون کارت بانکی لو رفت!» هر چند این اتفاق نتیجه خیانت یک فرد در یک شرکت بود، اما تمام مقامات و مسئولان کشوری انگشت اتهام را به سمت بانک مرکزی نشانه رفتند که چرا بانک مرکزی نظارت کافی برای پیشگیری از چنین مواردی را نداشته است. 
بانک مرکزی «یو‌اس‌اس‌دی» را هوا می‌کند؟

فروردین‌ماه سال ۹۱ بود که بمب خبری نظام بانکی ایران در دل یکی از بزرگ‌ترین شرکت‌های فعال وقت ترکید: «اطلاعات ۳ میلیون کارت بانکی لو رفت!» هر چند این اتفاق نتیجه خیانت یک فرد در یک شرکت بود، اما تمام مقامات و مسئولان کشوری انگشت اتهام را به سمت بانک مرکزی نشانه رفتند که چرا بانک مرکزی نظارت کافی برای پیشگیری از چنین مواردی را نداشته است. همین اتفاق باعث تغییرات زیادی در سازوکارهای نظارتی بانک مرکزی شد و هر روز بیش‌ازپیش به سختگیری‌های نظارتی خود افزود تا امنیت حساب‌های مردم را به حداکثر مقدار ممکن برساند. در همین راستا، بانک مرکزی اخیرا طی بخشنامه‌ای سعی کرد جلوی یکی از بسترها با پتانسیل بالا برای تکرار ماجرای افشای اطلاعات میلیونی کارت‌های بانکی را بگیرد.

  •  داستان از چه قرار است؟

بانک مرکزی ایران دوم بهمن ماه ۹۶، در بخشنامه‌ای اعلام کرد: «اطلاعات حساس کارت مردم، نظیر رمز دوم آنها، نباید از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیره‌سازی یا مشاهده آن توسط عواملی غیر از بانک یا ارائه‌دهنده خدمات پرداخت وجود دارد، مبادله شوند.» هر‌چند در بخشنامه بانک مرکزی حرفی از تکنولوژی USSD یا همان ستاره-عدد-مربع‌ها نیامده است، ولی اصلی‌ترین بستری که در دایره مخاطب این بخشنامه قرار می‌گیرد، بستر USSD است.
به زبان ساده‌تر بخواهیم بگوییم، در تراکنش‌های پرداختی بر بستر USSD در شیوه مرسوم فعلی در کشور، اطلاعات حساس کارت بانکی مردم بدون اینکه متناسب با استانداردهای لازم، رمزنگاری شود، تبادل می‌شود که می‌توان از این اطلاعات به سادگی سوءاستفاده کرد و می‌توان گفت استفاده از تکنولوژی USSD به شیوه فعلی در صنعت بانکداری و پرداخت کشور، ناامن بوده و مانند آتش زیر خاکستر است؛ هرچند تا امروز مشکل امنیتی حادی روی آن نیفتاده است، ولی چه کسی می‌تواند تضمین کند که ماجرای مشابه افشای اطلاعات ۳ میلیون کارت بانکی سال ۹۱، این بار با گستردگی و فراگیری بیشتر تکرار نشود؟ در سال ۹۱، فقط ۹۰ میلیون کارت بانکی در دست مردم بود و اکنون بیش از ۲۰۰میلیون کارت بانکی در دست مردم است و آن هم با اقبال و استفاده روزمره چندین برابری و اگر بانک مرکزی به‌عنوان یک نهاد ناظر راه‌های تکرار این فاجعه را نبندد، بعيد نیست شاهد یک فاجعه بزرگ ملی در کشور باشیم و مسلما دوباره همه انگشت‌های اتهام به سمت بانک مرکزی نشانه خواهد رفت؛ همانطور که در ماجرای مؤسسات غیرمجاز با وجود اینکه بانک مرکزی بارها هشدار داده بود، سرانجام در نقطه اتهام قرار گرفت.
در ماجرای مؤسسات غیرمجاز نیز عده‌ای تا آخرین لحظه سعی در گمراه‌کردن مردم و سپرده‌گذاران داشتند؛ در ماجرای USSD هم ظاهرا روند مشابهی در حال طی‌شدن است و برخی سعی دارند بخشنامه بانک مرکزی را تحت‌الشعاع قرار دهند. باید بپرسیم آیا این افراد که مردم را به استفاده از این بستر تشویق می‌کنند، از امنیت آن هم باخبر هستند؟ اگر باخبر باشند مطمئنا چنین دفاعی نمی‌کنند و اگر هم بی‌خبر هستند که باید آنها را آگاه کرد که ناخواسته از یک خلأ امنیتی دفاع نکنند. سؤال بعدی از این افراد این است که آیا تضمین می‌کنند که فاجعه افشای اطلاعات کارت‌های بانکی سال ۹۱ تکرار نشود و اگر تکرار شود، چه کسی مسئول این فاجعه خواهد بود؟

  •  بانک مرکزی باید ۳ سال پیش این بخشنامه را ابلاغ می‌کرد

برخی این سؤال را مطرح می‌کنند که اگر این بستر ناامن است، پس چرا تاکنون بانک مرکزی اقدامی نکرده است؟ این نقدی است که صد‌درصد به بانک مرکزی وارد است که چرا با تاخیر به فکر این موضوع افتاده ‌و این توقع می‌رفت این بخشنامه را حداقل ۳سال پیش ابلاغ می‌کرد. توجیه بانک مرکزی این است که با توجه به مهیا نبودن بسترهای مناسب جایگزین، تاکنون ابلاغ این بخشنامه را به تعویق انداخته بود ولی اکنون با توجه به توسعه بستر اینترنت همراه و گسترش تلفن‌های همراه هوشمند، اپلیکیشن‌های پرداخت همراه جایگزینی بسیار بهتر و امن‌تر برای انجام این تراکنش‌ها هستند. اکنون که بر همه واضح است که USSD بستر ناامنی است، آیا باید همچنان به ادامه این مسیر پرخطر پافشاری کنیم؟

  •  آیا باید بستر را برای تکرار ماجرای سال ۹۱ آماده کنیم؟

برخی نیز این موضوع را مطرح می‌کنند که هنوز در روستاهای دورافتاده کشور به دلیل عدم دسترسی به اینترنت بستر جایگزین مناسبی برای تکنولوژی USSD ندارند؛ در این خصوص باید گفت که طبق آمارهای موجود، تلگرام ۴۰ میلیون کاربر ایرانی دارد و این به‌خوبی می‌تواند نشان دهد که تقریبا حتی در دورافتاده‌ترین روستاها نیز هم به اینترنت دسترسی دارند و هم به تلفن‌های همراه هوشمند و اتفاقا اگر روستاییانی به اینترنت دسترسی ندارند، این کم‌کاری اپراتورهای تلفن همراه است و نمی‌توانند این کم‌کاری خود را با به خطر انداختن امنیت سیستم بانکی بپوشانند. نکته مهم‌تر این است که حتی اگر برخی ‌روستاها به اینترنت دسترسی نداشته باشند، آیا باید تمام سیستم بانکی را در معرض چنین ریسک بزرگی قرار داد؟

افزودن دیدگاه جدید

CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.‎
Image CAPTCHA
Enter the characters shown in the image.‎