بانکبانک و بیمه
ستاره و مربعهای خطرناک از شبکه پرداخت میروند
ستاره و مربعها از شبکه پرداخت پولی ایران حذف میشوند.
بهگزارش آرمان اقتصادی (ECOIDEAL)،ستاره و مربعهایی که در یک بستر بسیار ناامن اطلاعات حساب افراد را در معرض خطر قرار میداد و در همین راستا پیش از این یکبار خبر هولناک افشای اطلاعات بانکی ٣میلیون نفر بر خروجی رسانههای ایران قرار گرفته بود. حالا گرچه عده زیادی عَلَم مخالفت با این طرح بانک مرکزی را برداشتهاند، اما گویا تصمیم بانک مرکزی برای اجرای این طرح بسیار جدی است.
سال ٩١ خبر تکاندهندهای روی خروجی رسانههای کشور قرار گرفت مبنی بر اینکه فردی به نام خسرو زارع فرید در وبلاگ خود شماره کارت ٣میلیون حساب را به همراه رمز عبورشان منتشر کرده است. او این رفتار خود را با این عنوان توجیه کرد که قصد داشته توجه مدیران را به ناامن بودن سیستم بانکی کشور جلب کند. او مدعی بود که در تیرماه سال گذشته به مدیران تمام بانکهای کشور ایمیل فرستاده و نواقص موجود در سیستم امنیتی کارتبانکها را هشدار داده و اعلام آمادگی کرده است که در ازای یک قرارداد کاری، این نواقص را برطرف کند، اما گفته میشد در این بین تنها مدیری که نسبت به این هشدار واکنش نشان داده، خاوری، مدیرعامل سابق بانک ملی بود؛ کسی که دو ماه بعد به اتهام دست داشتن در بزرگترین فساد مالی کشور فرار کرد و به کانادا پناه برد.
کسی که گرچه آن روزها به نام یک هکر نابغه معرفی شد، اما او درواقع مدیر سابق نرمافزار شرکت انیاک بود که سعی داشت اطلاعات محرمانه زمان مدیریت خود را به بانکها بفروشد. شرکت فناوران انیاک، یکی از شرکتهای طرف قرارداد بانک مرکزی برای تأمین دستگاههای خودپرداز ایران است که در سال ٨۴ موافقتنامه دایم P.S.P را از بانک مرکزی دریافت کرد تا تنها متولی بازاریابی، نصب و پشتیبانی دستگاههای خودپرداز بانکی در کشور باشد.
با وجود این، لو رفتن اطلاعات کارت بانکی ٣میلیون حساب، مسأله سادهای نبود و حاکی از یک نقص جدی امنیتی در شبکههای پرداخت غیرنقدی بود؛ نقصی که باعث میشد اطلاعات حساب بانکی افراد بدون رمزنگاری شدن به راحتی در اختیار شرکتهای واسط قرار داده شود. همین موضوع بانک مرکزی را به تکاپو انداخت تا امنیت شبکههای پرداخت را بیشتر کند.
ماجرا چیست؟
بانک مرکزی ایران دوم بهمنماه ۹۶، در بخشنامهای اعلام کرد: «اطلاعات حساس کارت مردم، نظیر رمز دوم آنها، نباید از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیرهسازی یا مشاهده آن توسط عواملی غیر از بانک یا ارایهدهنده خدمات پرداخت وجود دارد، مبادله شود.» هر چند در بخشنامه بانک مرکزی حرفی از تکنولوژی USSD یا همان ستاره- عدد- مربعها نیامده است، ولی اصلیترین بستری که در دایره مخاطب این بخشنامه قرار میگیرد، بستر USSD است.
به زبان سادهتر بخواهیم بگوییم، در تراکنشهای پرداختی بر بستر USSD در شیوه مرسوم فعلی در کشور، اطلاعات حساس کارت بانکی مردم بدون اینکه متناسب با استانداردهای لازم رمزنگاری شود، تبادل میشود که میتوان از این اطلاعات به سادگی سوءاستفاده کرد و میتوان گفت استفاده از تکنولوژی USSD به شیوه فعلی در صنعت بانکداری و پرداخت کشور، ناامن و مانند آتش زیر خاکستر است؛ هرچند تا امروز مشکل امنیتی حادی اتفاق نیفتاده است، ولی چه کسی میتواند تضمین کند که ماجرای مشابه افشای اطلاعات ۳میلیون کارت بانکی سال ۹۱، اینبار با گستردگی و فراگیری بیشتر تکرار نشود؟ در سال ۹۱، فقط ۹۰میلیون کارت بانکی در دست مردم بود و اکنون بیش از ۲۰۰میلیون کارت بانکی در دست مردم است و آن هم با اقبال و استفاده روزمره چندینبرابری و اگر بانک مرکزی بهعنوان یک نهاد ناظر راههای تکرار این فاجعه را نبندد، بعید نیست شاهد یک فاجعه بزرگ ملی در کشور باشیم و مسلما دوباره همه انگشتهای اتهام به سمت بانک مرکزی نشانه خواهد رفت، همانطور که در ماجرای موسسات غیر مجاز با وجود اینکه بانک مرکزی بارها هشدار داده بود، سرانجام در نقطه اتهام قرار گرفت.
عزم بانک مرکزی برای حذف مبادلات مالی از کدهای دستوری
با وجود انتشار برخی اخبار درباره احتمال به تعویق افتادن حذف مبادلات مالی از کدهای دستوری، معاون فناوریهای نوین بانک میگوید که حذف این کدهای دستوری از مبادلات مالی در موعد مقرر اجرایی میشود.
به نوشته ایرنا، کدهای دستوری (USSD) یک روش ارسال پیام به شمار میرود که پیغامهای آن همواره بین یک «* و #» قرار دارند و بدینترتیب از شمارههای تلفن تمییز داده میشوند.
یکی از مزیتهای مهم این کدهای دستوری، کاربری آن بدون استفاده کردن از اینترنت است؛ این ویژگی موجب شده تا محبوبیت زیادی بین مردم ایران پیدا کند. این کدها برای استفادههای مختلفی چون نقل و انتقالات مالی، پیگیری حساب، خرید شارژ و پرداخت قبوض استفاده میشود.
علاوه بر اپراتورهای تلفن همراه که از کدهای دستوری برای خرید شارژ و پرداخت قبوض مشتریان استفاده میکنند، در سالهای اخیر شرکتهای پرداخت متعددی نیز بر بستر همین کدها در ایران شکل گرفتهاند.
بانک مرکزی چندی پیش در بخشنامهای اعلام کرد که حذف مبادلات مالی از کدهای دستوری قرار است از ١۵بهمنماه اجرایی شود.
اعلام این تصمیم واکنشهایی را بین کسب و کارهای حوزه پرداخت و اپراتورهای تلفن همراه داشت که معتقد بودند این کار، فعالیتهای آنها را تحتتأثیر قرار میدهد و از اینرو، طی هفته گذشته رسانهها از رایزنی وزارت ارتباطات و فناوری اطلاعات با بانک مرکزی برای تعویق در اجرای این تصمیم خبر دادند.
با اینحال، بانک مرکزی با اتکا بر اینکه این کدهای دستوری امنیت لازم را برای نقل و انتقالهای مالی ندارند، بر حذف مبادلات مالی از کدهای دستوری اصرار دارد.