ستاره و مربعها از شبکه پرداخت پولی ایران حذف میشود. ستاره و مربعهایی که در یک بستر بسیار ناامن اطلاعات حساب افراد را در معرض خطر قرار میداد و در همین راستا پیش از این یکبار خبر هولناک افشای اطلاعات بانکی ٣میلیون نفر بر خروجی رسانههای ایران قرار گرفته بود. حالا گرچه عده زیادی عَلَم مخالفت با این طرح بانک مرکزی را برداشتهاند، اما گویا تصمیم بانک مرکزی برای اجرای این طرح بسیار جدی است.
سال ٩١ خبر تکاندهندهای روی خروجی رسانههای کشور قرار گرفت مبنی بر اینکه فردی به نام خسرو زارع فرید در وبلاگ خود شماره کارت ٣میلیون حساب را به همراه رمز عبورشان منتشر کرده است. او این رفتار خود را با این عنوان توجیه کرد که قصد داشته توجه مدیران را به ناامن بودن سیستم بانکی کشور جلب کند. او مدعی بود که در تیرماه سال گذشته به مدیران تمام بانکهای کشور ایمیل فرستاده و نواقص موجود در سیستم امنیتی کارتبانکها را هشدار داده و اعلام آمادگی کرده است که در ازای یک قرارداد کاری، این نواقص را برطرف کند، اما گفته میشد در این بین تنها مدیری که نسبت به این هشدار واکنش نشان داده، خاوری، مدیرعامل سابق بانک ملی بود؛ کسی که دو ماه بعد به اتهام دست داشتن در بزرگترین فساد مالی کشور فرار کرد و به کانادا پناه برد.
کسی که گرچه آن روزها به نام یک هکر نابغه معرفی شد، اما او درواقع مدیر سابق نرمافزار شرکت انیاک بود که سعی داشت اطلاعات محرمانه زمان مدیریت خود را به بانکها بفروشد. شرکت فناوران انیاک، یکی از شرکتهای طرف قرارداد بانک مرکزی برای تأمین دستگاههای خودپرداز ایران است که در سال ٨٤ موافقتنامه دایم P.S.P را از بانک مرکزی دریافت کرد تا تنها متولی بازاریابی، نصب و پشتیبانی دستگاههای خودپرداز بانکی در کشور باشد.
با وجود این، لو رفتن اطلاعات کارت بانکی ٣میلیون حساب، مسأله سادهای نبود و حاکی از یک نقص جدی امنیتی در شبکههای پرداخت غیرنقدی بود؛ نقصی که باعث میشد اطلاعات حساب بانکی افراد بدون رمزنگاری شدن به راحتی در اختیار شرکتهای واسط قرار داده شود. همین موضوع بانک مرکزی را به تکاپو انداخت تا امنیت شبکههای پرداخت را بیشتر کند.
ماجرا چیست؟
بانک مرکزی ایران دوم بهمنماه ۹۶، در بخشنامهای اعلام کرد: «اطلاعات حساس کارت مردم، نظیر رمز دوم آنها، نباید از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیرهسازی یا مشاهده آن توسط عواملی غیر از بانک یا ارایهدهنده خدمات پرداخت وجود دارد، مبادله شود.» هر چند در بخشنامه بانک مرکزی حرفی از تکنولوژی USSD یا همان ستاره- عدد- مربعها نیامده است، ولی اصلیترین بستری که در دایره مخاطب این بخشنامه قرار میگیرد، بستر USSD است.
به زبان سادهتر بخواهیم بگوییم، در تراکنشهای پرداختی بر بستر USSD در شیوه مرسوم فعلی در کشور، اطلاعات حساس کارت بانکی مردم بدون اینکه متناسب با استانداردهای لازم رمزنگاری شود، تبادل میشود که میتوان از این اطلاعات به سادگی سوءاستفاده کرد و میتوان گفت استفاده از تکنولوژی USSD به شیوه فعلی در صنعت بانکداری و پرداخت کشور، ناامن و مانند آتش زیر خاکستر است؛ هرچند تا امروز مشکل امنیتی حادی اتفاق نیفتاده است، ولی چه کسی میتواند تضمین کند که ماجرای مشابه افشای اطلاعات ۳میلیون کارت بانکی سال ۹۱، اینبار با گستردگی و فراگیری بیشتر تکرار نشود؟ در سال ۹۱، فقط ۹۰میلیون کارت بانکی در دست مردم بود و اکنون بیش از ۲۰۰میلیون کارت بانکی در دست مردم است و آن هم با اقبال و استفاده روزمره چندینبرابری و اگر بانک مرکزی بهعنوان یک نهاد ناظر راههای تکرار این فاجعه را نبندد، بعید نیست شاهد یک فاجعه بزرگ ملی در کشور باشیم و مسلما دوباره همه انگشتهای اتهام به سمت بانک مرکزی نشانه خواهد رفت، همانطور که در ماجرای موسسات غیر مجاز با وجود اینکه بانک مرکزی بارها هشدار داده بود، سرانجام در نقطه اتهام قرار گرفت.
عزم بانک مرکزی برای حذف مبادلات مالی از کدهای دستوری
با وجود انتشار برخی اخبار درباره احتمال به تعویق افتادن حذف مبادلات مالی از کدهای دستوری، معاون فناوریهای نوین بانک میگوید که حذف این کدهای دستوری از مبادلات مالی در موعد مقرر اجرایی میشود.
کدهای دستوری (USSD) یک روش ارسال پیام به شمار میرود که پیغامهای آن همواره بین یک «* و #» قرار دارند و بدینترتیب از شمارههای تلفن تمییز داده میشوند.
یکی از مزیتهای مهم این کدهای دستوری، کاربری آن بدون استفاده کردن از اینترنت است؛ این ویژگی موجب شده تا محبوبیت زیادی بین مردم ایران پیدا کند. این کدها برای استفادههای مختلفی چون نقل و انتقالات مالی، پیگیری حساب، خرید شارژ و پرداخت قبوض استفاده میشود.
علاوه بر اپراتورهای تلفن همراه که از کدهای دستوری برای خرید شارژ و پرداخت قبوض مشتریان استفاده میکنند، در سالهای اخیر شرکتهای پرداخت متعددی نیز بر بستر همین کدها در ایران شکل گرفتهاند.
بانک مرکزی چندی پیش در بخشنامهای اعلام کرد که حذف مبادلات مالی از کدهای دستوری قرار است از ١٥بهمنماه اجرایی شود.
اعلام این تصمیم واکنشهایی را بین کسب و کارهای حوزه پرداخت و اپراتورهای تلفن همراه داشت که معتقد بودند این کار، فعالیتهای آنها را تحتتأثیر قرار میدهد و از اینرو، طی هفته گذشته رسانهها از رایزنی وزارت ارتباطات و فناوری اطلاعات با بانک مرکزی برای تعویق در اجرای این تصمیم خبر دادند.
با اینحال، بانک مرکزی با اتکا بر اینکه این کدهای دستوری امنیت لازم را برای نقل و انتقالهای مالی ندارند، بر حذف مبادلات مالی از کدهای دستوری اصرار دارد.
به گزارش پژوهشکده پولی و بانکی کشور، در اینباره ناصر حکیمی معاون فناوریهای نوین بانک مرکزی روز جمعه اعلام کرد: این کار برای حرکت به سمت مسیرهای امنتر تراکنشها و ایمنسازی نقل و انتقالهای مالی مردم است.
وی گفت: زمانی که یک کد دستوری را وارد میکنید، شماره کارت و رمز آن به صورتی که خوانده میشود در سیستمها ذخیره میشود؛ در برخی از مسیرها در ابتدای توسعه این خدمات، از مسیرهایی استفاده شد که بهطور ساده تراکنشها را مبادله میکرد ولی در دوسال اخیر بسترهای امن ایجاد شده است.معاون فناوریهای نوین بانک مرکزی با بیان اینکه در حدود یکسال و نیم پیش اقدامی برای امنسازی مسیرها انجام دادیم، گفت: اقدام دوم رمزنگاری مبدأ تا مقصد بود و قرار است در دو فاز انجام شود.
حکیمی درباره رمزنگاری مبدأ تا مقصد تراکنشها توضیح داده است: این به معنی این است که انتقالی از سرویس مسیرهای کنونی به مسیرهای جدید انجام میشود؛ در حقیقت اقدامی مانند اپلیکیشنهایی که روی گوشی شما نصب میشود، اتفاق میافتد و ما حرکت به سمت مسیرهای امنتر برای تراکنش را درنظر گرفتهایم.
۵میلیون و ۶۰۰ هزار دستگاه POS در کشور وجود دارد
این موضوع درحالی رخ میدهد که ناصر حکیمی از ٢٤ساعتهشدن زمان واریز پول به حساب افراد بعد از کشیدن از دستگاه پوز هم خبر داده است.
او با بیان اینکه اکنون ٥میلیون و ٦٠٠هزار دستگاه pos در کشور وجود دارد، گفته است: اکنون کشور به این نقطه رسیده که تمامی شبکههای اجتماعی و سرویسهای داده، بهصورت فراوان در اختیار قرار دارد و از همه مهمتر اینکه شبکه گسترده کارتخوان و دستگاه POS به صورت گسترده وجود دارد و در دورافتادهترین نقاط کشور نیز این دستگاهها به چشم میخورد؛ بنابراین دسترسی کامل به شبکه فیزیکی و شبکه داده وجود دارد و حتی در جایی که شبکه داده و گوشی هوشمند نداریم، دستگاه POS هست و میتوان از آن استفاده کرد و همه آنها هم امکان ارایه سرویس دارند، بنابراین ضرورتی به اینکه از یک بستر بالقوه ناامن استفاده کنیم، وجود ندارد.
او درباره افزایش زمان واریز وجه بعد از تراکنشها نیز گفت: این کار برای جلوگیری از خطرها، پولشویی و مبارزه با کلاهبرداری صورت گرفته است.
حکیمی توضیح داد: مطابق با استانداردها، چند ساعتی بین زمانی که کارت را میکشید تا زمانی که وجه به حساب ذینفع واریز میشود زمان درنظر گرفته شده که سامانهها بتوانند تراکنشهای مشکوک را شناسایی کنند.معاون فناوریهای نوین بانک مرکزی ادامه داد: همچنین در صورتی که فردی احساس کرد بهطور غیرمجاز از حسابش برداشت شده یا میشود، فرصت داشته باشد تا بتواند سریعتر این موضوع را پیگیری کند.
- 18
- 3
