روز سهشنبه ۸ خرداد خبری در رسانههای کشور منتشر شد که بانک مرکزی ضوابط جدیدی برای محدودسازی استفاده از کد USSD در عملیات بانکی تصویب و به بانکها ابلاغ کرده تا از هر کارت در هر روز فقط یک بار بتوان در این بستر استفاده کرد. اما در ادامهی روز ناصر حکیمی، معاون فناوریهای نوین بانک مرکزی، در مصاحبهای با ایبِنا چنین ابلاغی را تکذیب کرد و گفت «بانک مرکزی هیچ بخشنامهای در این زمینه صادر نکرده است». البته نگرانیهای بانک مرکزی در خصوص امنیت یواساسدی تازگی ندارد و چند سالی است پیوسته به نهادهای ناظر، تنظیمکننده و اپراتورهای تلفن همراه تذکر میدهد؛ مهر ۹۴ در نامهای خطاب به رییس وقت سازمان تنظیم مقررات و ارتباطات رادیویی بهشدت از حیث امنیت یواساسدی ابراز نگرانی کرد و خواستار توقف فعالیت اپراتورها در این حوزه شد. در این نامهی بانک مرکزی آمده بود که چون امنیت بستر و مسیر یواساسدی برای تبادل اطلاعات حساس کارتهای بانکی به هیچوجه امن نیست، اپراتورهای همراه باید تنها از طریق شرکتهای پرداخت الکترونیک یا بانکهای دارای مجوز از بانک مرکزی نسبت به ارائه خدمات پرداخت اقدام کنند و فعالیت سایر دستگاهها، شرکتها و امثالهم در این زمینه متوقف شود.
درواقع روی صحبت بانک مرکزی خدمات اپراتورها و شرکتهای وابستهشان در زمینهی پرداخت الکترونیک بود. حالا دو سال بعد از آن اخطار صریح نه تنها توقفی در این امر نمیبینیم بلکه شاهد گسترش هرروزهی این دست خدمات و حتی تبلیغ گستردهی آنها در رسانهی ملی هستیم. البته یک بار دیگر در بهمن ۹۶ تلاشهایی برای توقف این موضوع صورت گرفت ولی خیلی زود طی مذاکراتی بین بانک مرکزی و وزارت ارتباطات متوقف و اعلام شد اجرای آن ۴ ماه به تعویق میافتد. در آن زمان گفته شد «بهرغم آنکه وزارت ارتباطات، نقطه نظرهای بانک مرکزی در خصوص خدمات کدهای دستوری (USSD) و ضرورت امنسازی بسترهای مبادلات مالی را قبول دارد اما برای آنکه اخلالی در خدمترسانی به مردم ایجاد نشود، پیشنهاد تعویق در اجرای این طرح را به بانک مرکزی داده».
از همان دو سال پیش عدهای که خود در این قضیه ذینفع بودند با بهانهی «حقوق مصرفکننده» سعی در کارشکنی در این طرح داشتند. هیچجا هم گفته نشد که فروش بیشتر اعتبار سیمکارت و درآمدزایی بیشتر برای اپراتورها چه ربطی به «حقوق مصرفکننده» دارد و اینکه اگر بر فرض داشته باشد آیا اساساً «امنیت» مصرفکننده حق بالاتری از آن نیست؟ گفته میشد در مناطقی از کشور که دسترسی به اینترنت وجود ندارد یواساسدی راهگشا است؛ ولی گفته نشد آیا بهای ناکارآمدی و کمکاری اپراتورهای همراه طی سالیان را باید مردم با در خطر قرار دادن «امنیت» خود بپردازند؟
به نظر میرسد بانک مرکزی که خود را از اعمال نظر بر رگولاتوری مخابرات و اپراتورهای همراه ناتوان میبیند تصمیم گرفته کدهای دستوری را گامبهگام محدود کند. اما باید پرسید با اینکه حداقل دو سال از تذکر و هشدار صریح بانک مرکزی در مورد امنیت یواساسدی میگذرد چهطور هنوز کاری عملی صورت نگرفته و تصمیمگیری مدام به آینده موکول میشود؟ جالب اینکه صداوسیما مدام آنها را تبلیغ میکند و حتی اخیرا خود این نهاد هم وارد این بازار پرسود شده. اگر مشکلی در امنیت تبادلات بانکی و پولی مردم رخ دهد بانک مرکزی پاسخگو خواهد بود یا سازمان تنظیم مقررات مخابراتی و اپراتورهای همراه؟
در همان بهمن ۹۶ اعلام شد وزیر ارتباطات برای نصب «اپلت» روی سیمکارتهای همراه توافق کرده تا دغدغههای امنیتی کد دستوری حل شود. اما آیا واقعا این یک راه حل است؟ پایگاه حکاک در گفتوگو با شاهین نوروزی کارشناس امنیت سایبری این موضوع را بررسی کرده: «در پروتکل یواساسدی هیچ نوع رمزنگاری روی اطلاعات انجام نمیشود، به همین خاطر هم بستر به شدت ناامنی برای تبادل هرگونه اطلاعات مهم خصوصاً اطلاعات بانکی است.» نوروزی دغدغهی بانک مرکزی دربارهی امنیت یواساسدی برای تراکنشهای بانکی را که مستلزم انتقال اطلاعات حساس در این بستر است کاملاً درست و بهجا میداند؛ چون بستههای اطلاعاتی که تحت این پروتکل رد و بدل میشوند فاقد رمزگذاری هستند بنابراین شنود آنها برای تمام عناصر موجود در مسیر انتقال این بستهها میسر است و میتوانند محتوای آنها را ببینند: «درواقع اپراتورها، شرکتهای پرداخت و کسانی که سِروِرهای کدهای دستوری را در اختیار دارند، به این بستههای اطلاعاتی دسترسی دارند. به عبارت روشنتر وقتی هرکدام از ما تراکنشی با کدهای دستوری انجام میدهیم، شماره کارت، رمز دوم، تاریخ انقضا و … کارت و حساب بانکیمان در معرض دید افراد مختلفی قرار میگیرد و طبیعتاً احتمال سوءاستفاده از این اطلاعات هم مطرح خواهد بود. اگرچه شاپرک و بانک مرکزی بهعنوان متولیان حوزهی پرداخت کشور، نظارت سختگیرانهای بر بانکها و شرکتهای پرداخت الکترونیک دارند تا سوءاستفادههای احتمالی را به حداقل برسانند ولی باز هم امکان و احتمال لو رفتن اطلاعات بانکی از بین نمیرود؛ خصوصاً اینکه متأسفانه طی یکی دو سال اخیر شاهد فعالیت و تبلیغات گسترده شرکتهایی هستیم که کدهای دستوری تحت اجاره خود را تبلیغ میکنند و از آنجایی که نه بانک هستند و نه شرکت پرداخت، از حیطهی نظارت بانک مرکزی و شاپرک خارج هستند و رگولاتورهای مخابراتی هم نظارتی بر آنها ندارند. این رویه ریسک استفاده از کدهای دستوری را بهشدت بالا برده و به همین خاطر بانک مرکزی به دنبال محدود کردن این سرویس است.»
توصیهی نوروزی این است که مردم به هیچ وجه از این بستر برای انجام تراکنشهای بانکی استفاده نکنند. او در خصوص صحبتها دربارهی استفاده از تدابیری مانند اپلت برای امنتر کردن یواساسدی گفت: «واقعیت این است که ذات پروتکل یواساسدی به گونهای نیست که اطلاعات را رمزنگاری کند ولی این امکان وجود دارد که با نصب نرمافزارهایی مانند اپلت روی سیمکارت تلفن همراه، اطلاعات را رمزگذاری کنیم. با این حال نکته مهم این است که اطلاعات رمزگذاری شده در نقطه ارسال که همان گوشی تلفن همراه است در کدام نقطه رمزگشایی خواهد شد؟ اگر قرار باشد این اطلاعات در نقطه اپراتورها رمزگشایی شود در واقع فقط اطلاعات در مسیر بین گوشی تا اپراتور امن شده و احتمال سوءاستفاده از این اطلاعات در سایر نقاط مسیر همچنان باقی خواهد ماند. از آنجا که برای دستبرد و شنود اطلاعات در مسیر گوشی تا اپراتور نیاز به تجهیزات خاص و تخصص کافی است انجام این نوع حمله راه ساده و متداولی نیست به این ترتیب ارزشافزودهای برای امنیت اطلاعات به وجود نیاوردهایم و مسئله شنود اطلاعات در هر نقطهای به ویژه شرکتهای واسطه اطلاعات به قوت خود باقی است.»
نوروزی در ادامهی صحبتهای خود اظهار داشت: «راه دوم این است که بستهی اطلاعاتی از گوشی رمزگذاری و در نقاطی که مورد تأیید بانک مرکزی یا شاپرک هستند، رمزگشایی شوند. لازمهی این کار این است که ارائهدهندهی خدمات بانکی با تغییراتی در نرمافزارهای خود، اطلاعات رمزگذاری شده را باز کنند. با این حال یک چیز مسلم است: در هر دو روش، اگر کسی همچنان اصرار دارد از کدهای دستوری استفاده کند باید سیمکارت خود را عوض کند یا برای نصب «اپلت» روی سیمکارت خود به اپراتورها مراجعه کند؛ اقدامی که قطعاً پرهزینه، پرزحمت و شاید هم نشدنی باشد. منطق حکم میکند بهجای استفاده از پروتکلی که ذاتاً ناامن است، برای گوشیهای نسل گذشته طراحی شده و کاربرد داشته و برای تبادل اطلاعات بانکی، نامناسب است، کاربران را به سمت استفاده از فنآوریهای جدید مانند اپلیکیشنهای پرداخت سوق دهیم.»
با این اوصاف ادامهی استفاده از یواساسدی که موجب نشت اطلاعات حساس مشتریان بانکها در خارج از شبکه پرداخت و نظام بانکی نظیر اپراتورها، شرکتهای واسط ارائهدهنده خدمت و غیره میشود، ممکن است پیآمدها و آسیبهای جدی داشته و به بیاعتمادی و عدم اطمینان عمومی در استفاده از ابزارهای پرداخت الکترونیک منجر شود. در صورت بروز ماجرایی مانند افشای اطلاعات چند میلیون کارت بانکی چه کسی پاسخگو خواهد بود؟
این مسئله علاوه بر بحث امنیتی آن پشتوانهی حقوقی هم دارد؛ طبق مادهی یک قانون تنظیم بازار غیرمتشکل پولی مصوب ۳۰ دی ۱۳۸۳ مجلس، اشتغال به عملیات بانکی توسط اشخاص حقیقی یا حقوقی تحت هر عنوان و تأسیس و ثبت هرگونه تشکل برای انجام دادن عملیات بانکی، بدون دریافت مجوز از بانک مرکزی ایران ممنوع بوده و بر اساس مفاد بند ب ماده ۱۱ و بند ۱۰ ماده ۱۴ قانون پولی و بانکی کشور (مصوب ۱۳۵۱)، «نظارت بر بانکها و مؤسسههای اعتباری» و «رسیدگی به عملیات، حسابها، اسناد و مدارک بانکها و اخذ هرگونه اطلاعات و آمار از بانکها با توجه به لزوم حفظ اسرار حرفهای» از وظایف بانک مرکزی به شمار میرود. عملیات بانکی در این قانون به امر واسطهگری بین عرضهکنندگان و متقاضیان وجه یا اعتبار بهصورت دریافت انواع سپرده، ودیعه و موارد مشابه تحت هر عنوان و اعطای وام اعتباری و سایر تسهیلات و صدور کارتهای الکترونیک پرداخت و اعتباری اطلاق میشود.
USSD چیست؟
USSD یا ارسال پیام از طریق کد دستوری مانند پیامک (SMS) یکی از پروتکلهای مورد استفاده در شبکه GSM است. یواساسدی درواقع یک قابلیت اضافی سرویس GSM است و به هزینهی خاصی برای راهاندازی نیاز ندارد. این کدها مثل پیامک، محدودیت نویسه (کاراکتر) دارند و در اصل برای ارتباط کاربر با اپراتور ساخته شدهاند؛ برخلاف پیامک که برای ارتباط کاربر با کاربر استفاده میشود. بهعلاوه کدهای USSD برخلاف پیامک در دستگاه کاربر ذخیره نمیشوند. کدهای دستوری به دو دستهی اصلی تقسیم میشود: کدهای دستوری از سمت کاربر مثل حالتی که کاربر با وارد کردن یک کد از اعتبار سیمکارت خود مطلع میشود، و دوم کدهای دستوری از سمت سرور که اغلب برای اطلاعرسانیهای مختلف به کار میرود، مانند زمانهایی که وارد یک نمایشگاه میشوید و پیام خوشآمدی روی گوشی ظاهر میشود. کدهای USSD همیشه با یک * شروع و به یک # ختم میشوند.
صنعت بانکداری و پرداخت الکترونیک از موفقترین صنایعی است که با حداکثر قوا سعی داشته تمام خدمات بانکی و پرداخت را به شیوههای گوناگون از طریق موبایل در دسترس مشتریان خود قرار دهد. یکی از شیوههای پرداخت همراه استفاده از این کدهای دستوری است که بیشتر در کشورهایی رواج یافته که بستر اینترنتی مناسبی ندارند. برای مثال در هند این روش بسیار پرکاربرد است و آنجا هم مثل ایران باعث نگرانیهای امنیتی شده. طی تحقیقی که یکی از دانشگاههای تانزانیا انجام داده اساساً امنیت یواساسدی در سطح پیامک (!) است. یعنی اگر حتی در بهترین حالت دادهها بین دستگاه کاربر و ایستگاه اصلی مخابراتی رمزگذاری شود در باقی مسیر بهصورت متن آزاد در معرض سوء استفاده است. برای رمزگذاری یواساسدی از پروتکل MAP استفاده میشود.
پا گرفتن این فناوری در ایران به حدود سال ۸۵ بر میگردد که موضوع پرداخت موبایلی مطرح شد و بانکها و شرکتهای پرداخت مختلف هر کدام با رویکردی متفاوت در این زمینه شروع به کار کردند. اولین شرکتی که در این زمینه فعال شد تا پرداخت موبایلی را با روشی امن و منطبق با استانداردهای مورد قبول بانک مرکزی در ایران راه بیندازد، شرکت پرداخت الکترونیک سامان (سپ) بود. بر اساس آنچه در خبرهای آن زمان آمده سپ در سال ۸۹ به این نتیجه رسیده بود که میتواند از یواساسدی بههدف عملیات پرداخت موبایلی استفاده کند و برای این کار با اپراتورها وارد مذاکره شد، که به دلیل عدم همکاری آنها، تلاش اولیه ناکام ماند. پرداخت الکترونیک سامان در ادامه تصمیم گرفت هدف خود را با همکاری شرکت کوچکی در کیش به اجرا در آورد. طی این پروژه منحصرا برای جزیره کیش خدمات اپراتوری موبایل ارائه میشد؛ بنابراین در آن زمان شرکت پرداخت الکترونیک سامان تنها دارنده مجوز بانک مرکزی در حوزه ارائه خدمات پرداخت تلفن همراه با فناوری یواساسدی بود. روشی که پرداخت الکترونیک سامان، در آن زمان پیش گرفته بود تا حد خوبی امن و مناسب برای ارائه خدمات پرداخت الکترونیک بود. این روش از نظر امنیتی توسط بانک مرکزی پذیرفته شد و استاندارد امنیتی PCI-DSS را تا حد نسبتا مطلوبی پوشش میداد؛ شیوهی عمل یواساسدی که سپ در سال ۸۹ راه انداخت با یواساسدیهایی که امروزه از آنها استفاده میکنیم متفاوت بود. یکی از علل امنیت بهتر آن نیز این بود که هر کاربر برای استفاده از این بستر باید یک بار به شکل اینترنتی شماره همراهش را توأم با برخی اطلاعات کارت بانکی، همچون شماره کارت در یک سامانه ثبت میکرد و هنگام استفاده از این فناوری روی موبایل، دیگر لازم نبود اطلاعات حساس بانکی خود را ارسال کند؛ بلکه این اطلاعات حساس صرفا با شناسایی شماره موبایل کاربر، از مرکز داده فراخوانده میشد.
با رشد سپ و جلب توجه دیگران، وسوسهها برای ورود به این میدان شروع شد و رقبا هر یک روشی را برای جذب مخاطب بیشتر پیاده کردند. سادهسازی فرآیند یکی از آنها بود که پاشنهی آشیلی شد که تا امروز ادامه یافته و امنیت این حوزه را از بین برده. شرکتهای مختلف سعی کردند با حذف پیشثبتنام به استفادهی مستقیم از اطلاعات بانکی افراد روی آوردند و با این کار عملا امنیت یواساسدی را خراب کردند. بانک مرکزی باید در همان زمان به مسئله ورود میکرد و اجازهی رشد نمیداد، اما مثل کلی موضوع مشابه دیگر سهلانگاری یا مصلحتاندیشی کرد و کار از دستش خارج شد. اما برندهی واقعی این اتفاق قطعا اپراتورهای همراه بودند که با عقد قراردادهای یکطرفه بیشترین سود نصیبشان شد. برای همین هم امروز بیشتر جنجالها از سمت شرکتهای مخابراتی و زیرمجموعههای آنها شنیده میشود.
اقدامات بانک مرکزی
بانک مرکزی خیلی دیر در خرداد ۹۳ با اعمال کارمزد ۱۲۰ تومانی برای دریافت موجودی از طریق کدهای دستوری کوشید حجم تراکنشها را کم کند. قدم دوم یک سال طول کشید و در مهر ۹۴ موجودی گرفتن و خرید بر این بستر را برای شرکتهای پرداخت ممنوع کرد و همزمان سقف ۲۰۰ هزار تومانی برای پرداخت قبوض در این بستر را اعمال کرد تا عملا به جز موارد محدود، خدمات بانکی روی بستر یواساسدی صورت نگیرد. در سال ۹۵ بانک مرکزی از سامانهای به نام «پیوند» رونمایی کرد که شماره کارت را به شماره تلفن متصل میکرد تا نیازی نباشد کاربران شماره کارت خود را وارد کرده و امنیت حسابشان را به خطر بیندازند. اما از آنجا که این طرح سفتوسخت اجرا نشد چندان هم موثر نبود. در آخرین اقدام در بهمن ۹۶ بانک مرکزی اعلام کرد که تنها پرداخت قبوض عمومی از طریق این بستر امکانپذیر است و تراکنشهای دیگر از روی آن حذف خواهد شد. این اقدام جدید بانک مرکزی حجم سنگینی از هجمهها و مقابلهها را در پی داشت که همگی از سوی کسبوکارهای مبتنی بر یواساسدی و اپراتورها هدایت میشد. آنها مدعی بودند که بانک مرکزی «ناگهانی» و بعد از پا گرفتن این شرکتها به چنین اقدامی دست زده. حال آنکه این تاریخچه مختصر بهخوبی نشان میدهد که لااقل پنج سال است که بانک مرکزی مدام در خصوص معضل امنیت در این بستر هشدار میدهد.
به نظر میرسد مقاومت اپراتورها و شرکتهای زیرمجموعهشان روزهای آخرش را میگذراند چرا که یک فناوری منسوخ و ناامن بهطور طبیعی با فناوریهای جدید و امنتر جایگزین خواهد شد. امروزه فناوریهای پرداخت الکترونیک نوین مانند گوگل پی و اپل پی بهسرعت در حال رشدند و شیوههای مختلفی برای خدمت به مشتریان خود ارائه میکنند؛ استفاده از بستر فناوری NFC یکی از آنها است. اما باید توجه داشت که یک فناوری میتواند خیلی امن باشد اما با اجرای نادرست، غیر اصولی و کوتهبینانه باعث بروز مشکلات عدیدهای شود. چندی است از نهادها و افراد مختلف صحبتهایی درباره راهاندازی شرکتهایی نوپا در زمینهی «فناوری مالی» شنیده میشود تا خدمات مانند کیف پول الکترونیک عرضه شود. آیا وقتی معضلات عدیدهی یک موضوع ساده مثل یواساسدی چنین گریبانگیر امنیت کاربران کشور میشود آیا میتوان به آیندهی چنین شرکتهایی امید بست؟ فکر نمیکنید اگر بانک مرکزی سالها پیش و قبل از اینکه این حجم از سرمایهگذاری بر این بستر صورت بگیرد محکم و قاطع عمل میکرد امروز این معضل وجود نمیداشت؟