فعالیت کانال USSD در بستری امن مشکلی ندارد

فرایند امن‌سازی کانال یو‌اس‌اس‌دی برای ایجاد زمینه‌های فراهم‌کردن امنیت در ارائه خدمات پرداخت موبایلی بر بستر USSD، توسط شرکت شاپرک و پی‌اس‌پی‌ها در حال انجام است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محدودیت‌های ایجاد شده برای ارائه خدمات پرداخت موبایلی بر بستر USSD به بهانه امن نبودن شبکه اپراتورهای تلفن همراه همچنان مورد انتقاد کارشناسان است. آنها معتقدند که بانک مرکزی جمهوری اسلامی ایران باید توانمندی‌ خود را در حوزه قانون‌گذاری و تامین امنیت شبکه‌های پرداخت الکترونیک افزایش دهد تا در شرایطی که هر روزه امکان جدیدتری برای استفاده از فضای الکترونیک به‌وجود می‌آید کاربران از بهره‌مندی این قابلیت‌ها محروم نشوند. همچنین ادامه کار برای شرکت‌های واسط پرداختی که سال گذشته به دستور کمیته فیلترینگ فضای مجازی قوه قضاییه فیلتر شدند همچنان با ابهام مواجه است. 

داوود محمدبیگی، مدیر اداره نظام پراخت بانک مرکزی جمهوری اسلامی ایران، به برخی از انتقادها در این‌باره پاسخ گفت. در ادامه این گفت‌وگو را می‌خوانید. 

برخی از شرکت‌های پرداخت الکترونیک معتقدند که با محدود کردن کانال USSD ناچارند برخی از برنامه‌هایشان را که بر بستر این کانال تعریف کرده‌اند، معلق کنند. آنها می‌گویند بانک مرکزی به دلایلی همچون نا امنی این فضا چنین محدودیتی را ایجاد کرده‌است. کمی بیشتر درباره این محدودیت اعمال‌شده توضیح دهید.
محدودیت‌هایی که در حوزه پرداخت موبایلی اعمال شد به‌خصوص در بستر USSD اغلب در این راستا بود که ریسک ناشی از ارائه خدمات برای کاربران کاهش یابد هرچند که باید در نظر داشت میزان ریسک با اعمال محدودیت  به صفر نمی‌رسد. هنوز هم برخی انتقاد دارند که چرا سرویس خرید موبایلی محدود به 200هزار تومان است و نسبت به سرویس مانده‌گیری حساب که از آن جلوگیری شده‌است و محدودیت در فروش شارژ معترض هستند. مشکل اصلی از ابتدای شروع پروسه پرداخت موبایل بحث اطلاعات پرداخت مشتریان شبکه بانکی در بستر کانال‌های USSD بود که تبادل امن را به مخاطره می‌انداخت. همواره بانک مرکزی در پاسخ به انتقادات در این‌باره گفته اگر راهکاری مطمئن پیدا شود با فعالیت کانال USSD در بستری امن و پرداخت موبایلی مشکلی ندارد؛ بنابراین برای ایجاد زمینه‌های فراهم‌کردن امنیت در این فضا فرایند امن‌سازی کانال یو‌اس‌اس‌دی توسط شرکت شاپرک و پی‌اس‌پی‌ها در حال انجام است.

اما این فرایندی است که در دنیا تجربه شده و حالا  مسئله امنیت، کمتر موجب محدودیت در ارائه خدمات می‌شود. چرا ما همچنان در پیچ و خم تأمین امنیت الکترونیک هستیم؟
واقعیت این است که در دنیا با توجه به بالا بودن استفاده از تلفن هوشمند، ضریب نفوذ بالا و خطوط دیتا در بستر تلفن همراه از ثبات و سرعت بالایی برخوردار است و به همین علت در روش‌های پرداختی مانند USSD به‌خوبی اطلاع‌رسانی شده‌است و کمتر دچار اشکال می‌شوند اما در ایران با توجه به روند ضریب نفوذ تلفن هوشمند و ثبات دیتا در تلفن همراه استفاده از روش‌های USSD یا روش‌های اس ام اس در پرداخت سابقه طولانی ندارد و موارد استفاده از این قبیل سرویس‌ها در سال‌هایی که دوره گذار برای زیرسازی آماده‌سازی تجهیزات نام دارد، کمتر است. تمامی اعمال محدودیت‌ها در دوره گذار که در آن قرار داریم برای این است که مشتری دچار مشکل نشود.

با فراهم شدن زیرساخت آیا امکان برداشته‌شدن این اعمال محدودیت در آینده نزدیک هست؟
انجام پروژه امن‌سازی فضای زیرساخت این سرویس در دستور کار شرکت‌های پرداخت الکترونیک قرار دارد و اگر این کار به‌سرعت به سرانجام برسد که از امنیت آن مطمئن باشیم، محدودیت اعمال‌شده قابل برداشتن است. هرچند که به نظر می‌رسد اگر قرار به برداشته‌شدن محدودیت باشد و شرکت‌ها اجازه ارائه سرویس پرداخت داشته‌باشند بیش از ۸۰ تا ۹۰درصد استفاده از سرویس پرداخت روی کانال USSD خرید شارژ خواهد‌بود و می‌توان گفت که بخش جزئی از حجم سرویس به خرید یا پرداخت قبض مربوط است. از نظر آماری می‌توان دریافت که استفاده از سرویس پرداخت موبایلی به نسبت سایر دستگاه‌ها دارای حجم بالایی نیست. البته بانک مرکزی هم با توجه به گسترش ابزارهای همراه قصد دارد تا نحوه استفاده از چنین پرداخت‌هایی را تسهیل کند و موجبات پرداخت بدون مراجعه به پایانه‌های فروش را فراهم‌کند. به همین دلیل به‌دنبال برطرف کردن مشکلات با ارائه راهکارهای موقت هستیم هرچند معتقدم آمدن بستر اینترنت در تلفن همراه در سال‌های آینده محقق خواهد شد چون هنوز در برخی از نقاطی در کشور به‌خصوص در روستاها امکان دسترسی به خطوط اینترنت وجود ندارد.

اما کندی اعمال مقررات و نظارت بر سرویس‌های شبکه‌های پرداخت الکترونیک باعث شده تا برخی از آنها معتقد باشند که همواره این شبکه‌ها جلوتر از بانک مرکزی هستند و به‌طور مثال بانک‌ها یا شبکه‌های پرداخت الکترونیک پس از ارائه سرویس باید منتظر دستور‌العمل بانک مرکزی بمانند. این نظر می‌تواند در جایی درست و در جایی نادرست باشد. اگر می‌گوییم درست نیست به این دلیل است که مثلا سرویس علی بابا در چین بعد از ۸ سال در این کشور تحت قوانین و مقررات قرار گرفت و همچنین آمریکا نسبت به سرویس‌های جدیدی مثل سرویس پرداخت گوگل یا اپل پی موضع‌گیری دارند و این سرویس‌ها نتوانسته‌اند به بانک‌های مرکزی دنیا ورود پیدا کنند؛ بنابراین اگر قبل از ایجاد نوآوری در زمینه کسب‌وکار اعمال نگرش سخت‌گیرانه