پایان ستاره مربع های خطرناک

شهروند| ستاره و مربع‌ها از شبکه پرداخت پولی ایران حذف می‌شود. ستاره و مربع‌هایی که در یک بستر بسیار ناامن اطلاعات حساب افراد را در معرض خطر قرار می‌داد و در همین راستا پیش از این یک‌بار خبر هولناک افشای اطلاعات بانکی 3‌میلیون نفر بر خروجی رسانه‌های ایران قرار گرفته بود. حالا گرچه عده زیادی عَلَم مخالفت با این طرح بانک مرکزی را برداشته‌اند، اما گویا تصمیم بانک مرکزی برای اجرای این طرح بسیار جدی است.
سال 91 خبر تکان‌دهنده‌ای روی خروجی رسانه‌های کشور قرار گرفت مبنی بر این‌که فردی به نام خسرو زارع فرید در وبلاگ خود شماره کارت 3‌میلیون حساب را به همراه رمز عبورشان منتشر کرده است. او این رفتار خود را با این عنوان توجیه کرد که قصد داشته توجه مدیران را به ناامن بودن سیستم بانکی کشور جلب کند. او مدعی بود که در تیرماه‌ سال گذشته به مدیران تمام بانک‌های کشور ایمیل فرستاده و نواقص موجود در سیستم امنیتی کارت‌بانک‌ها را هشدار داده و اعلام آمادگی کرده است که در ازای یک قرارداد کاری، این نواقص را برطرف کند، اما گفته می‌شد در این بین تنها مدیری که نسبت به این هشدار واکنش نشان داده، خاوری، مدیرعامل سابق بانک ملی بود؛ کسی که دو ماه بعد به اتهام دست داشتن در بزرگترین فساد مالی کشور فرار کرد و به کانادا پناه برد.
کسی که گرچه آن روزها به نام یک هکر نابغه معرفی شد، اما او درواقع مدیر سابق نرم‌افزار شرکت انیاک بود که سعی داشت اطلاعات محرمانه زمان مدیریت خود را به بانک‌ها بفروشد. شرکت فناوران انیاک، یکی از شرکت‌های طرف قرارداد بانک مرکزی برای تأمین دستگاه‌های خودپرداز ایران است که در ‌سال 84 موافقتنامه دایم P.S.P را از بانک مرکزی دریافت کرد تا تنها متولی بازاریابی، نصب و پشتیبانی دستگاه‌های خودپرداز بانکی در کشور باشد.
با وجود این، لو رفتن اطلاعات کارت بانکی 3‌میلیون حساب، مسأله ساده‌ای نبود و حاکی از یک نقص جدی امنیتی در شبکه‌های پرداخت غیرنقدی بود؛ نقصی که باعث می‌شد اطلاعات حساب بانکی افراد بدون رمزنگاری شدن به راحتی در اختیار شرکت‌های واسط قرار داده شود. همین موضوع بانک مرکزی را به تکاپو انداخت تا امنیت شبکه‌های پرداخت را


بیشتر کند.
ماجرا چیست؟
بانک مرکزی ایران دوم بهمن‌ماه ۹۶، در بخشنامه‌ای اعلام کرد: «اطلاعات حساس کارت مردم، نظیر رمز دوم آنها، نباید از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیره‌سازی یا مشاهده آن توسط عواملی غیر از بانک یا ارایه‌دهنده خدمات پرداخت وجود دارد، مبادله شود.» هر چند در بخشنامه بانک مرکزی حرفی از تکنولوژی USSD یا همان ستاره- عدد- مربع‌ها نیامده است، ولی اصلی‌ترین بستری که در دایره مخاطب این بخشنامه قرار می‌گیرد، بستر USSD است.
به زبان ساده‌تر بخواهیم بگوییم، در تراکنش‌های پرداختی بر بستر USSD در شیوه مرسوم فعلی در کشور، اطلاعات حساس کارت بانکی مردم بدون این‌که متناسب با استانداردهای لازم رمزنگاری شود، تبادل می‌شود که می‌توان از این اطلاعات به سادگی سوءاستفاده کرد و می‌توان گفت استفاده از تکنولوژی USSD به شیوه فعلی در صنعت بانکداری و پرداخت کشور، ناامن و مانند آتش زیر خاکستر است؛ هرچند تا امروز مشکل امنیتی حادی اتفاق نیفتاده است، ولی چه کسی می‌تواند تضمین کند که ماجرای مشابه افشای اطلاعات ۳‌میلیون کارت بانکی‌ سال ۹۱، این‌بار با گستردگی و فراگیری بیشتر تکرار نشود؟ در ‌سال ۹۱، فقط ۹۰‌میلیون کارت بانکی در دست مردم بود و اکنون بیش از ۲۰۰‌میلیون کارت بانکی در دست مردم است و آن هم با اقبال و استفاده روزمره چندین‌برابری و اگر بانک مرکزی به‌عنوان یک نهاد ناظر راه‌های تکرار این فاجعه را نبندد، بعید نیست شاهد یک فاجعه بزرگ ملی در کشور باشیم و مسلما دوباره همه انگشت‌های اتهام به سمت بانک مرکزی نشانه خواهد رفت، همان‌طور که در ماجرای موسسات غیر مجاز با وجود این‌که بانک مرکزی بارها هشدار داده بود، سرانجام در نقطه اتهام قرار گرفت.
عزم بانک مرکزی برای
حذف مبادلات مالی از کدهای دستوری
با وجود انتشار برخی اخبار درباره احتمال به تعویق افتادن حذف مبادلات مالی از کدهای دستوری، معاون فناوری‌های نوین بانک می‌گوید که حذف  این کدهای دستوری از مبادلات مالی در موعد مقرر اجرایی می‌شود.
به‌گزارش خبرنگار اقتصادی ایرنا، کدهای دستوری (USSD) یک روش ارسال پیام به شمار می‌رود که پیغام‌های آن همواره بین یک «* و #» قرار دارند و بدین‌ترتیب از شماره‌های تلفن تمییز داده می‌شوند.
یکی از مزیت‌های مهم این کدهای دستوری، کاربری آن بدون استفاده کردن از اینترنت است؛ این ویژگی موجب شده تا محبوبیت زیادی بین مردم ایران پیدا کند. این کدها برای استفاده‌های مختلفی چون نقل و انتقالات مالی، پیگیری حساب، خرید شارژ و پرداخت قبوض استفاده می‌شود.
علاوه بر اپراتورهای تلفن همراه که از کدهای دستوری برای خرید شارژ و پرداخت قبوض مشتریان استفاده می‌کنند، در سال‌های اخیر شرکت‌های پرداخت متعددی نیز بر بستر همین کدها در ایران شکل گرفته‌اند.
بانک مرکزی چندی پیش در بخشنامه‌ای اعلام کرد که حذف مبادلات مالی از کدهای دستوری قرار است از 15بهمن‌ماه اجرایی شود.
اعلام این تصمیم واکنش‌هایی را بین کسب و کارهای حوزه پرداخت و اپراتورهای تلفن همراه داشت که معتقد بودند این کار، فعالیت‌های آنها را تحت‌تأثیر قرار می‌دهد و از این‌رو، طی هفته گذشته رسانه‌ها از رایزنی وزارت ارتباطات و فناوری اطلاعات با بانک مرکزی برای تعویق در اجرای این تصمیم خبر دادند.
با این‌حال، بانک مرکزی با اتکا بر این‌که این کدهای دستوری امنیت لازم را برای نقل و انتقال‌های مالی ندارند، بر حذف مبادلات مالی از کدهای دستوری اصرار دارد.
به گزارش پژوهشکده پولی و بانکی کشور، در این‌باره ناصر حکیمی معاون فناوری‌های نوین بانک مرکزی روز جمعه اعلام کرد: این کار برای حرکت به سمت مسیرهای امن‌تر تراکنش‌ها و ایمن‌سازی نقل و انتقال‌های مالی مردم است.
وی گفت: زمانی که یک کد دستوری را وارد می‌کنید، شماره کارت و رمز آن به صورتی که خوانده می‌شود در سیستم‌ها ذخیره می‌شود؛ در برخی از مسیرها در ابتدای توسعه این خدمات، از مسیرهایی استفاده شد که به‌طور ساده تراکنش‌ها را مبادله می‌کرد ولی در دو‌سال اخیر بسترهای امن ایجاد شده است.
معاون فناوری‌های نوین بانک مرکزی با بیان این‌که در حدود یک‌سال و نیم پیش اقدامی برای امن‌سازی مسیرها انجام دادیم، گفت: اقدام دوم رمزنگاری مبدأ تا مقصد بود و قرار است در دو فاز انجام شود.
حکیمی درباره رمزنگاری مبدأ تا مقصد تراکنش‌ها توضیح داده است: این به معنی این است که انتقالی از سرویس مسیرهای کنونی به مسیرهای جدید انجام می‌شود؛ در حقیقت اقدامی مانند اپلیکیشن‌هایی که روی گوشی شما نصب می‌شود، اتفاق می‌افتد و ما حرکت به سمت مسیرهای امن‌تر برای تراکنش را
درنظر گرفته‌ایم.
۵‌میلیون و ۶۰۰‌ هزار
دستگاه POS در کشور وجود دارد
این موضوع درحالی رخ می‌دهد که ناصر حکیمی از 24ساعته‌شدن زمان واریز پول به حساب افراد بعد از کشیدن از دستگاه پوز هم خبر داده است.
او با بیان این‌که اکنون 5‌میلیون و 600‌هزار دستگاه pos در کشور وجود دارد، گفته است: اکنون کشور به این نقطه رسیده که تمامی شبکه‌های اجتماعی و سرویس‌های داده، به‌صورت فراوان در اختیار قرار دارد و از همه مهمتر این‌که شبکه گسترده کارتخوان و دستگاه POS به صورت گسترده وجود دارد و در دورافتاده‌ترین نقاط کشور نیز این دستگاه‌ها به چشم می‌خورد؛ بنابراین دسترسی کامل به شبکه فیزیکی و شبکه داده وجود دارد و حتی در جایی که شبکه داده و گوشی هوشمند نداریم، دستگاه POS هست و می‌توان از آن استفاده کرد و همه آنها هم امکان ارایه سرویس دارند، بنابراین ضرورتی به این‌که از یک بستر بالقوه ناامن استفاده کنیم، وجود ندارد.
او درباره افزایش زمان واریز وجه بعد از تراکنش‌ها نیز گفت: این کار برای جلوگیری از خطرها، پولشویی و مبارزه با کلاهبرداری صورت گرفته است.
حکیمی توضیح داد: مطابق با استانداردها، چند ساعتی بین زمانی که کارت را می‌کشید تا زمانی که وجه به حساب ذینفع واریز می‌شود زمان درنظر گرفته شده که سامانه‌ها بتوانند تراکنش‌های مشکوک را شناسایی کنند.
معاون فناوری‌های نوین بانک مرکزی ادامه داد: همچنین در صورتی که فردی احساس کرد به‌طور غیرمجاز از حسابش برداشت شده یا می‌شود، فرصت داشته باشد تا بتواند سریع‌تر این موضوع را پیگیری کند.