آیا میتوان امنیت اطلاعات کارت را بر بستر USSD ایجاد کرد؟
موبنا – بانک مرکزی در دوم بهمنماه با ابلاغ بخشنامه ای فروش شارژ و قبوض ویژه در بستر USSD را متوقف و از هفتم همین ماه مجوز مانده گیری بر آپ های موبایلی را صادر کرد. در این بخشنامه این رویکرد باهدف صیانت از اطلاعات دارندگان کارت، ارتقا امنیت و بهبود خدمات بدون حضور کارت ذکر شده است.
اما در این میان بسیاری از فعالان این بازار که بخش عمدهای از درآمدشان از این بخش تأمین میشود معتقدند که بانک مرکزی بهجای پاک کردن صورتمسئله و ایجاد محدودیت بر بستر USSD باید امنیت این بخش را افزایش میداد اما بحث مشخص در این بخش این است که آیا حفاظت از اطلاعات کارت و رمز مشتریان در بستر USSD بهطور کامل وجود دارد یا خیر؟
هر چند بانک مرکزی با طراحی سامانه پیوند تلاش هایی را برای ارتقای امنیت انجام داد اما نتوانست بهطور کامل آن را در بستر USSD برقرار کند بر همین اساس خبرنگار ایبِنا به سراغ مدیر امنیت شرکت شاپرک رفت تا پاسخ روشنی کسب شود.
مشروح گفت وگو با افشین لامعی مدیر امنیت شرکت شاپرک را در ادامه بخوانید:
ریسک بالای تبادل اطلاعات کارت در کانال های فاقد رمزنگاری
مدیر امنیت شرکت شاپرک در خصوص توقف فروش شارژ بر بستر USSD و اینکه این روند بهصورت موقتی است یا در آینده با امنیت بالاتر بازگشایی میشود، گفت: تبادل اطلاعات کارت بر بسترهای مختلفی انجام میشود. یکی از راهکارها و الزامات استاندارد برای کاهش ریسک در اینگونه تبادلات، استفاده از رمزنگاری است. لذا کانالهایی که رمزنگاری مبدأ تا مقصد پشتیبانی نمیکنند، ازجمله USSD، برای تبادل اطلاعات کارت مناسب نیستند.
افشین لامعی افزود: همواره نوعی تضاد بین امنیت و سهولت استفاده از سرویس برای مشتری وجود دارد. با اینحال آنچه بهعنوان سهولت استفاده در USSD گفته میشود، تا حدودی عادت مشتریان به استفاده از این کانال است.
وی اظهار داشت: با گسترش نفوذ اینترنت پرسرعت و گوشیهای هوشمند در حال حاضر کانالهای دسترسی دیگری مثل اپلیکیشن های موبایل وجود دارد که میتواند در صورت رعایت استانداردهای امنیتی، ازجمله رمزنگاری اطلاعات حساس از مبدأ تا مقصد و یا نشانگذاری، بهعنوان جایگزین مورداستفاده قرار گیرد و تجربه کاربری جذابتری را هم به کاربران ارائه کند.
لامعی در پاسخ به این پرسش که فرایند رمزنگاری مبدأ تا مقصد در بستر USSD امکانپذیر است یا خیر، گفت: USSD یک پروتکل پیامرسانی است. در اینگونه پروتکلها، الگوریتم استاندارد رمزنگاری پیامها یا باید در داخل خود پروتکل پشتیبانی شود یا اینکه یک روش رمزنگاری استاندارد، از طریق بستر تبادل پیامها به پروتکل اضافه شود. هیچیک از این دو مورد در ساختار فعلی USSD پشتیبانی نمیشود.
نوآوری در حوزه الگوریتمهای رمز، ادعای سنگینی است
وی در پاسخ به این پرسش که منظور از رمزنگاری در بخشنامه بانک مرکزی، چه روشها و الگوریتمهایی است، گفت: سیاست ابلاغشده، سیاست درستی است. اما اینکه کدام روش رمزنگاری، یک روش استاندارد بهحساب میآید، در دنیای امنیت موضوع واضح و بدون ابهامی است و قرار هم نیست روش رمزنگاری جدیدی اختراع شود. نوآوری در حوزه الگوریتمهای رمز، ادعای سنگینی است که بدون طی کردن مسیر طولانی و پیچیده آکادمیک و سپس صنعتی آن، قابلپذیرش نیست.
وی در پاسخ به این پرسش که آیا با راهاندازی سامانه پیوند امنیت در بستر USSD تأمین نشد، تصریح کرد: سامانه پیوند در مقطعی که اجرا شد، بهبود خوبی در بحث امنیت ایجاد کرد اما نتوانست مشکل را بهطور کامل رفع کند.
ایجاد یک سیستم نشان گذاری به منظور برقراری امنیت در کانال هایی که امکان رمز نگاری ندارند
مدیر امنیت شرکت شاپرک خاطرنشان کرد: در کانالهایی که امکان رمزنگاری از مبدأ تا مقصد ندارد، باید یک سیستم نشانگذاری که همه ویژگیهای فنی لازم را داشته باشد طراحی و اجرا شود. در این صورت است که آن کانال از قلمرو اطلاعات کارت که مستلزم رعایت استانداردهای سختگیرانه امنیتی است، خارج میشود.
به نظر میرسد، برقراری کامل امنیت به منظور محافظت از اطلاعات کارت به صورت نقطه به نقطه و از مبدا تا مقصد در ساختار فعلی بستر USSD امکانپذیر نیست و این امکان وجود ندارد.