دوشنبه, 5 آذر 1403 2024,November

آیا می‌توان امنیت اطلاعات کارت را بر بستر USSD ایجاد کرد؟

24 خرداد 1401
آیا می‌توان امنیت اطلاعات کارت را بر بستر USSD ایجاد کرد؟

به گزارش بانک اول بانک مرکزی در دوم بهمن‌ماه با ابلاغ بخش‌نامه ای فروش شارژ و قبوض ویژه در بستر USSD را متوقف و از هفتم همین ماه مجوز مانده گیری بر آپ های موبایلی را صادر کرد. در این بخش‌نامه این رویکرد باهدف صیانت از اطلاعات دارندگان کارت، ارتقا امنیت و بهبود خدمات بدون حضور کارت ذکر شده است.

اما در این میان بسیاری از فعالان این بازار که بخش عمده‌ای از درآمدشان از این بخش تأمین می‌شود معتقدند که بانک مرکزی به‌جای پاک کردن صورت‌مسئله و ایجاد محدودیت بر بستر USSD باید امنیت این بخش را افزایش می‌داد اما بحث مشخص در این بخش این است که آیا حفاظت از اطلاعات کارت و رمز مشتریان در بستر USSD به‌طور کامل وجود دارد یا خیر؟

هر چند بانک مرکزی  با طراحی سامانه پیوند تلاش هایی را برای  ارتقای امنیت  انجام داد  اما نتوانست به‌طور کامل آن را در بستر USSDبرقرار کند بر همین اساس خبرنگار ایبِنا به سراغ مدیر امنیت شرکت شاپرک رفت تا پاسخ روشنی کسب شود.

مشروح گفت وگو با افشین لامعی مدیر امنیت شرکت شاپرک را در ادامه بخوانید:

ریسک بالای تبادل اطلاعات کارت در کانال های فاقد رمزنگاری

مدیر امنیت شرکت شاپرک در خصوص توقف فروش شارژ بر بستر USSD و این‌که این روند به‌صورت موقتی است یا در آینده با امنیت بالاتر بازگشایی می‌شود، گفت: تبادل اطلاعات کارت بر بسترهای مختلفی انجام می‌شود. یکی از راهکارها و الزامات استاندارد برای کاهش ریسک در این‌گونه تبادلات، استفاده از رمزنگاری است. لذا کانال‌هایی که رمزنگاری مبدأ تا مقصد پشتیبانی نمی‌کنند، ازجمله USSD، برای تبادل اطلاعات کارت مناسب نیستند.

افشین لامعی افزود: همواره نوعی تضاد بین امنیت و سهولت استفاده از سرویس برای مشتری وجود دارد. با این‌حال آنچه به‌عنوان سهولت استفاده در USSD گفته می‌شود، تا حدودی عادت مشتریان به استفاده از این کانال است.

وی اظهار داشت: با گسترش نفوذ اینترنت پرسرعت و گوشی‌های هوشمند در حال حاضر کانال‌های دسترسی دیگری مثل اپلیکیشن های موبایل وجود دارد که می‌تواند در صورت رعایت استانداردهای امنیتی، ازجمله رمزنگاری اطلاعات حساس از مبدأ تا مقصد و یا نشان‌گذاری، به‌عنوان جایگزین مورداستفاده قرار گیرد و تجربه کاربری جذاب‌تری را هم به کاربران ارائه کند.

لامعی در پاسخ به این پرسش که فرایند رمزنگاری مبدأ تا مقصد در بستر USSD امکان‌پذیر است یا خیر، گفت: USSD یک پروتکل پیام‌رسانی است. در این‌گونه پروتکل‌ها، الگوریتم استاندارد رمزنگاری پیام‌ها یا باید در داخل خود پروتکل پشتیبانی شود یا اینکه یک روش رمزنگاری استاندارد، از طریق بستر تبادل پیام‌ها به پروتکل اضافه شود. هیچ‌یک از این دو مورد در ساختار فعلی USSD پشتیبانی نمی‌شود.

 نوآوری در حوزه الگوریتم‌های رمز، ادعای سنگینی است

 وی در پاسخ به این پرسش که منظور از رمزنگاری در بخشنامه بانک مرکزی، چه روش‌ها و الگوریتم‌هایی است، گفت: سیاست ابلاغ‌شده، سیاست درستی است. اما اینکه کدام روش رمزنگاری، یک روش استاندارد به‌حساب می‌آید، در دنیای امنیت موضوع واضح و بدون ابهامی است و قرار هم نیست روش رمزنگاری جدیدی اختراع شود. نوآوری در حوزه الگوریتم‌های رمز، ادعای سنگینی است که بدون طی کردن مسیر طولانی و پیچیده آکادمیک و سپس صنعتی آن، قابل‌پذیرش نیست.

وی در پاسخ به این پرسش که آیا با راه‌اندازی سامانه پیوند امنیت در بستر USSD تأمین نشد، تصریح کرد: سامانه پیوند در مقطعی که اجرا شد، بهبود خوبی در بحث امنیت ایجاد کرد اما نتوانست مشکل را به‌طور کامل رفع کند.

ایجاد یک سیستم نشان گذاری به منظور برقراری امنیت در کانال هایی که امکان رمز نگاری ندارند

مدیر امنیت شرکت شاپرک خاطرنشان کرد: در کانال‌هایی که امکان رمزنگاری از مبدأ تا مقصد ندارد، باید یک سیستم نشان‌گذاری که همه ویژگی‌های فنی لازم را داشته باشد طراحی و اجرا شود. در این صورت است که آن کانال از قلمرو اطلاعات کارت که مستلزم رعایت استانداردهای سخت‌گیرانه امنیتی است، خارج می‌شود.

به نظر می‌رسد، برقراری کامل امنیت به‌ منظور محافظت از اطلاعات کارت به‌ صورت نقطه‌ به‌ نقطه و از مبدا تا مقصد در ساختار فعلی بسترUSSD امکان‌پذیر نیست و این امکان وجود ندارد.

اخبار مرتبط
در شرایطی که کارمندان بانک انتظار داشتند همانند سایر ادارات شامل 2 روز تعطیلی در آخر هفته باشند٬ قرار گرفتند نام بانک ها در کنار ارگان های نظامی و انتظامی و بیمارستانها و ... که شامل لایحه فوق نمی شوند موجی از نامیدی را در میان این قشر که از پر کارترین کارمندان کشور هستند ایجاد کرد و باعث تعجب بسیاری از کارشناسان شد . چرا که ارگانهایی مثل بیمارستان ها ٬ مراکز نظامی ٬ انتظامی و ... شیفت کار هستند و به صورت 24 ساعته در تمام ایام و تعطیلات رسمی هم فعالیت دارند ٬ در صورتی که این موضوع در مورد بانک
بانک اول - بانک دی شرایطی را فراهم کرده که متقاضیان واجد شرایط بتوانند وام 200 میلیون تومانی طرح «فرزانه ارزش آفرین» را دریافت کنند. متقاضیان برای دریافت این وام باید در یکی از شعب بانک دی سپرده قرض الحسنه داشته باشند.
بانک اول - سازمان جمع‌آوری و فروش اموال تملیکی اعلام‌ کرد: پنجمین مزایده سراسری املاک و مستغلات این سازمان در سال جاری از طریق سامانه مزایده الکترونیک دولت (ستاد)، از امروز برگزار می‌شود.

دیدگاه خود را با ما در میان بگذارید

captcha


امتیاز:

دسته بندی مقالات
آخرین مقالات