ITanalyze

خاصیت‌ پرونده یا موضوعی که با ورود همزمان بی‌ربط یا باربط چند نهاد مواجه می‌شود این است که فعالیت مذکور ادامه می‌یابد اما در صورت وقوع هر مشکل و مساله‌ای مسوولیتی متوجه هیچ نهادی نیست. چون اصطلاحا پرونده مذکور وارد مرحله طلایی پاسکاری شده است که باید به دنبال پرتقال‌فروش گشت و اگر هم فاجعه‌ای رخ دهد نهادهایی که نامشان در میان است به راحتی آب خوردن آدرس یکدیگر را به رسانه‌ها می‌دهند تا موضوع مشمول مرور زمان شده و به کل فراموش شود.

کدهای پرداخت مبتنی بر USSD از آن مواردی است که حالا حدود چهار سال است که در دستور تعیین تکلیف از سوی بانک مرکزی قرار دارد، اما هر بار با مداخله وزارت ارتباطات یا برخی نمایندگان مجلس، موضوع به‌طور موقت متوقف می‌شود تا بلکه به کل از دستور کار خارج شود. اتفاقی که گویی در حال وقوع است و این پرونده و راز بقای کدهای USSD حالا تبدیل به یکی از موضوعات طولانی و بلاتکلیف کشور شده است.

آنچه گذشت

بانک مرکزی ایران در اولین گام در ۲۰ خردادماه ۹۳ دریافت موجودی از طریق کدهای USSD را منوط به پرداخت کارمزد ۱۲۰ تومانی از سوی کاربر نهایی کرد تا حجم تراکنش‌های اعلام موجودی روی این بستر کاهش یابد. در گام دوم نیز بانک مرکزی در نیمه مهرماه ۹۴ اقدام به ممنوعیت اعلام موجودی و خرید بر بستر USSD برای شرکت‌های پرداخت کرد و همزمان سقف حداکثر ۲۰۰ هزار تومان را برای پرداخت قبوض بر این بستر اعلام کرد.

این کار باعث شد دیگر هیچ سرویس بانکی روی این بستر ارایه نشود و تنها سرویس‌های پرداختی خرید شارژ و پرداخت قبوض بر این بستر ارایه شوند که در این ‌بین نیز تراکنش‌های خرید شارژ بسیار بیشتر از تراکنش‌های پرداخت قبض بود، به‌طوری‌که عملا می‌توان بستر USSD را درگاه فروش شارژ دانست.

سومین گام بانک مرکزی در سال ۹۵ برداشته شد که به‌منظور ارتقای سطح امنیت بستر USSD، سامانه پیوند را راه‌اندازی کرد که تمام افرادی که قصد استفاده از خدمات USSD را داشتند، باید نسبت به اتصال شماره کارت خود به شماره تلفن همراه از طریق سامانه پیوند اقدام می‌کردند؛ درواقع بانک مرکزی قصد داشت تا با راه‌اندازی این سامانه، کاربران USSD، بتوانند بدون واردکردن شماره کارت‌بانکی و به‌بیان‌دیگر بدون به خطر انداختن امنیت حساب بانکی خود، از کدهای USSD استفاده کنند، اما الزام به استفاده از این سامانه با جدیت لازم دنبال نشد و تغییر چشمگیری نداشت.

چندی پیش بانک مرکزی چهارمین گام خود برای جلوگیری از ناامن بودن این بستر را برداشت و ماهیت این بخشنامه این بود که قرار بود از ۱۵ بهمن‌ماه ۹۶ تنها پرداخت قبوض عمومی از طریق این بستر امکان‌پذیر باشد و تراکنش‌های دیگر از روی آن حذف شود که این اقدام جدید بانک مرکزی حجم سنگینی از هجمه‌ها و مقابله‌ها را در پی داشت.

این انتقادها بیشتر از طرف کسب‌وکارهای مبتنی بر USSD و اپراتورها دنبال شد و این شرکت‌ها گلایه داشتند که چرا به‌یکباره بانک مرکزی چنین تصمیمی گرفته است، آن‌هم بعد از پا گرفتن کسب‌وکارهایی که بر پایه این کانال فعالیت می‌کنند. هرچند تاریخچه مطرح‌شده نشان می‌دهد که اقدام بانک مرکزی ناگهانی نبوده و این محدودیت قدم‌به‌قدم انجام‌شده و بانک مرکزی در طول سال‌های گذشته همواره به نهادهای بالادستی در خصوص ناامنی این بستر هشدارهای امنیتی داده است.

در همان زمان یعنی بهمن ماه سال 96 محمدجواد آذری‌جهرمی اعلام کرد که در تفاهمی با رییس کل بانک مرکزی بنا شد با رعایت الزاماتی از سوی اپراتورهای تلفن همراه، موضوع توقف خدمات پرداخت با استفاده از کدهای دستوری USSD فعلا منتفی شود.

چند روز بعد اما وزیر ارتباطات و فناوری اطلاعات، با اعلام حمایت از اقدام بانک مرکزی برای محدودسازی مبادلات مالی از کدهای دستوری (USSD) گفت: این اقدام با هدف افزایش امنیت انجام می‌شود اما باید مراقب آسیب‌هایی که ممکن است متوجه مردم شود، باشیم.

وی با اشاره به تلاش برای تعویق این اقدام تا زمان رسیدگی به همه جوانب آن، گفت: امروز در رگولاتوری جلسه‌ای با حضور مقام‌های بانک مرکزی برگزار شد تا اقدام‌های لازم اندیشیده شود، در عین حال که این متوقف‌سازی به نفع همه کاربران خواهد بود.

آذری‌جهرمی البته خواستار توجه بیشتر به حاشیه‌های اجرای این برنامه شده و گفته بود: در هر صورت بخش زیادی از تراکنش‌های خرید شارژ در نزد کاربران شبکه‌های موبایل که بخشی از اقتصاد را تشکیل می‌دهد، از طریق این کدهای دستوری است؛ البته حذف یکباره آن از دید ما تصمیمی است که اجرای یکباره‌اش ایجاد اختلال در نظام اپراتورها می‌کند.

در اظهارنظر دیگری در همان زمان از سوی وزیر ارتباطات اعلام شد که مطابق با توافق صورت گرفته میان سازمان تنظیم مقررات و بانک مرکزی مقرر شد تا با مکانیزم امنیتی، امنیت این روش تراکنشی تضمین شود.

اقدام جدید بانک مرکزی البته موافقانی هم داشت؛ آنهایی که به USSD به چشم یک کانال ناامن در پرداخت و بانکداری الکترونیکی می‌نگرند که اغلب فعالان نظام بانکی و پرداخت بودند که به‌خوبی از ناامنی این بستر آگاه هستند، اما در هرصورت ظاهرا اجرای این بخشنامه تا اردیبهشت‌ماه ۹۷ به تعویق افتاد.

 اردیبهشت‌ماه نیز به اتمام رسید و بازهم سرویس USSD با تمام اخطارها ادامه یافت. این در حالی بود که در جلسه‌ای که در اسفند 96 میان مدیران رگولاتور بانکی، مخابراتی و اپراتورهای تلفن همراه برگزار شد، نمایندگان رگولاتور بانکی به‌عنوان فصل‌نامه اعلام کرده بودند چنانچه تا اردیبهشت‌ماه اپراتورها این بستر را امن نکنند، به‌صورت یکطرفه آن را خواهند بست؛ موضوعی که همانند سایر اخطارها بازهم بی‌نتیجه ماند و کسی به آن توجهی نکرد.

در خرداد ماه سال گذشته بانک‌ها با این استدلال که هنوز اصلاح نظام کارمزد انجام‌نشده و با مدل فعلی با توجه به اینکه تعداد تراکنش‌های خرد بالا بوده و هرروز نیز بر حجم آن افزوده می‌شود، اقدام به محدود کردن تراکنش‌های زیر 2 هزار تومان کردند. اقدامی که در ابتدا عنوان شد با بخشنامه بانک مرکزی بوده اما بانک مرکزی آن را تکذیب کرد. بانک‌ها در تشریح دلایل این اقدام اعلام کردند که چون کارمزد تراکنش‌ها در خرید شارژ، قبض و بسته‌های اینترنتی بر عهده بانک‌ها است، تراکنش‌های زیر 2 هزار تومان برای بانک‌ها به نسبت کارمزدی که در این بخش پرداخت می‌کنند به‌هیچ‌وجه صرفه اقتصادی ندارد.

البته در همان زمان گفته شد که به دلیل عدم اصلاح نظام کارمزد، بانک‌ها بنا بر صلاحدید و هزینه‌ای که بابت کارمزد خرید شارژ پرداخت می‌کنند و حجم کاری که در این بخش انجام می‌دهند اقدام به محدود کردن مبلغ خرید از این طریق کرده‌اند.

بعد از آن بود که حسین فلاح جوشقانی، رییس سازمان رگولاتوری اعلام کرد که بعد از گذشت حدود دو ماه از مذاکره با بانک مرکزی به‌عنوان رگولاتور حوزه مالی کشور هیچ دستاوری در خصوص ایمن‌سازی بستر USSD به‌صورت خاص حاصل نشده است.

به گفته او بحث امنیت کدهای دستوری بلاتکلیف به شمار می‌رود؛ زیرا بانک مرکزی درخواست افزایش امنیت کانال پرداخت از طریق کدهای دستوری را داشته و همچنان هیچ گزارش شفافی در حوزه امنیت از بخش فنی بانک مرکزی ارایه نشده تا درنهایت از طریق وزارت ارتباطات و سازمان تنظیم مقررات و ارتباطات رادیویی تصمیم نهایی به شرکت‌های اپراتور ابلاغ شود.

همه بازیگران یک بلاتکلیفی

اما آمار حکایت از وجود ذی‌نفعانی دارد که بی‌شک در این بلاتکلیفی بی‌تاثیر نیستند. بر اساس آمار مربوط به تراکنش‌های بستر USSD در سال ۱۳۹۶ بانک‌های کشور نزدیک به ۲۵۰ هزار میلیارد ریال به شبکه پرداخت بابت کارمزدهای تراکنش‌های بستر USSD به شرکت‌های شاپرک، خدمات داده‌ورزی و PSP‌ها پرداخت کرده‌اند که از این رقم ۱۷۲ هزار میلیارد ریال سهم شرکت‌های PSP شده است.

از سوی دیگر شرکت‌های PSP که از بستر USSD به فروش شارژ تلفن همراه اقدام می‌کنند، 3 درصد از مبلغ فروش را به‌عنوان کارمزد از اپراتورهای تلفن همراه دریافت می‌کنند که البته کارمزد فروش تا سال گذشته 4 درصد بود. به عبارتی** با توجه به فروش سالانه حدود ۲۰ هزار میلیارد ریال شارژ تلفن همراه از بستر USSD، شرکت‌های PSP نزدیک به ۶۰۰ میلیارد ریال هم از این بخش درآمد کسب می‌کنند.** با این همه اپراتورهای تلفن همراه هم برای حفظ کانال فروش شارژ خود با بسته شدن این بستر مخالف بوده‌اند.

نمایندگانی در مجلس که پیگیر ویژه هستند

فقط ذی‌نفعان این ماجرا نیستند که با توقف آن مخالف بوده و مانع از تعیین تکلیف می‌شوند، در مجلس هم نمایندگانی هستند که این موضوع را پیگیری ویژه می‌کنند و بعد از آنکه در بهمن ماه گذشته تراکنش‌های فاقد رمزنگاری از مبدا تا مقصد متوقف شده بود تعدادی از نمایندگان مجلس با ارسال نامه‌ای به رییس کل بانک مرکزی خواستار توقف اجرای این بخشنامه شده‌اند.

در این نامه که به امضای ۱۳ نفر از نمایندگان مردم در مجلس رسیده، آمده است: نظر به وسعت و کثرت خیریه‌های محروم مرتبط با سامانه‌های جذب کمک‌های مردمی تقاضا می‌شود با پشتیبانی سامانه‌هایUSSD، ادامه فعالیت‌های این سامانه‌ها مورد مساعدت قرار گیرد.

پاسکاری شروع شد

اما پنجم خرداد ماه سال قبل و همزمان با پایان مهلتی که آذری‌جهرمی، وزیر ارتباطات از سیف رییس کل بانک مرکزی گرفته بود، معاون وزیر ارتباطات زمزمه پاسکاری را آغاز کرد و توپ این بلاتکلیفی را به زمین بانک مرکزی شوت کرد و مقصر را ایشان دانست که البته صدا و واکنشی هم تا کنون از بانک مرکزی در نیامده است.

حسین فلاح جوشقانی، معاون وزیر ارتباطات به ایبنا گفت: بحث امنیت کدهای دستوری بلاتکلیف به شمار می‌رود و وزارت ارتباطات منتظر گزارش بخش فنی بانک مرکزی در خصوص امنیت کدهای دستوری برای ابلاغ به اپراتورها است.

وعده‌ای که محقق نشد

اما همان‌طور که اشاره شد در بهمن ماه سال 96، وزیر ارتباطات وعده تامین امنیت کدهای دستوری را داده بود و بر همان مبنا با تصمیم بانک مرکزی برای حذف بستر ناامن USSD مخالفت کرده بود اما هرگز درباره بازگشت امنیت به کدهای دستوری خبری منتشر نشد.

در اسفند ماه گذشته زمانی که پیرامون برگزاری نظرسنجی مردمی در صداوسیما حواشی مطرح شد، سرهنگ نیک‌نفس معاون فنی پلیس فتا اعلام کرد که نظارت بر این شرکت‌ها بر عهده وزارت ارتباطات و مجوز آنها از این وزارتخانه است. محمدجواد آذری‌جهرمی وزیر ارتباطات و فناوری اطلاعات در واکنش به این صحبت‌ها در حساب کاربری توییتر خود این موضوع را رد کرد و نوشت: «این شرکت‌ها مجوزی از وزارت ارتباطات و فناوری اطلاعات ندارند و فعالیت آنها مطابق قانون تجارت است.»

در حالی وزیر ارتباطات از این ماجرا شانه خالی می‌کند که در بهمن ماه سال گذشته با وعده ارایه راهکارهایی برای تامین امنیت کدهای دستوری USSD، از توقف فعالیت این بستر توسط بانک مرکزی جلوگیری کرده بود.

نتیجه جلسه‌ای که روشن نشد!

حالا یک سال هم از جلسه دیگری که قرار بود به تصمیم مشترک نمایندگان و بانک مرکزی برای تعیین تکلیف کدهای دستوری بینجامد می‌گذرد اما همچنان نتیجه روشنی دیده نمی‌شود. خرداد ماه سال گذشته رمضانعلی سبحانی‌فر، از بازدید کارگروه ارتباطات مجلس شورای اسلامی از بانک ‌مرکزی برای بررسی نهایی طرح لغو کدهای دستوری موبایل خبر و عدم حذف سرویس USSD خبر داد.

در آن زمان اعلام شد که جلسه‌ای با بانک مرکزی برگزار می‌شود و تصمیم نهایی در مورد آن اتخاذ خواهد شد اما هیچ‌گاه دیگر خبری از نتیجه آن نشست منتشر نشد و همچنان وضعیت تراکنش‌های بانکی با کدهای دستوری در بلاتکلیفی حذف شدن یا نشدن و تامین یا عدم تامین امنیت باقی مانده است.

جاخالی دادن بعد از پاسکاری

بی‌شک مرحله بعد از پاسکاری، شانه خالی کردن از بار مسوولیت است چنانچه دیدیم زمانی که قرار است برخوردی صورت گیرد، وزارت ارتباطات متولی می‌شود و وعده تامین امنیت می‌دهد و زمانی که یک بستر ناامن، امنیت کاربران را به مخاطره می‌اندازد اعلام می‌کند که مسوولیتی در این مورد ندارد. درباره بانک‌ها و نمایندگان مجلس هم شرایط مشابهی وجود دارد و همه قصه را با پایانی باز برای خود تعریف کرده‌اند و هرگاه که مسوولیتی از آنها مطالبه شود، توپ را در زمین دستگاه و نهاد دیگر می‌اندازند. (منبع:عصرارتباط)