همبانک همراه اول، یک فرصت یا تهدید ؟؟

چندی پیش خبر راه اندازی سرویس USSD همراه اول برای امور بانکی در قالب سرویس همبانک برروی خروجی خبرگذاری ها قرار گرفت، که نشان از کوتاه آمدن همراه اول از سیاست های بسته خود در حوزه خدمات پرداخت داشته و کمی ما را به آینده توسعه زیرساخت پرداخت و بانکداری همراه امیدوار کرد. اکنون بعد از راه اندازی خدمات USSD بانک هایی چون مسکن، پست بانک و چند بانک دیگر، زنگ خطری همراه اول را به مسیر صحیح تعامل خود با توسعه دهندگان خدمات بانکداری الکترونیک بازگرداند.

همبانک، یک فرصت یا تهدید - یوسفی

سرویس همبانک به بانک ها این امکان را می دهد تا با اتصال به درگاه USSD همراه اول، خدمات بانکداری الکترونیک خود را بر بستر تلفن همراه و بدون نیاز به نرم افزار روی گوشی از طریق یک کد کوتاه اختصاصی به مشتریان خود ارائه نمایند، اتفاقی که اولین بار در بانک سامان و حدود دو سال پیش  با همکاری ایرانسل و تالیا افتاد.

کانال ارتباطی USSD یا  Unstructured Supplementary Service Dataیک مکانیزم انتقال اطلاعات بر بستر شبکه GSM است که بر مبنای تعامل با سرور اپراتورهای موبایل استوار است و این امکان را برای مشترکین فراهم می سازد تا بدون نیاز به نرم افزاری خاص از خدمات ویژه ای بهره مند شوند.
در بعد امنیتی، USSD دارای ساختاری مجزا برای تامین امنیت نمی باشد و از استانداردها و مکانیزم های امنیتی شبکه GSM/UMTSاستفاده می کند.  از این رو نمی تواند اطمینان جامعه بانکی را که به پروتکل های پیچیده امنیت End to End مانند PCI و PCI/DSS اعتماد نموده اند را به خود جلب کند.

این ضعف در کنار عدم وجود نرم افزاری در گوشی تلفن همراه مشترکین برای رمزنگاری اطلاعات بانکی، بانک ها را بر آن داشت تا با ابداع روش هایی از تبادل اطلاعات احراز هویت بانکی  بر روی شبکه خودداری نموده و یا با بهره گیری از تکنولوژی STK امکانات رمزنگاری این اطلاعات محرمانه را در سمت گوشی تلفن همراه مشتریان فراهم نمایند.

یکی از اقدامات صورت گرفته در این راستا، راه اندازی پورتال اینترنتی برای ثبت مشخصات کارت های بانکی و ثبت نام مشتری است که در هر بانک جهت اختصاص نام مستعار به کارت های بانکی و یا حساب های متصل ایجاد شده است، تا از این طریق صرفاً رمز دوم کارت در کنار نامی مستعار بر روی شبکه موبایل منتقل گردد تا در صورت شنود امکان سوء استفاده وجود نداشته باشد.

اما آنچه در خدمت همبانک، بشکل شاخصی دیده نمی شود توجه به همین موارد است، بگونه ای که روند کار با سیستم شما را بر آن می دارد تا کلیه اطلاعات حیاتی خود را از قبیل شماره کارت، رمز دوم و CVV2 را  بر این بستر و در کنار هم ارسال کنید که این خود قابلیت طراحی روش های سوء استفاده را آسان می نماید.

با توجه به حساسیت خدمات الکترونیک بانکی و بخصوص خدمات فراگیر مبتنی بر تلفن همراه، لزوم وجود نظارت برای کنترل مخاطرات طرح هایی از این قبیل از جانب مقام ناظر بیش از پیش احساس می شود، امید است این نگارش سبب رفع نواقص موجود و بهبود کیفیت خدمات بانکداری الکترونیک کشور گردد.