بیش از یک ماه از ایراناکسس شدن درگاههای پرداخت میگذرد
کسبوکارهای آنلاین در برزخ
حدود سه هفته است که درگاههای پرداخت، ایراناکسس شدهاند. اتفاقی که به کسبوکارهای آنلاین بسیاری ضربه زده و فروششان را کاهش داده است. درحالیکه شنیده میشود این محدودیت موقتی و به علت مسائل امنیتی اعمال شده، اما برخی فعالان احتمال میدهند که این محدودیت هم به سرنوشت سایر محدودیتهای موقتی (مانند فیلتر اینستاگرام) دچار شود. همین امر کسبوکارها را در برزخ یک تصمیم سخت قرار داده است.
حدود سه هفته است که درگاههای پرداخت، ایراناکسس شدهاند. اتفاقی که به کسبوکارهای آنلاین بسیاری ضربه زده و فروششان را کاهش داده است. درحالیکه شنیده میشود این محدودیت موقتی و به علت مسائل امنیتی اعمال شده، اما برخی فعالان احتمال میدهند که این محدودیت هم به سرنوشت سایر محدودیتهای موقتی (مانند فیلتر اینستاگرام) دچار شود. همین امر کسبوکارها را در برزخ یک تصمیم سخت قرار داده است.
به گزارش «فنزی» ایراناکسس معمولا اولین راهکار دولتمردان برای مقابله با حملات سایبری احتمالی است. روشی که البته به اعتقاد کارشناسان چندان اثربخش نیست، اما شاید سادگی این کار، آنها را ترغیب به چنین اقدامی میکند. با توجه به شرایط خاص فعلی کشور درگاههای پرداخت از اواسط مهرماه، ایراناکسس شدهاند. پرداختیاری «پیاستار»، 14 مهر با انتشار مقالهای در وبلاگ خود اعلام کرد با تصمیم شاپرک و تا اطلاع ثانوی، تراکنشهای اینترنتی با آیپی غیرایرانی با محدودیت مواجه خواهند شد.
این بدان معناست که اگر فروشگاهی سرور آن در خارج از کشور قرار دارد، نمیتواند مشتریان را برای نهاییکردن خریدشان به درگاه پرداخت هدایت کند. از سوی دیگر، حتی اگر سرور فروشگاه در داخل کشور باشد، کاربری که به خاطر فیلترینگ مجبور است به طور دائم از فیلترشکن استفاده کند، به درگاه پرداخت منتقل نخواهد شد. کمتر کسی نیز احتمالا میداند که برای رفع مشکل باید VPN خود را خاموش کند. این محدودیت موجب شده تا حجم خریدهای موفق و فروش کسبوکارهای آنلاین کم شود و اثر منفی بر تجارت الکترونیک بگذارد.
کاهش شدید تراکنش فروشگاهها
حمیدرضا ذوالفقار، مدیرعامل پیزیتو به «شبکه شرق» گفت: بحث ایراناکسس شدن درگاههای پرداخت به صورت رسمی اطلاعرسانی نشده، بلکه فعالان حوزه پرداخت با مشاهده مشکلات پیشآمده و پیگیری، متوجه این امر شدند: «اعلام کردند سرویسهای پرداخت به دلیل مسائل امنیتی ایراناکسس شدهاند. سه هفته از آن زمان گذشته و هیچ مرجع رسمی در اینباره شفافسازی نکرده است». او این اتفاق را نگرانکننده دانست؛ چراکه تجربه نشان داده هرگاه در شرایط بحرانی، تصمیماتی موقت گرفته میشود، این محدودیت ادامهدار خواهد بود. نمونه آن نیز مسئله فیلتر موقتی اینستاگرام است که بعد از دو سال همچنان مسدودیت آن ادامه دارد.
این فعال حوزه پرداختیاری به مشکلات کسبوکارهای آنلاینی که از سرویسهای خارجی استفاده میکنند اشاره کرد و گفت حجم تراکنش اکثر آنها بهشدت کم شده و تراکنشهای موفقشان کاهش یافته است: «در واحد پشتیبانی، شاهد حجم بالای نگرانی و استرس کسبوکارها هستیم که نمیدانند مشکل موقتی خواهد بود یا خیر. هیچ اطلاعرسانی رسمی نیز انجام نمیشود و نمیدانیم از کجا باید پیگیری کنیم». او در پاسخ به این پرسش که آیا علاوه بر PSPها، پرداختیارها نیز با چنین مشکلاتی روبهرو شدند یا خیر، گفت: «دسترسی به همه پرداختیارها کامل قطع نشده، چون آنها یک واسط بین فروشگاه و درگاه پرداخت هستند و شرایط را مدیریت میکنند. اما کاربرانی که آیپی غیرایرانی دارند، درگاه پرداخت بهدرستی به آنها نمایش داده نمیشود».
محدودیت دسترسی، راه خوبی برای مقابله با حملات سایبری نیست
آیا مسائل امنیتی، دلیل موجهی برای ایراناکسس است؟ ذوالفقار در پاسخ به این پرسش «شبکه شرق» گفت: «اگر بحث هک باشد، تأثیرگذار نیست. هکر میتواند یک سرور داخلی تهیه کرده و از آن حمله کند. تنها تفاوتی که دارد، این است که میتوانند بفهمند از کدام سرور حمله انجام شده، اما طبیعتا هکر داخل ایران نخواهد بود. با این کار فقط میتوان جلوی حملات DDoS را گرفت که این ابتداییترین راهحل برای مقابله با چنین حملاتی است».
به باور او در ایران زیرساخت و سرویس CDN خوبی فراهم است و برای جلوگیری از حملات DDoS میتوان از راهحلهای دیگری استفاده کرد. ذوالفقار در پاسخ به این پرسش که ادامهدارشدن چنین شرایطی چه تبعاتی برای تجارت الکترونیک دارد، گفت: «این تصمیم به تجارت الکترونیک ضربه خواهد زد. میزان تراکنشهای موفق کم شده، دردسر مشتریان برای خرید آنلاین زیاد میشود و عملا یک بازگشت به عقب خواهیم داشت. این تصمیم مانند فیلترینگ، ناکارآمد است. برخی با استفاده از سایتهای واسط میتوانند این محدودیت را دور بزنند و همین امر موجب مشکلات جدیدی خواهد شد. شکلگیری چنین واسطی میتواند کلاهبرداری و مسائل امنیتی را بیشتر کند».
او با انتقاد از افزایش محدودیتها در حوزه پرداخت الکترونیک به «شبکه شرق» گفت: طبق مصوبه اخیر شاپرک، باید فروشگاههای آنلاین کد ملی خریدار را احراز و آن را به درگاه پرداخت ارسال کنند. درگاه کد ملی خریدار را با کد ملی کارت پرداختکننده چک میکند و اگر مغایرت داشته باشند، تراکنش لغو میشود.
ذوالفقار از این مسئله به عنوان یک ضربه بزرگ به تجارت الکترونیک و پرداخت آنلاین یاد کرد: «این امر در حال حاضر برای طلافروشیها اجباری است و احتمالا تا آذرماه برای همه فروشگاهها الزامی شود. این محدودیتهای جدید دائما آسیب بزرگی به تجارت الکترونیک و فروشگاههای الکترونیک میزنند».
API درگاههای بانکی هم ایراناکسس شده
سروش احمدی، کارشناس فناوری اطلاعات درباره ماجرای پیشآمده به «شبکه شرق» گفت: «این برای اولین بار است که جدا از بحث درگاه که مخاطب آن کاربران عادی هستند، شاپرک دستور داده که دسترسی به API درگاههای بانکی هم ایراناکسس شود. این یعنی وبسایتها و اپلیکیشنهایی که سرور خارج از ایران دارند، دیگر نمیتوانند از درگاههای پرداخت ایرانی برای وبسایتشان استفاده کنند». به گفته او در چنین حالتی آنها یا باید قید درگاه پرداخت را بزنند یا به سرورهای داخلی مهاجرت کنند. درحالیکه از کلیدواژه امنیت برای توجیه این محدودیت استفاده شده، احمدی معتقد است که این موضوع به امنیت هیچ ارتباطی ندارد و APIهای پرداخت کاملا خصوصی عمل میکنند: «از قدیم یک لیست سفید IP دارند که صاحبان سایتها باید آیپی سایت خود را به شرکتهای پرداخت اعلام کنند تا سرور آنها امکان ارتباط با API پرداخت را داشته باشد. در چنین شرایطی مهم نیست که آیپی متعلق به کدام کشور باشد و مشکل امنیتی ایجاد نمیکند».
به گفته او در دنیا به غیر از ایران که با مسائل تحریم روبهرو است، دسترسی به درگاه پرداخت یک فروشگاه آنلاین برای خریداران از سراسر دنیا فراهم است؛ چراکه شرکتها به دنبال سود بیشتر هستند و خودشان را محدود به بازار یک کشور نمیکنند. این در حالی است که کاربر ایرانی در خارج از کشور برای استفاده از اینترنتبانک خود مجبور است VPN ایران بخرد. احمدی نیز معتقد است امکان دورزدن محدودیت درگاههای پرداخت وجود دارد، اما نیازمند هزینه گزافی است و از پس هر کسی بر نمیآید.
چالشهای استفاده از سرور داخلی
با محدودیتی که به وجود آمده، کسبوکارها مجبورند از سرورهای داخلی استفاده کنند تا همچنان درگاه پرداخت برای کاربرانشان نمایش داده شود. این در حالی است که آنها نمیدانند که محدودیت اخیر واقعا موقتی است یا قرار است دائمی باشد.
مهاجرت به سرورهای داخلی هم اگرچه امری شدنی است، اما چالشهای خاص خود را دارد. برای مثال اگر قیمت سرورهای آلمان با ایران را مقایسه کنیم با یک اختلاف قیمت سهبرابری روبهرو میشویم. سرور آلمان با تجهیزات بهروزتر، امکان پسپرداخت سرویسهای پیشرفته DDOS و فضای SSD بیشتر چیزی معادل 350 هزار تومان قیمت دارد، اما سرویس داخلی با مشخصاتی به مراتب پایینتر از سرورهای خارجی نزدیک به یک میلیون تومان هزینه برمیدارد.
بحثهای فنی مثل سرعت سایت برای کاربران خارج از ایران، SEO (بهینهسازی سایت برای موتورهای جستوجو مثل گوگل) وجود دارد که کسبوکارهای آنلاین ترجیح میدهند از سرورهای خارجی برای میزبانی وبسایتشان استفاده کنند. برای کسب اطلاعات بیشتر در این زمینه تا زمان انتشار این گزارش بارها با شاپرک به عنوان یکی از تصمیمگیران در این زمینه تماس گرفتیم که پاسخی به این پیگیریها داده نشد.