این روزها صحبت از احراز هویت دیجیتال کاربران (احراز هویت از راه دور و غیر‌حضوری) در فضای مجازی به طرق مختلف از جمله از طریق سامانه شاهکار و اتصال کسب‌وکارها و نهادهای مختلف به این سامانه، زیاد به گوش می‌رسد. تقریبا همه فعالان حوزه فضای مجازی و کسب‌وکارهای اینترنتی این سامانه را می‌شناسند اما به طور کلی احراز هویت بر مبنای مالکیت سیم کارت (کد ملی دارنده سیم کارت) و شماره همراه وی که در نزد اپراتورهای تلفن همراه ثبت گردیده، است.

 

البته به طور قطع اپراتورهای تلفن همراه به عنوان یکی از سه نقطه قابل اتکاء در میان نهادهای حاکمیتی برای انجام فرآیند شناسایی الکترونیکی مشتری (eKYC) واحراز هویت از راه دور، قابل پذیرش بوده و در عین حال بانک‌ها و ثبت احوال نیز نقاط بسیار مطمئن و قابل اتکا برای این منظور هستند. طرح سرویس سامانه شاهکار در ماهیت آن، کارآمد است و بخشی از نیازهای حوزه احراز هویت در فضای مجازی را پوشش می‌دهد اما در ادامه به مسائلی اشاره خواهد شد که نتیجه آن، عدم وجود سطح اطمینان مورد انتظار از این سرویس در وضعیت فعلی است.

 

در درجه اول باید توجه داشت بر اساس استانداردهای پذیرفته شده جهانی، توصیه می‌شود احراز هویت قوی در فرآیند شناسایی از راه دور مشتریان (eKYC) باید حداقل مبتنی بر دو عامل (احراز هویت دو عامله) باشد و بنابراین به کارگیری سامانه شاهکار به تنهایی و به عنوان یک عامل احراز هویت (احراز هویت تک عامله از نوع عامل داشتنی یعنی سیم‌کارت)، در مجموع منجر به احراز هویت قوی و فرآیند مطمئن KYC نمی‌شود. پس حتی در صورت بالا بودن ضریب امنیت در سامانه شاهکار و قابلیت اطمینان بالای آن، باز هم به تنهایی احراز هویت یک عامله محسوب می‌شود و باید حداقل در کنار یک عامل دیگر احراز هویت به کار گرفته شود تا سازوکار استفاده شده به عنوان روشی مطمئن برای احراز هویت دیجیتال و eKYC در نزد کسب و کارهای فضای مجازی، پذیرفته شود. البته تمامی خدمات و کسب‌وکارهای فضای مجازی در یک سطح اهمیت قرار ندارند و می توان با سطح‌بندی کسب‌وکارها، برای آن دسته از خدماتی که از لحاظ امنیت اطلاعات و ماهیت سرویس، اهمیت کم‌تری دارند تنها از احراز هویت تک عامله استفاده نمود.

 

لذا ورود کد ملی به‌صورت خود اظهاری توسط کاربران در ابزار کسب‌وکارهای فضای مجازی طرف سوم، صرفاً اطلاعات شناسایی محسوب می‌شود و دارای خصوصیت اثبات ادعای یگانگی شناسه هویتی (کد ملی مشتری) نیست. با در نظر گرفتن اصالت سنجی شماره موبایل مشتری از طریق کد ملی وارد شده توسط ایشان، ارسال پیامک کد تایید به شماره همراه مربوطه و اعتبار سنجی این کد (از طریق شماره موبایل ثبت‌ شده و معتبر مشتری در سامانه شاهکار)، به‌تنهایی یک عامل احراز هویت در فرآیند اعتبار سنجی هویت دیجیتال، برآورده خواهد شد. به علاوه تهدیداتی مانند امکان دسترسی غیر مجاز به گوشی کاربران، امکان افشای محتوای پیامک نزد طرف های غیر‌مجاز به دلیل نداشتن رمزنگاری انتها به انتها و وقوع حملات امنیتی در لایه زیرساخت‌های شبکه اپراتورهای همراه مانند حملات SIM Swap را نیز باید مورد توجه قرار داد.

 

مسئله اصلی دیگر این است که سامانه شاهکار و سرویس مبتنی بر آن، به خودی خود و مستقل از موضوع فرآیند احراز هویت قوی، در شرایط فعلی از امنیت کافی برخوردار نبوده و به دلایلی که عنوان خواهم کرد قابلیت اتکا و اطمینان مورد انتظار را نیز ندارد. باید توجه داشته باشیم که بخش وسیعی از امنیت سرویس و سامانه شاهکار، کاملا وابسته به امنیت اپراتورهای تلفن همراه است. بنابراین نکته اول در این خصوص این است که ضعف امنیت در زیرساخت‌های فنی و غیر‌فنی اپراتورهای تلفن همراه، منجر به ضعف امنیت و پایین بودن سطح اطمینان سامانه شاهکار خواهد شد. بیشتر از چند روز از خبر افشای اطلاعات مشتریان و دارندگان سیم کارت یکی از سه اپراتور اصلی تلفن همراه کشور در اینترنت و ادعای فروش آن، نمی‌گذرد. این اطلاعات بخشی از پایگاه‌ داده مشتریان اپراتور مربوطه، شامل اطلاعات هویتی دارنده سیم کارت، کد ملی، شماره و سریال سیم کارت بوده است. اعلام شده است که این اطلاعات ظاهرا به واسطه نیروی انسانی افشاء گردیده است. در هر صورت این نشان از ضعف امنیت و حفاظت از اطلاعات مشتریان بوده که کاملا ممکن است مجددا برای اپراتورهای تلفن همراه در کشور، واقع شود. شخصی که به پایگاه‌ اطلاعاتی کاربران دسترسی بدون کنترل داشته و به راحتی توانسته نسخه‌ای از آنها تهیه کند، آیا دسترسی و امکان اعمال تغییرات غیرمجاز و دستکاری در اطلاعات عملیاتی را ندارد؟ این مسئله دلیل اولی است در نبود امنیت کافی و مورد انتظار در سامانه شاهکار.

 

اما در خصوص احراز هویت از طریق سامانه شاهکار، به مسئله بسیار مهم دیگری باید توجه کنیم. اینکه ما به داده‌هایی اتکا می‌کنیم (اطلاعات مالکیت سیم کارت و شماره‌های موبایل) که اساسا این سوال مطرح می‌شود که این داده‌ها در کشور ما و در حال حاضر، چقدر قابل اطمینان هستند؟ به عقیده من پاسخ این پرسش این است که به اندازه کافی و آنطور که باید مطمئن نیستند!

 

اما چرا؟! به این علت که اپراتورهای تلفن همراه در کشور، برخلاف قوانینی که باید دقیق و کامل رعایت کنند، فرآیند ثبت نام، شناسایی و تصدیق هویت مشتریان (KYC) را بعضا ناقص و ضعیف انجام می‌دهند. ممکن است در شرایطی شما بتوانید یک سیم کارت ثبت نام کنید با اسم و مشخصات هویتی یک شخص دیگر و در نهایت تحویل هم بگیرید! البته باید عرض کنم در همین یکسال اخیر فرآیند ثبت نام و اعتبارسنجی مشتریان در اپراتورهای تلفن همراه از نظر سطح امنیت آن، پیشرفت قابل توجه‌ای داشته است. در حال حاضر برای ثبت نام اینترنتی سیم‌کارت در اپراتورها باید کد ملی و یک شماره همراه متعلق به کاربر که درفرم آنلاین ثبت نام درج می‌گردد، با یکدیگر مطاقبت داشته باشند. در غیر این‌صورت امکان ثبت نام غیرحضوری وجود نخواهد داشت. اما نکته این است که این فرآیند شناسایی و KYC غیرحضوری مشتری برای سفارش سیم‌کارت جدید، روشی امن نیست و در عین حال که شاید میزان مخاطره سوء‌استفاده از آن خیلی زیاد نباشد اما در هر صورت تهدیداتی بر آن وارد است. مطمئن نبودن این فرآیند بازهم برمی‌گردد به دو عامله نبودن احراز هویت و این‌بار دو عامله نبودن احراز هویت درخواست دهنده سیم‌کارت. چراکه افشای عامل اول (کد تایید ثبت نام که به شماره موبایل معتبر ثبت نام کننده ارسال و اعتبارسنجی می‌شود) به واسطه تهدیداتی که پیش از این نیز اشاره شد  مانند دسترسی فیزیکی غیرمجاز برای زمان بسیار کوتاه به گوشی سایر افراد یا افشای محتوای پیامک (کد تایید ثبت نام) از طریق بدافزارهای موبایلی، برای مجرمان علی‌الخصوص با اهداف مشخص، امکان‌پذیر خواهد بود. اما این سوء‌استفاده، زمانی امکان‌پذیر می‌شود که تحویل سیم‌کارت نیز بعضا آن‌طور که باید به صورت دقیق و مطمئن صورت نمی‌گیرد.

 

برای تست این موضوع، چندی پیش خود بنده به شخصه از یکی از اپراتورها یک سیم‌کارت به صورت اینترنتی ثبت نام کردم، زمانی که نماینده اپراتور به آدرسی که اعلام کرده بودم، برای تحویل سیم کارت آمد، من منزل نبودم و ایشان با من تماس گرفتند، من در پاسخ گفتم لطفا به نگهبان ساختمان تحویل بدهید. ایشان هم همین کار را کردند و سیم کارت را به شخص دیگری تحویل دادند و به من گفتند فقط عکس کارت ملی خودتان را داخل واتس آپ! برای من بفرستید که سیم کارت فعال بشه!

 

در مورد دیگری که برای یکی از آشنایان اتفاق افتاده بود، اپراتور پیش از ارسال سیم کارت به محل مشتری، به مشتری از طریق پیامک اعلام کرده بود که در هنگام تحویل باید خود شخص با اصل کارت ملی و یک نسخه کپی آن، برای تحویل حاضر باشد. اما در هنگام تحویل شخص دیگری (پدر ایشان) و تنها با کپی کارت ملی سیم کارت را تحویل می‌گیرد و جالب اینکه نماینده اپراتور حتی اشاره به لزوم ارائه اصل کارت ملی نمی‌کند.

 

حالا به نظر شما، داشتن یه عکس یا کپی کارت ملی از یک شخص دیگر یا اصلا درست کردن تصویر کارت ملی (عکس جعلی)، برای مجرمین کار چندان دشواری است؟ بنابراین اینگونه می‌شود که مجرم قادر خواهد بود عملا در پایگاه داده سامانه شاهکار مالک سیم کارتی با کد ملی و هویت شخصی دیگری باشد و سیم کارت هم در اختیار ایشان! البته این موارد که ممکن است مخاطرات جدی به همراه داشته باشد، با نظارت دقیق و برخی تغییرات در فرآیندهای اجرایی، قابل رفع است.

 

چند نکته تکمیلی دیگر نیز باید مورد توجه قرار گیرد. در کشور ما بسیار پیش می‌آید که شخصی از یک سیم کارت استفاده می‌کند اما مالکیت آن سیم کارت متعلق به هویت یک شخص دیگر (کد ملی شخصی دیگر) است مثلا متعلق به یکی از اعضای خانواده ایشان و اتفاقا این امر با رضایت و اطلاع مالک اصلی سیم‌کارت بوده است.

 

اشکال این امر این است که وقتی جرمی مثل عملیات متقلبانه توسط شخصی که سیم‌کارت در اختیار او است صورت پذیرد، فرآیند حقوقی پیگیری جرم آغاز می‌شود، حالا قانون بر اساس اطلاعات در اختیار اپراتورهای تلفن همراه، به مالک اصلی مراجعه می‌کند، ایشان هم اظهار می‌کند سیم کارت توسط شخص دیگر استفاده می‌شود، قانون نیز سراغ آن شخص می‌رود. حالا اینجاست که آن شخص آیا نمی‌تواند از لحاظ حقوقی ادعا کند که سیم کارت مال من نیست و مالک آن کس دیگر است، حتی در اختیار من هم نیست. البته به لحاظ پیگیری جرم، همچنان سازوکارهایی برای به نتیجه رساندن چنین موردی، وجود دارد اما قطعا با پیچیدگی‌های بیشتر و احتمال کمتر در به نتیجه رسیدن.

 

نکته این است کجای قانون یا قراداد اپراتورهای تلفن همراه با مشتریان، اشاره گردیده شخصی که مالک حقوقی سیم کارت است اگر سیم کارت را به صورت غیر رسمی در اختیار شخص دیگری قرار دهد، جرمی واقع شده یا این امر غیر قانونی است؟ یا اگر کسی از سیم کارتی که مالک حقوقی آن سیم کارت، خود او نیست، استفاده نماید، غیر قانونی است؟ آیا در قرارداد‌ اپراتورها با مشتریان که بعضا توسط مشتری اصلا امضا نمی‌شود، این موارد شفاف شده است؟ و اگر شفاف شده است آیا نظارت و کنترل مناسبی بر آن وجود دارد؟

 

در نهایت می توان نتیجه گرفت سامانه شاهکار برای اهداف احراز هویت، می‌تواند سازوکار مناسبی باشد اما به تنهایی کافی نیست. ضمن آنکه این سرویس زمانی قابل اطمینان است که اپروتورهای سیم کارت، وظایف خود را به درستی انجام و بر آنها نظارت داشته باشند و در صورت لزوم در فرآیندهای اجرایی خود تجدید نظر کنند. هدف از بیان این مسائل درک اهمیت احراز هویت دو عامله در فرآیند شناسایی و اعتبار سنجی هویت دیجیتال (eKYC) است و این ضرورت که نظام هویت دیجیتال و شناسایی الکترونیکی کاربران در کشور، باید برای تمامی بازیگران و کسب وکارهای فضای مجازی و البته کاربران نهایی، شفاف، قانونمند و نظام‌مند شود.

 

در بسیاری از کشورهای دنیا، خود اپراتورهای تلفن همراه برای شناسایی و KYC مشتریان از سازوکارهای نوین برای ارائه خدمات غیر حضوری با هدف شناسایی الکترونیکی مشتریان خود (eKYC) استفاده می‌کنند. به طور کلی برای داشتن یک فرآیند احراز هویت قوی که حداقل دو عامله باشد، استفاده از سرویس‌های احراز هویت که نهادهای حاکمیتی که پیش از آن، فرآیند KYC افراد را به مطمئن‌ترین روش‌های ممکن انجام دادند، مانند ثبت احوال یا بانک‌های کشور و همچنین از طرفی ابزارهایی مانند کارت‌ ملی هوشمند، سازوکارهای امضاء دیجیتال مبتنی بر موبایل و سیم‌کارت‌های مخصوص، سازوکارهای نوظهور و قابل اطمینان مبتنی بر عوامل ذاتی (بیومتریک) مانند راهکارهای پردازش تصاویر مبتنی بر هوش مصنوعی، می‌توانند راه حل مسائل عنوان شده برای ارائه سرویس احراز هویت قوی از راه دور و غیرحضوری باشند.