به گزارش راهبرد معاصر سرویس سامانه شاهکار سهام عدالت فرصتی را فراهم می کند تا احراز هویت در سامانه سجام به صورت غیر حضوری انجام شود. احراز هویت افراد در سامانه سجام و دریافت کد از آن پس از آزاد سازی سهام عدالت و ورد افراد به معاملات بورسی با روش مستقیم اهمیت بیشتری یافته است. اما به دلیل شیوع ویروس کرونا و احتمال ابتلا به کرونا در تجمعات با در خواست ستاد مل کرونا خدمات غیر حضور افزایش یافت. وزارت اقتصاد هم از سازمان بورس و اوراق بهادار خواست تا فکری برای احراز هویت غیر حضور انجام دهد. به این ترتیب یکی از سامانه هایی که در احراز هویت سهامداران مورد استفاده قرار گرفت سامانه شاهکار بود.
فرایند هم به این ترتیب بود که فرد سهام دار در سامانه سجام ثبت نام می کند. پس از آن اطلاعاتی هویتی این فرد از ثبت احوال، اطلاعات بانکی او از سامانه بانکی کشور و اطلاعات محصل سکونت، شماره تلفن و .. از طریق سامانه شاهکار ارزیابی می شودو پس از آن است که کاربر رمزی را دریافت می کند که از طریق آن می تواند وارد سیستم شود.
سامانه شاهکار یک سامانه جامع برای ارائه سرویس به افراد حقیقی و حقوقی است شاهکار یا همان شبکه احراز هویت کاربران ارتباطی به سامانه مراجع تطبیق هویتی و اپرواتورها متصل است. این سامانه هویت فرد از نظر حقیقی یا حقوقی بودن و همچنین تابعیت و اطلاعات دیگر آن را بررسی می کند.
این سامانه از سال 94 شروع به کار کرد و در ابتدا زیر مجموعه رایتل به حساب می آمد اما پس از اجرای آزمایشی آن همه اپراتورها مزلم به استفاده از ان شدند. این سامانه باعث افزایش امنیت در هنگام ارائه خدمات تلفن ثابت و همراه و استفاده از اینترنت است.
در حال حاضر دولت استفاده از سامانه احراز هویت را صرفا در اختیار برنامه هایی قرار می دهد که جابجایی مالی در آنها رخ می دهد.
تطبیق شناسه سرویس و شناسه هویتی از قابلیتهای سامانه شاهکار است که با مشخص شدن صاحبان سرویسهای ارتباطی در این سامانه، خدمات از هر سرویس ارتباطی به صاحب همان سرویس ارائه میشود. با ایجاد این امکان هیچ فردی حق استفاده از شماره همراه فرد دیگری برای ثبتنام در نرمافزار دولت همراه، نرمافزارهای موبایل بانک، پرداخت آنلاین، ثبت آگهی فروش، فروشگاههای آنلاین و سایر نرمافزارهایی که حریم خصوصی در آنها مطرح است و یا امکان تقلب و کلاهبرداری در آنها وجود دارد را نخواهد داشت.
اطلاع به مشترکین درباره ثبت سرویسهای ارتباطی به نام آنها، یکی دیگر از سرویسهای سامانه شاهکار است و درصورت ثبت هرگونه سرویس ارتباطی در اپراتورهای مخابراتی با شناسه هویتی مشترکان، ثبت این سرویس در قالب پیامک با سرشماره cra.ir به تمامی خطوط تلفن همراه به نام مشترک اطلاعرسانی میشود. همچنین اطلاع از تعداد سیمکارتهای تلفن همراه، سرویسهای مخابراتی شامل اینترنت پرسرعت ثابت (ADSL، TD-LTE، وایرلیس و …)، تلفن ثابت، اطلاع از شمارههای تلفن همراه به نام مشترکین نیز از سرویسهای جانبی شاهکار است.
اخیراً حسین فلاح جوشقانی -رئیس سازمان تنظیم مقررات و ارتباطات رادیویی- درباره وضعیت بهرهبرداری از سامانه شاهکار در نظام بانکی و پرداخت گفته بود که در چند ماه اخیر نشستهایی از سوی بانک مرکزی و شبکه بانکی با وزارت ارتباطات و فناوری اطلاعات و سازمان تنظیم مقررات و ارتباطات رادیویی برگزار شد تا شبکه بانکی و پرداخت بتواند از زیرساخت سامانه شاهکار به منظور احراز هویت مشتریان با ویژگیهای خاص و قیمت معقول استفاده کند؛ در همین راستا باید توافقی میان بانک مرکزی و سازمان تنظیم مقررات ارتباطات منعقد میشد که در نهایت با پیگیریهای انجام شده، توافقات انجام شده است.
معاون وزیر ارتباطات و فناوری اطلاعات همچنین اظهار کرده بود که با توجه به توافق انجام شده به زودی استفاده از سامانه شاهکار در نظام بانکی و پرداخت عملیاتی میشود؛ با این توافق، نظام بانکی و پرداخت کشور میتواند از دادههای سامانه شاهکار برای مسئله احراز هویت استفاده کند و عملیات مطابقت کد ملی با شماره تلفن انجام شود که میتواند احراز هویت را با سرعتی بالا و با دقت به منظور جلوگیری از فعالیت کلاهبرداران انجام دهد.
این روزها صحبت از احراز هویت دیجیتال کاربران (احراز هویت از راه دور و غیرحضوری) در فضای مجازی به طرق مختلف از جمله از طریق سامانه شاهکار و اتصال کسبوکارها و نهادهای مختلف به این سامانه، زیاد به گوش میرسد. تقریبا همه فعالان حوزه فضای مجازی و کسبوکارهای اینترنتی این سامانه را میشناسند اما به طور کلی احراز هویت بر مبنای مالکیت سیم کارت (کد ملی دارنده سیم کارت) و شماره همراه وی که در نزد اپراتورهای تلفن همراه ثبت گردیده، است.
البته به طور قطع اپراتورهای تلفن همراه به عنوان یکی از سه نقطه قابل اتکاء در میان نهادهای حاکمیتی برای انجام فرآیند شناسایی الکترونیکی مشتری (eKYC) واحراز هویت از راه دور، قابل پذیرش بوده و در عین حال بانکها و ثبت احوال نیز نقاط بسیار مطمئن و قابل اتکا برای این منظور هستند. طرح سرویس سامانه شاهکار در ماهیت آن، کارآمد است و بخشی از نیازهای حوزه احراز هویت در فضای مجازی را پوشش میدهد اما در ادامه به مسائلی اشاره خواهد شد که نتیجه آن، عدم وجود سطح اطمینان مورد انتظار از این سرویس در وضعیت فعلی است.
در درجه اول باید توجه داشت بر اساس استانداردهای پذیرفته شده جهانی، توصیه میشود احراز هویت قوی در فرآیند شناسایی از راه دور مشتریان (eKYC) باید حداقل مبتنی بر دو عامل (احراز هویت دو عامله) باشد و بنابراین به کارگیری سامانه شاهکار به تنهایی و به عنوان یک عامل احراز هویت (احراز هویت تک عامله از نوع عامل داشتنی یعنی سیمکارت)، در مجموع منجر به احراز هویت قوی و فرآیند مطمئن KYC نمیشود. پس حتی در صورت بالا بودن ضریب امنیت در سامانه شاهکار و قابلیت اطمینان بالای آن، باز هم به تنهایی احراز هویت یک عامله محسوب میشود و باید حداقل در کنار یک عامل دیگر احراز هویت به کار گرفته شود تا سازوکار استفاده شده به عنوان روشی مطمئن برای احراز هویت دیجیتال و eKYC در نزد کسب و کارهای فضای مجازی، پذیرفته شود. البته تمامی خدمات و کسبوکارهای فضای مجازی در یک سطح اهمیت قرار ندارند و می توان با سطحبندی کسبوکارها، برای آن دسته از خدماتی که از لحاظ امنیت اطلاعات و ماهیت سرویس، اهمیت کمتری دارند تنها از احراز هویت تک عامله استفاده نمود.
لذا ورود کد ملی بهصورت خود اظهاری توسط کاربران در ابزار کسبوکارهای فضای مجازی طرف سوم، صرفاً اطلاعات شناسایی محسوب میشود و دارای خصوصیت اثبات ادعای یگانگی شناسه هویتی (کد ملی مشتری) نیست. با در نظر گرفتن اصالت سنجی شماره موبایل مشتری از طریق کد ملی وارد شده توسط ایشان، ارسال پیامک کد تایید به شماره همراه مربوطه و اعتبار سنجی این کد (از طریق شماره موبایل ثبت شده و معتبر مشتری در سامانه شاهکار)، بهتنهایی یک عامل احراز هویت در فرآیند اعتبار سنجی هویت دیجیتال، برآورده خواهد شد. به علاوه تهدیداتی مانند امکان دسترسی غیر مجاز به گوشی کاربران، امکان افشای محتوای پیامک نزد طرف های غیرمجاز به دلیل نداشتن رمزنگاری انتها به انتها و وقوع حملات امنیتی در لایه زیرساختهای شبکه اپراتورهای همراه مانند حملات SIM Swap را نیز باید مورد توجه قرار داد.
مسئله اصلی دیگر این است که سامانه شاهکار و سرویس مبتنی بر آن، به خودی خود و مستقل از موضوع فرآیند احراز هویت قوی، در شرایط فعلی از امنیت کافی برخوردار نبوده و به دلایلی که عنوان خواهم کرد قابلیت اتکا و اطمینان مورد انتظار را نیز ندارد. باید توجه داشته باشیم که بخش وسیعی از امنیت سرویس و سامانه شاهکار، کاملا وابسته به امنیت اپراتورهای تلفن همراه است. بنابراین نکته اول در این خصوص این است که ضعف امنیت در زیرساختهای فنی و غیرفنی اپراتورهای تلفن همراه، منجر به ضعف امنیت و پایین بودن سطح اطمینان سامانه شاهکار خواهد شد. بیشتر از چند روز از خبر افشای اطلاعات مشتریان و دارندگان سیم کارت یکی از سه اپراتور اصلی تلفن همراه کشور در اینترنت و ادعای فروش آن، نمیگذرد. این اطلاعات بخشی از پایگاه داده مشتریان اپراتور مربوطه، شامل اطلاعات هویتی دارنده سیم کارت، کد ملی، شماره و سریال سیم کارت بوده است. اعلام شده است که این اطلاعات ظاهرا به واسطه نیروی انسانی افشاء گردیده است. در هر صورت این نشان از ضعف امنیت و حفاظت از اطلاعات مشتریان بوده که کاملا ممکن است مجددا برای اپراتورهای تلفن همراه در کشور، واقع شود. شخصی که به پایگاه اطلاعاتی کاربران دسترسی بدون کنترل داشته و به راحتی توانسته نسخهای از آنها تهیه کند، آیا دسترسی و امکان اعمال تغییرات غیرمجاز و دستکاری در اطلاعات عملیاتی را ندارد؟ این مسئله دلیل اولی است در نبود امنیت کافی و مورد انتظار در سامانه شاهکار.
اما در خصوص احراز هویت از طریق سامانه شاهکار، به مسئله بسیار مهم دیگری باید توجه کنیم. اینکه ما به دادههایی اتکا میکنیم (اطلاعات مالکیت سیم کارت و شمارههای موبایل) که اساسا این سوال مطرح میشود که این دادهها در کشور ما و در حال حاضر، چقدر قابل اطمینان هستند؟ به عقیده من پاسخ این پرسش این است که به اندازه کافی و آنطور که باید مطمئن نیستند!
اما چرا؟! به این علت که اپراتورهای تلفن همراه در کشور، برخلاف قوانینی که باید دقیق و کامل رعایت کنند، فرآیند ثبت نام، شناسایی و تصدیق هویت مشتریان (KYC) را بعضا ناقص و ضعیف انجام میدهند. ممکن است در شرایطی شما بتوانید یک سیم کارت ثبت نام کنید با اسم و مشخصات هویتی یک شخص دیگر و در نهایت تحویل هم بگیرید! البته باید عرض کنم در همین یکسال اخیر فرآیند ثبت نام و اعتبارسنجی مشتریان در اپراتورهای تلفن همراه از نظر سطح امنیت آن، پیشرفت قابل توجهای داشته است. در حال حاضر برای ثبت نام اینترنتی سیمکارت در اپراتورها باید کد ملی و یک شماره همراه متعلق به کاربر که درفرم آنلاین ثبت نام درج میگردد، با یکدیگر مطاقبت داشته باشند. در غیر اینصورت امکان ثبت نام غیرحضوری وجود نخواهد داشت. اما نکته این است که این فرآیند شناسایی و KYC غیرحضوری مشتری برای سفارش سیمکارت جدید، روشی امن نیست و در عین حال که شاید میزان مخاطره سوءاستفاده از آن خیلی زیاد نباشد اما در هر صورت تهدیداتی بر آن وارد است. مطمئن نبودن این فرآیند بازهم برمیگردد به دو عامله نبودن احراز هویت و اینبار دو عامله نبودن احراز هویت درخواست دهنده سیمکارت. چراکه افشای عامل اول (کد تایید ثبت نام که به شماره موبایل معتبر ثبت نام کننده ارسال و اعتبارسنجی میشود) به واسطه تهدیداتی که پیش از این نیز اشاره شد مانند دسترسی فیزیکی غیرمجاز برای زمان بسیار کوتاه به گوشی سایر افراد یا افشای محتوای پیامک (کد تایید ثبت نام) از طریق بدافزارهای موبایلی، برای مجرمان علیالخصوص با اهداف مشخص، امکانپذیر خواهد بود. اما این سوءاستفاده، زمانی امکانپذیر میشود که تحویل سیمکارت نیز بعضا آنطور که باید به صورت دقیق و مطمئن صورت نمیگیرد.
برای تست این موضوع، چندی پیش خود بنده به شخصه از یکی از اپراتورها یک سیمکارت به صورت اینترنتی ثبت نام کردم، زمانی که نماینده اپراتور به آدرسی که اعلام کرده بودم، برای تحویل سیم کارت آمد، من منزل نبودم و ایشان با من تماس گرفتند، من در پاسخ گفتم لطفا به نگهبان ساختمان تحویل بدهید. ایشان هم همین کار را کردند و سیم کارت را به شخص دیگری تحویل دادند و به من گفتند فقط عکس کارت ملی خودتان را داخل واتس آپ! برای من بفرستید که سیم کارت فعال بشه!
در مورد دیگری که برای یکی از آشنایان اتفاق افتاده بود، اپراتور پیش از ارسال سیم کارت به محل مشتری، به مشتری از طریق پیامک اعلام کرده بود که در هنگام تحویل باید خود شخص با اصل کارت ملی و یک نسخه کپی آن، برای تحویل حاضر باشد. اما در هنگام تحویل شخص دیگری (پدر ایشان) و تنها با کپی کارت ملی سیم کارت را تحویل میگیرد و جالب اینکه نماینده اپراتور حتی اشاره به لزوم ارائه اصل کارت ملی نمیکند.
حالا به نظر شما، داشتن یه عکس یا کپی کارت ملی از یک شخص دیگر یا اصلا درست کردن تصویر کارت ملی (عکس جعلی)، برای مجرمین کار چندان دشواری است؟ بنابراین اینگونه میشود که مجرم قادر خواهد بود عملا در پایگاه داده سامانه شاهکار مالک سیم کارتی با کد ملی و هویت شخصی دیگری باشد و سیم کارت هم در اختیار ایشان! البته این موارد که ممکن است مخاطرات جدی به همراه داشته باشد، با نظارت دقیق و برخی تغییرات در فرآیندهای اجرایی، قابل رفع است.
چند نکته تکمیلی دیگر نیز باید مورد توجه قرار گیرد. در کشور ما بسیار پیش میآید که شخصی از یک سیم کارت استفاده میکند اما مالکیت آن سیم کارت متعلق به هویت یک شخص دیگر (کد ملی شخصی دیگر) است مثلا متعلق به یکی از اعضای خانواده ایشان و اتفاقا این امر با رضایت و اطلاع مالک اصلی سیمکارت بوده است.
اشکال این امر این است که وقتی جرمی مثل عملیات متقلبانه توسط شخصی که سیمکارت در اختیار او است صورت پذیرد، فرآیند حقوقی پیگیری جرم آغاز میشود، حالا قانون بر اساس اطلاعات در اختیار اپراتورهای تلفن همراه، به مالک اصلی مراجعه میکند، ایشان هم اظهار میکند سیم کارت توسط شخص دیگر استفاده میشود، قانون نیز سراغ آن شخص میرود. حالا اینجاست که آن شخص آیا نمیتواند از لحاظ حقوقی ادعا کند که سیم کارت مال من نیست و مالک آن کس دیگر است، حتی در اختیار من هم نیست. البته به لحاظ پیگیری جرم، همچنان سازوکارهایی برای به نتیجه رساندن چنین موردی، وجود دارد اما قطعا با پیچیدگیهای بیشتر و احتمال کمتر در به نتیجه رسیدن.
نکته این است کجای قانون یا قراداد اپراتورهای تلفن همراه با مشتریان، اشاره گردیده شخصی که مالک حقوقی سیم کارت است اگر سیم کارت را به صورت غیر رسمی در اختیار شخص دیگری قرار دهد، جرمی واقع شده یا این امر غیر قانونی است؟ یا اگر کسی از سیم کارتی که مالک حقوقی آن سیم کارت، خود او نیست، استفاده نماید، غیر قانونی است؟ آیا در قرارداد اپراتورها با مشتریان که بعضا توسط مشتری اصلا امضا نمیشود، این موارد شفاف شده است؟ و اگر شفاف شده است آیا نظارت و کنترل مناسبی بر آن وجود دارد؟
در نهایت می توان نتیجه گرفت سامانه شاهکار برای اهداف احراز هویت، میتواند سازوکار مناسبی باشد اما به تنهایی کافی نیست. ضمن آنکه این سرویس زمانی قابل اطمینان است که اپروتورهای سیم کارت، وظایف خود را به درستی انجام و بر آنها نظارت داشته باشند و در صورت لزوم در فرآیندهای اجرایی خود تجدید نظر کنند. هدف از بیان این مسائل درک اهمیت احراز هویت دو عامله در فرآیند شناسایی و اعتبار سنجی هویت دیجیتال (eKYC) است و این ضرورت که نظام هویت دیجیتال و شناسایی الکترونیکی کاربران در کشور، باید برای تمامی بازیگران و کسب وکارهای فضای مجازی و البته کاربران نهایی، شفاف، قانونمند و نظاممند شود.