سرویس شاهکار سهام عدالت چیست؟

به گزارش راهبرد معاصر سرویس سامانه شاهکار سهام عدالت فرصتی را فراهم می کند تا احراز هویت در سامانه سجام به صورت غیر حضوری انجام شود. احراز هویت افراد در سامانه سجام و دریافت کد از آن پس از آزاد سازی سهام عدالت و ورد افراد به معاملات بورسی با روش مستقیم  اهمیت بیشتری یافته است. اما به دلیل شیوع ویروس کرونا  و احتمال ابتلا به کرونا در تجمعات با در خواست ستاد مل کرونا خدمات غیر حضور افزایش یافت. وزارت اقتصاد هم از سازمان بورس و اوراق بهادار خواست تا فکری برای احراز هویت غیر حضور انجام دهد. به این ترتیب یکی از سامانه هایی که در احراز هویت سهامداران مورد استفاده قرار گرفت سامانه شاهکار بود.

فرایند هم به این ترتیب بود که فرد سهام دار در سامانه سجام ثبت نام می کند. پس از آن اطلاعاتی هویتی این فرد از ثبت احوال، اطلاعات بانکی او از سامانه بانکی کشور و اطلاعات محصل سکونت، شماره تلفن و .. از طریق سامانه شاهکار ارزیابی می شودو پس از آن است که کاربر رمزی را دریافت می کند که از طریق آن می تواند وارد سیستم شود.

سامانه شاهکار یک سامانه جامع برای ارائه سرویس به افراد حقیقی و حقوقی است شاهکار یا همان شبکه احراز هویت کاربران ارتباطی  به سامانه مراجع تطبیق هویتی و اپرواتورها متصل است. این سامانه  هویت فرد از نظر حقیقی یا حقوقی بودن و همچنین تابعیت و اطلاعات دیگر آن را بررسی می کند.

این سامانه از سال 94 شروع به کار کرد و در ابتدا زیر مجموعه رایتل به حساب می آمد اما پس از اجرای آزمایشی آن همه اپراتورها مزلم به استفاده از ان شدند.  این سامانه باعث افزایش امنیت  در هنگام ارائه خدمات تلفن ثابت و همراه و استفاده از اینترنت است.

در حال حاضر دولت استفاده از سامانه احراز هویت را صرفا در اختیار برنامه هایی قرار می دهد که جابجایی مالی در آنها رخ می دهد.

شاهکار چه خدماتی ارائه می‌دهد؟

تطبیق شناسه سرویس و شناسه هویتی از قابلیت‌های سامانه شاهکار است که با مشخص شدن صاحبان سرویس‌های ارتباطی در این سامانه، خدمات از هر سرویس ارتباطی به صاحب همان سرویس ارائه می‌شود. با ایجاد این امکان هیچ فردی حق استفاده از شماره همراه فرد دیگری برای ثبت‌نام در نرم‌افزار دولت همراه، نرم‌افزارهای موبایل بانک، پرداخت آنلاین، ثبت آگهی فروش، فروشگاه‌های آنلاین و سایر نرم‌افزارهایی که حریم خصوصی در آن‌ها مطرح است و یا امکان تقلب و کلاهبرداری در آن‌ها وجود دارد را نخواهد داشت.

اطلاع به مشترکین درباره ثبت سرویس‌های ارتباطی به نام آن‌ها، یکی دیگر از سرویس‌های سامانه شاهکار است و درصورت ثبت هرگونه سرویس ارتباطی در اپراتورهای مخابراتی با شناسه هویتی مشترکان، ثبت این سرویس در قالب پیامک با سرشماره cra.ir به تمامی خطوط تلفن همراه به نام مشترک اطلاع‌رسانی می‌شود. همچنین اطلاع از تعداد سیم‌کارت‌های تلفن همراه، سرویس‌های مخابراتی شامل اینترنت پرسرعت ثابت (ADSL، TD-LTE، وایرلیس و …)، تلفن ثابت، اطلاع از شماره‌های تلفن همراه به نام مشترکین نیز از سرویس‌های جانبی شاهکار است.

احراز هویت با شاهکار در نظام بانکی

اخیراً حسین فلاح جوشقانی -رئیس سازمان تنظیم مقررات و ارتباطات رادیویی- درباره وضعیت بهره‌برداری از سامانه شاهکار در نظام بانکی و پرداخت گفته بود که در چند ماه اخیر نشست‌هایی از سوی بانک مرکزی و شبکه بانکی با وزارت ارتباطات و فناوری اطلاعات و سازمان تنظیم مقررات و ارتباطات رادیویی برگزار شد تا شبکه بانکی و پرداخت بتواند از زیرساخت سامانه شاهکار به منظور احراز هویت مشتریان با ویژگی‌های خاص و قیمت معقول استفاده کند؛ در همین راستا باید توافقی میان بانک مرکزی و سازمان تنظیم مقررات ارتباطات منعقد می‌شد که در نهایت با پیگیری‌های انجام شده، توافقات انجام شده است.

معاون وزیر ارتباطات و فناوری اطلاعات همچنین اظهار کرده بود که با توجه به توافق انجام شده به زودی استفاده از سامانه شاهکار در نظام بانکی و پرداخت عملیاتی می‌شود؛ با این توافق، نظام بانکی و پرداخت کشور می‌تواند از داده‌های سامانه شاهکار برای مسئله احراز هویت استفاده کند و عملیات مطابقت کد ملی با شماره تلفن انجام شود که می‌تواند احراز هویت را با سرعتی بالا و با دقت به منظور جلوگیری از فعالیت کلاهبرداران انجام دهد.

سامانه شاهکار و احراز هویت غیرحضوری از طریق آن، تا چه اندازه قابل اطمینان است؟

این روزها صحبت از احراز هویت دیجیتال کاربران (احراز هویت از راه دور و غیر‌حضوری) در فضای مجازی به طرق مختلف از جمله از طریق سامانه شاهکار و اتصال کسب‌وکارها و نهادهای مختلف به این سامانه، زیاد به گوش می‌رسد. تقریبا همه فعالان حوزه فضای مجازی و کسب‌وکارهای اینترنتی این سامانه را می‌شناسند اما به طور کلی احراز هویت بر مبنای مالکیت سیم کارت (کد ملی دارنده سیم کارت) و شماره همراه وی که در نزد اپراتورهای تلفن همراه ثبت گردیده، است.

البته به طور قطع اپراتورهای تلفن همراه به عنوان یکی از سه نقطه قابل اتکاء در میان نهادهای حاکمیتی برای انجام فرآیند شناسایی الکترونیکی مشتری (eKYC) واحراز هویت از راه دور، قابل پذیرش بوده و در عین حال بانک‌ها و ثبت احوال نیز نقاط بسیار مطمئن و قابل اتکا برای این منظور هستند. طرح سرویس سامانه شاهکار در ماهیت آن، کارآمد است و بخشی از نیازهای حوزه احراز هویت در فضای مجازی را پوشش می‌دهد اما در ادامه به مسائلی اشاره خواهد شد که نتیجه آن، عدم وجود سطح اطمینان مورد انتظار از این سرویس در وضعیت فعلی است.

در درجه اول باید توجه داشت بر اساس استانداردهای پذیرفته شده جهانی، توصیه می‌شود احراز هویت قوی در فرآیند شناسایی از راه دور مشتریان (eKYC) باید حداقل مبتنی بر دو عامل (احراز هویت دو عامله) باشد و بنابراین به کارگیری سامانه شاهکار به تنهایی و به عنوان یک عامل احراز هویت (احراز هویت تک عامله از نوع عامل داشتنی یعنی سیم‌کارت)، در مجموع منجر به احراز هویت قوی و فرآیند مطمئن KYC نمی‌شود. پس حتی در صورت بالا بودن ضریب امنیت در سامانه شاهکار و قابلیت اطمینان بالای آن، باز هم به تنهایی احراز هویت یک عامله محسوب می‌شود و باید حداقل در کنار یک عامل دیگر احراز هویت به کار گرفته شود تا سازوکار استفاده شده به عنوان روشی مطمئن برای احراز هویت دیجیتال و eKYC در نزد کسب و کارهای فضای مجازی، پذیرفته شود. البته تمامی خدمات و کسب‌وکارهای فضای مجازی در یک سطح اهمیت قرار ندارند و می توان با سطح‌بندی کسب‌وکارها، برای آن دسته از خدماتی که از لحاظ امنیت اطلاعات و ماهیت سرویس، اهمیت کم‌تری دارند تنها از احراز هویت تک عامله استفاده نمود.

لذا ورود کد ملی به‌صورت خود اظهاری توسط کاربران در ابزار کسب‌وکارهای فضای مجازی طرف سوم، صرفاً اطلاعات شناسایی محسوب می‌شود و دارای خصوصیت اثبات ادعای یگانگی شناسه هویتی (کد ملی مشتری) نیست. با در نظر گرفتن اصالت سنجی شماره موبایل مشتری از طریق کد ملی وارد شده توسط ایشان، ارسال پیامک کد تایید به شماره همراه مربوطه و اعتبار سنجی این کد (از طریق شماره موبایل ثبت‌ شده و معتبر مشتری در سامانه شاهکار)، به‌تنهایی یک عامل احراز هویت در فرآیند اعتبار سنجی هویت دیجیتال، برآورده خواهد شد. به علاوه تهدیداتی مانند امکان دسترسی غیر مجاز به گوشی کاربران، امکان افشای محتوای پیامک نزد طرف های غیر‌مجاز به دلیل نداشتن رمزنگاری انتها به انتها و وقوع حملات امنیتی در لایه زیرساخت‌های شبکه اپراتورهای همراه مانند حملات SIM Swap را نیز باید مورد توجه قرار داد.

مسئله اصلی دیگر این است که سامانه شاهکار و سرویس مبتنی بر آن، به خودی خود و مستقل از موضوع فرآیند احراز هویت قوی، در شرایط فعلی از امنیت کافی برخوردار نبوده و به دلایلی که عنوان خواهم کرد قابلیت اتکا و اطمینان مورد انتظار را نیز ندارد. باید توجه داشته باشیم که بخش وسیعی از امنیت سرویس و سامانه شاهکار، کاملا وابسته به امنیت اپراتورهای تلفن همراه است. بنابراین نکته اول در این خصوص این است که ضعف امنیت در زیرساخت‌های فنی و غیر‌فنی اپراتورهای تلفن همراه، منجر به ضعف امنیت و پایین بودن سطح اطمینان سامانه شاهکار خواهد شد. بیشتر از چند روز از خبر افشای اطلاعات مشتریان و دارندگان سیم کارت یکی از سه اپراتور اصلی تلفن همراه کشور در اینترنت و ادعای فروش آن، نمی‌گذرد. این اطلاعات بخشی از پایگاه‌ داده مشتریان اپراتور مربوطه، شامل اطلاعات هویتی دارنده سیم کارت، کد ملی، شماره و سریال سیم کارت بوده است. اعلام شده است که این اطلاعات ظاهرا به واسطه نیروی انسانی افشاء گردیده است. در هر صورت این نشان از ضعف امنیت و حفاظت از اطلاعات مشتریان بوده که کاملا ممکن است مجددا برای اپراتورهای تلفن همراه در کشور، واقع شود. شخصی که به پایگاه‌ اطلاعاتی کاربران دسترسی بدون کنترل داشته و به راحتی توانسته نسخه‌ای از آنها تهیه کند، آیا دسترسی و امکان اعمال تغییرات غیرمجاز و دستکاری در اطلاعات عملیاتی را ندارد؟ این مسئله دلیل اولی است در نبود امنیت کافی و مورد انتظار در سامانه شاهکار.

اما در خصوص احراز هویت از طریق سامانه شاهکار، به مسئله بسیار مهم دیگری باید توجه کنیم. اینکه ما به داده‌هایی اتکا می‌کنیم (اطلاعات مالکیت سیم کارت و شماره‌های موبایل) که اساسا این سوال مطرح می‌شود که این داده‌ها در کشور ما و در حال حاضر، چقدر قابل اطمینان هستند؟ به عقیده من پاسخ این پرسش این است که به اندازه کافی و آنطور که باید مطمئن نیستند!

اما چرا؟! به این علت که اپراتورهای تلفن همراه در کشور، برخلاف قوانینی که باید دقیق و کامل رعایت کنند، فرآیند ثبت نام، شناسایی و تصدیق هویت مشتریان (KYC) را بعضا ناقص و ضعیف انجام می‌دهند. ممکن است در شرایطی شما بتوانید یک سیم کارت ثبت نام کنید با اسم و مشخصات هویتی یک شخص دیگر و در نهایت تحویل هم بگیرید! البته باید عرض کنم در همین یکسال اخیر فرآیند ثبت نام و اعتبارسنجی مشتریان در اپراتورهای تلفن همراه از نظر سطح امنیت آن، پیشرفت قابل توجه‌ای داشته است. در حال حاضر برای ثبت نام اینترنتی سیم‌کارت در اپراتورها باید کد ملی و یک شماره همراه متعلق به کاربر که درفرم آنلاین ثبت نام درج می‌گردد، با یکدیگر مطاقبت داشته باشند. در غیر این‌صورت امکان ثبت نام غیرحضوری وجود نخواهد داشت. اما نکته این است که این فرآیند شناسایی و KYC غیرحضوری مشتری برای سفارش سیم‌کارت جدید، روشی امن نیست و در عین حال که شاید میزان مخاطره سوء‌استفاده از آن خیلی زیاد نباشد اما در هر صورت تهدیداتی بر آن وارد است. مطمئن نبودن این فرآیند بازهم برمی‌گردد به دو عامله نبودن احراز هویت و این‌بار دو عامله نبودن احراز هویت درخواست دهنده سیم‌کارت. چراکه افشای عامل اول (کد تایید ثبت نام که به شماره موبایل معتبر ثبت نام کننده ارسال و اعتبارسنجی می‌شود) به واسطه تهدیداتی که پیش از این نیز اشاره شد  مانند دسترسی فیزیکی غیرمجاز برای زمان بسیار کوتاه به گوشی سایر افراد یا افشای محتوای پیامک (کد تایید ثبت نام) از طریق بدافزارهای موبایلی، برای مجرمان علی‌الخصوص با اهداف مشخص، امکان‌پذیر خواهد بود. اما این سوء‌استفاده، زمانی امکان‌پذیر می‌شود که تحویل سیم‌کارت نیز بعضا آن‌طور که باید به صورت دقیق و مطمئن صورت نمی‌گیرد.

برای تست این موضوع، چندی پیش خود بنده به شخصه از یکی از اپراتورها یک سیم‌کارت به صورت اینترنتی ثبت نام کردم، زمانی که نماینده اپراتور به آدرسی که اعلام کرده بودم، برای تحویل سیم کارت آمد، من منزل نبودم و ایشان با من تماس گرفتند، من در پاسخ گفتم لطفا به نگهبان ساختمان تحویل بدهید. ایشان هم همین کار را کردند و سیم کارت را به شخص دیگری تحویل دادند و به من گفتند فقط عکس کارت ملی خودتان را داخل واتس آپ! برای من بفرستید که سیم کارت فعال بشه!

در مورد دیگری که برای یکی از آشنایان اتفاق افتاده بود، اپراتور پیش از ارسال سیم کارت به محل مشتری، به مشتری از طریق پیامک اعلام کرده بود که در هنگام تحویل باید خود شخص با اصل کارت ملی و یک نسخه کپی آن، برای تحویل حاضر باشد. اما در هنگام تحویل شخص دیگری (پدر ایشان) و تنها با کپی کارت ملی سیم کارت را تحویل می‌گیرد و جالب اینکه نماینده اپراتور حتی اشاره به لزوم ارائه اصل کارت ملی نمی‌کند.

حالا به نظر شما، داشتن یه عکس یا کپی کارت ملی از یک شخص دیگر یا اصلا درست کردن تصویر کارت ملی (عکس جعلی)، برای مجرمین کار چندان دشواری است؟ بنابراین اینگونه می‌شود که مجرم قادر خواهد بود عملا در پایگاه داده سامانه شاهکار مالک سیم کارتی با کد ملی و هویت شخصی دیگری باشد و سیم کارت هم در اختیار ایشان! البته این موارد که ممکن است مخاطرات جدی به همراه داشته باشد، با نظارت دقیق و برخی تغییرات در فرآیندهای اجرایی، قابل رفع است.

چند نکته تکمیلی دیگر نیز باید مورد توجه قرار گیرد. در کشور ما بسیار پیش می‌آید که شخصی از یک سیم کارت استفاده می‌کند اما مالکیت آن سیم کارت متعلق به هویت یک شخص دیگر (کد ملی شخصی دیگر) است مثلا متعلق به یکی از اعضای خانواده ایشان و اتفاقا این امر با رضایت و اطلاع مالک اصلی سیم‌کارت بوده است.

اشکال این امر این است که وقتی جرمی مثل عملیات متقلبانه توسط شخصی که سیم‌کارت در اختیار او است صورت پذیرد، فرآیند حقوقی پیگیری جرم آغاز می‌شود، حالا قانون بر اساس اطلاعات در اختیار اپراتورهای تلفن همراه، به مالک اصلی مراجعه می‌کند، ایشان هم اظهار می‌کند سیم کارت توسط شخص دیگر استفاده می‌شود، قانون نیز سراغ آن شخص می‌رود. حالا اینجاست که آن شخص آیا نمی‌تواند از لحاظ حقوقی ادعا کند که سیم کارت مال من نیست و مالک آن کس دیگر است، حتی در اختیار من هم نیست. البته به لحاظ پیگیری جرم، همچنان سازوکارهایی برای به نتیجه رساندن چنین موردی، وجود دارد اما قطعا با پیچیدگی‌های بیشتر و احتمال کمتر در به نتیجه رسیدن.

نکته این است کجای قانون یا قراداد اپراتورهای تلفن همراه با مشتریان، اشاره گردیده شخصی که مالک حقوقی سیم کارت است اگر سیم کارت را به صورت غیر رسمی در اختیار شخص دیگری قرار دهد، جرمی واقع شده یا این امر غیر قانونی است؟ یا اگر کسی از سیم کارتی که مالک حقوقی آن سیم کارت، خود او نیست، استفاده نماید، غیر قانونی است؟ آیا در قرارداد‌ اپراتورها با مشتریان که بعضا توسط مشتری اصلا امضا نمی‌شود، این موارد شفاف شده است؟ و اگر شفاف شده است آیا نظارت و کنترل مناسبی بر آن وجود دارد؟

در نهایت می توان نتیجه گرفت سامانه شاهکار برای اهداف احراز هویت، می‌تواند سازوکار مناسبی باشد اما به تنهایی کافی نیست. ضمن آنکه این سرویس زمانی قابل اطمینان است که اپروتورهای سیم کارت، وظایف خود را به درستی انجام و بر آنها نظارت داشته باشند و در صورت لزوم در فرآیندهای اجرایی خود تجدید نظر کنند. هدف از بیان این مسائل درک اهمیت احراز هویت دو عامله در فرآیند شناسایی و اعتبار سنجی هویت دیجیتال (eKYC) است و این ضرورت که نظام هویت دیجیتال و شناسایی الکترونیکی کاربران در کشور، باید برای تمامی بازیگران و کسب وکارهای فضای مجازی و البته کاربران نهایی، شفاف، قانونمند و نظام‌مند شود.