مشکل فنی بانکی موجب تاخیر در تسویه پرداختیارها شد
براساس اطلاعیه پرداختیارهای زرینپال، وندار و جیبیت، تسویه پرداختیاری امروز، یکم آذر ۱۴۰۳، با تاخیر…
۱ آذر ۱۴۰۳
۲۱ خرداد ۱۳۹۹
زمان مطالعه : ۱۰ دقیقه
تاریخ بهروزرسانی: ۱۹ مهر ۱۳۹۹
این روزها صحبت از احراز هویت دیجیتال کاربران (احراز هویت از راه دور و غیرحضوری) در فضای مجازی به طرق مختلف از جمله از طریق سامانه شاهکار و اتصال کسبوکارها و نهادهای مختلف به این سامانه، زیاد به گوش میرسد. تقریبا همه فعالان حوزه فضای مجازی و کسبوکارهای اینترنتی این سامانه را میشناسند اما به طور کلی احراز هویت بر مبنای مالکیت سیم کارت (کد ملی دارنده سیم کارت) و شماره همراه وی که در نزد اپراتورهای تلفن همراه ثبت گردیده، است.
البته به طور قطع اپراتورهای تلفن همراه به عنوان یکی از سه نقطه قابل اتکاء در میان نهادهای حاکمیتی برای انجام فرآیند شناسایی الکترونیکی مشتری (eKYC) واحراز هویت از راه دور، قابل پذیرش بوده و در عین حال بانکها و ثبت احوال نیز نقاط بسیار مطمئن و قابل اتکا برای این منظور هستند. طرح سرویس سامانه شاهکار در ماهیت آن، کارآمد است و بخشی از نیازهای حوزه احراز هویت در فضای مجازی را پوشش میدهد اما در ادامه به مسائلی اشاره خواهد شد که نتیجه آن، عدم وجود سطح اطمینان مورد انتظار از این سرویس در وضعیت فعلی است.
در درجه اول باید توجه داشت بر اساس استانداردهای پذیرفته شده جهانی، توصیه میشود احراز هویت قوی در فرآیند شناسایی از راه دور مشتریان (eKYC) باید حداقل مبتنی بر دو عامل (احراز هویت دو عامله) باشد و بنابراین به کارگیری سامانه شاهکار به تنهایی و به عنوان یک عامل احراز هویت (احراز هویت تک عامله از نوع عامل داشتنی یعنی سیمکارت)، در مجموع منجر به احراز هویت قوی و فرآیند مطمئن KYC نمیشود. پس حتی در صورت بالا بودن ضریب امنیت در سامانه شاهکار و قابلیت اطمینان بالای آن، باز هم به تنهایی احراز هویت یک عامله محسوب میشود و باید حداقل در کنار یک عامل دیگر احراز هویت به کار گرفته شود تا سازوکار استفاده شده به عنوان روشی مطمئن برای احراز هویت دیجیتال و eKYC در نزد کسب و کارهای فضای مجازی، پذیرفته شود. البته تمامی خدمات و کسبوکارهای فضای مجازی در یک سطح اهمیت قرار ندارند و می توان با سطحبندی کسبوکارها، برای آن دسته از خدماتی که از لحاظ امنیت اطلاعات و ماهیت سرویس، اهمیت کمتری دارند تنها از احراز هویت تک عامله استفاده نمود.
لذا ورود کد ملی بهصورت خود اظهاری توسط کاربران در ابزار کسبوکارهای فضای مجازی طرف سوم، صرفاً اطلاعات شناسایی محسوب میشود و دارای خصوصیت اثبات ادعای یگانگی شناسه هویتی (کد ملی مشتری) نیست. با در نظر گرفتن اصالت سنجی شماره موبایل مشتری از طریق کد ملی وارد شده توسط ایشان، ارسال پیامک کد تایید به شماره همراه مربوطه و اعتبار سنجی این کد (از طریق شماره موبایل ثبت شده و معتبر مشتری در سامانه شاهکار)، بهتنهایی یک عامل احراز هویت در فرآیند اعتبار سنجی هویت دیجیتال، برآورده خواهد شد. به علاوه تهدیداتی مانند امکان دسترسی غیر مجاز به گوشی کاربران، امکان افشای محتوای پیامک نزد طرف های غیرمجاز به دلیل نداشتن رمزنگاری انتها به انتها و وقوع حملات امنیتی در لایه زیرساختهای شبکه اپراتورهای همراه مانند حملات SIM Swap را نیز باید مورد توجه قرار داد.
مسئله اصلی دیگر این است که سامانه شاهکار و سرویس مبتنی بر آن، به خودی خود و مستقل از موضوع فرآیند احراز هویت قوی، در شرایط فعلی از امنیت کافی برخوردار نبوده و به دلایلی که عنوان خواهم کرد قابلیت اتکا و اطمینان مورد انتظار را نیز ندارد. باید توجه داشته باشیم که بخش وسیعی از امنیت سرویس و سامانه شاهکار، کاملا وابسته به امنیت اپراتورهای تلفن همراه است. بنابراین نکته اول در این خصوص این است که ضعف امنیت در زیرساختهای فنی و غیرفنی اپراتورهای تلفن همراه، منجر به ضعف امنیت و پایین بودن سطح اطمینان سامانه شاهکار خواهد شد. بیشتر از چند روز از خبر افشای اطلاعات مشتریان و دارندگان سیم کارت یکی از سه اپراتور اصلی تلفن همراه کشور در اینترنت و ادعای فروش آن، نمیگذرد. این اطلاعات بخشی از پایگاه داده مشتریان اپراتور مربوطه، شامل اطلاعات هویتی دارنده سیم کارت، کد ملی، شماره و سریال سیم کارت بوده است. اعلام شده است که این اطلاعات ظاهرا به واسطه نیروی انسانی افشاء گردیده است. در هر صورت این نشان از ضعف امنیت و حفاظت از اطلاعات مشتریان بوده که کاملا ممکن است مجددا برای اپراتورهای تلفن همراه در کشور، واقع شود. شخصی که به پایگاه اطلاعاتی کاربران دسترسی بدون کنترل داشته و به راحتی توانسته نسخهای از آنها تهیه کند، آیا دسترسی و امکان اعمال تغییرات غیرمجاز و دستکاری در اطلاعات عملیاتی را ندارد؟ این مسئله دلیل اولی است در نبود امنیت کافی و مورد انتظار در سامانه شاهکار.
اما در خصوص احراز هویت از طریق سامانه شاهکار، به مسئله بسیار مهم دیگری باید توجه کنیم. اینکه ما به دادههایی اتکا میکنیم (اطلاعات مالکیت سیم کارت و شمارههای موبایل) که اساسا این سوال مطرح میشود که این دادهها در کشور ما و در حال حاضر، چقدر قابل اطمینان هستند؟ به عقیده من پاسخ این پرسش این است که به اندازه کافی و آنطور که باید مطمئن نیستند!
اما چرا؟! به این علت که اپراتورهای تلفن همراه در کشور، برخلاف قوانینی که باید دقیق و کامل رعایت کنند، فرآیند ثبت نام، شناسایی و تصدیق هویت مشتریان (KYC) را بعضا ناقص و ضعیف انجام میدهند. ممکن است در شرایطی شما بتوانید یک سیم کارت ثبت نام کنید با اسم و مشخصات هویتی یک شخص دیگر و در نهایت تحویل هم بگیرید! البته باید عرض کنم در همین یکسال اخیر فرآیند ثبت نام و اعتبارسنجی مشتریان در اپراتورهای تلفن همراه از نظر سطح امنیت آن، پیشرفت قابل توجهای داشته است. در حال حاضر برای ثبت نام اینترنتی سیمکارت در اپراتورها باید کد ملی و یک شماره همراه متعلق به کاربر که درفرم آنلاین ثبت نام درج میگردد، با یکدیگر مطاقبت داشته باشند. در غیر اینصورت امکان ثبت نام غیرحضوری وجود نخواهد داشت. اما نکته این است که این فرآیند شناسایی و KYC غیرحضوری مشتری برای سفارش سیمکارت جدید، روشی امن نیست و در عین حال که شاید میزان مخاطره سوءاستفاده از آن خیلی زیاد نباشد اما در هر صورت تهدیداتی بر آن وارد است. مطمئن نبودن این فرآیند بازهم برمیگردد به دو عامله نبودن احراز هویت و اینبار دو عامله نبودن احراز هویت درخواست دهنده سیمکارت. چراکه افشای عامل اول (کد تایید ثبت نام که به شماره موبایل معتبر ثبت نام کننده ارسال و اعتبارسنجی میشود) به واسطه تهدیداتی که پیش از این نیز اشاره شد مانند دسترسی فیزیکی غیرمجاز برای زمان بسیار کوتاه به گوشی سایر افراد یا افشای محتوای پیامک (کد تایید ثبت نام) از طریق بدافزارهای موبایلی، برای مجرمان علیالخصوص با اهداف مشخص، امکانپذیر خواهد بود. اما این سوءاستفاده، زمانی امکانپذیر میشود که تحویل سیمکارت نیز بعضا آنطور که باید به صورت دقیق و مطمئن صورت نمیگیرد.
برای تست این موضوع، چندی پیش خود بنده به شخصه از یکی از اپراتورها یک سیمکارت به صورت اینترنتی ثبت نام کردم، زمانی که نماینده اپراتور به آدرسی که اعلام کرده بودم، برای تحویل سیم کارت آمد، من منزل نبودم و ایشان با من تماس گرفتند، من در پاسخ گفتم لطفا به نگهبان ساختمان تحویل بدهید. ایشان هم همین کار را کردند و سیم کارت را به شخص دیگری تحویل دادند و به من گفتند فقط عکس کارت ملی خودتان را داخل واتس آپ! برای من بفرستید که سیم کارت فعال بشه!
در مورد دیگری که برای یکی از آشنایان اتفاق افتاده بود، اپراتور پیش از ارسال سیم کارت به محل مشتری، به مشتری از طریق پیامک اعلام کرده بود که در هنگام تحویل باید خود شخص با اصل کارت ملی و یک نسخه کپی آن، برای تحویل حاضر باشد. اما در هنگام تحویل شخص دیگری (پدر ایشان) و تنها با کپی کارت ملی سیم کارت را تحویل میگیرد و جالب اینکه نماینده اپراتور حتی اشاره به لزوم ارائه اصل کارت ملی نمیکند.
حالا به نظر شما، داشتن یه عکس یا کپی کارت ملی از یک شخص دیگر یا اصلا درست کردن تصویر کارت ملی (عکس جعلی)، برای مجرمین کار چندان دشواری است؟ بنابراین اینگونه میشود که مجرم قادر خواهد بود عملا در پایگاه داده سامانه شاهکار مالک سیم کارتی با کد ملی و هویت شخصی دیگری باشد و سیم کارت هم در اختیار ایشان! البته این موارد که ممکن است مخاطرات جدی به همراه داشته باشد، با نظارت دقیق و برخی تغییرات در فرآیندهای اجرایی، قابل رفع است.
چند نکته تکمیلی دیگر نیز باید مورد توجه قرار گیرد. در کشور ما بسیار پیش میآید که شخصی از یک سیم کارت استفاده میکند اما مالکیت آن سیم کارت متعلق به هویت یک شخص دیگر (کد ملی شخصی دیگر) است مثلا متعلق به یکی از اعضای خانواده ایشان و اتفاقا این امر با رضایت و اطلاع مالک اصلی سیمکارت بوده است.
اشکال این امر این است که وقتی جرمی مثل عملیات متقلبانه توسط شخصی که سیمکارت در اختیار او است صورت پذیرد، فرآیند حقوقی پیگیری جرم آغاز میشود، حالا قانون بر اساس اطلاعات در اختیار اپراتورهای تلفن همراه، به مالک اصلی مراجعه میکند، ایشان هم اظهار میکند سیم کارت توسط شخص دیگر استفاده میشود، قانون نیز سراغ آن شخص میرود. حالا اینجاست که آن شخص آیا نمیتواند از لحاظ حقوقی ادعا کند که سیم کارت مال من نیست و مالک آن کس دیگر است، حتی در اختیار من هم نیست. البته به لحاظ پیگیری جرم، همچنان سازوکارهایی برای به نتیجه رساندن چنین موردی، وجود دارد اما قطعا با پیچیدگیهای بیشتر و احتمال کمتر در به نتیجه رسیدن.
نکته این است کجای قانون یا قراداد اپراتورهای تلفن همراه با مشتریان، اشاره گردیده شخصی که مالک حقوقی سیم کارت است اگر سیم کارت را به صورت غیر رسمی در اختیار شخص دیگری قرار دهد، جرمی واقع شده یا این امر غیر قانونی است؟ یا اگر کسی از سیم کارتی که مالک حقوقی آن سیم کارت، خود او نیست، استفاده نماید، غیر قانونی است؟ آیا در قرارداد اپراتورها با مشتریان که بعضا توسط مشتری اصلا امضا نمیشود، این موارد شفاف شده است؟ و اگر شفاف شده است آیا نظارت و کنترل مناسبی بر آن وجود دارد؟
در نهایت می توان نتیجه گرفت سامانه شاهکار برای اهداف احراز هویت، میتواند سازوکار مناسبی باشد اما به تنهایی کافی نیست. ضمن آنکه این سرویس زمانی قابل اطمینان است که اپروتورهای سیم کارت، وظایف خود را به درستی انجام و بر آنها نظارت داشته باشند و در صورت لزوم در فرآیندهای اجرایی خود تجدید نظر کنند. هدف از بیان این مسائل درک اهمیت احراز هویت دو عامله در فرآیند شناسایی و اعتبار سنجی هویت دیجیتال (eKYC) است و این ضرورت که نظام هویت دیجیتال و شناسایی الکترونیکی کاربران در کشور، باید برای تمامی بازیگران و کسب وکارهای فضای مجازی و البته کاربران نهایی، شفاف، قانونمند و نظاممند شود.
در بسیاری از کشورهای دنیا، خود اپراتورهای تلفن همراه برای شناسایی و KYC مشتریان از سازوکارهای نوین برای ارائه خدمات غیر حضوری با هدف شناسایی الکترونیکی مشتریان خود (eKYC) استفاده میکنند. به طور کلی برای داشتن یک فرآیند احراز هویت قوی که حداقل دو عامله باشد، استفاده از سرویسهای احراز هویت که نهادهای حاکمیتی که پیش از آن، فرآیند KYC افراد را به مطمئنترین روشهای ممکن انجام دادند، مانند ثبت احوال یا بانکهای کشور و همچنین از طرفی ابزارهایی مانند کارت ملی هوشمند، سازوکارهای امضاء دیجیتال مبتنی بر موبایل و سیمکارتهای مخصوص، سازوکارهای نوظهور و قابل اطمینان مبتنی بر عوامل ذاتی (بیومتریک) مانند راهکارهای پردازش تصاویر مبتنی بر هوش مصنوعی، میتوانند راه حل مسائل عنوان شده برای ارائه سرویس احراز هویت قوی از راه دور و غیرحضوری باشند.
۴۰ میلیون نفر هر نفر ۳ عدد شماره همراه دارد جمعا ۱۱۸ میلیون شماره همراه ثبت شده که ازایت تعداد ۱۴ میلیون زیر ۱۸ سال و ۳ میلیون اتباع خارجی هستند در کل ۲۳ میلیون نفر بالای ۱۸ سال شماره همراه دارند و ۲۷ میلیون نفر بالای ۱۸ سال شماره همراه به نام خود ندارند ضریب نفوذ واقعی تلفن همراه ۴۵ درصد است . اجبار افراد به احراز هویت با شماره همراه به نام فرد غیر قانونی است ۵۰ درصد جمعیت بزرگسال کشور شماره همراه ندارند
احراز
احراز هویت