خطر احراز هویت سلیقه‌ای برای داده‌های کاربران

بسیاری از کسب و کارهای آنلاین این عکس‌ها را با هدف انجام احراز هویت آنلاین از کاربران دریافت می‌کنند و اکنون با دست یافتن هکرها به چنین اطلاعاتی، امکان سوءاستفاده از هویت و فیشینگ مقدور شده است. امیر ناظمی، رئیس سازمان فناوری اطلاعات در پاسخ به سوال یکی از کاربران توییتر درباره قانونی بودن یا نبودن دریافت و نگهداری چنین داده‌هایی گفت: «چنین اقدامی قانونی نیست. برای احراز هویت از سامانه شاهکار و استعلام ثبت احوال می‌توانند استفاده کنند. در ضمن به هر استارت‌آپ میزان ۱۰ هزار استعلام رایگان به‌صورت بسته تشویقی طرح بومواره داده می‌شود.» اما همین ارجاع کسب و کارها به استفاده از سامانه شاهکار برای انجام اقدامی قانونی در راستای احراز هویت آنلاین کاربران، خود با موانع و چالش‌هایی جدی روبه‌روست.

  چالش‌های احراز هویت از طریق شاهکار

یکی از چالش‌هایی که مدیران برخی از کسب و کارهای کوچک و متوسط به آن اشاره می‌کنند، دسترسی بسیار سخت شرکت‌های غیردانش‌بنیان به سامانه احراز هویت شاهکار است. مسعود علامه، مدیرعامل استارت‌آپ «کارومن» در گفت‌وگو با «دنیای‌اقتصاد» می‌گوید: «دریافت API انجام احراز هویت شاهکار مستلزم ثبت‌نام در سایت نوآفرین است. از طرف دیگر الزام به دانش‌بنیانِ‌نوپا بودن و داشتن شرایط و مجوزهای دیگر، از جمله پیش‌شرط‌های این ثبت‌نام است که باعث می‌شود بسیاری از کسب و کارها اجازه دسترسی به این سرویس را نداشته باشند.» از طرف دیگر، در سامانه شاهکار تنها تطبیق شماره ملی و شماره موبایل کاربر انجام می‌شود و عده‌ای معتقدند این روش احراز هویت، کارآیی چندانی در حل موارد پرونده‌های تخلف ندارد. در نتیجه بسیاری از کسب و کارها به روش‌های جایگزینی مانند چک کردن دستی برخی مجموعه اطلاعات هویتی کاربر یا دریافت عکس از کاربر به همراه مدارک هویتی وی روی می‌آورند. با وجود تاکید رئیس سازمان فناوری اطلاعات بر غیرقانونی بودن دریافت چنین مدارکی از کاربران، این روش یکی از رایج‌ترین روش‌های انجام آنلاین احراز هویت است و از آنجا که روش جایگزینی برای تایید هویت مجازی وجود ندارد، بسیاری از کسب و کارها ناچار به استفاده از این روش هستند. نیما محمدی، از دیگر فعالان حوزه کسب و کارهای آنلاین در گفت‌وگو با «دنیای‌اقتصاد» می‌گوید: در صحبت‌هایی که با پلیس فتا داشتیم، بار حقوقی این مساله به دوش صاحب کسب و کار گذاشته شده و از آنجا که اولویت با انجام احراز هویت کاربران برای پیشگیری از وقوع تخلف است، دست صاحبان کسب و کار تا حد زیادی در دریافت اطلاعات هویتی کاربران باز گذاشته شده است. وی تاکید می‌کند: محدودیت خاصی برای گرفتن داده‌های هویتی مانند عکس مدارک هویتی و چهره کاربر از سوی نهادی به کسب و کارهای آنلاین ابلاغ نشده است. میلاد نوری، از دیگر فعالان حوزه کسب و کارهای آنلاین، با اشاره به آسیب‌های امنیتی نگهداری چنین مدارکی به «دنیای‌اقتصاد» می‌گوید: گذشته از تمام ایراداتی که به دریافت چنین مدارکی از کاربران وارد است، چرا باید کسب و کارها پس از انجام احراز هویت، این داده‌ها را روی سرورهای خود نگه دارند. وی با انتقاد از نبود قوانین صریح برای حفاظت از داده‌های هویتی کاربران می‌افزاید: به دلیل تعیین نشدن ملاحظات و شرایط از سوی نهادهای مسوول برای اجازه اخذ چنین مدارکی از کاربران، بسیاری از صاحبان کسب و کارها آزادند بدون آگاهی از جوانب مختلف این امر، اقدام به نگهداری اطلاعات هویتی کاربران خود کنند. در نتیجه به دلیل رعایت نکردن حفاظت‌های کافی، چنین اتفاقاتی مانند نشت اطلاعات اخیر رخ دهد.

  ضعف جدی در قوانین احراز هویت

گفت‌وگو با مدیران دیگر کسب و کارها نیز نشان می‌دهد که نگهداری آنها از چنین مدارکی حتی پس از انجام احراز هویت، چندان هم بی‌علت نیست. با توجه به مشکلاتی که در موارد احضار کسب و کارها به دادگاه‌ها برای رسیدگی به پرونده‌های شکایت پیش می‌آید و دادگاه عمده مسوولیت را به عهده صاحب کسب و کار آنلاین می‌داند، این کسب و کارها ترجیح می‌دهند حداقل مدارکی که از کاربران دارند را برای اثبات بی‌گناهی خود در جایی نگهداری کنند. علی امیری، هم‌بنیان‌گذار زرین‌پال در گفت‌وگو با «دنیای‌اقتصاد» می‌گوید: اگر دریافت چنین مدارکی غیرقانونی است، بهتر است مسوولان روش‌ها و بسترهای قانونی انجام این کار و حوزه مسوولیتی که به گردن هر کدام از طرفین است را تعیین کنند تا ما بتوانیم از آن طریق اقدام کنیم. وی تاکید می‌کند: بدون شک هیچ کسب و کاری علاقه‌ای به ملزم کردن کاربران به ارسال چنین مدارکی ندارد و ترجیح بر کوتاه و سریع بودن فرآیند ثبت‌نام است؛ اما وقتی قانون هیچ دفاعی از این کسب و کارها نمی‌کند، چاره‌ای جز دریافت حجم قابل قبولی از اطلاعات هویتی فرد برای اطمینان خاطر بیشتر باقی نمی‌ماند.

هم‌بنیان‌گذار زرین‌پال با اشاره به مواردی که این شرکت برای حل پرونده‌های قضایی به دادگاه‌ها احضار شده است، می‌گوید: متاسفانه تجربه نشان می‌دهد که حتی دریافت این مدارک نیز چندان از بار مسوولیت استارت‌آپ‌ها و کسب و کارهای آنلاین نمی‌کاهد. وی ‌تاکید می‌کند: برخی قضات ارزش و اعتبار چندانی برای روش‌های احراز هویتی اعم از شاهکار و... قائل نیستند و حتی بعد از ارائه مدارک هویتی دریافت شده‌ای که بسیار فراتر از احراز هویت شاهکار است، از ما می‌خواهند که خود شخص را پیدا کرده و به دادگاه معرفی کنیم تا پرونده زودتر حل شود. امیری با اشاره به حجم زیادی پرونده‌های قضایی دادگاه‌ها در چنین مواردی می‌گوید: به قدری تعداد پرونده‌های قضایی زیاد است که تنها اولویت قضات، بسته شدن هرچه سریع‌تر این پرونده هاست و اینکه از چه طریقی احراز هویت انجام شده باشد یا حتی نشده باشد، اهمیت چندانی برای آنها ندارد. در حال حاضر برخی از شرکت‌های خصوصی فعال در زمینه احراز هویت، روش‌های جدیدی را برای این فرآیند پیش می‌برند که نیازی به دریافت چنین مدارک هویتی از کاربر ندارد. یکی از انتقاداتی که به کسب و کارهای آنلاین استفاده‌کننده از روش دریافت عکس از کاربر و مدارکش برای احراز هویت وارد شده آن است که چرا روش خود را به چنین روش‌های جدیدی تغییر نمی‌دهند. امیری در پاسخ به این چالش می‌گوید: مساله مهم‌تری که در این مورد مطرح است آن است که فارغ از روش انجام احراز هویت، آیا انجام آن مسوولیت را از دوش صاحبان کسب و کار برمی‌دارد یا نه. وی معتقد است: تا زمانی که در نهایت متهم اصلی در پرونده‌های قضایی، صاحبان کسب و کارها هستند، چه تفاوتی دارد که احراز هویت از چه طریقی انجام شده باشد و تا چه حد معتبر باشد؛ زیرا در نهایت دادگاه توجهی به آن نداشته و صاحب کسب و کار، طرف حساب دادگاه است. هم بنیان‌گذار زرین پال تاکید می‌کند، نکته این است که قانونی وضع شود که پس از انجام روش مشخصی برای احراز هویت، از صاحب کسب و کار آنلاین به‌عنوان کسی که صرفا بستری برای ارائه آن خدمت فراهم کرده است، سلب مسوولیت شود. تا زمانی که چنین اصلاحی انجام نشود، هیچ تفاوتی به حال خدمات‌دهندگان ندارد و انگیزه‌ای برای تغییر روش انجام احراز هویت وجود نخواهد داشت.

امیر ناظمی، معاون وزیر ارتباطات در پاسخ به چالش‌های مطرح شده از سوی صاحبان کسب‌و‌کارهای آنلاین به«دنیای‌اقتصاد» می‌گوید: در حال حاضر چندین روش متنوع برای احراز هویت موجود است که کسب‌و‌کارها باید بسته به اهمیت مساله و ریسکی که بر طرفین مساله تحمیل می‌شود، روش مناسبی را انتخاب و به‌کار گیرند.وی می‌افزاید: چالش مطرح‌شده از سوی کسب‌و‌کارها مبنی بر نبود رویه‌ای استاندارد و یکسان برای انجام احراز هویت آنلاین، چالشی بجاست و این موضوع در زمان‌هایی که قضات آشنایی کافی با مسائل حوزه فن‌آوری اطلاعات ندارند محسوس‌تر می‌شود. این امر  بارها در نامه‌های مختلفی به معاونت قوه‌قضائیه، مطرح شده و برلزوم به رسمیت شناختن سامانه‌های  اهزار هویت آنلاین تاکید شده است. ناظمی تاکید می‌کند، در نهایت نبود وحدت رویه در چنین مسائلی از حوزه فناوری اطلاعات، بیش از نبود قوانین صریح ایجاد مشکل کرده است.

تصویب قانون متناسب با هر موضوع، فرآیندی ۳ تا ۴ ساله است که این زمان برای حوزه‌ای مانند فناوری اطلاعات که در آن تغییرات بسیار سریع رخ می‌دهند زمانی بسیار طولانی است. در نتیجه ایجاد رویه مشخص برای انجام این مساله و به کارگیری قضات آشنا به مسائل حوزه فناوری اطلاعات می‌تواند روش کارآمدتری نسبت به ایجاد قوانین مختلف باشد. ایجاد دادسرای ویژه حوزه فناوری اطلاعات و به کارگیری قضاتی آموزش‌دیده در این حوزه، از جمله راهکارهایی است که برای حل این مساله ارائه شده و در حال پیگیری است.

  راهکارهای جایگزین

گذشته از ضعف‌های قانونی این امر، ضعف در ارائه سامانه‌ای که بتواند راهکاری جامع و بهینه برای احراز هویت آنلاین کاربران ارائه دهد، مشکل دیگر فعالان حوزه کسب و کارهای آنلاین است. روش‌های متداولی که در حال حاضر به کار می‌رود، اعم از شاهکار، امتا، چک دستی مدارک و دریافت عکس از اطلاعات هویتی کاربران، هر کدام ایرادات خاص خود را دارند اما مدتی است که برخی شرکت‌های خصوصی فعال در حوزه احراز هویت، راهکار کامل‌تری ایجاد کرده‌اند که به نظر می‌رسد بتواند بخشی از مشکلات این حوزه را حل کند. نیما شمساپور، مدیرعامل شرکت یوآیدی در گفت‌وگو با «دنیای‌اقتصاد» می‌گوید: روش احراز هویتی که در حال حاضر برای سازمان‌هایی مانند سازمان بورس و خدمات آنلاین قوه‌قضائیه به کار می‌بریم، روش احراز هویت از طریق ارسال یک ویدئوی ۱۵ ثانیه‌ای از کاربر است. از طریق بررسی و تطابق این ویدئو با اطلاعات هویتی موجود در سامانه‌های دولتی مانند سامانه ثبت احوال و دیگر پایگاه‌های داده موجود توسط هوش مصنوعی، احراز هویت کاربر انجام می‌شود. وی تاکید می‌کند مزیت این روش آن است که علاوه بر احراز هویت، زنده بودن فرد نیز تایید می‌شود. از طرف دیگر با توجه به اینکه تنها یک ویدئوی ۱۵ ثانیه‌ای از کاربر دریافت می‌شود، ریسک لو رفتن داده‌های هویتی کاربران که در روش‌های قبلی وجود داشت، از بین می‌رود. وی با اشاره به ضرورت مقایسه ویدئو با داده‌های هویتی موجود در پایگاه‌های دولتی می‌گوید: محدودیتی که این روش جدید احراز هویت دارد آن است که دسترسی به پایگاه‌های داده‌های هویتی دولتی ضروری است. شمساپور می‌گوید: ما خود یک شرکت کاملا خصوصی هستیم و در پروژه‌هایی که با سازمان بورس و قوه‌قضائیه در حال انجامند، این داده‌ها از طرف سازمان‌های مربوط در اختیار یوآیدی قرار گرفته. با این حال اجازه استفاده از این داده‌ها برای موارد دیگر داده نشده است؛ در نتیجه در حال حاضر امکان ارائه این سرویس به کسب و کارهای دیگر و شرکت‌های خصوصی وجود ندارد.

مدیرعامل این شرکت خصوصی فعال در حوزه احراز هویت می‌گوید: تلاش ما این است تا بتوانیم مجوزها و دسترسی‌های لازم را برای ارائه این خدمت به شرکت‌های خصوصی نیز دریافت کنیم. شمسا‌پور با اشاره به استفاده از روش احراز هویت برای فرآیند ثبت‌نام سامانه سجام در ابتدای امسال می‌گوید: در ۲ سال اخیر بارها جلساتی را با مدیران سازمان‌های مختلف دولتی برگزار می‌کردیم ولی همیشه با مخالفت روبه‌رو می‌شدیم. اما در ابتدای امسال پس از شروع همه‌گیری کرونا، سازمان بورس حاضر شد این روش را برای احراز هویت کاربران خود به‌کار گیرد و مسوولیت این پروژه را متقبل شد. شمسا‌پور می‌گوید: در حال حاضر نیز با هماهنگی سازمان بورس، روزانه بین ۳۰ تا ۳۵ هزار احراز هویت برای ثبت‌نام اعطای کد بورسی انجام می‌دهیم. پس از استفاده سازمان بورس از این روش جدید احراز هویتی، اکنون قوه‌قضائیه نیز قرار است در همکاری با این شرکت، احراز هویت برای صدور گواهی عدم‌سوءپیشینه را به‌صورت غیرحضوری انجام دهد. شمسا‌پور تاکید می‌کند، قرار است طی ماه‌های آینده، با انجام رگولاتوری برای پذیرش این روش جدید به‌عنوان فرآیندی استاندارد برای احراز هویت، آن را در سازمان‌ها و فرآیندهای بیشتری مورد استفاده قرار دهند. نیما شمساپور در شرح جزئیات ارائه خدمات احراز هویت غیرحضوری به کسب و کارهای خصوصی و کوچک‌تر می‌گوید: گذشته از اینکه در حال حاضر در دسترسی به پایگاه‌های اطلاعاتی برای احراز هویت بخش‌های خصوصی محدودیت داریم، با توجه به نبود قانون صریح درباره حدود مسوولیت هر یک از طرفین در ریسک احراز هویت انجام شده، انجام آن برای کسب و کارهای کوچک چندان میسر نیست. وی تاکید می‌کند: با این حال در حال پیگیری موضوع هستیم تا بتوانیم موانع این امر را از بین ببریم و در نهایت با همکاری نهادهای حاکمیتی و بخش خصوصی بتوانیم این روش را در حوزه‌های پرداخت یاری و صرافی‌های آنلاین ارزهای دیجیتال هم اجرایی کنیم. مدیرعامل یوآیدی با اشاره به ضریب اطمینان و دقت بالای این روش در اجرای احراز هویت غیرحضوری می‌گوید: اکنون در بسیاری از سیستم‌های بانکی دنیا از این روش برای ارائه خدماتی مانند افتتاح حساب آنلاین و دیگر خدمات بانکی به‌صورت غیرحضوری استفاده می‌شود. شمساپور با تاکید بر دقت بالای این روش در مقایسه با روش‌های چک دستی اطلاعات یا دریافت عکس از مدارک هویتی کاربر می‌گوید: اطمینان از این روش به قدری است که ما حاضریم در ازای دریافت هزینه ریسک متقبل شده، مسوولیت تخلفات احتمالی پرونده‌های کسب و کارهای خصوصی را نیز قبول کنیم. اما پیش از این، تمام اینها مستلزم آن است که نهادهای حاکمیتی اجازه و دسترسی‌های لازم برای این کار را در اختیار ما قرار دهند. با توجه به آنکه امضای دیجیتال از سوی دادستانی پذیرفته شده است، میسر شدن انجام احراز هویت امضای دیجیتال (سطح دو) با روش غیرحضوری می‌تواند بخش زیادی از مشکلات کسب و کارهای خصوصی را حل کند.

  احراز هویت و تسهیل خدمات بانکی غیرحضوری

با وجود آنکه اکنون بخش زیادی از خدمات بانکی به‌صورت آنلاین و غیرحضوری قابل انجام هستند، اما هنوز خدمات پایه مانند افتتاح حساب مستلزم حضور فیزیکی فرد در شعب بانک است. مهران محرمیان، معاون فناوری‌های نوین بانک مرکزی در گفت‌وگو با «دنیای‌اقتصاد» می‌گوید: احراز هویت غیرحضوری سابقه بسیار طولانی در شبکه بانکی دارد و اگر زمینه‌های قانونی لازم فراهم شود، قصد داریم مانند سازمان بورس و قوه قضائیه، شناسایی مشتریان جدید را نیز از طریق هوش مصنوعی، به‌صورت کاملا غیرحضوری انجام دهیم. در صورت تحقق این امر، امکان ارائه خدمات بانکی بیشتری به‌صورت غیرحضوری میسر خواهد شد و زمینه ایجاد نئوبانک‌ نیز فراهم می‌شود. محرمیان با اشاره به اینکه روش احراز هویت و شناسایی مورد استفاده توسط یوآیدی روش کارآیی است که باید مدام تحت آزمون‌های مختلف قرار گیرد، می‌گوید: برخی بانک‌ها با به‌کارگیری این روش به همراه دیگر روش‌های احراز هویت و اتصال به سایر بانک‌های اطلاعاتی کشور، پکیجی برای انجام احراز هویت غیرحضوری در شبکه بانکی کشور فراهم کرده‌اند. البته امضای حضوری با مجوز ستاد کرونا می‌تواند با استفاده از گواهی امضای دیجیتال انجام شود؛ اما در حال حاضر صدور امضای دیجیتال خود مستلزم عملیات حضوری است که در حال کار روی روش‌های غیرحضوری برای این منظور هستیم.

معاون فناوری‌های نوین بانک مرکزی با تاکید بر حساسیت‌های قانونی خاص نظام بانکی کشور و اینکه طبق قانون، ارائه خدمات بانکی پایه به‌صورت غیرحضوری ممنوع است، می‌گوید: درحال پیگیری فراهم کردن زمینه‌های قانونی برای به کارگیری این امر هستیم. ممکن است این پیگیری‌ها موجب تاخیر اندکی در پیشبرد کار شود؛ ولی امیدواریم بتوانیم موانع قانونی را برطرف کنیم.