ضعف قانونی و نبود سامانهای جامع، اطلاعات افراد را در دسترس هکرها قرار داد
خطر احراز هویت سلیقهای برای دادههای کاربران
بسیاری از کسب و کارهای آنلاین این عکسها را با هدف انجام احراز هویت آنلاین از کاربران دریافت میکنند و اکنون با دست یافتن هکرها به چنین اطلاعاتی، امکان سوءاستفاده از هویت و فیشینگ مقدور شده است. امیر ناظمی، رئیس سازمان فناوری اطلاعات در پاسخ به سوال یکی از کاربران توییتر درباره قانونی بودن یا نبودن دریافت و نگهداری چنین دادههایی گفت: «چنین اقدامی قانونی نیست. برای احراز هویت از سامانه شاهکار و استعلام ثبت احوال میتوانند استفاده کنند. در ضمن به هر استارتآپ میزان ۱۰ هزار استعلام رایگان بهصورت بسته تشویقی طرح بومواره داده میشود.» اما همین ارجاع کسب و کارها به استفاده از سامانه شاهکار برای انجام اقدامی قانونی در راستای احراز هویت آنلاین کاربران، خود با موانع و چالشهایی جدی روبهروست.
چالشهای احراز هویت از طریق شاهکار
یکی از چالشهایی که مدیران برخی از کسب و کارهای کوچک و متوسط به آن اشاره میکنند، دسترسی بسیار سخت شرکتهای غیردانشبنیان به سامانه احراز هویت شاهکار است. مسعود علامه، مدیرعامل استارتآپ «کارومن» در گفتوگو با «دنیایاقتصاد» میگوید: «دریافت API انجام احراز هویت شاهکار مستلزم ثبتنام در سایت نوآفرین است. از طرف دیگر الزام به دانشبنیانِنوپا بودن و داشتن شرایط و مجوزهای دیگر، از جمله پیششرطهای این ثبتنام است که باعث میشود بسیاری از کسب و کارها اجازه دسترسی به این سرویس را نداشته باشند.» از طرف دیگر، در سامانه شاهکار تنها تطبیق شماره ملی و شماره موبایل کاربر انجام میشود و عدهای معتقدند این روش احراز هویت، کارآیی چندانی در حل موارد پروندههای تخلف ندارد. در نتیجه بسیاری از کسب و کارها به روشهای جایگزینی مانند چک کردن دستی برخی مجموعه اطلاعات هویتی کاربر یا دریافت عکس از کاربر به همراه مدارک هویتی وی روی میآورند. با وجود تاکید رئیس سازمان فناوری اطلاعات بر غیرقانونی بودن دریافت چنین مدارکی از کاربران، این روش یکی از رایجترین روشهای انجام آنلاین احراز هویت است و از آنجا که روش جایگزینی برای تایید هویت مجازی وجود ندارد، بسیاری از کسب و کارها ناچار به استفاده از این روش هستند. نیما محمدی، از دیگر فعالان حوزه کسب و کارهای آنلاین در گفتوگو با «دنیایاقتصاد» میگوید: در صحبتهایی که با پلیس فتا داشتیم، بار حقوقی این مساله به دوش صاحب کسب و کار گذاشته شده و از آنجا که اولویت با انجام احراز هویت کاربران برای پیشگیری از وقوع تخلف است، دست صاحبان کسب و کار تا حد زیادی در دریافت اطلاعات هویتی کاربران باز گذاشته شده است. وی تاکید میکند: محدودیت خاصی برای گرفتن دادههای هویتی مانند عکس مدارک هویتی و چهره کاربر از سوی نهادی به کسب و کارهای آنلاین ابلاغ نشده است. میلاد نوری، از دیگر فعالان حوزه کسب و کارهای آنلاین، با اشاره به آسیبهای امنیتی نگهداری چنین مدارکی به «دنیایاقتصاد» میگوید: گذشته از تمام ایراداتی که به دریافت چنین مدارکی از کاربران وارد است، چرا باید کسب و کارها پس از انجام احراز هویت، این دادهها را روی سرورهای خود نگه دارند. وی با انتقاد از نبود قوانین صریح برای حفاظت از دادههای هویتی کاربران میافزاید: به دلیل تعیین نشدن ملاحظات و شرایط از سوی نهادهای مسوول برای اجازه اخذ چنین مدارکی از کاربران، بسیاری از صاحبان کسب و کارها آزادند بدون آگاهی از جوانب مختلف این امر، اقدام به نگهداری اطلاعات هویتی کاربران خود کنند. در نتیجه به دلیل رعایت نکردن حفاظتهای کافی، چنین اتفاقاتی مانند نشت اطلاعات اخیر رخ دهد.
ضعف جدی در قوانین احراز هویت
گفتوگو با مدیران دیگر کسب و کارها نیز نشان میدهد که نگهداری آنها از چنین مدارکی حتی پس از انجام احراز هویت، چندان هم بیعلت نیست. با توجه به مشکلاتی که در موارد احضار کسب و کارها به دادگاهها برای رسیدگی به پروندههای شکایت پیش میآید و دادگاه عمده مسوولیت را به عهده صاحب کسب و کار آنلاین میداند، این کسب و کارها ترجیح میدهند حداقل مدارکی که از کاربران دارند را برای اثبات بیگناهی خود در جایی نگهداری کنند. علی امیری، همبنیانگذار زرینپال در گفتوگو با «دنیایاقتصاد» میگوید: اگر دریافت چنین مدارکی غیرقانونی است، بهتر است مسوولان روشها و بسترهای قانونی انجام این کار و حوزه مسوولیتی که به گردن هر کدام از طرفین است را تعیین کنند تا ما بتوانیم از آن طریق اقدام کنیم. وی تاکید میکند: بدون شک هیچ کسب و کاری علاقهای به ملزم کردن کاربران به ارسال چنین مدارکی ندارد و ترجیح بر کوتاه و سریع بودن فرآیند ثبتنام است؛ اما وقتی قانون هیچ دفاعی از این کسب و کارها نمیکند، چارهای جز دریافت حجم قابل قبولی از اطلاعات هویتی فرد برای اطمینان خاطر بیشتر باقی نمیماند.
همبنیانگذار زرینپال با اشاره به مواردی که این شرکت برای حل پروندههای قضایی به دادگاهها احضار شده است، میگوید: متاسفانه تجربه نشان میدهد که حتی دریافت این مدارک نیز چندان از بار مسوولیت استارتآپها و کسب و کارهای آنلاین نمیکاهد. وی تاکید میکند: برخی قضات ارزش و اعتبار چندانی برای روشهای احراز هویتی اعم از شاهکار و... قائل نیستند و حتی بعد از ارائه مدارک هویتی دریافت شدهای که بسیار فراتر از احراز هویت شاهکار است، از ما میخواهند که خود شخص را پیدا کرده و به دادگاه معرفی کنیم تا پرونده زودتر حل شود. امیری با اشاره به حجم زیادی پروندههای قضایی دادگاهها در چنین مواردی میگوید: به قدری تعداد پروندههای قضایی زیاد است که تنها اولویت قضات، بسته شدن هرچه سریعتر این پرونده هاست و اینکه از چه طریقی احراز هویت انجام شده باشد یا حتی نشده باشد، اهمیت چندانی برای آنها ندارد. در حال حاضر برخی از شرکتهای خصوصی فعال در زمینه احراز هویت، روشهای جدیدی را برای این فرآیند پیش میبرند که نیازی به دریافت چنین مدارک هویتی از کاربر ندارد. یکی از انتقاداتی که به کسب و کارهای آنلاین استفادهکننده از روش دریافت عکس از کاربر و مدارکش برای احراز هویت وارد شده آن است که چرا روش خود را به چنین روشهای جدیدی تغییر نمیدهند. امیری در پاسخ به این چالش میگوید: مساله مهمتری که در این مورد مطرح است آن است که فارغ از روش انجام احراز هویت، آیا انجام آن مسوولیت را از دوش صاحبان کسب و کار برمیدارد یا نه. وی معتقد است: تا زمانی که در نهایت متهم اصلی در پروندههای قضایی، صاحبان کسب و کارها هستند، چه تفاوتی دارد که احراز هویت از چه طریقی انجام شده باشد و تا چه حد معتبر باشد؛ زیرا در نهایت دادگاه توجهی به آن نداشته و صاحب کسب و کار، طرف حساب دادگاه است. هم بنیانگذار زرین پال تاکید میکند، نکته این است که قانونی وضع شود که پس از انجام روش مشخصی برای احراز هویت، از صاحب کسب و کار آنلاین بهعنوان کسی که صرفا بستری برای ارائه آن خدمت فراهم کرده است، سلب مسوولیت شود. تا زمانی که چنین اصلاحی انجام نشود، هیچ تفاوتی به حال خدماتدهندگان ندارد و انگیزهای برای تغییر روش انجام احراز هویت وجود نخواهد داشت.
امیر ناظمی، معاون وزیر ارتباطات در پاسخ به چالشهای مطرح شده از سوی صاحبان کسبوکارهای آنلاین به«دنیایاقتصاد» میگوید: در حال حاضر چندین روش متنوع برای احراز هویت موجود است که کسبوکارها باید بسته به اهمیت مساله و ریسکی که بر طرفین مساله تحمیل میشود، روش مناسبی را انتخاب و بهکار گیرند.وی میافزاید: چالش مطرحشده از سوی کسبوکارها مبنی بر نبود رویهای استاندارد و یکسان برای انجام احراز هویت آنلاین، چالشی بجاست و این موضوع در زمانهایی که قضات آشنایی کافی با مسائل حوزه فنآوری اطلاعات ندارند محسوستر میشود. این امر بارها در نامههای مختلفی به معاونت قوهقضائیه، مطرح شده و برلزوم به رسمیت شناختن سامانههای اهزار هویت آنلاین تاکید شده است. ناظمی تاکید میکند، در نهایت نبود وحدت رویه در چنین مسائلی از حوزه فناوری اطلاعات، بیش از نبود قوانین صریح ایجاد مشکل کرده است.
تصویب قانون متناسب با هر موضوع، فرآیندی ۳ تا ۴ ساله است که این زمان برای حوزهای مانند فناوری اطلاعات که در آن تغییرات بسیار سریع رخ میدهند زمانی بسیار طولانی است. در نتیجه ایجاد رویه مشخص برای انجام این مساله و به کارگیری قضات آشنا به مسائل حوزه فناوری اطلاعات میتواند روش کارآمدتری نسبت به ایجاد قوانین مختلف باشد. ایجاد دادسرای ویژه حوزه فناوری اطلاعات و به کارگیری قضاتی آموزشدیده در این حوزه، از جمله راهکارهایی است که برای حل این مساله ارائه شده و در حال پیگیری است.
راهکارهای جایگزین
گذشته از ضعفهای قانونی این امر، ضعف در ارائه سامانهای که بتواند راهکاری جامع و بهینه برای احراز هویت آنلاین کاربران ارائه دهد، مشکل دیگر فعالان حوزه کسب و کارهای آنلاین است. روشهای متداولی که در حال حاضر به کار میرود، اعم از شاهکار، امتا، چک دستی مدارک و دریافت عکس از اطلاعات هویتی کاربران، هر کدام ایرادات خاص خود را دارند اما مدتی است که برخی شرکتهای خصوصی فعال در حوزه احراز هویت، راهکار کاملتری ایجاد کردهاند که به نظر میرسد بتواند بخشی از مشکلات این حوزه را حل کند. نیما شمساپور، مدیرعامل شرکت یوآیدی در گفتوگو با «دنیایاقتصاد» میگوید: روش احراز هویتی که در حال حاضر برای سازمانهایی مانند سازمان بورس و خدمات آنلاین قوهقضائیه به کار میبریم، روش احراز هویت از طریق ارسال یک ویدئوی ۱۵ ثانیهای از کاربر است. از طریق بررسی و تطابق این ویدئو با اطلاعات هویتی موجود در سامانههای دولتی مانند سامانه ثبت احوال و دیگر پایگاههای داده موجود توسط هوش مصنوعی، احراز هویت کاربر انجام میشود. وی تاکید میکند مزیت این روش آن است که علاوه بر احراز هویت، زنده بودن فرد نیز تایید میشود. از طرف دیگر با توجه به اینکه تنها یک ویدئوی ۱۵ ثانیهای از کاربر دریافت میشود، ریسک لو رفتن دادههای هویتی کاربران که در روشهای قبلی وجود داشت، از بین میرود. وی با اشاره به ضرورت مقایسه ویدئو با دادههای هویتی موجود در پایگاههای دولتی میگوید: محدودیتی که این روش جدید احراز هویت دارد آن است که دسترسی به پایگاههای دادههای هویتی دولتی ضروری است. شمساپور میگوید: ما خود یک شرکت کاملا خصوصی هستیم و در پروژههایی که با سازمان بورس و قوهقضائیه در حال انجامند، این دادهها از طرف سازمانهای مربوط در اختیار یوآیدی قرار گرفته. با این حال اجازه استفاده از این دادهها برای موارد دیگر داده نشده است؛ در نتیجه در حال حاضر امکان ارائه این سرویس به کسب و کارهای دیگر و شرکتهای خصوصی وجود ندارد.
مدیرعامل این شرکت خصوصی فعال در حوزه احراز هویت میگوید: تلاش ما این است تا بتوانیم مجوزها و دسترسیهای لازم را برای ارائه این خدمت به شرکتهای خصوصی نیز دریافت کنیم. شمساپور با اشاره به استفاده از روش احراز هویت برای فرآیند ثبتنام سامانه سجام در ابتدای امسال میگوید: در ۲ سال اخیر بارها جلساتی را با مدیران سازمانهای مختلف دولتی برگزار میکردیم ولی همیشه با مخالفت روبهرو میشدیم. اما در ابتدای امسال پس از شروع همهگیری کرونا، سازمان بورس حاضر شد این روش را برای احراز هویت کاربران خود بهکار گیرد و مسوولیت این پروژه را متقبل شد. شمساپور میگوید: در حال حاضر نیز با هماهنگی سازمان بورس، روزانه بین ۳۰ تا ۳۵ هزار احراز هویت برای ثبتنام اعطای کد بورسی انجام میدهیم. پس از استفاده سازمان بورس از این روش جدید احراز هویتی، اکنون قوهقضائیه نیز قرار است در همکاری با این شرکت، احراز هویت برای صدور گواهی عدمسوءپیشینه را بهصورت غیرحضوری انجام دهد. شمساپور تاکید میکند، قرار است طی ماههای آینده، با انجام رگولاتوری برای پذیرش این روش جدید بهعنوان فرآیندی استاندارد برای احراز هویت، آن را در سازمانها و فرآیندهای بیشتری مورد استفاده قرار دهند. نیما شمساپور در شرح جزئیات ارائه خدمات احراز هویت غیرحضوری به کسب و کارهای خصوصی و کوچکتر میگوید: گذشته از اینکه در حال حاضر در دسترسی به پایگاههای اطلاعاتی برای احراز هویت بخشهای خصوصی محدودیت داریم، با توجه به نبود قانون صریح درباره حدود مسوولیت هر یک از طرفین در ریسک احراز هویت انجام شده، انجام آن برای کسب و کارهای کوچک چندان میسر نیست. وی تاکید میکند: با این حال در حال پیگیری موضوع هستیم تا بتوانیم موانع این امر را از بین ببریم و در نهایت با همکاری نهادهای حاکمیتی و بخش خصوصی بتوانیم این روش را در حوزههای پرداخت یاری و صرافیهای آنلاین ارزهای دیجیتال هم اجرایی کنیم. مدیرعامل یوآیدی با اشاره به ضریب اطمینان و دقت بالای این روش در اجرای احراز هویت غیرحضوری میگوید: اکنون در بسیاری از سیستمهای بانکی دنیا از این روش برای ارائه خدماتی مانند افتتاح حساب آنلاین و دیگر خدمات بانکی بهصورت غیرحضوری استفاده میشود. شمساپور با تاکید بر دقت بالای این روش در مقایسه با روشهای چک دستی اطلاعات یا دریافت عکس از مدارک هویتی کاربر میگوید: اطمینان از این روش به قدری است که ما حاضریم در ازای دریافت هزینه ریسک متقبل شده، مسوولیت تخلفات احتمالی پروندههای کسب و کارهای خصوصی را نیز قبول کنیم. اما پیش از این، تمام اینها مستلزم آن است که نهادهای حاکمیتی اجازه و دسترسیهای لازم برای این کار را در اختیار ما قرار دهند. با توجه به آنکه امضای دیجیتال از سوی دادستانی پذیرفته شده است، میسر شدن انجام احراز هویت امضای دیجیتال (سطح دو) با روش غیرحضوری میتواند بخش زیادی از مشکلات کسب و کارهای خصوصی را حل کند.
احراز هویت و تسهیل خدمات بانکی غیرحضوری
با وجود آنکه اکنون بخش زیادی از خدمات بانکی بهصورت آنلاین و غیرحضوری قابل انجام هستند، اما هنوز خدمات پایه مانند افتتاح حساب مستلزم حضور فیزیکی فرد در شعب بانک است. مهران محرمیان، معاون فناوریهای نوین بانک مرکزی در گفتوگو با «دنیایاقتصاد» میگوید: احراز هویت غیرحضوری سابقه بسیار طولانی در شبکه بانکی دارد و اگر زمینههای قانونی لازم فراهم شود، قصد داریم مانند سازمان بورس و قوه قضائیه، شناسایی مشتریان جدید را نیز از طریق هوش مصنوعی، بهصورت کاملا غیرحضوری انجام دهیم. در صورت تحقق این امر، امکان ارائه خدمات بانکی بیشتری بهصورت غیرحضوری میسر خواهد شد و زمینه ایجاد نئوبانک نیز فراهم میشود. محرمیان با اشاره به اینکه روش احراز هویت و شناسایی مورد استفاده توسط یوآیدی روش کارآیی است که باید مدام تحت آزمونهای مختلف قرار گیرد، میگوید: برخی بانکها با بهکارگیری این روش به همراه دیگر روشهای احراز هویت و اتصال به سایر بانکهای اطلاعاتی کشور، پکیجی برای انجام احراز هویت غیرحضوری در شبکه بانکی کشور فراهم کردهاند. البته امضای حضوری با مجوز ستاد کرونا میتواند با استفاده از گواهی امضای دیجیتال انجام شود؛ اما در حال حاضر صدور امضای دیجیتال خود مستلزم عملیات حضوری است که در حال کار روی روشهای غیرحضوری برای این منظور هستیم.
معاون فناوریهای نوین بانک مرکزی با تاکید بر حساسیتهای قانونی خاص نظام بانکی کشور و اینکه طبق قانون، ارائه خدمات بانکی پایه بهصورت غیرحضوری ممنوع است، میگوید: درحال پیگیری فراهم کردن زمینههای قانونی برای به کارگیری این امر هستیم. ممکن است این پیگیریها موجب تاخیر اندکی در پیشبرد کار شود؛ ولی امیدواریم بتوانیم موانع قانونی را برطرف کنیم.