چالش بی‌قانونی برای احراز هویت کاربران / هیچکس پاسخگوی لو رفتن اطلاعات کاربران نیست

سال‌هاست که درباره احراز هویت غیرحضوری و الکترونیکی صحبت می‌شود، اما این موضوع از زمانی بیشتر مطرح شد که با شیوع ویروس کرونا احراز هویت حضوری دشوارتر از قبل شده بود. استقبال از بازار سرمایه و هجوم مردم برای احراز هویت سجام و کارگزاری هم مزید بر علت شد. شرکت سپرده‌گذاری سمات و سازمان بورس هم برای جلوگیری از ازدحام مردم در دفاتر پیشخوان و کارگزاری‌ها، با فاصله اندکی راهکار احراز هویت غیرحضوری را پیاده‌سازی کردند.

به گزارش پایگاه خبری آرمان اقتصادی و به نقل از راه پرداخت، در این میان چندین شرکت ارائه خدمات احراز هویت غیرحضوری سجام را بر عهده گرفتند. بدین معنا که کاربر برای انجام احراز هویت وارد اپلیکیشن می‌شود، از خود ویدئو یا عکس سلفی می‌گیرد و پس از تطبیق مدارک احراز هویت تأیید می‌شود.

این نوع احراز هویت از نظر بسیاری امنیت بیشتر و خطای کمتری نسبت به احراز هویت حضوری دارد. به ‌گفته علیرضا ماهیار، معاون شرکت سپرده‌گذاری مرکزی اکنون بیش از ۴۰ درصد احراز هویت سجام توسط شبکه احراز هویت الکترونیکی انجام می‌شود. این میزان در روزهای تعطیل به ۸۰ درصد نیز می‌رسد. یک مرحله پالایش مجدد در داده‌های احراز هویت و سجام وجود دارد که با ترکیبی از ماشین و انسان است. درصد خطا در فرایند مکانیزه یک هزارم خطا در روش حضوری است.

از سوی دیگر درباره امنیت این نوع احراز هویت تاکنون واکنش‌های زیادی مطرح شده است. حتی رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه نیز همان اوایل که احراز هویت غیرحضوری سجام راه‌اندازی شد، امنیت این احراز هویت را به‌طور کامل تأیید نکرده بود و در این باره توضیح داده بود که اگر در این فرایند اتفاقی بیفتد و شکایتی در این باره صورت گیرد ما نمی‌توانیم در آن دخالت کنیم.

هنوز هم برای احراز هویت غیرحضوری موانع قانونی زیادی وجود دارد. به‌طور مثال اگر اطلاعات کاربران پس از بارگذاری در اینترنت توسط کلاهبرداران لو رود،‌ کاربر نمی‌تواند شکایتی مبنی بر لو رفتن اطلاعات خود داشته باشد.

---

اخذ مدارک هویتی کاربران غیرقانونی است

---

باتوجه به این موضوعات می‌توان ادعا کرد با اینکه احراز هویت غیرحضوری و الکترونیکی قرار بود کار را آسان‌تر کند، اما اکنون با چالش‌های زیادی روبه‌رو است. اکنون کسب‌وکارهای متعددی از کارگزاری‌ها، صرافی‌ها و حتی بانک‌ها با گرفتن اطلاعات کاربر مانند تصویر فرد با کارت ملی و کارت بانکی احراز هویت را انجام می‌دهند. در بسیاری از موارد محل ذخیره و نگهداری اطلاعات کاربران مخشص نیست یا از امنیت کافی برخوردار نیست.

میلاد نوری، کارشناس فناوری اطلاعات و مدیرعامل شرکت فناوران توکان در توئیتی به این موضوع واکنش نشان داده بود و توضیح داده که چرا برخی کسب‌وکارها باید مدارک هویتی مردم را بدون اینکه شرایط نگهداری از مدارک، تأمین امنیت و غیره فراهم باشد، اخذ کنند. مشکل در دریافت مدارک از مردم و گنگ بودن شرایط نگهداری از آنهاست.

در همان توئیت مطرح شده نوری، امیر ناظمی، رئیس سازمان فناوری اطلاعات درباره قانونی بودن یا نبودن دریافت و نگهداری چنین پاسخ داده بود: «چنین اقدامی قانونی نیست. برای احراز هویت از سامانه شاهکار و استعلام ثبت احوال می‌توان استفاده کرد. در ضمن به هر استارت‌آپ میزان ۱۰ هزار استعلام رایگان به‌صورت بسته تشویقی طرح بوم‌واره داده می‌شود.»

اما سوالی که پیش می‌آید این است که چرا باوجود غیرقانونی بودن این نوع احراز هویت، هنوز بسیاری از کسب‌وکارها برای احراز هویت، مدارک هویتی کاربران را اخذ می‌کنند و مهم‌تر از آن چرا بسیاری از سامانه شاهکار استفاده نمی‌کنند؟ از طرفی نهادهای قضایی و پلیس فتا چک کردن اطلاعات با سامانه شاهکار و ثبت‌ احوال را قبول ندارند و اگر این مدارک دریافت نشود، در هر پرونده‌ای نهاد قضایی، سرویس‌دهنده را مجرم می‌شناسد.

---

نظارتی روی ذخیره داده‌ها نیست

---

نوری در این باره معتقد است که در دنیا هم از این سبک احراز هویت با بارگذاری مدارک هویتی به صورت محدودتر استفاده می‌شود. او در این باره توضیح داد: «به عنوان مثال اگر بخواهید در صرافی آنلاین بین‌المللی ثبت‌نام کنید باید مدرکی مانند گذرنامه را بارگذاری کنید. اما معمولاً یک مدرک می‌خواهند و بعد از ارسال نیز به‌صورت واترمارک نوشته‌هایی روی تصویر گذاشته می‌شود تا اگر عکس به دست فرد دیگری افتاد نتواند از آن استفاده کند. بعد از احراز هویت هم معمولاً داده‌ها را پاک می‌کنند. اما در ایران این اتفاق نمی‌افتد.»

مشکل عمده‌ای که او به آن اشاره کرد این است که در ایران مدارک به‌صورت گسترده اخذ می‌شود. به‌طور مثال برخی کسب‌وکارها عکس‌های کارت ملی، کارت بانکی و حتی در برخی مواقع قبض تلفن را هم اخذ می‌کنند. پس از اخذ این مدارک معمولاً داده‌ها پاک نمی‌شود و هیچ نظارتی روی ذخیره آنها نیست. اکنون هیچ نظارتی روی کسب‌وکارها مبنی بر اینکه اطلاعات کاربران چگونه ذخیره می‌شود وجود ندارد. صرافی‌ها و ارائه‌دهنده‌های درگاه‌های مختلف از این نوع کسب‌وکارها هستند که مدارک را از کاربر دریافت می‌کنند.

---

نهاد قضایی سامانه شاهکار را قبول ندارد

---

نوری بزرگ‌ترین مشکل این نوع احراز هویت را نبود نظارت دانست و در این باره به گفته امیر ناظمی نیز اشاره کرد و گفت: «آقای ناظمی نیز گفته که این روش غیرقانونی است، اما مشکل دومی که در ایران وجود دارد عدم هماهنگی دستگاه‌هاست. اکنون سازمان فناوری اطلاعات معتقد است که باید از سامانه شاهکار برای احراز هویت استفاده شود، اما زمانی‌که کاربری مشخصات کارت سرقت شده در درگاه آن کسب‌وکار وارد می‌کند و کسب‌وکار به مرجع قضایی برای توضیح مراجعه می‌کند، آن مرجع از آنها مدارک کاربر را می‌خواهد و سامانه شاهکار را قبول ندارند. از سوی دیگر قوه قضائیه نیز از شاهکار استفاده نمی‌کند. بلکه از سامانه احراز هویت یک شرکت خصوصی استفاده می‌کند.»

این کارشناس فناوری اطلاعات توضیح داد که لو رفتن اطلاعات هویتی کاربر بسیار خطرناک است و هیچکس هم در این خصوص پاسخگو نیست. مثلاً فردی که از صرافی X خرید کرده‌، اگر اطلاعات او به دست فرد کلاهبردار بیفتد، آن کلاهبردار می‌تواند از اطلاعات هویتی فرد سو استفاده کند و با مدارک هویتی او در سایت‌های دیگر احراز هویت کند.

---

توافق روی یک سامانه مورد تایید الزامی است

---

نوری راهکاری که برای حل این معضل وجود دارد را بیان کرد و در این باره گفت: «اول اینکه دستگاه‌های قضایی و سازمان فناوری اطلاعات باید به یک روش واحد برای احراز هویت برسند و کسب‌وکارها را ملزم کنند که از آن روش استفاده کنند. اگر ما سامانه شاهکار داریم چرا کسب‌وکارها از آن استفاده نمی‌کنند و چرا پلیس فتا آن را قبول ندارد؟ یکی از دلایلی که کسب‌وکارها هم از سامانه شاهکار استفاده نمی‌کنند، این است که آخرین مرجعی که باید برای حل مشکل به آن مراجعه کنند، پلیس فتا و قوه قضائیه است و این دستگاه‌ها سامانه شاهکار را قبول دارند.

همین موضوع باعث می‌شود که کسب‌وکارها چه خصوصی و چه دولتی پیش‌بینی رخ دادن مشکلات، مدارک کاربر را از قبل اخذ می‌کنند. از سوی دیگر قوه قضائیه و پلیس فتا جایگزینی برای این کار ارائه نداده است. بنابراین ما به یک تعامل سازمانی نیاز داریم که این مشکل حل شود. دستگاه‌های قضائی باید سامانه شاهکار را قبول داشته باشند یا سامانه مورد تأیید همه را معرفی کنند. متاسفانه اکنون مشاهده می‌کنیم که کلاهبرداران در کانال‌های تلگرامی پکیج اطلاعات کاربران را  به قیمت ناچیز می‌فروشند.»

---

مدارک هویتی کاربران محرمانه است

---

او درخصوص اینکه آیا کاربر می‌تواند به‌صورت قانونی لو رفتن اطلاعات خود را پیگیری کند یا نه، گفت:‌ «ما در ایران قانون حمایت از داده‌های کاربر نداریم و به همین دلیل وقتی اطلاعات کاربر لو رود، او حقی برای شکایت از اینکه مدارک یا اطلاعات او لو رفته باشد ندارد.»

به‌گفته نوری کاربران در خصوص خطراتی که در ارائه مدارک هویتی آنها وجود دارد هم بی‌اطلاع هستند. متاسفانه برای کاربر هم این موضوع جا نیفتاده که مدارک هویتی او حساس است. کاربر نمی‌داند که تصویر کارت ملی و کارت بانک او جزو مدارک محرمانه است و هر جایی نباید ارائه شود.