راه پرداخت؛ پرمخاطب‌ترین رسانه فین‌تک ایران

ضرورت ایجاد نظام هویت دیجیتال و شناسایی الکترونیکی کاربران فضای مجازی در کشور

0

پویا پوراعظم، متخصص و مشاور امنیت اطلاعات در صنعت بانکداری و پرداخت / از آنجا که ثبت‌نام، فعال‌سازی و استفاده از بسیاری از خدمات فضای مجازی مانند برنامک‌های همراه ارائه‌کننده خدمات پرداخت یا سایر خدمات توسط کاربران این برنامه‌ها به‌صورت غیرحضوری انجام می‌پذیرد، بنابراین در ارائه این‌گونه خدمات، فرآیند شناسایی و تصدیق هویت مشتریان به‌صورت کاملاً مجازی و الکترونیکی است. به طوری که ارائه کننده خدمات طرف سوم، هیچ گونه اطلاعات هویتی و شناسایی از پیش دانسته‌ای از کاربران/مشتریان در اختیار ندارد.

در چنین شرایطی استقرار سازوکارها و فرآیندها کارآمد خواهد بود. فرآیندی برای اعتبارسنجی و شناسایی الکترونیکی هویت کاربران به گونه‌ای که ارائه کننده خدمت طرف سوم، هیچ یک از fact‌های هویت کاربران (مانند اطلاعات و عناصر محرمانه/خصوصی احراز هویت کاربران) را در اختیار ندارد و در اختیار نخواهد داشت.

با توجه به وجود مخاطرات سواستفاده از این نوع خدمات در کسب‌وکارهای غیرقانونی/مجرمانه در کشور یا مخاطره انجام عملیات متقلبانه، به‌کارگیری شیوه‌ها و سازوکارهای مطمئن اعتبارسنجی هویت دیجیتال (Digital Identity) و شناسایی الکترونیک مشتریان (Electronic Know Your Customer-eKYC) باهدف اثبات ادعای یگانگی (Proof of Identity) در فضای مجازی کشور امری ضروری است.

با در نظرگرفتن این فرضیه که در کشور سه نهاد حاکمیتی هستند که برای ارائه خدمات مختلف ملی شهروندی، فرآیند شناسایی مشتریان (KYC) و اثبات ادعای یگانگی‌ایشان را به روشی مطمئن از طریق سازوکارهایی مانند احراز هویت حضوری مبتنی بر عناصر ذاتی انجام می‌دهند که شامل دفاتر اسناد رسمی/ثبت احوال، اپراتورهای تلفن همراه، بانک‌ها و مؤسسات اعتباری می‌شوند، نهادهای مورد اشاره قادر خواهند بود بستری مطمئن برای استقرار و ارائه خدمات هویت دیجیتال و شناسایی الکترونیکی مشتریان را برای کسب‌وکارهای مجاز طرف سوم فراهم کنند.

نکته حائز اهمیت در فرآیند شناسایی الکترونیکی مشتریان برای ارائه خدمات غیرحضوری، به‌کارگیری روش‌های احراز هویت مبتنی حداقل بر دو عامل مطمئن است. از عواملی که در سازوکارهای اعتبار سنجی هویت دیجیتال به‌منظور ثبت‌نام/فعال‌سازی و استفاده از خدمات غیرحضوری، قابل استفاده خواهد بود می‌توان به موارد ذیل اشاره کرد:

۱- احراز هویت بر مبنای شماره موبایل و سیم‌کارت در اختیار مشتریان، که در زمان ثبت‌نام و دریافت سیم‌کارت، فرآیند مطمئن شناسایی مشتریان (KYC) و اثبات ادعای یگانگی به‌صورت حضوری توسط اپراتورهای تلفن همراه انجام‌ شده است.

این روش می‌تواند از طریق ارسال و اعتبارسنجی کد احراز هویت یا رمز یک‌بارمصرف به شماره موبایل مشتری بر اساس کد ملی به‌عنوان عامل شناسایی هویت، صورت پذیرد. نمونه این روش در کشور از طریق سامانه شاهکار (سامانه شبکه احراز هویت کاربران ارتباطی) پیاده‌سازی شده است.

۲- احراز هویت الکترونیک بر مبنای پایش عناصر ذاتی مشتریان مانند اثرانگشت، به‌طوری‌ که اعتبار سنجی این عناصر از طریق نهادهای حاکمیتی مطمئن مانند ثبت احوال کشور صورت پذیرد. چنین خدمتی می‌تواند توسط نهادهای معتبر از طریق بستر واسط‌افزارهای نرم‌افزاری در اختیار کسب‌وکارهای طرف سوم مجاز قرار گیرد.

۳- هر نوع عامل دانستنی امن مانند رمز که در مرتبه اول از طریق روش‌های مطمئن ثبت‌نام و شناسایی هویت مشتریان (KYC) توسط نهادهای معتبر در اختیار کاربران قرارگرفته است و پس‌ از آن قادر خواهند بود از عوامل دانستنی مورد اشاره به‌منظور احراز هویت در فرآیند شناسایی الکترونیک مشتریان، استفاده کنند. چنین خدمتی می‌تواند توسط نهادهای معتبر از طریق بستر واسط افزارهای نرم‌افزاری در اختیار کسب‌وکارهای طرف سوم مجاز قرار گیرد.

۴- هر نوع عامل داشتنی امن مانند کارت ملی هوشمند یا رمزدان‌های سخت‌افزاری که حاوی کلید خصوصی رمزنگاری مشتریان است. این عناصر توسط مراکز معتبر حاکمیتی مانند ثبت‌احوال و در مرتبه آغازین از طریق روش‌های مطمئن ثبت‌نام و شناسایی هویت مشتریان (KYC)، صادر کرده و به مشتریان تحویل داده می‌شود.

کاربران می‌توانند از آن‌ پس از عامل داشتنی مانند کارت ملی هوشمند در فرآیند احراز هویت الکترونیک خود استفاده کنند. چنین خدمتی می‌تواند توسط نهادهای معتبر حاکمیتی از طریق بستر واسط‌افزارهای نرم‌افزاری در اختیار کسب‌وکارهای طرف سوم مجاز قرار گیرد.

۵- سازوکارها و روش‌های مبتنی بر پردازش عکس و تصاویر به‌طوری‌که مشتریان با ارسال الکترونیک عکس از مستند هویتی خود مانند کارت ملی و گرفتن عکس خویش‌انداز (Selfie) اقدام به شناسایی هویت دیجیتال خود می‌کنند. این تصاویر توسط سامانه قابل‌اطمینان پردازش تصاویر، بررسی و اعتبار سنجی می‌شود. چنین سازوکارهایی باید به‌گونه‌ای باشد که تا حد امکان، قابلیت جعل هویت در آن‌ها وجود نداشته باشد. نمونه این روش در کشور توسط کسب‌وکارهای نوظهوری مانند UID، ارائه شده است.

موسسه NIST مجوعه از اسناد خانواده NIST Special Publication 800-63 با عنوان Digital Identity Guidelines را منشر کرده است که به نظر می‌رسد تمامی ملاحظات و سازوکارهای اعتبار سنجی هویت دیجیتال و شناسایی الکترونیک مشتریان را عنوان کرده است.

از منظر فناوری‌های پیاده‌سازی نرم‌افزار، استانداردهایی مانند OAuth v2، OIDC و SAML بسترهای ارائه خدمات شناسایی الکترونیکی هویت مشتریان (eKYC) با هدف را فراهم می‌کنند.


سازوکارهای نوظهور eKYC و نقدی بر نحوه به کارگیری آن‌ها در ایران


اساساً چرا چنین دیتایی که اکثراً عکس و تصاویر مدارک شناسایی و هویتی مانند تصویر کارت ملی، صفحه اصلی شناسنامه، کارت بانکی و گذرنامه است توسط کاربران باید در اختیار برخی خدمات یا کسب‌و‌کارهای عمدتاً الکترونیکی قرار گیرد و هدف از آن چیست؟

هدف از این امر، انجام عملیات شناسایی الکترونیکی مشتری (eKYC) و احراز هویت کاربران است. حالا چرا از این طریق برای KYC و احراز هویت استفاده می‌شود؟ در کسب‌و‌کارهایی که منطق کسب‌و‌کار و خدمت ارائه شده، عمومی است و کاربران پیش از استفاده از آن سرویس، بدون داشتن هیچ گونه سابقه هویتی و اطلاعات شناسایی در نزد کسب‌و‌کار مربوطه، امکان ثبت‌نام به صورت کاملاً غیر‌حضوری و از راه دور، فعال‌سازی حساب کاربری و در نهایت استفاده از سرویس مربوطه را خواهند داشت، چنین راه‌حل‌هایی برای انجام شناسایی مشتری (KYC) و احراز هویت ایشان، مورد استفاده قرار می‌گیرد. این شیوه در دنیا و در کسب‌و‌کارهای مدرن نیز مورد استفاده است و شناخته می‌شود با عناوینی مانند:

  • image-based digital KYC
  • selfie image
  • photo ID verification

اما این دسته از راهکارها، ملاحظات امنیتی بسیاری دارد که در صورت عدم رعایت آن‌ها و طراحی ضعیف معماری این دسته از سرویس‌ها، مخاطرات بسیاری را هم برای کسب‌و‌کار و هم برای کاربران به همراه خواهد داشت. مدلی که در برخی از کسب‌و‌کارهای ایرانی به منظور اعتبار سنجی هویت و احراز هویت کاربر (به صورت الکترونیکی و کاملاً غیر حضوری برای عموم) برای انجام ثبت نام در سرویس یا اپلیکیشن انجام می‌شود، درخواست از کاربر برای ارسال (بارگذاری) عکس / تصویر مدارک هویتی مانند کارت ملی یا شناسنامه و در خدمات پرداخت الکترونیکی، عکس کارت بانکی است.

در روشی کمی مطمئن و امن‌تر، از کاربر درخواست می‌شود یک عکس سلفی از خود نیز ارسال کند. به طور معمول درخواست می‌شود در همان عکس سلفی که تصویر صورت مشخص است، مدارک هویتی نیز توسط کاربر نمایش داده شود. احراز هویت نیز از طریق ارسال کد اعتبارسنجی به شماره موبایل مشتری، صورت می‌گیرد. در نهایت برای اعتبارسنجی هویت کربران، کسب‌و‌کار می‌تواند، هم به صورت دستی و توسط مهارت نیروی انسانی یا به صورت آنلاین و سیستمی از طریق پردازش‌های هوشمند تصاویر و هوش مصنوعی، تصاویر را مقایسه کند و از یکسان بودن هویت دارنده همه آن‌ها با یکدیگر، اطمینان حاصل کرده و در در صورت صحت نتیجه آن، هویت کاربر جدید را بپذیرد.

خب این روشی که اشاره شد در کسب‌و‌کارهای ایرانی، با آن چیزی که در این حوزه در دنیا استاندارد است، کمی متفاوت است و برخی ملاحظات امنیتی را نادیده گرفته‌اند.

نظام هویت دیجیتال

اولین تهدید امنیتی، وجود امکان سواستفاده از همین مدارک و تصاویر هویتی ایرانیان است که در اینترنت منتشر شده و برای فروش هم گذاشته شده است. یعنی به راحتی من تصاویر صورت (سلفی) و عکس مدارک هویتی یا بانکی یه نفر دیگر را استفاده می‌کنم و با هویت آن شخص در یک کسب‌و‌کار یا سرویس، ثبت نام می‌کنم. البته که احراز هویتی از طریق شماره موبایل و ارسال / اعتبارسنجی کد احراز هویت انجام نیز می‌پذیرد اما به دلیل اینکه اکثراً اعتبارسنجی صحت کد ملی دارنده شماره موبایل توسط کسب‌و‌کار و از طریق اتصال به سرویس‌های حاکمیتی، صورت نمی‌پذیرد، لذا این مخاطره امنیتی، هم برای افرادی که تصاویر هویتی و مدارکشان به صورت غیر مجاز منتشر شده و هم برای سایر کسب‌و‌کارها که شیوه اشاره شده را استفاده می‌کنند، می‌تواند منجبر به جعل هویت کاربرانش شود، وجود دارد.

از طرفی توجه کنید در این راهکارها، هدف اصلی شناسایی هویت مشتری / کاربر یا همان KYC به صورت از راه دور و غیر‌حضوری است و احراز هویت (Authentication) تنها بخشی از این فرآیند است.

راه کارهایی که در این خصوص در دنیا شناخته شده هستند (بعداً تعدادی از آنها رو برای آشنایی بیشتر معرفی می‌کنم) اولاً، صرفاً تنها به دریافت تصویر مدارک شناسایی و عکس سلفی اکتفا نمی‌کنند و از کاربران درخواست می‌کنند از طریق اپلیکیشن / برنامه کسب‌و‌کار که در اختیار او است و دوربین گوشی همراه یا وب‌کم، تصویر سلفی زنده از چهره خود را ارسال کنند. دوما از قابلیتی با عنوان Liveness Detection به منظور حصول اطمینان از زنده بودن تصویر چهره (عدم استفاده از عکس از پیش گرفته شده یا جعلی) از طرق هوش مصنوعی و پردازش هوشند تصاویر استفاده می‌کنند. لذا بدین صورت با تهدید و مخاطره عنوان شده مقابله کرده و اجازه سواستفاده از تصاویر و مدارک هویتی کاربران را نمی‌دهند و از جعل هویت در کسب‌و‌کار خود نیز تا حد امکان پیشگیری می‌کنند.

سوما فرآیند eKYC و احراز هویت کاربران در کسب‌و‌کار خود را به سامانه‌ها و سرویس‌های حاکمیتی (مانند ثبت احوال کشور خودمان یا بانک‌ها به عنوان یک نها قابل اعتماد) متصل می‌کنند که این نیز از طریق اتکا به اطلاعات هویتی عمومی در نزد نهادهای حاکمیتی، باعث افزایش سطح اطمینان فرآیند شناسایی هویت و احراز هویت غیر حضوری کاربران می‌شود.

در نهایت به طور خاص کسب‌و‌کارهای اختصاصی برای ارائه خدمت eKYC به صورت متمرکز برای ارائه چنین راهکارهایی به سایر کسب‌و‌کارها و سرویس‌ها وجود دارند که البته یک نمونه هم در ایران دارد که کسب‌و‌کاری با عنوان یوآیدی می‌باشد. البته به نظر می‌رسد این کسب‌و‌کار ایرانی هم برای ارتقا سطح اطمینان و امنیت خدمت شناسایی و احراز هویت، باید ملاحظات دیگری را هم در نظر بگیرد اما در کل سطح قابل قبولی را در این مقطع زمانی ارائه کرده است.

به نظرتان کسب‌و‌کارهایی که از این جنس راهکارها استفاده می‌کنند مدل‌سازی دقیق دارند؟ آیا این دسته از ملاحظات را رعایت می‌کنند؟ آیا در کشور در سطح حاکمیتی نیاز به قانون‌مند کردن فرآیند شناسایی هویت الکترونیکی (eKYC) وجود ندارد و البته نظارت بر آن!

نویسنده / مترجم پویا پوراعظم

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.