نسخه اولیه پیش نویس سند «طرح تحول برنامه ملی هویت مرتبط در فضای مجازی» نیمه اول اسفند ماه از سوی دبیرخانه شورای اجرایی فناوری اطلاعات منتشر میشود. در این سند علاوه بر اینکه سطوح احراز هویت تعیین میشود پنجرهای واحدی تعریف خواهد شد که از طریق آن علاوه بر اینکه تمامی وبسرویسهای حاکمیتی احراز هویت در دسترس خواهند بود بخش خصوصی نیز میتواند سرویسهای احراز هویت خود را از آن طریق ارائه کند.
مشاور دبیر شورای اجرایی فناوری اطلاعات با اعلام این خبر در وبینار «احراز هویت دیجیتال- چالشها و فرصتها ۲» گفت که در این سند سعی شده تا تمامی دغدغههای کسب وکارها پوشش داده شود. او از حاضران درخواست کرد تا نظرات و پیشنهادهای خود را برای اصلاح این سند اعلام کنند.
امیر اصغری در این وبینار که با حضور کسب و کارهایی چون دیوار و شیپور و همچنین کسب و کارهای احراز هویت و بانکی برگزار شده بود اعلام کرد که همه به دنبال الکترونیکی کردن سامانهها هستند بدون اینکه تحولی در فرآیندها ایجاد شود. او در این مورد گفت: «باید این سوال را مطرح کنیم که آیا نیازی است که همه احراز هویت شوند.
جنس برخی دادهها به گونهای است که باید در دسترس همه قرارگیرد. از سویی گاهی شناسایی هویت کفایت میکند. پس از آن براساس نوع داده که معمولی است یا شخصی یا حساسیت خاصی دارد، نوع و مدل احراز هویت متفاوت میشود. سامانه احراز هویت باید پاسخگوی این نوع سوالات باشد.» به گفته اصغری نباید به دنبال سامانه مدیریت هویت باشیم و باید به دنبال سامانه احراز هویت مبتنی بر نوع سرویس و نوع دسترسیها باشیم.
او تاکید کرد که باید پنجره واحدی ایجاد شود و تمام وبسرویسهای حاکمیتی پشت این پنجره واحد قرار خواهند گرفت. سامانههای امتا، سماوا، هدی، شاهکار و نهاب که در زمینه احراز هویت فعالیت میکنند، در این پنجره واحد قرار میگیرند و این سامانهها را مکلف میکنیم تا api به اشتراک بگذارند و از سوی دیگر اپراتور بخش خصوصی احراز هویت را هم مکلف میکنیم تا api خود را به اشتراک بگذارند.
اصغری همچین به سیم کارت های جعلی و بیهویت اشاره کرد و گفت: « برای جلوگیری از این امر مقرر شده تا دیگر صدور سیم کارت برخط و غیرحضوری نباشد بلکه در دفاتری خدماتی باید ریدرهای کارت ملی قرارگیرد و متولیان آنجا کارت ملی افراد را چک کنند. در اصل افراد با مراجعه به آن مکانها در هنگام خرید سیمکارت، کدملی، چهره و اثر انگشتشان تطبیق داده خواهد شد و پس از احراز هویت سیمکارت به آنها تحویل داده میشود.»
او در پاسخ به این سوال که درنظام احراز هویت سطوح احراز هویت مشخص میشود، گفت: «ما ۱۴ خوشه داریم. خوشههای مختلف با کاربران مختلف هستند. بدیهی است که خوشه کشاورزی کاربر خود را با روش متفاوتی از خوشه بانکی احراز هویت میکند.» اصغری تاکید کرد که مدل احراز هویت در تمامی سطوح مختلف مشخص خواهد شد.
اصغری در پاسخ سوال دیگر که آیا دستگاههای نظارتی این مدل احراز هویت را خواهند پذیرفت گفت: «قوهقضاییه در ارائه خدمات خود از سامانه احراز هویت ثنا استفاده میکند و پس مشکلی ندارد.
به نیازهای کسب و کارها توجه شود
در ابتدای این ویبنار کسب و کارهای ارائهدهنده خدمات و کالا چون شیپور و دیوار مشکلات و چالشهای خود را در نبود نظام یکپارچه احراز هویت دیجیتال بیان کردند. در این مورد اشکان آرمندهی،مدیرعامل دیوار با بیان اینکه پلیس فتا در سال ۹۵ ضربالاجلی را برای این کسب و کارها تعیین کرد تا به کاربرانی که آگهی خود را ثبت میکردند، پیامک تایید ارسال شود و دیوار با وجود هزینههای سنگین، این بخش را راهاندازی کرد، گفت: «ما باید روزانه برای ثبت بیش از ۵۰۰ هزار آگهی هزینه پیامک پرداخت کنیم. با اینحال درتمام دنیا از همین روش برای احراز هویت کاربران خود استفاده میکنند و احراز هویت دقیقتری وجود ندارد.»
او ادامه داد: «وقتی شماره موبایل افراد و اطلاعات هویتی هر سیم کارت را داشته باشیم، چالشی وجود ندارد و مسئله احراز هویت حل شده است؛ اما از سمت اپراتورها مشکلاتی وجود دارد که باعث میشود این روش از سوی نهادهای قضایی به عنوان روش احراز هویت پذیرفته نشود.» به گفته آرمندهی بحث سیم کارت های بیهویت یا با هویت جعلی بزرگترین مشکل احراز هویت است و حتی اگر کسبوکارها از هر سامانهای برای احراز هویت استفاده کنند، این مشکل هویت جعلی حل نخواهد شد.
او همچنین بیان کرد: «ما در سال ۹۷ به عنوان اولین کسبوکار اینترنتی با سامانه شاهکار همکاری خود را آغاز کردیم اما این همکاری نیز مشکل نهادهای قضایی را حل نکرده است. چون نهاد قضایی از ما استعلام میگیرد و ما هم اطلاعات و استعلام سامانه شاهکار را در اختیار آنها قرار میدهیم. با اینحال نهاد قضایی این استعلام را قبول نمیکند چون سامانه شاهکار کد ملی و سیم کارت را تطبیق میدهد و اگر سیمکارت جعلی باشد باز به اپراتورها برمیگردیم.»
در ادامه این وبینار همچنین نیما اشرف زاده، مدیر اجرایی شیپور با تایید صحبتهای آرمندهی اعلام کرد که تمام پلتفرمها در دنیا از طریق موبایل احراز هویت انجام میشود؛ اما مسالهای که داریم و درجلسات هم اعلام کردیم این است که سیمکارتها با هویت جعلی وجود دارند. او در این مورد گفت: «ما در شیپور هم برای احراز هویت به سمت سامانه پیامکی آمدیم با اینکه این سامانه هزینه زیادی برای کسبوکارها دارد. البته ما میتوانیم این هزینه را پرداخت کنیم. من بیشتر نگران کسبوکارهای نوپا هستم چون کسب وکارهای نوپا چگونه میتوانند هزینه را بپردازند.»
اشرفزاده در ادامه اضافه کرد: «ما مطالعهای را در زمینه مشکلات سیمکارتها انجام دادیم و در اختیار پلیس فتا ناجا قرار دادیم. در این زمینه همچنین پیشنهادهایی عرضه کردیم. مانند اینکه پاسپورت افراد تا زمان خاصی مهر خورده است و اپراتورها سیم کارت موردنظر را میتوانند تا تاریخ اقامت فرد فعال کنند.»
به گفته اشرفزاده یکی از مشکلات دیگر در بحث احراز هویت خرید و فروش کارت ملی در کشور است. او در این مورد گفت: «در نقاط دورافتاده مرزی کارت ملی فردی که فوت کرده را خریداری میکنند چون اطلاعات آن در ثبت احوال ثبت نشده است و با آن کارت ملی سیم کارت خریداری میکنند.»
او همچنین بیان کرد: «بسیاری از اوقات در جلسات به ما میگویند که چرا مقاومت میکنید و از طریق سامانههای حاضر افراد برای خرید خودرو احراز هویت شدند. آنها هیچ وقت به این مساله دقت نمیکنند افرادی که در سامانه برای خودرو ثبتنام کردند برای حاشیه سود ۸۰ میلیونی اطلاعات خود را به درستی وارد میکنند تا به آن مبلغ دست پیدا کنند.»
خارج شدن کاربر از پلتفرم برای احراز هویت از دیگر موضوعاتی بود که اشرفزاده در این وبینار مطرح کرد. او در این مورد گفت: «این موضوع خیلی مهم است و باید تصمیمگیری جدی در این مورد شود. وقتی کاربر میخواهد احراز هویت شود پاپآپ با لوگو سامانه احراز هویت باز میشود و افراد باید اطلاعات خود را وارد کنند.»
او در ادامه اضافه کرد: «ذهنیت مردم عامه این است که در این سامانهها اطلاعات خود را در اختیار حاکمیت قرار میدهند و اکثر کاربران دیوار و شیپور هم مردم عامی هستند. ما از کوچکترین روستاها هم کاربر داریم و به همین خاطر برای آن کاربر پلتفرم را طراحی میکنیم. باید کاری کنیم تا مردم به سمت پلتفرمهای جایگزین چون اینستاگرام و تلگرام نروند.» به گفته اشرفزاده وقتی مردم به پلتفرمهای خارجی مراجعه کنند،رهگیری مجرمان برای نهادهای قضایی دشوار میشوند و کنترل از دست حاکمیت خارج میشود.
برای احراز هویت غیرحضوری چارچوب تعیین کنیم
در ادامه این وبینار نمایندگانی از بانکها چالشهای خود را در زمینه احراز هویت دیجیتال مطرح کردند. مرتضی ترک تبریزی، عضو هیات مدیره بانک تجارت با بیان اینکه از اردیبهشتماه سال جاری در بانک مرکزی کارگروهی به نام احراز هویت الکترونیکی در حوزه بانکی تشکیل شد تا سند بالادستی را تهیه کند و بانکها با استناد به این سند مشتریان خود را به صورت غیرحضوری احراز هویت کنند، گفت: «ما در بانکها اعتقاد داریم که احراز هویت غیرحضوری از احراز هویت حضوری امنتر است. چون در این سالها احراز هویت حضوری سبب شد تا گاه مشتریان ناشناخته که وجود خارجی ندارند، کاربر بانکها شوند. این سند را تهیه کردیم تا بانکها با استناد برآن احراز هویت غیرحضوری داشته باشند.»
او در ادامه افزود: «ما از اردیبهشت ماه تهیه این سند را آغاز کردیم. در این سند نظر ذینفعان مختلف جمع شده است. از پلیس فتا و قوه قضائیه گرفته تا دادگستری و شرکتهای ارائه دهنده خدمات بانکی و شرکتهایی مانند سجام که پیش ازاین احراز هویت دیجیتالی را در زیرمجموعههای خود پیاده کردهاند.» براساس گفتههای تبریزی در این سند با نگاه ریسک محور، بانکها مختار هستند درمورد اطلاعات پایه حتی از امضای الکترونیکی استفاه کنند. حتی اگر لازم شد برخی از خدمات را به صورت حضوری عرضه کنند.
به گفته تبریزی تهیه این سند شهریورماه به پایان رسید؛ اما به مانعی چون تبصره سه قانون مبارزه با پولشویی برخورد کرد. آنطور که تبریزی میگوید این سند کاملترین سند بالادستی در حوزه بانکی است و چند بانک چون بانکهای مهر و ملی اعلام کردند که احراز هویت غیرحضوری دارند؛ اما چون سند ابلاغ نشده، نمیتوانند به درستی اجرا کنند. او تاکید کرد که بانک مرکزی کار خود را در زمینه احراز هویت انجام داده؛ اما سازمانهای دیگر به خوبی همکاری نمیکنند.مشکل تکنولوژی در کشور وجود ندارد و در کشور مشکل حکمرانی و قانون و همپیمانی داریم.
فرهاد بهمنی، معاون فناوری اطلاعات پست بانک نیز در ادامه با اشاره به اینکه ضعف استاندارد در کشور بیداد میکند، گفت: «ما با کسب وکارهایی چون دیوار و شیپور هم حرف مشترک داریم. به نظر میرسد کلماتی چون رگولاتور و مفاهیم رگتک و تطبیقپذیری قانون همه کسب و کارها را دربرمیگیرد.»
به گفته بهمنی هر استانداری از نبود استاندارد در کشور بهتر است و حداقل بانکها تکلیف خود را میدانند.اگر تحت شرایطی استاندارد و چارچوب مشخص کنیم به این صورت فردی که یک بار در بانکی احراز هویت میشود، برای دریافت خدمات در بانکهای دیگر نیازی به احراز هویت ندارد.
براساس گفتههای بهمنی بحث فنی در احراز هویت مطرح نیست بلکه بحث قوانین و فرآیندی است. به عنوان مثال برای امضای دیجیتال متولیان بسیاری وجود دارد و هنوز مشخص نیست.وزارت صمت به تازگی امضای دیجیتال راهاندازی کرد؛ اما بانک مرکزی این امضای دیجیتال را قبول ندارد و پروژه دیگری تعریف کرده است و به این صورت مردم سردرگم میشوند. او تاکید کرد که این موضوع قابل حل است و اگر نهادها با بحث احراز هویت غیرحضوری حساسیت دارند، میتوانند احراز هویت را سطح بندی کنند.
ما هم منتقد نظام موجود احراز هویت هستیم
در ادامه این وبینار بهنام ولیزاده، معاون دولت الکترونیکی سازمان فناوری اطلاعات به عنوان نماینده بخش حاکمیتی در پاسخ به انتقادهای کسبوکارهای حاضر در این وبینار با بیان اینکه او هم منتقد جدی در مورد یکسری اقدامات در حوزه احراز هویت است، بیان کرد: «در بحث امضای الکترونیکی یک مرکز ریشه و یکسری مراکز میانی زیرمجموعه آن راه انداختیم. من از یکی از مراکز میانی برای حضور در جلسات کمیته مناقصه توکن جدید گرفتم و برای یک سیستم دیگر توکن دیگری دریافت کردم. به این صورت برای همه اقدامات باید ۵۰ توکن داشته باشیم. این در حالی است که همه به یک مرکز ریشه متصل هستند.»
او ادامه داد: «ما داخل سیستم مرکز توسعه تجارت الکترونیکی این مشکل را داریم. در حوزه بحث احراز هویت شورای عالی فضای مجازی نظام هویت مرتبط با فضای مجازی را تصویب کرده است. در این نظام هویت وزارت ارتباطات را موظف کرده تا پنجره واحدی برای احراز هویت راهاندازی کند. این به این معنا نیست که وزارت ارتباطات خودش این پنجره واحد را تعریف کند.»
او با بیان اینکه همچون کسب و کارهای شیپور و دیوار مخالف این است که کاربران برای احراز هویت ازپلتفرم خارج شوند، گفت: «روز اولی که وارد این حوزه شدم در جلسات پرسیدم که این پاپآپ چیست و من هم مخالف خروج کاربران از پلتفرم بودم و اگر اطلاعاتی هم میخواهیم کاربر در همان پلتفرم باید اطلاعات خود را وارد کنیم.کاربر نباید حس کند که وارد سایت دیگر میشود و قرار است اتفاق دیگری رخ دهد چون باعث نارضایتی میشود.»
او درمورد امضای دیجیتال هم معتقد است همانطور که در حالت فیزیکی همه مردم یک امضا دارند و در همه نهادها از آن بهره میبرند، امضای دیجیتال هم باید یکی باشد و مراکز ریشه در این مورد باید فکری کند. در ادامه نیما شمساپور، مدیرعامل یوآیدی نیز همعقیده با صحبتهای دیوار و شیپور گفت: «جلساتی با کسب وکارها داشتیم و سعی کردیم نیاز کسب و کارها را در بحث احراز هویت در نظر بگیریم. البته درمورد احراز هویت باید به سطوح هویت توجه کنیم وشاید برای بسیاری از کارها احراز هویت الزامی نباشد.»
به گفته شمساپور بیشتر موضوعاتی که در این جلسه مطرح شد از جنس اقتصاد سیاسی است. او تاکید میکند که احراز هویت درست با سطحبندی خیلی به کسب و کارهایی چون شیپور و دیوار کمک میکند و درمورد آن گفت: «این روش احراز هویت میتواند به کسب و کارها کمککننده باشد. ما با توجه به نیاز کسب و کارها مدل API تایید هویت راهاندازی کردیم. در این مدل به عنوان مثال پزشکی یا رانندهای در پلتفرمی ثبت نام میکند و باید آنها احراز هویت شوند.» براساس گفتههای شمساپور مشکلات سمت حاکمیت و رگولاتوری نیست بلکه مدل سازمانها اقتصاد سیاسی است و هرکسی میخواهد در سازمان خود بیشترین فعالیتها را داشته باشد.
کیوان ارج، مدیرعامل شرکت توسعه نوین همراه کیش هم در این وبینار به چرخه مدیریت هویت اشاره میکند و در این مورد بیان کرد: «در چرخه مدیریت هویت، هویت را براساس خصیصههایش تعریف میکنیم. بخشی اثبات هویت و بخشی احراز هویت داریم.این سوال پیش میآید که چرا باید در چند نهاد اثبات هویت کنیم؟ بلکه در این چرخه باید یک جا اثبات هویت کنیم و پس از اثبات هویت اعتبارنامهای در اختیار ما میگذارند. با این اعتبارنامه میتوانیم سرویس دریافت کنیم.»
او در ادامه افزود: «به عنوان مثال وقتی هویت خود را به سامانهای اثبات کردیم، برای فعالیتهای بعدی باید درطی فرآیند ساده و تنها با زیرساختهای حاضر در کشور احراز هویت شویم. تنها در این زمینه نهادها باید با هم همکاری و هماهنگ شوند.» به گفته ارج پس از اثبات هویت اینکه افراد در کدام سطح باید احراز هویت شوند، کار سادهای است و به همین دلیل سند احراز هویت دیجیتالی که در حال تهیه است، برای رفع مشکلات بسیار کمک کننده است.
براساس گفتههای ارج اگر چرخه مدیریت هویت به درستی بچرخد و استانداردها و چارچوبها به خوبی تعریف شوند، کاربر بدون اینکه از اپلکیشن خارج شود، میتواند احراز هویت کند.
