جاده ناهموار احراز هویت الکترونیکی
مساله احراز هویت، همواره یکی از مهمترین چالشهای نظام اداری کشور بوده است و پروژه صدور کارتهای ملی هوشمند که قرار بود مشکلات عدیده این حوزه را حل کند، نتوانسته آنطور که باید گشایشی در گره مشکلات موضوع احراز هویت افراد ایجاد کند؛ از همین رو شاهد نبود اعتبار و اعتماد در فضای جامعه و در ارتباط نهادهای مختلف اداری، حکومتی و حتی مراودات مالی افراد با یکدیگر هستیم. نتیجه اینکه برای یک اقدام قانونی (مثلا افتتاح حساب یا گرفتن وام و …) احراز هویت با کارتملی هوشمند هم کافی نیست. همچنین در مدلهای موجود احراز هویت، به بحث احراز هویت مکانی نیز توجهی نشده است.
در چنین شرایطی و در زمانهای که با رشد سریع ابزارهای تبادل مالی و خرید و فروش اینترنتی مواجهیم مساله احراز هویت در فضای آنلاین هم اهمیتی دوچندان یافته و چالشهای خود را دارد. ماهیت پیچیده و ظرافتهای زیاد احراز هویت الکترونیکی، این مساله را به یکی از پرچالشترین موضوعات حوزه فضای مجازی طی سالهای اخیر تبدیل کرده است. با آنکه نمیتوان منکر مزیتهای زیاد این اقدام در کاهش جرائم رایانهای و افزایش امنیت کاربران شد، اما دغدغههایی مانند نحوه اجرایی شدن، حفظ حریم خصوصی کاربران و نبود قوانین کافی برای حمایت از اطلاعات هویتی کاربران و کسبوکارها در برابر سوءاستفادههای احتمالی، نگرانیها از طرح را افزایش داده است و موجب مقاومتهایی در اجرایی شدن آن شده است.
بهرغم اینکه براساس ماده 53 قانون تجارت الکترونیکی، هویت کاربران در فضای مجازی باید کاملا روشن و مشخص باشد اما طی سالهای اخیر قانون مشخصی برای نحوه احراز هویت در فضای مجازی وجود نداشته است. براساس ضوابط فنی و اجرایی توسعه دولت الکترونیک، احراز هویت الکترونیکی و امضای دیجیتال، از برنامههایی بوده که بر عهده دبیرخانه شورای سیاستگذاری گواهی الکترونیکی (مرکز توسعه تجارت الکترونیکی) گذاشته شده تا با همکاری نهادهایی مانند سازمان ثبتاحوال و ثبتاسناد کشور، آن را اجرایی کنند. سال گذشته، سند «نظام هویت معتبر» در فضای مجازی توسط شورایعالی فضای مجازی تدوین و ابلاغ و چارچوبهایی در این زمینه تعیین شد. صدرالدین نورالدینی، مدیر سامانه امتا در گفتوگو با «دنیایاقتصاد» با اشاره به اینکه در این سند دو مبحث ویژه احراز هویت در لایه ارتباطی و احراز هویت در لایه کاربرد مورد بررسی قرار گرفته، میگوید: مدیریت لایه ارتباطی بر عهده وزارت ارتباطات و مدیریت احراز هویت الکترونیکی در لایه کاربرد، بر عهده مرکز ملی فضای مجازی گذاشته شده است. درحالحاضر سامانههای سماوا (تحت مدیریت سازمان فناوری اطلاعات)، امتا (تحت مدیریت وزارت صمت) و هدی (سامانه سازمان ثبتاحوال)، اصلیترین سامانههای احراز هویت الکترونیکی دولتی هستند که بسته به نیازهای کسبوکارها، اطلاعاتی را در اختیار بخشهای خصوصی قرار میدهند. اما در این بین در ماههای اخیر برخی شرکتهای خصوصی نیز توانستهاند بخشهایی از این موضوع را بر عهده بگیرند که در مدت اخیر در مورد احراز هویت سجام، شاهد فعالیت این بخشها بودیم. گفته میشود برخی از این شرکتها حتی بحث احراز هویت الکترونیکی برای بیش از 2میلیون نفر از افراد را در این مدت انجام دادهاند.
ضرورت سطحبندی کردن احراز هویت الکترونیکی
یکی از مهمترین موضوعاتی که در مساله احراز هویت الکترونیکی مطرح است آن است که اطلاعات دریافتی از کاربر متناسب با کاربرد، ارزش تراکنش موردنظر و میزان ریسک مساله باشد. مثلا برای تراکنشهای خرد (زیر 100 هزار تومان)، حتی روشهایی مانند استفاده از سامانه شاهکار یا رمز پویا هم کفایت میکند. اگر مقدار تراکنش تا میزان دریافت یک وام افزایش یابد، میتوان روشهای احراز هویتی مبتنی بر ابزار را، به احراز هویت رمزی مرحله قبل اضافه کرد. اما اگر سطح معامله موردنظر، مثلا تا انتقال اموال غیرمنقول افزایش یابد، باید به روشهای احراز هویتی پیشین، احراز هویت بایومتریکس (مانند تطبیق اثر انگشت موجود در ثبتاحوال با اثرانگشت موجود در کارتملی هوشمند) را نیز اضافه کرد. امیر ناظمی، معاون وزیر ارتباطات در گفتوگو با «دنیایاقتصاد» در این زمینه میگوید: در هفتههای اخیر، آییننامه اولیهای از سوی بانکمرکزی تنظیم شد که با کلیت این آییننامه مخالفتی وجود ندارد، اما نیاز به اصلاحاتی از جمله اعمال سطحبندی برای احراز هویت افراد در آن حس میشود. تدوین آییننامهای که بتوانیم ارزیابیهای فنی، امنیتی و حریم خصوصی را در مورد کسبوکارهای حوزه احراز هویت الکترونیکی انجام دهیم یکی از اولویتهای ماست. در مجموع به جز مساله سطحبندی، با آییننامه بانکمرکزی مخالفتی وجودی ندارد و در رویکردمان برای تدوین آییننامه مذکور نیز، بر اجرای سطحبندی برای احراز هویت الکترونیک تاکید خواهیم داشت. ناظمی پیرامون موضوع نظارت بر اپلیکیشنهایی که به دادههای هویتی کاربران دسترسی پیدا خواهند کرد، میگوید: طبق مواد 21 و 22 قانون ارتقای نظام سلامت اداری، شورایعالی انفورماتیک باید با بررسی اپلیکیشنهایی که در حوزه اداری و مالی فعالیت میکنند، به آنها گواهی سلامت اداری مالی اعطا کند. پس از انحلال شورایعالی انفورماتیک، وظایف این شورا به وزارت ارتباطات و پس از آن به دستور وزیر ارتباطات، به سازمان فناوری اطلاعات و ارتباطات داده شده است.
حواشی اجرای احراز هویت الکترونیکی در سامانههای آگهی آنلاین
با هدف احراز هویت کاربران و اصالت آگهیهای منتشر شده در پلتفرمهای آنلاین نیازمندی و کنترل قیمتها و جرائم آنلاین، این پلتفرمها به دستور دادستانی، از اول مهرماه، موظف به اجرای طرح احراز هویت کاربران برای ثبتآگهیهای خودرو و املاک شدهاند. سامانه در نظر گرفته شده از سوی دادستانی برای انجام این مهم، سامانه امتا است. با وجود ابلاغ این دستور، پلتفرمهای نیازمندی از جمله دیوار، شیپور، باما و … بهنظر میرسد موافق با اجرای این طرح نیستند و معتقدند اجرای احراز هویت از طریق سامانه امتا، موجب ضربه به کسبوکار آنها و مهاجرت کاربران برای ثبتآگهی، به فضاهایی مانند تلگرام و اینستاگرام خواهد شد که هیچ نظارتی بر آنها نیست. به گفته مدیران پلتفرمهای آگهی آنلاین، معمولا کلاهبرداریهای اینترنتی در حوزههایی غیر از خودرو و املاک رخ میدهند. زیرا خریداران برای خرید خودرو یا ملک، در نهایت باید آن را سند بزنند و در یک مرجع قانونی آن خرید و فروش را به ثبت برسانند. سوال اینجاست چرا احراز هویت دقیقا برای این دو خدمت اجباری شده؟ آن هم در مرحله ثبتآگهی نه فروش محصول. مدیر سامانه امتا در پاسخ به این ابهام به «دنیایاقتصاد» میگوید: در بررسیهایی که در جهشهای قیمتی سال گذشته انجام شد، مشاهده شد مثلا فردی با هویت مجهول، در 20 روز، اقدام به ثبت5هزار آگهی مسکن و خودرو کرده است که در حقیقت عمده این آگهیها، مربوط به خودروها یا املاکی بود که وجود خارجی نداشتند و این کار صرفا با هدف دستکاری قیمتهای بازار صورت گرفته بود. به همین دلیل طی این دستورالعمل، پلتفرمهای آگهی نیازمندی، موظف شدهاند که هم احراز هویت فرد آگهیدهنده و هم اصالت سنجی آگهی را انجام دهند.
نورالدینی میافزاید: احراز هویت، تنها یکی از کاربردها و اهداف سامانه امتا و امثال آن است و به مرور قابلیت سنجش اطلاعات دیگری نیز از طریق چنین سامانههایی مقدور خواهد بود. طراحی صورت گرفته برای این سامانه بهصورتی است که تنها از طریق یک API، تمامی این اطلاعات قابل دسترسی برای کسبوکارها و پلتفرمهای مختلف باشد و افراد بدون نیاز به مراجعه و هماهنگی با سازمانهای مختلف با زیرساختهای متفاوت، طیف متنوعی از خدمات را بهصورت تجمیعی دریافت کنند. بهعنوان مثال، یکی از طرحهایی که اخیرا توسط حاکمیت مطرح شده آن است که اگر کسی بخواهد بیش از 3 آگهی درج کند، باید صلاحیت و مجوز انجام این کار را داشته باشد. این سامانه امکان چنین کنترلهایی را در اختیار نهادهای مربوط قرار میدهد. همچنین اصالتسنجی کالاها و خدمات دریافتنی از طریق چنین سامانههایی قابل پیگیری هستند و چنین مواردی به مرور در دسترس کاربران و کسبوکارها قرار خواهد گرفت.
یکی از مهمترین چالشهایی که پلتفرمهای آنلاین آگهی با اجرای احراز هویت الکترونیکی از طریق امتا دارند آن است که کاربر در زمان ثبتآگهی روی این سایتها، باید برای احراز هویت به سایت امتا هدایت شود و پروسهای طولانی را برای تکمیل اطلاعات طی کند، سپس به سایت ثبتآگهی ارجاع داده شود و فرآیند ثبتآگهی را دنبال کند. مدیران پلتفرمهای ثبتآگهی آنلاین معتقدند، تا زمانی که سامانه امتا تکمیل نشود و مشکل عملکردی آن رفع نشود، اعمال چنین محدودیتی بر پلتفرمهای آنلاین آگهی مسکن و خودرو، موجب ریزش کاربران خواهد شد.
مسوولان امتا اما معتقدند کاربران واقعی که در فضای مجازی قصد انجام فعالیتی را دارند، با یک بار احراز هویت شدن ریزش نخواهند کرد. ضمن اینکه اگر پیشتر احراز هویت شده باشند، بدون نیاز به طی کردن مجدد مراحل، به سادگی به سایت مبدا منتقل میشوند. همچنین چنانچه درگاه ویژه سامانه امتا در ورودی این وبسایتها قرار گیرد و کاربر از ابتدا از طریق درج نام کاربری و گذر واژه خود از طریق این بخش وارد سایت شود، دیگر نیازی به طی مراحل اضافه نیست. فعالان کسبوکارهای اینترنتی با اشاره به تجربه این سامانه در احراز هویت خریداران خودروی سایپا و ایران خودرو، از مشکلات زیاد این سامانه گلایه دارند. آنها میگویند: یکی از مشکلات امتا این است که سیمکارتهای اعتباری را شناسایی نمیکند. در برخی موارد نیز کد احراز هویت برای مشتریان ارسال نمیشود یا کاربران در تایید کدپستی با پیغام خطا مواجه میشوند. آنها معتقدند تا زمانی که زیرساخت این سامانه تقویت نشود، اجرای این طرح به زیان کسبوکار پلتفرمهای آنلاین درج آگهی خواهد بود. با اینحال، نورالدینی، مدیر سامانه امتا با ابراز رضایت از عملکرد کلی این سامانه طی طرح ثبتنام خودرو میگوید: در کمتر از 10 روز توانستیم بیش از 7 میلیون کاربر را احراز هویت و به سایتهای خودروسازها هدایت کنیم. وی در پاسخ به انتقادهای صورت گرفته از برخی مشکلات این سامانه میگوید: در احراز هویت مورد نیاز خودروسازان، نیاز به تطابق کارت بانکی به نام شخص ثبتنامکننده، به اطلاعات هویتی وی بود و این سرویس از سوی ارائه دهنده آن به روزرسانی نشده بود و نقص آن متوجه امتا نبود و ما را متحمل بار اضافهای برای اجرای احراز هویت کرد. با تمام این شرایط و کمبودها، توانستیم روزانه حدود یک میلیون کاربر را احراز هویت کنیم. به گفته مدیران سامانه امتا، درحالحاضر نزدیک به 10 کسبوکار اتصال به سامانه امتا را عملی کردهاند و بسته به تصمیم خود درلایه اصلی یا در محیط تست احراز هویت میکنند. بعضی کسبوکارها هم درحال پیشبرد بحثهای فنی هستند تا شروع کنند.
چرا امتا؟
در مدت اخیر که سامانه امتا بهعنوان سامانه رسمی برای احراز هویت کاربران فضای مجازی معرفی شد، سوالهای گوناگونی از سمت بخشهای مختلف مطرح شد که چرا سامانه امتا باید بهصورت انحصاری احراز هویت الکترونیکی را انجام دهد. کارشناسان معتقدند این سامانه زیرساخت فنی مناسبی برای پاسخ به نیاز تمامی کاربران اینترنت ندارد و الزام همه کاربران پلتفرمهای اینترنتی به بارگذاری اطلاعات خود در این سامانه میتواند منجر به بارگذاری تقاضای بسیار بالا، قفل شدن سامانه و از کار افتادن کسبوکارها شود. فرشاد وکیلزاده، دبیر اتحادیه کسبوکارهای مجازی معتقد است کسبوکارهای مجازی با بحث احراز هویت هیچ مشکلی ندارند ولی از نحوه کارکرد این سامانه نگران هستند، چراکه بهنظر میرسد در فرآیند کاری کسبوکارهای مجازی تا حدی اخلال ایجاد میکند. مدیران پلتفرمهای آگهی آنلاین، با استناد به تجربه مشابه کشورهای دیگر در امر احراز هویت کاربران اینترنت از طریق شماره موبایل، معتقدند درصورتی که اپراتورها برای ساماندهی سیم کارتهای بی نام اقدام کنند و سختگیری بیشتری در دریافت مدارک هویتی در مرحله صدور سیم کارت اعمال شود، این روش برای احراز هویت کاربران کفایت خواهد کرد و نیازی به احراز هویت از طریق امتا نخواهد بود.
نورالدینی، مدیر سامانه امتا میگوید، زمانی که مبنای احراز هویت کاربران، سامانه شاهکار بود نیز، تعدادی از کسبوکارها به دلیل رایگان نبودن این سامانه، تمایلی به همکاری نشان نمیدادند. همچنین، در تدوین سند «نظام هویت معتبر»، مشخص شد که سامانه شاهکار (صرفا تطبیق شماره ملی و موبایل) بهعنوان سامانهای برای احراز هویت شناخته نمیشود. زیرا اطلاعات هویتی کاربران در اختیار کسبوکارها قرار میگرفت ولی عملا احرازی شکل نمیگرفت که آیا اطلاعات اظهار شده توسط خود شخص اظهار شده یا توسط شخص دیگری مورد سوءاستفاده قرار گرفته است. در مدل فعلی سامانه امتا، چنین احرازی انجام میشود و ضمن طبقهبندی دادههای دریافتی، اطلاعاتی که مورد تایید نهادهای شورایعالی فضای مجازی باشند در اختیار کسبوکارها قرار میگیرند و تمامی فرآیندهای سامانه امتا با کسب اجازه از خود کاربر انجام میشود. نکته مهمتر درباره این موضوع، توجه به سطحبندی احراز هویت کاربران متناسب با ریسک معامله است. طبیعتا احراز از طریق شماره موبایل، برای برخی سطوح معاملاتی مناسب نیست.
نورالدینی با تاکید بر اینکه در اجرای احراز هویت الکترونیکی هیچ انحصاری در کار نیست گفت: از میان سه سامانه دولتی سماوا، هدی و امتا که به این موضوع تخصیص پیدا کردهاند، تنها سامانه امتا توانسته شرایط مدنظر دادستانی (داشتن ظرفیت مناسب و رایگان بودن) برای عملیاتی شدن را برآورده کند و درصورتی که دو سامانه دیگر به بلوغ کافی برسند، میتوانند با تایید دستگاههای مربوطه مورد استفاده قرار گیرند. البته تعیین دستگاههای دارای صلاحیت وظیفه احراز هویت لایه کاربرد و کسبوکارهای اینترنتی به عهده مرکز ملی فضای مجازی گذاشته شده است.
نگرانی از لو رفتن و سوءاستفاده از اطلاعات
با وجود مزیتهای اجرای طرح احراز هویت الکترونیکی، بعضی ابعاد این مساله، موجب نگرانی کاربران و کسبوکارهای اینترنتی شده است. طی سالهای اخیر، چندین بار شاهد لو رفتن اطلاعات کاربران بودیم که باعث شده اطمینان کاربران نسبت به امنیت اطلاعاتشان کاهش یابد.
در صورت اجرای این الزام برای ارائه اطلاعات هویتی، دادههای مشتریان کسبوکارهای فضای مجازی در اختیار این سامانه قرار میگیرد. با وجود چنین حجم عظیمی از اطلاعات در چنین پایگاههایی، هک و افشای آن به هر دلیلی، میتواند موجب زیان گسترده به کسبوکارها و حریم خصوصی کاربران شود. مدیر سامانه امتا در این باره میگوید: مرکز توسعه تجارت الکترونیکی، متولی مرکز داده بازرگانی کل کشور است و درحالحاضر بسیاری از سامانههای حیاتی حوزه تجارت الکترونیک کشور را تحت مدیریت دارد. طی این سالها با نظارت نهادهای مربوطه، مرتبا سامانهها برای حفظ امنیت رصد شدهاند و تا امروز مشکلی پیش نیامده است.