جاده ناهموار احراز هویت الکترونیکی

مساله احراز هویت، همواره یکی از مهم‌ترین چالش‌های نظام اداری کشور بوده است و پروژه صدور کارت‌های ملی هوشمند که قرار بود مشکلات عدیده این حوزه را حل کند، نتوانسته آن‌طور که باید گشایشی در گره مشکلات موضوع احراز هویت افراد ایجاد کند؛ از همین رو شاهد نبود اعتبار و اعتماد در فضای جامعه و در ارتباط نهادهای مختلف اداری، حکومتی و حتی مراودات مالی افراد با یکدیگر هستیم. نتیجه اینکه برای یک اقدام قانونی (مثلا افتتاح حساب یا گرفتن وام و …) احراز هویت با کارت‌ملی هوشمند هم کافی نیست. همچنین در مدل‌های موجود احراز هویت، به بحث احراز هویت مکانی نیز توجهی نشده است.
 
 
در چنین شرایطی و در زمانه‌ای که با رشد سریع ابزارهای تبادل مالی و خرید و فروش اینترنتی مواجهیم مساله احراز هویت در فضای آنلاین هم اهمیتی دوچندان یافته و چالش‌های خود را دارد. ماهیت پیچیده و ظرافت‌های زیاد احراز هویت الکترونیکی، این مساله را به یکی از پرچالش‌ترین موضوعات حوزه فضای مجازی طی سال‌های اخیر تبدیل کرده است. با آنکه نمی‌توان منکر مزیت‌های زیاد این اقدام در کاهش جرائم رایانه‌ای و افزایش امنیت کاربران شد، اما دغدغه‌هایی مانند نحوه اجرایی شدن، حفظ حریم خصوصی کاربران و نبود قوانین کافی برای حمایت از اطلاعات هویتی کاربران و کسب‌وکارها در برابر سوءاستفاده‌های احتمالی، نگرانی‌ها از طرح را افزایش داده است و موجب مقاومت‌هایی در اجرایی شدن آن شده است.
 
به‌رغم اینکه براساس ماده 53 قانون تجارت الکترونیکی، هویت کاربران در فضای مجازی باید کاملا روشن و مشخص باشد اما طی سال‌های اخیر قانون مشخصی برای نحوه احراز هویت در فضای مجازی وجود نداشته است. براساس ضوابط فنی و اجرایی توسعه دولت الکترونیک، احراز هویت الکترونیکی و امضای دیجیتال، از برنامه‌هایی بوده که بر عهده دبیرخانه شورای سیاست‌گذاری گواهی الکترونیکی (مرکز توسعه تجارت الکترونیکی) گذاشته شده تا با همکاری نهادهایی مانند سازمان ثبت‌احوال و ثبت‌اسناد کشور، آن را اجرایی کنند. سال گذشته، سند «نظام هویت معتبر» در فضای مجازی توسط شورای‌عالی فضای مجازی تدوین و ابلاغ و چارچوب‌هایی در این زمینه تعیین شد. صدرالدین نورالدینی، مدیر سامانه امتا در گفت‌وگو با «دنیای‌اقتصاد» با اشاره به اینکه در این سند دو مبحث ویژه احراز هویت در لایه ارتباطی و احراز هویت در لایه کاربرد مورد بررسی قرار گرفته، می‌گوید: مدیریت لایه ارتباطی بر عهده وزارت ارتباطات و مدیریت احراز هویت الکترونیکی در لایه کاربرد، بر عهده مرکز ملی فضای مجازی گذاشته شده است. درحال‌حاضر سامانه‌های سماوا (تحت مدیریت سازمان فناوری اطلاعات)، امتا (تحت مدیریت وزارت صمت) و هدی (سامانه سازمان ثبت‌احوال)، اصلی‌ترین سامانه‌های احراز هویت الکترونیکی دولتی هستند که بسته به نیازهای کسب‌وکارها، اطلاعاتی را در اختیار بخش‌های خصوصی قرار می‌دهند. اما در این بین در ماه‌های اخیر برخی شرکت‌های خصوصی نیز توانسته‌اند بخش‌هایی از این موضوع را بر عهده بگیرند که در مدت اخیر در مورد احراز هویت سجام، شاهد فعالیت این بخش‌ها بودیم. گفته می‌شود برخی از این شرکت‌ها حتی بحث احراز هویت الکترونیکی برای بیش از 2میلیون نفر از افراد را در این مدت انجام داده‌اند.
 
  ضرورت سطح‌بندی کردن احراز هویت الکترونیکی
یکی از مهم‌ترین موضوعاتی که در مساله احراز هویت الکترونیکی مطرح است آن است که اطلاعات دریافتی از کاربر متناسب با کاربرد، ارزش تراکنش موردنظر و میزان ریسک مساله باشد. مثلا برای تراکنش‌های خرد (زیر 100 هزار تومان)، حتی روش‌هایی مانند استفاده از سامانه شاهکار یا رمز پویا هم کفایت می‌کند. اگر مقدار تراکنش تا میزان دریافت یک وام افزایش یابد، می‌توان روش‌های احراز هویتی مبتنی بر ابزار را، به احراز هویت رمزی مرحله قبل اضافه کرد. اما اگر سطح معامله موردنظر، مثلا تا انتقال اموال غیرمنقول افزایش یابد، باید به روش‌های احراز هویتی پیشین، احراز هویت بایومتریکس (مانند تطبیق اثر انگشت موجود در ثبت‌احوال با اثرانگشت موجود در کارت‌ملی هوشمند) را نیز اضافه کرد. امیر ناظمی، معاون وزیر ارتباطات در گفت‌وگو با «دنیای‌اقتصاد» در این زمینه می‌گوید: در هفته‌های اخیر، آیین‌نامه اولیه‌ای از سوی بانک‌مرکزی تنظیم شد که با کلیت این آیین‌نامه مخالفتی وجود ندارد، اما نیاز به اصلاحاتی از جمله اعمال سطح‌بندی برای احراز هویت افراد در آن حس می‌شود. تدوین آیین‌نامه‌ای که بتوانیم ارزیابی‌های فنی، امنیتی و حریم خصوصی را در مورد کسب‌وکارهای حوزه احراز هویت الکترونیکی انجام دهیم یکی از اولویت‌های ماست. در مجموع به جز مساله سطح‌بندی، با آیین‌نامه بانک‌مرکزی مخالفتی وجودی ندارد و در رویکردمان برای تدوین آیین‌نامه مذکور نیز، بر اجرای سطح‌بندی برای احراز هویت الکترونیک تاکید خواهیم داشت. ناظمی پیرامون موضوع نظارت بر اپلیکیشن‌هایی که به داده‌های هویتی کاربران دسترسی پیدا خواهند کرد، می‌گوید: طبق مواد 21 و 22 قانون ارتقای نظام سلامت اداری، شورای‌عالی انفورماتیک باید با بررسی اپلیکیشن‌هایی که در حوزه اداری و مالی فعالیت می‌کنند، به آنها گواهی سلامت اداری مالی اعطا کند. پس از انحلال شورای‌عالی انفورماتیک، وظایف این شورا به وزارت ارتباطات و پس از آن به دستور وزیر ارتباطات، به سازمان فناوری اطلاعات و ارتباطات داده شده است.
 
  حواشی اجرای احراز هویت الکترونیکی در سامانه‌های آگهی آنلاین
با هدف احراز هویت کاربران و اصالت آگهی‌های منتشر شده در پلت‌فرم‌های آنلاین نیازمندی و کنترل قیمت‌ها و جرائم آنلاین، این پلت‌فرم‌ها به دستور دادستانی، از اول مهرماه، موظف به اجرای طرح احراز هویت کاربران برای ثبت‌آگهی‌های خودرو و املاک شده‌اند. سامانه در نظر گرفته شده از سوی دادستانی برای انجام این مهم، سامانه امتا است. با وجود ابلاغ این دستور، پلت‌فرم‌های نیازمندی از جمله دیوار، شیپور، باما و … به‌نظر می‌رسد موافق با اجرای این طرح نیستند و معتقدند اجرای احراز هویت از طریق سامانه امتا، موجب ضربه به کسب‌وکار آنها و مهاجرت کاربران برای ثبت‌آگهی، به فضاهایی مانند تلگرام و اینستاگرام خواهد شد که هیچ نظارتی بر آنها نیست.  به گفته مدیران پلت‌فرم‌های آگهی آنلاین، معمولا کلاهبرداری‌های اینترنتی در حوزه‌هایی غیر از خودرو و املاک رخ می‌دهند. زیرا خریداران برای خرید خودرو یا ملک، در نهایت باید آن را سند بزنند و در یک مرجع قانونی آن خرید و فروش را به ثبت ‌برسانند. سوال اینجاست چرا  احراز هویت دقیقا برای این دو خدمت اجباری شده؟ آن هم در مرحله ثبت‌آگهی نه فروش محصول. مدیر سامانه امتا در پاسخ به این ابهام به «دنیای‌اقتصاد» می‌گوید: در بررسی‌هایی که در جهش‌های قیمتی سال گذشته انجام شد، مشاهده شد مثلا فردی با هویت مجهول، در 20 روز، اقدام به ثبت‌5هزار آگهی مسکن و خودرو کرده است که در حقیقت عمده این آگهی‌ها، مربوط به خودروها یا املاکی بود که وجود خارجی نداشتند و این کار صرفا با هدف دستکاری قیمت‌های بازار صورت گرفته بود. به همین دلیل طی این دستورالعمل، پلت‌فرم‌های آگهی نیازمندی، موظف شده‌اند که هم احراز هویت فرد آگهی‌دهنده و هم اصالت سنجی آگهی را انجام دهند.
 
نورالدینی می‌افزاید: احراز هویت، تنها یکی از کاربردها و اهداف سامانه امتا و امثال آن است و به مرور قابلیت سنجش اطلاعات دیگری نیز از طریق چنین سامانه‌هایی مقدور خواهد بود. طراحی صورت گرفته برای این سامانه به‌صورتی است که تنها از طریق یک API، تمامی این اطلاعات قابل دسترسی برای کسب‌وکارها و پلت‌فرم‌های مختلف باشد و افراد بدون نیاز به مراجعه و هماهنگی با سازمان‌های مختلف با زیرساخت‌های متفاوت، طیف متنوعی از خدمات را به‌صورت تجمیعی دریافت کنند. به‌عنوان مثال، یکی از طرح‌هایی که اخیرا توسط حاکمیت مطرح شده آن است که اگر کسی بخواهد بیش از 3 آگهی درج کند، باید صلاحیت و مجوز انجام این کار را داشته باشد. این سامانه امکان چنین کنترل‌هایی را در اختیار نهادهای مربوط قرار می‌دهد. همچنین اصالت‌سنجی کالاها و خدمات دریافتنی از طریق چنین سامانه‌هایی قابل پیگیری هستند و چنین مواردی به مرور در دسترس کاربران و کسب‌وکارها قرار خواهد گرفت.
 
 یکی از مهم‌ترین چالش‌هایی که پلت‌فرم‌های آنلاین آگهی با اجرای احراز هویت الکترونیکی از طریق امتا دارند آن است که کاربر در زمان ثبت‌آگهی روی این سایت‌ها، باید برای احراز هویت به سایت امتا هدایت شود و پروسه‌ای طولانی را برای تکمیل اطلاعات طی کند،  سپس به سایت ثبت‌آگهی ارجاع داده شود و فرآیند ثبت‌آگهی را دنبال کند. مدیران پلت‌فرم‌های ثبت‌آگهی آنلاین معتقدند، تا زمانی که سامانه امتا تکمیل نشود و مشکل عملکردی آن رفع نشود، اعمال چنین محدودیتی بر پلت‌فرم‌های آنلاین آگهی مسکن و خودرو، موجب ریزش کاربران خواهد شد.
 
مسوولان امتا اما معتقدند کاربران واقعی که در فضای مجازی قصد انجام فعالیتی را دارند، با یک بار احراز هویت شدن ریزش نخواهند کرد. ضمن اینکه اگر پیش‌تر احراز هویت شده باشند، بدون نیاز به طی کردن مجدد مراحل، به سادگی به سایت مبدا منتقل می‌شوند. همچنین چنانچه درگاه ویژه سامانه امتا در ورودی این وب‌سایت‌ها قرار گیرد و کاربر از ابتدا از طریق درج نام کاربری و گذر واژه خود از طریق این بخش وارد سایت شود، دیگر نیازی به طی مراحل اضافه نیست. فعالان کسب‌وکارهای اینترنتی با اشاره به تجربه این سامانه در احراز هویت خریداران خودروی سایپا و ایران خودرو، از مشکلات زیاد این سامانه گلایه دارند. آنها می‌گویند: یکی از مشکلات امتا این است که سیم‌کارت‌های اعتباری را شناسایی نمی‌کند. در برخی موارد نیز کد احراز هویت برای مشتریان ارسال نمی‌شود یا کاربران در تایید کدپستی با پیغام خطا مواجه می‌شوند. آنها معتقدند تا زمانی که زیرساخت این سامانه تقویت نشود، اجرای این طرح به زیان کسب‌وکار پلت‌فرم‌های آنلاین درج آگهی خواهد بود.  با این‌حال، نورالدینی، مدیر سامانه امتا با ابراز رضایت از عملکرد کلی این سامانه طی طرح ثبت‌نام خودرو می‌گوید: در کمتر از 10 روز توانستیم بیش از 7 میلیون کاربر را احراز هویت و به سایت‌های خودروسازها هدایت کنیم. وی در پاسخ به انتقادهای صورت گرفته از برخی مشکلات این سامانه می‌گوید: در احراز هویت مورد نیاز خودروسازان، نیاز به تطابق کارت بانکی به نام شخص ثبت‌نام‌کننده، به اطلاعات هویتی وی بود و این سرویس از سوی ارائه ‌دهنده آن به روزرسانی نشده بود و نقص آن متوجه امتا نبود و ما را متحمل بار اضافه‌ای برای اجرای احراز هویت کرد. با تمام این شرایط و کمبودها، توانستیم روزانه حدود یک میلیون کاربر را احراز هویت کنیم. به گفته مدیران سامانه امتا، درحال‌حاضر نزدیک به 10 کسب‌وکار اتصال به سامانه امتا را عملی کرده‌اند و بسته به تصمیم خود درلایه اصلی یا در محیط تست احراز هویت می‌کنند. بعضی کسب‌وکارها هم درحال پیشبرد بحث‌های فنی هستند تا شروع کنند.
 
  چرا امتا؟
در مدت اخیر که سامانه امتا به‌عنوان سامانه رسمی برای احراز هویت کاربران فضای مجازی معرفی شد، سوال‌های گوناگونی از سمت بخش‌های مختلف مطرح شد که چرا سامانه امتا باید به‌صورت انحصاری احراز هویت الکترونیکی را انجام دهد. کارشناسان معتقدند این سامانه زیرساخت فنی مناسبی برای پاسخ به نیاز تمامی کاربران اینترنت ندارد و الزام همه کاربران پلت‌فرم‌های اینترنتی به بارگذاری اطلاعات خود در این سامانه می‌تواند منجر به بارگذاری تقاضای بسیار بالا، قفل شدن سامانه و از کار افتادن کسب‌وکارها شود. فرشاد وکیل‌زاده، دبیر اتحادیه کسب‌وکارهای مجازی معتقد است کسب‌وکارهای مجازی با بحث احراز هویت هیچ مشکلی ندارند ولی از نحوه کارکرد این سامانه نگران هستند، چراکه به‌نظر می‌رسد در فرآیند کاری کسب‌وکارهای مجازی تا حدی اخلال ایجاد می‌کند. مدیران پلت‌فرم‌های آگهی آنلاین، با استناد به تجربه مشابه کشورهای دیگر در امر احراز هویت کاربران اینترنت از طریق شماره موبایل، معتقدند درصورتی که اپراتورها برای ساماندهی سیم کارت‌های بی نام اقدام کنند و سختگیری بیشتری در دریافت مدارک هویتی در مرحله صدور سیم کارت اعمال شود، این روش برای احراز هویت کاربران کفایت خواهد کرد و نیازی به احراز هویت از طریق امتا نخواهد بود. 
 
نورالدینی، مدیر سامانه امتا می‌گوید، زمانی که مبنای احراز هویت کاربران، سامانه شاهکار بود نیز، تعدادی از کسب‌وکارها به دلیل رایگان نبودن این سامانه، تمایلی به همکاری نشان نمی‌دادند. همچنین، در تدوین سند «نظام هویت معتبر»، مشخص شد که سامانه شاهکار (صرفا تطبیق شماره ملی و موبایل) به‌عنوان سامانه‌ای برای احراز هویت شناخته نمی‌شود. زیرا اطلاعات هویتی کاربران در اختیار کسب‌وکارها قرار می‌گرفت ولی عملا احرازی شکل نمی‌گرفت که آیا اطلاعات اظهار شده توسط خود شخص اظهار شده یا توسط شخص دیگری مورد سوءاستفاده قرار گرفته است. در مدل فعلی سامانه امتا، چنین احرازی انجام می‌شود و ضمن طبقه‌بندی داده‌های دریافتی، اطلاعاتی که مورد تایید نهادهای شورای‌عالی فضای مجازی باشند در اختیار کسب‌وکارها قرار می‌گیرند و تمامی فرآیندهای سامانه امتا با کسب اجازه از خود کاربر انجام می‌شود. نکته مهم‌تر درباره این موضوع، توجه به سطح‌بندی احراز هویت کاربران متناسب با ریسک معامله است. طبیعتا احراز از طریق شماره موبایل، برای برخی سطوح معاملاتی مناسب نیست.
 
نورالدینی با تاکید بر اینکه در اجرای احراز هویت الکترونیکی هیچ انحصاری در کار نیست گفت: از میان سه سامانه دولتی سماوا، هدی و امتا که به این موضوع تخصیص پیدا کرده‌اند، تنها سامانه امتا توانسته شرایط مدنظر دادستانی (داشتن ظرفیت مناسب و رایگان بودن) برای عملیاتی شدن را برآورده کند و درصورتی که دو سامانه دیگر به بلوغ کافی برسند، می‌توانند با تایید دستگاه‌های مربوطه مورد استفاده قرار گیرند. البته تعیین دستگاه‌های دارای صلاحیت وظیفه احراز هویت لایه کاربرد و کسب‌وکارهای اینترنتی به عهده مرکز ملی فضای مجازی گذاشته شده است.
 
  نگرانی از لو رفتن و سوءاستفاده از اطلاعات
با وجود مزیت‌های اجرای طرح احراز هویت الکترونیکی، بعضی ابعاد این مساله، موجب نگرانی کاربران و کسب‌وکارهای اینترنتی شده است. طی سال‌های اخیر، چندین بار شاهد لو رفتن اطلاعات کاربران بودیم که باعث شده اطمینان کاربران نسبت به امنیت اطلاعاتشان کاهش یابد.
 
در صورت اجرای این الزام برای ارائه اطلاعات هویتی، داده‌های مشتریان کسب‌وکارهای فضای مجازی در اختیار این سامانه قرار می‌گیرد. با وجود چنین حجم عظیمی از اطلاعات در چنین پایگاه‌هایی، هک و افشای آن به هر دلیلی، می‌تواند موجب زیان گسترده به کسب‌وکارها و حریم خصوصی کاربران شود. مدیر سامانه امتا در این باره می‌گوید: مرکز توسعه تجارت الکترونیکی، متولی مرکز داده بازرگانی کل کشور است و درحال‌حاضر بسیاری از سامانه‌های حیاتی حوزه تجارت الکترونیک کشور را تحت مدیریت دارد. طی این سال‌ها با نظارت نهادهای مربوطه، مرتبا سامانه‌ها برای حفظ امنیت رصد شده‌اند و تا امروز مشکلی پیش نیامده است.