دبیر شورای اجرایی فناوری اطلاعات: دولت و کسب‌وکارها تجربه‌ای از مدیریت ریسک سرویس‌های احراز هویت ندارند

دبیر شورای اجرایی فناوری اطلاعات: دولت و کسب‌وکارها تجربه‌ای از مدیریت ریسک سرویس‌های احراز هویت ندارند

برخی کارشناسان معتقد هستند در ایران احراز هویت از طریق کارت ملی هوشمند، برای هر کسب‌وکار و حتی بانک ضروری نیست و می‌توان به سطح پایین‌تری از احراز هویت اکتفا کرد. ۱۰ سال پیش یعنی سال ۲۰۱۹ در هندوستان بزرگ‌ترین سیستم شناسایی بیومتریک جهان به نام «ادهار» راه‌اندازی شد؛ این پروژه که پاول رومر، اقتصاددان ارشد بانک جهانی از آن با عنوان «پیشرفته‌ترین برنامه آی‌دی جهان» نام برده، یکی از مهم‌ترین پایه‌های هند دیجیتال است و می‌تواند هویتی منحصربه‌فرد برای بیش از ۱. صدور کارت ملی هوشمند در ایران هم قدمی برای حرکت در مسیر همین موقعیت‌ها محسوب می‌شود؛ با این حال موانع مختلفی وجود دارد که عمده آنها در مهیا نبودن زیرساخت‌های لازم و عدم درک مناسب اهمیت فناوری‌های نوین نهفته است. کلید خورد، اما با گذشت این مدت هنوز ۹ میلیون ایرانی برای کارت ملی هوشمند ثبت نام نکرده‌اند. بانک‌ها هم از خردادماه امسال دیگر کارت‌های ملی قدیمی را برای احراز هویت مشتریان قبول نمی‌کردند و مشتریان فاقد کارت ملی هوشمند باید کارت ملی قدیمی به همراه رسید ثبت‌نام کارت هوشمند خود را ارائه می‌دادند. تا اینکه از آبان‌ماه امسال بانک مرکزی ابلاغیه‌ای صادر کرد که کلیه اشخاص، دیگر نیازی به ارائه کارت ملی ندارند و با استعلام برخط بانک سازمان ثبت احوال شود و دریافت کد رهگیری احراز آنها تایید می‌شود. آیا کارت ملی هوشمند می‌تواند گزینه مناسبی برای احراز هویت افراد باشد؟ / هشت سال مقاومت در برابر طرح‌هایی که شکست می‌خورند علاوه‌بر آن این سوال پیش می‌آید که بانک‌ها و کسب‌وکارهای آنلاین باید چه سطحی از احراز هویت را فراهم کنند تا هم امنیت کاربران و مشتریان حفظ شود و هم انجام کار آنها تسریع یابد؟ طی گفت‌وگویی که با دبیر شورای اجرایی فناوری اطلاعات داشتیم، به این نتیجه رسیدیم که ارائه سرویس‌های احراز هویت برای کسب‌وکارها و بانک‌ها در آغاز راه قرار دارد و سرویس‌هایی هم که تاکنون ارائه شده در مرحله آزمایش و پایلوت قرار دارند. حتی دولت نیز تجربه‌ای از مدیریت ریسک آنها در استفاده از سرویس‌های احراز هویت ندارد. با این حال چند سالی است که برخی کسب‌وکارهای آنلاین به احراز هویت آنلاین رو آورده‌اند. بنابراین تکلیفی برای همه کسب‌وکارها است که با روش‌های مختلف این کار را انجام دهند. برای احراز هویت بر اساس شماره ملی و کد پستی تصویب شد، آورده شده که شناسه اشخاص با ارائه کارت ملی، اشخاص حقیقی ایرانی صاحب یک شناسه یکتا شدند و این شماره بعدها به‌عنوان شناسه ملی به اشخاص حقوقی نیز تسری پیدا کرد. این شناسه دارای دو بخش شناسه داده‌های پایه و شناسه احراز هویت از طریق صفات است. انجام شد که در این کارگروه بر شیوه احراز هویت مبتنی بر داده‌های پایه تاکید شد. زمینه وجود داشته باشد به شیوه‌های مختلف می‌توان احراز هویت را انجام داد و دیگر یعنی این اجازه را برای بخش خصوصی گرفتیم که از طریق مرکز ملی تبادل اطلاعات بتوانند، احرازی که خود انجام می‌دادند، با استعلامات الکترونیک یا تبادل داده با دولت انجام دهند. طبیعتا اولین سرویسی که فراهم کردیم سرویس شاهکار بود که در برخی از کسب‌وکارهای آنلاین راه‌اندازی شده است. چالش این است که برای کسب‌وکارها سطوح اطمینان از احراز سطح سوم جایی است که از یک ابزار مانند کارت ملی هوشمند و توکن استفاده می‌شود. هنوز برای کسب‌وکارها انجام نشده است. چرا این سند برای سطح چهارم احراز هویت تولید نشده است؟ آیا مشکلی از لحاظ فنی وجود دارد؟ سرویس شاهکار نیز که ارائه شده برای انجام احراز هویت کفایت نمی‌کند. به‌طور مثال با این سرویس نمی‌توان یک سند ملکی دیجیتال تولید کرد یا برای احراز هویت در افتتاح حساب آنلاین نیاز به سطوح بالاتری از احراز برخط داریم. همچنین زیرساخت‌های سطح اصلی ما که احراز هویت دولتی است باید فراهم باشد. قطعا در نبود این زیرساخت نمی‌توان از ابزاری مانند موبایل استفاده کرد، چراکه ممکن است شناسه‌ای جعلی از این طریق ایجاد شود، همچنین نمی‌توان شماره حساب فرد را برای احراز هویت فرد در نظر بگیریم؛ در این مورد نیز ممکن است مشکلی برای احراز هویت به‌وجود بیاید. حتی برای کد ملی هم امکان مقداری ریسک وجود دارد، مانند خریدوفروشی که در مرزها ممکن است بر روی هویت صورت بگیرد. سرویس مدیریت می‌شود، درواقع نیازی به احراز هویت صددرصد ندارد. این باعث می‌شود که بنابر دستورالعمل‌های بانک مرکزی و به نفع بانک‌ها و سامانه‌های متمرکز، فشار کسب‌وکار برای احراز هویت کامل یا ریسک آن برای توسعه بازار افزایش پیدا کند. اینکه کسب‌وکارها به سطوحی از احراز هویت دست نیافته‌اند، فرایندی دارد که باید به‌مرور به آن دست یافت یا راهکاری برای آن ترتیب داده شده است؟ فناوری اطلاعات تصمیم بر این است که داده‌های دولت را به‌عنوان بدین ترتیب احراز هویت صورت می‌گیرد، پس از آن، خودرویی که در آن کسب‌وکار برای این سرویس قرار است رایگان ارائه شود یا هزینه‌ای برای مشتریان دارد؟ بدین ترتیب سودی برای سازمان فناوری اطلاعات و دولت ندارد و این درآمد صرف جبران هزینه‌ای می‌شود که سازمان فناوری اطلاعات انجام داده است. سرویس از بیمه مرکزی گرفته می‌شود و شاید سازمان فناوری اطلاعات برای زیرساخت‌های بیمه مرکزی نیز هزینه کند تا این سرویس راه‌اندازی شود. هشت سال است که پروژه کارت ملی هوشمند قرار است به‌عنوان یکی از ابزارهای احراز هویت مورد استفاده قرار بگیرد، اما این پروژه هنوز نتوانسته فراگیر شود. به‌نظر شما آیا کارت ملی هوشمند بالاخره می‌تواند به ارائه اطلاعات و احراز هویت افراد کمک کند یا پیچیده‌تر از آن چیزی است که فکر می‌کنیم؟ به‌عبارتی اگر این پروژه به‌طور کامل اجرا شود، دیگر مشکل احراز هویت حل خواهد شد؟ یعنی برای اینکه از کارت هوشمند استفاده کنیم، لازم است که حتما یک دستگاه کارت‌خوان با سطوحی وجود داشته باشد تا بتوان احراز هویت را در سطح چهارم انجام طبیعتا برای همه کسب‌وکارها نمی‌توان سطح چهارم احراز هویت بنابراین این سطح از احراز هویت برای همه کسب‌وکارها مناسب نیست و کارت ملی هوشمند ریسک بالایی دارد باید از احراز هویت سطح چهارم استفاده کرد. در این صورت بحثی که درباره چندمنظوره کردن کارت ملی هوشمند وجود داشت هم امکان‌پذیر نیست؟ معماری این کارت دیگر چند منظوره نیست و کاملا برای احراز هویت است. برای اولین بار نیازمند احراز است و پس از آن هم نیازمند تعامل بین بانک‌ها و بانک مرکزی است، اما برای اخذ هر خدمت بانکی بسته به نوع خدمت سطح پایین‌تری یا احراز باید انجام گیرد. درحال حاضر افتتاح حساب برای اولین بار به صورت آنلاین وجود ندارد، شاید نیازی به این کار نباشد و آنقدر متقاضی برای افتتاح حساب نیست که بخواهد برای آن هزینه‌ای صرف شود. اگر چک الکترونیکی هم به وجود بیاید، در قانون چک نیز آمده که دسته چک در محل گرفتن چک باید احراز هویت شود. با این تفاسیر آیا راهکاری یکپارچه برای احراز هویت ترتیب داده‌اید؟ احراز هویت است، اما اجرا شدن آن کم‌کم صورت می‌گیرد، نکته کلیدی این است که برای برای کسب‌وکارها باید مدیریت ریسک با ذی‌نفعان صورت گیرد. حاضر وقتی درباره احراز هویت و KYC صحبت می‌کنیم، مبتنی بر سرویس‌های متمرکز است، اما قطعا تا چهار فکر می‌کنید چقدر زمان نیاز است تا راهکاری یکپارچه برای احراز هویت ارائه شود و پس از آن به فکر راه‌اندازی سرویس‌هایی مبتنی بر سیستم توزیع‌شدگی باشیم؟ من فکر می‌کنم باید حداکثر تا چهار سال دیگر در حوزه حاکمیت الکترونیک یا حاکمیت داده، توزیع‌شدگی و استفاده از زنجیره‌بلوک در بخش احراز هویت اجرایی شود. تا آن زمان باید سرویس‌های یکپارچه ما تکمیل شود و چهار سال دیگر یا زودتر پایلوت‌هایی را برای احراز هویت مبتنی بر نظام توزیع شده و زنجیره‌بلوکی داشته باشیم. سامانه احراز هویت مشتریان تجارت الکترونیکی و سامانه ثبت‌نام غیرحضوری امضای الکترونیکی از جمله سامانه‌هایی بودند که با همکاری مرکز توسعه تجارت الکترونیکی برای کسب‌وکارها راه‌اندازی شده است. اکنون بانک‌ها برای احراز هویت از سازمان ثبت‌ احوال استعلام می‌گیرند، آیا راهکار دیگری قرار است ارائه شود؟ چند بانک دیگر نیز به‌طور آزمایشی احراز هویت مبتنی بر کارت هوشمند را به سرویس‌های

متن کامل خبر در سایت راه پرداخت

منبع خبر

راه پرداخت

راه پرداخت

رسانه فینتک ایران

    نظرات